Ananta Amora Mudista ~ 20180801487

Keamanan Informasi – Tugas 2

1. Kegiatan apa yang diwajibkan kepada perusahaan publik oleh Sarbanes-

Oxley Act of 2002 dan tujuannya untuk apa?
Sarbanes-Oxley Act (SOA) merupakan sebuah produk hukum (Undang-Undang) di
Amerika Serikat (AS) yang mengatur tentang akuntabilitas, praktikakuntansi dan
keterbukaan informasi, termasuk tata cara pengelolaan data di perusahaan publik.
Namun di Indonesia baru sebagian kecil yang baru menerapkan aturan tersebut
Sarbanes Oxley Actditerbitkan untuk mengatasi skandal-skandal yang terjadi
pada perusahaan-perusahaan besar yang ada di Amerika Serikat diantaranya Enron dan
WorldCom yang merupakan dua skandal terbesar. Skandal ini juga melibatkan salah
Kantor Akuntan Publik yang termasuk ke dalam The Big Fiveyang kemudian tidak
diizinkan lagi untuk beroperasi.
Sarbanes Oxley Act 2002 juga menekankan pada pentingnya penerapan Good
Corporate Governance di dalam suatu perusahaan dengan meningkatkan independensi
dan pengendalian intern. Corporate Governancemencakup beberapa hal seperti
perlindungan terhadap hak-hak pemegang saham, perlakuan adil, peranan
stakeholderdalam Good Corporate Governance, keterbukaan dan transparansi serta
peranan Dewan Direksi dalam perusahaan. Berikut prinsip-prinsip Good Corporate
Governance:
• Transparansi Keterbukaan dalam melaksanakan proses pengambilan
keputusan dan keterbukaan dalam mengemukakan informasi materiil
dan relevan.
• Kemandirian Perusahaan dikelola secara professional tanpa benturan
kepentingan dan pengaruh/tekanan dari pihak manapun yang tidak
sesuai dengan peraturan perundang-undangan.
• Akuntabilitas Kejelasan pertanggungjawaban manajemen, sehingga
pengelolaan terlaksana secara efektif.
• Pertanggung jawaban Kewajiban untuk bertindak atau melaksanakan
tugasnya menurut kebijakan atau peraturan. 5.Kewajaran
(fairness)Keadilan dan kesetaraan di dalam memenuhi hak-hak
stakeholder yang timbul berdasarkan perjanjian dan peraturan.
2. Sebutkan secara singkat apa saja yang diatur oleh HIPAA!
Hipaa Merupakan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan
tahun 1996 atau yang dikenal juga dengan The Health Insurance Portability and
Accountability Act of 1996 (HIPAA) adalah undang-undang federal yang mewajibkan
pembuatan standar nasional untuk melindungi informasi kesehatan pasien yang sensitif
agar tidak diungkapkan tanpa persetujuan atau sepengetahuan pasien.

Informasi yang dilindungi oleh Hipaa

• nama pasien, alamat, tanggal lahir, nomor Jaminan Sosial, pengenal biometrik
atau informasi identitas pribadi lainnya
Ananta Amora Mudista ~ 20180801487
Keamanan Informasi – Tugas 2

• kondisi kesehatan fisik atau mental seseorang di masa lalu, sekarang atau masa
depan
• perawatan apa pun yang diberikan kepada individu
• informasi mengenai pembayaran masa lalu, sekarang atau masa depan untuk
perawatan yang diberikan kepada individu yang mengidentifikasi pasien atau
informasi yang dapat dipercaya dapat digunakan untuk mengidentifikasi pasien.

