IT Governance

(Tata Kelola IT)

1

MATA KULIAH : IT GOVERNANCE

PERTEMUAN VI
ZAINUL HAKIM, SKOM, MMSI
 Pedoman Implementasi
Tata Kelola TI Perusahaan

2
 Hal yang perlu diperhatikan dalam praktik
Implementasi Tata Kelola IT
3

Terdapat beberapa hal yang perlu diperhatikan dalam praktik implementasi

Tata Kelola TI :
1. Mengadopsi pendekatan enterprise yang lebih luas
✓ Bisnis dan TI harus bekerja bersama-sama untuk mendefinisikan dan mengendalikan
kebutuhan bisnis
✓ TI perlu untuk mengembangkan sebuah model pengendalian yang dapat digunakan
oleh semua divisi di organisasi
✓ Pendekatan komite direkomendasikan dalam mengatur, menyetujui dan mengawasi
kebijakan
✓ Pandangan/pemahaman mengenai tata kelola TI harus sama. Terpadu di seluruh
organisasi berdasarkan “bahasa yang sama”
✓ Harus ada pemahaman (dan persetujuan) yang jelas oleh stakeholder atas apa saja
yang ada di dalam ruang lingkup tata kelola TI
2. Komitmen TOP Level Management
✓ Tata Kelola TI perlu sebuah mandat dan arahan dari dewan direksi/Eksekutif Level
management
✓ Pastikan manajemen bertanggungjawab dalam bisnis dan TI yang telah ditetapkan
 Hal yang perlu diperhatikan dalam praktik
Implementasi Tata Kelola IT (cont)
4

3. Model Tata Kelola dan Pengendalian yang disepakati bersama

✓ Meskipun akan menjadi tantangan serta dorongan, kerangka kerja yang disepakati
bersama untuk mendefinisikan proses-proses TI dan pengendalian, harus
didefinisikan, agar tata kelola berjalan dengan baik
✓ Proses tata Kelola TI perlu untuk diintegrasikan dengan praktik tata kelola
perusahaan, sehingga Tata Kelola TI tidak hanya menjadi milik proses-proses TI saja
✓ Kerangka kerja perlu untuk didukung dengan komunikasi yang efektif dan kesadaran,
sehingga tujuan dapat dimengerti
✓ Pemberian insentif/reward harus dipertimbangkan guna memotivasi ketaatan pada
kerangka kerja
✓ Pengembangan TI organisasi yang terdesentralisasi
✓ Hindari administrasi yang bertele-tele
 Hal yang perlu diperhatikan dalam praktik
Implementasi Tata Kelola IT (cont)
5

4. Rasa percaya dibutuhkan untuk mendapatkan fungsi TI sepenuhnya

(internal/external)
✓ Agar Tata Kelola TI dapat bekerja pada suplier dan penyedia layanan TI lainnya, serta
tahu bagaimana caranya agar dapat selaras dengan permintaan konsumen, rasa
percaya harus dikembangkan dengan cara apapun.
✓ Contohnya, melalui awareness program, workshop, direktur TI bertindak sebagai
jembatan antara bisnis dan TI
5. Sistem pengukuran yang akan menjamin tujuan selalu dipantau
✓ Menciptakan scorecard TI, yang akan mendukung dan memperkuat pencapaian
tujuan tata kelola TI
✓ Menciptakan langkah awal pengukuran yang dapat meningkatkan kesadaran dan
inisiasi terhadap program Tata kelola TI
✓ Kegunaan pengukuran harus dalam ranah bisnis dan disetujui oleh stakeholder

6. Fokus pada biaya

✓ Pastikan akan ada kesempatan untuk melakukan financial savings, sebagai
konsekuensi dari implementasi Tata Kelola TI yang semakin baik.
Bagaimana Cara Implementasi Tata kelola TI
6
 Critical Factor IT Governance
7

❖ Penetapan tujuan yang jelas

❖ Komitmen dari senior management
❖ Perubahan manajemen bisnis
❖ Fokus, jalankan dan perkuat
❖ Target dan harapan yang terukur
❖ Jangan berlebihan dalam memanfaatkan IT Engineer
❖ Evolusi bukan revolusi
Keamanan Informasi

8
 Latar Belakang
9

❖ Keamanan data elektronik menjadi hal yang sangat penting di perusahaan

penyedia jasa teknologi informasi (TI) maupun industri lainnya, seperti:
perusahaan export-import, tranportasi, lembaga pendidikan, pemberitaan,
hingga perbankan yang menggunakan fasilitas TI dan menempatkannya sebagai
infrastruktur kritikal (penting).
❖ Informasi atau data adalah aset bagi perusahaan. Keamanan data secara
tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko,
mengoptimalkan return on investment dan mencari kesempatan bisnis. Semakin
banyak informasi perusahaan yang disimpan, dikelola dan disharing maka
semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya
data ke pihak eksternal yang tidak diinginkan.
❖ Bagaimana data atau informasi tersebut dikelola, dipelihara dan diekspose,
melatarbelakangi disusunnya ISO 17799, standar untuk sistem manajemen
keamanan informasi.
 Apa itu Keamanan Informasi ?
10
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
1. Confidentiality (kerahasiaan)
aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi
hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang
dikirim, diterima dan disimpan.
2. Integrity (integritas)
aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin pihak yang berwenang
(authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk
menjamin aspek integrity ini.
3. Availability (ketersediaan)
aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang
berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan
bilamana diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang
layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur,
struktur-struktur organisasi dan piranti lunak.
Elemen-elemen keamanan informasi
11
 Pentingnya Keamanan Informasi
12

 Informasi merupakan asset yang sangat berharga bagi sebuah organisasi karena
merupakan salah satu sumber daya strategis dalam meningkatkan nilai usaha.
 Oleh karena itu maka perlindungan terhadap informasi (keamanan informasi) merupakan
hal yang mutlak harus diperhatikan secara sungguh-‐sungguh oleh segenap jajaran
pemilik, manajemen, dan karyawan organisasi yang bersangkutan.
 Keamanan informasi yang dimaksud menyangkut kebijakan, prosedur, proses, dan
aktivitas untuk melindungi informasi dari berbagai jenis ancaman terhadapnya sehingga
dapat menyebabkan terjadinya kerugian-kerugian bagi kelangsungan hidup organisasi.
 Informasi dikumpulkan, disimpan, diorganisasikan, dan disebarluaskan dalam berbagai
bentuk – baik dokumen berbasis kertas hingga berkas elektronik.
 Apapun bentuk maupun cara penyimpanannya, harus selalu ada upaya dan untuk
melindungi keamanannya sebaik mungkin.
 Jaminan kemanan informasi dapat dicapai melalui aktivitas penerapan sejumlah kontrol
yang sesuai, kontrol yang dimaksud meliputi penerapan berbagai kebijakan, prosedur,
struktur, praktek, dan fungsi-‐fungsi tertentu.
 Keseluruhan kontrol tersebut harus diterapkan oleh organisasi agar seluruh sasaran
keamanan yang dimaksud dapat tercapai.
 Mengapa diperlukan keamanan informasi ?
13

❖ Keamanan informasi memproteksi informasi dari ancaman yang luas untuk

memastikan kelanjutan usaha, memperkecil rugi perusahaan dan
memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen
sistem informasi memungkinkan data untuk terdistribusi secara elektronis,
sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima
oleh user yang benar.
❖ Hasil survey ISBS (Information Security Breaches Survey) pada tahun
2000 menunjukkan bahwa sebagian besar data atau informasi tidak cukup
terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey yang terkait
dengan hal ini dapat dilihat dalam gambar berikut:
 Mengapa diperlukan keamanan informasi ? (cont)
14