3. Berikan summary minimal 7 aturan penting dalam UU ITE beserta

pasalnya!
1) Untuk menghindari multitafsir terhadap ketentuan larangan mendistribusikan,
mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik
bermuatan penghinaan dan/atau pencemaran nama baik pada ketentuan Pasal
27 ayat (3), dilakukan 3 (tiga) perubahan sebagai berikut:
• Menambahkan penjelasan atas istilah "mendistribusikan,
mentransmisikan dan/atau membuat dapat diaksesnya Informasi
Elektronik".
• Menegaskan bahwa ketentuan tersebut adalah delik aduan bukan delik
umum.
• Menegaskan bahwa unsur pidana pada ketentuan tersebut mengacu
pada ketentuan pencemaran nama baik dan fitnah yang diatur dalam
KUHP.

2) Menurunkan ancaman pidana pada 2 (dua) ketentuan sebagai berikut:

• Ancaman pidana penghinaan dan/atau pencemaran nama baik diturunkan
dari pidana penjara paling lama 6 (enam) tahun menjadi paling lama 4
(tahun) dan/atau denda dari paling banyak Rp 1 miliar menjadi paling
banyak Rp 750 juta.
• Ancaman pidana pengiriman informasi elektronik berisi ancaman
kekerasan atau menakut-nakuti dari pidana penjara paling lama 12 (dua
belas) tahun menjadi paling lama 4 (empat) tahun dan/atau denda dari
paling banyak Rp 2 miliar menjadi paling banyak Rp 750 juta.

3) Melaksanakan putusan Mahkamah Konstitusi terhadap 2 (dua) ketentuan sebagai

berikut:
• Mengubah ketentuan Pasal 31 ayat (4) yang semula mengamanatkan
pengaturan tata cara intersepsi atau penyadapan dalam Peraturan
Pemerintah menjadi dalam Undang-Undang.
• Menambahkan penjelasan pada ketentuan Pasal 5 ayat (1) dan ayat (2)
mengenai keberadaan Informasi Elektronik dan/atau Dokumen Elektronik
sebagai alat bukti hukum yang sah.
Ananta Amora Mudista ~ 20180801487
Keamanan Informasi – Tugas 2

4) Melakukan sinkronisasi ketentuan hukum acara pada Pasal 43 ayat (5) dan ayat
(6) dengan ketentuan hukum acara pada KUHAP, sebagai berikut:
• Penggeledahan dan/atau penyitaan yang semula harus mendapatkan
izin Ketua Pengadilan Negeri setempat, disesuaikan kembali dengan
ketentuan KUHAP.
• Penangkapan penahanan yang semula harus meminta penetapan Ketua
Pengadilan Negeri setempat dalam waktu 1x24 jam, disesuaikan
kembali dengan ketentuan KUHAP.

5) Memperkuat peran Penyidik Pegawai Negeri Sipil (PPNS) dalam UU ITE pada
ketentuan Pasal 43 ayat (5):
• Kewenangan membatasi atau memutuskan akses terkait dengan tindak
pidana teknologi informasi;
• Kewenangan meminta informasi dari Penyelenggara Sistem Elektronik
terkait tindak pidana teknologi informasi.

6) Menambahkan ketentuan mengenai "right to be forgotten" atau "hak untuk

dilupakan" pada ketentuan Pasal 26, sebagai berikut:
• Setiap Penyelenggara Sistem Elektronik wajib menghapus Informasi
Elektronik yang tidak relevan yang berada di bawah kendalinya atas
permintaan orang yang bersangkutan berdasarkan penetapan
pengadilan.
• Setiap Penyelenggara Sistem Elektronik wajib menyediakan mekanisme
penghapusan Informasi Elektronik yang sudah tidak relevan.

7) Memperkuat peran Pemerintah dalam memberikan perlindungan dari segala jenis

gangguan akibat penyalahgunaan informasi dan transaksi elektronik dengan
menyisipkan kewenangan tambahan pada ketentuan Pasal 40:
• Pemerintah wajib melakukan pencegahan penyebarluasan Informasi
Elektronik yang memiliki muatan yang dilarang;
• Pemerintah berwenang melakukan pemutusan akses dan/atau
memerintahkan kepada Penyelenggara Sistem Elektronik untuk
melakukan pemutusan akses terhadap Informasi Elektronik yang
memiliki muatan yang melanggar hukum.