❖ Grafik persentase ancaman keamanan sistem informasi

❖ Survey tersebut juga menunjukkan bahwa 60% organisasi mengalami serangan
atau kerusakan data karena kelemahan dalam sistem keamanan. Kegagalan
sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan
dengan faktor eksternal. Faktor internal ini diantaranya kesalahan dalam
pengoperasian sistem (40%) dan diskontinuitas power supply (32%).
 Mengapa diperlukan keamanan informasi ? (cont)
15

❖ Hasil survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat banyak

jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar.
 Pemangku Kepentingan Keamanan Informasi
16

❖ Semua pihak di dalam organisasi (manajemen dan karyawan)

maupun di luar organisasi (pemasok, pelanggan, mitra kerja, dan
pemegang saham) bertanggung jawab secara penuh dalam proses
keamanan informasi.
❖ Hal tersebut disebabkan karena mereka semua terlibat secara langsung
maupun tidak langsung dalam proses penyediaan, penyimpanan,
pemanfaatan, dan penyebarluasan informasi dalam organisasi.
❖ Untuk menjamin adanya kesadaran, kemauan, dan komitmen untuk
melakukan hal tersebut, maka perlu adanya pihak yang memiliki tugas
dan kewajiban khusus untuk memantau efektivitas keamanan informasi
tersebut.
❖ Keberadaan pihak tersebut mutlak dibutuhkan oleh organisasi dalam
berbagai bentuknya, seperti: perusahaan komersial, institusi
pemerintah, organisasi publik, lembaga nirlaba, dan lain sebagainya.
 Strategi Sosialisasi Organisasi
17

❖ Pemahaman dan kesadaran mengenai pentingnya memperhatikan

aspek-‐aspek keamanan informasi harus ditanamkan sedini mungkin
oleh setiap organisasi terhadap seluruh jajaran manajemen dan
karyawannya.

❖ Setiap individu yang berada di dalam organisasi memiliki tanggung

jawab untuk melindungi keamanan informasi yang dimilikinya,
sebagaimana layaknya memperlakukan hal yang sama terhadap aset--
‐asset berharga lainnya.

❖ Dalam kaitan dengan hal ini, harus terdapat kebijakan menyangkut

pemberian sanksi bagi mereka yang lalai memperhatikan hal ini maupun
penghargaan bagi mereka yang berprestasi mempromosikan dan
menerapkan keamanan informasi di organisasi terkait.
 Implementasi Keamanan Informasi
18

❖ Tentunya proses keamanan informasi harus dimulai dari menjaga tempat-

tempat atau fasilitas fisik dimana informasi beserta piranti/peralatan
pendukungnya disimpan.
❖ Mengingat bahwa hampir seluruh fungsi dalam organisasi memiliki tanggung
jawab dalam mengelola informasinya masing-‐masing, maka setiap individu
dalam berbagai fungsi-‐fungsi tersebut harus secara aktif menjaga keamanan
informasi.
❖ Dengan berkembangnya teknologi akses informasi dari jarak jauh melalui
pemanfaatan jaringan komputer, maka ruang lingkup keamanan menjadi
semakin besar dan kompleks, karena sudah tidak dibatasi lagi oleh sekat-sekat
lingkungan fisik tertentu.
❖ Perkembangan internet yang telah membentuk sebuah dunia maya tempat
berbagai individu maupun komunitas berinteraksi (tukar menukar informasi)
secara elektronik memperlihatkan bagaimana kompleksnya keamanan area baik
secara fisik maupun virtual – yang tentu saja akan sangat berpengaruh terhadap
manajemen control yang akan dipilih dan diterapkan.
 Cara Menerapkan Sistem Keamanan Informasi
19

Untuk dapat membangun dan menerapkan sistem keamanan informasi

yang baik, sebaiknya organisasi memulainya dari upaya melakukan kajian
atau telaah terhadap resiko-‐resiko keamanan yang mungkin timbul.
Kajian yang dimaksud dapat diterapkan dalam tingkatan organisasi,
maupun pada tataran sub bagian atau fungsi organisasi tertentu, seperti
sistem informasi, komponen, layanan, dan lain sebagainya – sesuai
dengan skala prioritas yang ada. Kajian resiko yang dimaksud merupakan
suatu pendekatan sistematis dari proses:
1. Identifikasi terhadap kejadian-kejadian apa saja yang dapat mengancam
keamanan informasi perusahaan dan potensi dampak kerugian yang
ditimbulkan jika tidak terdapat kontrol yang memadai; dan
2. Analisa tingkat kemungkinan (probabilitas) terjadinya hal-‐hal yang
tidak diinginkan tersebut akibat adanya sejumlah kelemahan pada
sistem yang tidak dilindungi dengan kontrol tertentu.
 Cara Menerapkan Sistem Keamanan Informasi (cont)
20
❖ Hasil dari kajian tersebut akan menghasilkan arahan yang jelas bagi manajemen dalam
menentukan prioritas dan mengambil sejumlah tindakan terkait dengan resiko keamanan
informasi yang dihadapi.
❖ Dengan adanya prioritas yang jelas maka akan dapat didefinisikan kontrol-kontrol mana saja
yang perlu diterapkan. Perlu diperhatikan bahwa langkah-‐langkah tersebut harus dilakukan
secara kontinyu dan periodik, mengingat dinamika perubahan organisasi dan lingkungan
eksternal yang sedemikian cepat.
❖ Langkah-‐langkah interaktif yang dimaksud meliputi:
1. Menganalisa perubahan kebutuhan dan prioritas organisasi yang baru sesuai dengan
pertumbuhannya;
2. Mempelajari ancaman-‐ancaman atau kelamahan-‐kelemahan baru apa yang terjadi akibat
perubahan yang ada tersebut; dan
3. Memastikan bahwa kendali-‐kendali yang dimiliki tetap efektif dalam menghadapi ancaman-
‐ancaman kejadian terkait.
❖ Perlu dicatat bahwa peninjauan berkala tersebut harus dilakukan pada bagian organisasi dengan
tingkat kedalaman tertentu sesuai dengan hasil analisa resiko yang telah dilakukan sebelumnya.
❖ Karena keberadaan kontrol ini akan sangat berpengaruh terhadap kinerja sebuah organisasi,
maka proses telaah resiko harus dimulai dari tingkat, agar mereka yang berwenang dapat
menilainya berdasarkan tingkat kepentingan tertinggi (pendekatan top down).
 Standar dalam Keamanan Informasi
21

Keberadaan dan kepatuhan terhadap standar merupakan hal mutlak yang harus dimiliki
oleh pihak manapun yang ingin menerapkan sistem keamanan informasi secara efektif.
Sejumlah alasan utama mengapa standar diperlukan adalah untuk menjamin agar:
1. Seluruh pihak yang terlibat dalam proses keamanan informasi memiliki kesamaan
pengertian, istilah, dan metodologi dalam melakukan upaya-upaya yang berkaitan
dengan keamanan data;
2. Tidak terdapat aspek-aspek keamanan informasi yang terlupakan karena standar
yang baik telah mencakup keseluruhan spektrum keamanan informasi yang disusun
melalui pendekatan komprehensif dan holistic (utuh dan menyeluruh);
3. Upaya-upaya untuk membangun sistem keamanan informasi dilakukan secara efektif
dan efisien dengan tingkat optimalisasi yang tinggi, karena telah memperhatikan
faktor-faktor perkembangan teknologi serta situasi kondisi yang berpengaruh
terhadap organisasi;
4. Tingkat keberhasilan dalam menghasilkan sistem keamanan informasi yang
berkualitas menjadi tinggi, karena dipergunakan standar yang sudah teruji
kehandalannya.
 Penggunaan Dokumen Standar
22