4. Jelaskan secara singkat perbedaan dari ISO 27001 dan ISO 27002!
ISO 27002 adalah seperangkat standar dan prosedur yang berkaitan dengan keamanan
dan kontrol informasi yang memungkinkan bisnis untuk menerapkan keamanan yang
tepat. Standar ini sebagian besar dilengkapi dengan ISO 27001 yang merinci tugas
manajerial seperti penilaian risiko dan meninjau keamanan. Dilain pihak, ISO 27002
banyak berbicara tentang aspek kontrol.
Ananta Amora Mudista ~ 20180801487
Keamanan Informasi – Tugas 2

5. Salah satu panduan dalam keamanan informasi adalah OWASP, berikan

minimal 5 panduan yang diberikan OWASP terkait keamanan password!

OWASP Developer Guide

Sesuai dengan namanya, panduan ini memang dikhusukan untuk developer. Ini adalah
salah satu dokumen pertama yang harus Anda download jika Anda ingin memiliki
website dan aplikasi yang aman.
Pertama kali dirilis lebih dari 15 tahun lalu, OWASP sudah banyak melakukan revisi dari
tahun 2014 agar panduannya sesuai untuk jaman sekarang.
Guide ini dibuat agar para developer bisa membangun website atau software untuk
organisasi mereka dengan menggunakan coding yang memiliki sistem yang aman. Guide
ini berisikan prinsip-prinsip yang harus diikuti dalam proses codingnya.

OWASP Application Security Verification Standard (ASVS)

Kalau membicarakan soal standar keamanan website, belum ada standard universal
yang bisa digunakan sebagai alat ukurnya. Oleh karena itu, OWASP mengambil inisiatif
untuk membuat sebuah standar keamanan website yang bisa digunakan di seluruh
dunia yang mereka beri nama Application Security Verification Standard atau ASVS.
ASVS adalah sebuah daftar persyaratan untuk memberi tahu para developer
apakah sebuah aplikasi itu aman untuk digunakan oleh organisasi, vendor, dan
customer.ASVS ini sudah dipisahkan ke beberapa level dimana mereka menjelaskan
dengan lebih detail untuk berbagai jenis aplikasi dan software.
Ada tiga level yang mereka bahas yaitu opportunistic level untuk software umum,
standard level untuk aplikasi yang mengandung data sensitif, dan advanced level untuk
aplikasi-aplikasi seperti aplikasi rumah sakit, software dan aplikasi bank, website dan
software pemerintahan, dan sejenisnya.
ASVS bisa dibilang merupakan resource yang dalam untuk keamanan website karena
mereka menjelaskan langkah demi langkah.

Security Knowledge Framework

Security Knowledge Framework adalah sebuah tool yang di-desain untuk membantu
developer membangun software yang aman. Framework ini dibangun berdasarkan
standard ASVS sehingga developer bisa dengan mudah mengerti dan
mengimplementasikan persyaratan keamanannya.

Developer Cheat Sheet Series

Karena OWASP berkomitmen untuk membantu meningkatkan security website, mereka
ingin menggunakan expertise mereka di bidang keamanan website untuk mengedukasi
developer. Salah satu caranya adalah dengan membuat Developer Cheat Sheet Series.
Ananta Amora Mudista ~ 20180801487
Keamanan Informasi – Tugas 2

Organisasi ini meminta bantuan dari pakar-pakar keamanan website di seluruh dunia
untuk membuat guide yang dalam dan lengkap, membahas berbagai kelemahan,
protocol keamanan, dan bagaimana mereka ada pada bahasa-bahasa programming
terkenal..

OWASP Top 10
Dokumen yang terakhir ini adalah salah satu resource OWASP yang paling terkenal.
Mungkin setelah Anda mempelajari semua dokumen di atas, ada kalanya Anda masih
memerlukan sebuah checklist untuk memastikan bahwa website Anda sudah aman.
Jawabannya ada pada OWASP Top 10