❖ Seperti yang telah dijelaskan sebelumnya, proses awal yang harus dilakukan
setiap organisasi adalah melakukan kajian awal untuk mengidentifikasikan
kebutuhan keamanan, mengingat setiap organisasi memiliki sifat uniknya
masing-‐masing.
❖ Berdasarkan hasil tersebut, pilihlah kontrol-kontrol sesuai yang dapat diambil
dalam dokumen standar ini, maupun dari sumber-sumber lain untuk
melengkapinya manakala dibutuhkan.
❖ Setelah itu susunlah perencanaan program penerapan kontrol-kontrol yang
dimaksud dengan melibatkan pihak internal maupun eksternal organisasi sesuai
dengan kebutuhan.
❖ Perlu diperhatikan bahwa sejumlah kontrol sifatnya mutlak harus dimiliki oleh
sebuah organisasi, sementara berbagai kontrol lainnya hakekatnya ditentukan
oleh situasi dan kondisi organisasi yang bersangkutan.
❖ Disamping itu terdapat pula sejumlah kontrol yang harus diperhatikan secara
sungguh-sungguh karena memiiki implikasi besar karena menyangkut
kepentingan public atau kontinuitas keberadaan organisasi.
 ISO 17799: Standar Sistem
Manajemen Keamanan Informasi

23
 Apa itu ISO 17799?
24

❖ ISO 17799 merupakan suatu struktur dan rekomendasi pedoman yang diakui
secara internasional untuk keamanan informasi.
❖ Suatu proses keamanan informasi yang menyeluruh yang dapat diusahakan atau
di implementasikan bagi perusahaan agar memperoleh manfaat keamanan yang
diinginkan.
❖ Proses evaluasi, implementasi, pemeliharaan dan pengaturan keamanan
informasi yang singkat.
❖ Upaya penggunaan oleh konsorsium perusahaan untuk memenuhi kebutuhan
industri.
❖ ISO 17799 merupakan proses yang seimbang antara fisik, keamanan secara
teknikal dan prosedur, serta keamanan pribadi.
 Keuntungan menerapkan ISO-17799
25

Keuntungan utama dari BS7799/ISO17799 berhubungan dengan kepercayaan

publik. Sama seperti ISO 9000 yang mencerminkan jaminan kualitas.
❖ Standar ini merupakan tanda kepercayaan dalam seluruh keamanan
perusahaan.
❖ Manajemen kebijakan terpusat dan prosedur.
❖ Menjamin layanan informasi yang tepat guna.
❖ Mengurangi biaya manajemen,
❖ Dokumentasi yang lengkap atas segala perubahan/revisi.
❖ Suatu metoda untuk menentukan target dan mengusulkan peningkatan.
❖ Basis untuk standard keamanan informasi internal perusahaan

Suatu organisasi yang menerapkan ISO 17799 akan mempunyai suatu alat untuk
mengukur, mengatur dan mengendalikan informasi yang penting bagi operasional
sistem mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan
pelanggan, efisiensi dan efektifitas.
 ISO 17799
26

❖ Penyusunan standar ini berawal pada tahun 1995, dimana sekelompok

perusahaan besar seperti BOC, BT, Marks & Spencer, Midland Bank,
Nationwide Building Society, Shell dan Unilever bekerja sama untuk
membuat suatu standar yang dinamakan BS (British Standard)
7799.
❖ BS 7799 Part 1: the Code of Practice for Information Security
Management. Februari 1998
❖ BS 7799 Part 2: The Specification for Information Security
Management Systems (ISMS) menyusul diterbitkan.
❖ Desember 2000 ISO (International Organization of
Standardization) dan IEC (International Electro-Technical
Commission) mengadopsi BS 7799 Part 1 dan menerbitkannya sebagai
standar ISO/IEC 17799:2000 yang diakui secara internasional.
 Istilah dan Definisi di ISO-17799
27

❖ ISO - the International Standards Organization adalah lembaga independent

yang mengeluarkan standar operasional prosedur (SOP) terhadap kualitas suatu
layanan.
❖ Information Security - merupakan gambaran dari 3 aspek penting keamanan
informasi yang meliputi confidentiality, integrity dan availability.
❖ Risk Assessment – perkiraan kemungkinan ancaman akibat kelemahan
keamanan sistem informasi dan proses ketersediaan informasi sehingga bisa
menyebabkan gangguan.
❖ Risk Management – proses identifikasi, pengawasan, minimalisasi atau
eliminasi resiko keamanan yang akan mempengaruhi sistem informasi, untuk
biaya yang dapat diterima.
❖ ISMS - Information System Management System. Sistem manajemen keamanan
informasi organisasi yang menyediakan pendekatan sistematik dalam mengatur
informasi yang sensitif agar dapat memproteksinya. Ini meliputi pegawai,
proses-proses dan sistem informasi.
 ISO-17799 Framework
28

British Standard 7799 terbagi menjadi dua komponen dan masing-masing

memfokuskan diri pada area yang berbeda dalam praktek manajemen keamanan
informasi :
1. BS 7799:1, sekarang dikenal sebagai ISO/IEC 17799 setelah diadopsi oleh ISO,
disebut sebagai Information Technology—Code of Practice for
Information Security Management. BS 7799:1 terdiri dari :
✓ 10 control clauses (10 pasal pengamatan)
✓ 36 control objectives (36 objek/sasaran pengamanan)
✓ 127 controls (127 pengawasan keamanan)

2. BS 7799:2 disebut sebagai Information Security Management:

Specification with Guidance for Use. BS 7799 :2 terdiri dari :
✓ Plan
✓ Do
✓ Check
✓ Act
 Sepuluh Aspek Keamanan Informasi
29

1. Security Policy
2. System Access Control
3. Communication & Operations Management
4. System Development and Maintenance
5. Physical and Environmental Security
6. Compliance
7. Personnel Security
8. Security Organization (Information Security)
9. Asset Classification and Control
10. Business Continuity Management (BCM)
 1. Security Policy (kebijakan keamanan)

30

❖ Mengarahkan visi dan misi manajemen agar kontinuitas bisnis dapat

dipertahankan dengan mengamankan dan menjaga integritas/keutuhan
informasi-informasi krusial yang dimiliki oleh perusahaan.
❖ Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-
masalah non teknis salah satunya penggunaan password oleh lebih dari satu
orang. Hal ini menunjukan tidak adanya kepatuhan dalam menerapkan sistem
keamanan informasi. Harus dilakukan inventarisasi data-data perusahaan.
Selanjutnya dibuat peraturan yang melibatkan semua departemen sehingga
peraturan yang dibuat dapat diterima oleh semua pihak. Setelah itu rancangan
peraturan tersebut diajukan ke pihak direksi. Setelah disetujui, peraturan
tersebut dapat diterapkan.
❖ Security Policy meliputi berbagai aspek, yaitu :
a. Information security infrastructure
b. Information security policy
 2. System Access Control (sistem kontrol akses)

31

❖ Mengendalikan/membatasi akses user terhadap informasi-informasi yang telah

diatur kewenangannya, termasuk pengendalian secara mobile computing
ataupun tele-networking.
❖ Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada
meliputi berbagai aspek, yaitu :
a. Access control.
b. User Access Management.
c. User Responsibilities.
d. Network Access Control
e. Operation System access Control
f. Application Access Control.
g. Monitor system Access and use.
h. Mobile Computing and Tele-networking
 3. Communication and Operations Management
(manajemen komunikasi dan operasi)
32

❖ Menyediakan perlindungan terhadap infrastruktur sistem informasi melalui

perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan
sistem yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan
operasional.
❖ Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai
aspek, yaitu :
a. Operational procedures and responsibilities.
b. System Planning and acceptance.
c. Protection against malicious software.
d. Housekeeping
e. Network Management.
f. Media handling and security.
g. Exchange of Information and software.
 4. System Development and Maintenance
(pengembangan sistem dan pemeliharaan)
33

❖ Memastikan bahwa sistem operasi maupun aplikasi yang baru

diimplementasikan mampu bersinergi melalui verifikasi/validasi terlebih dahulu
sebelum diluncurkan ke live environment.
❖ Penelitian untuk pengembangan dan perawatan sistem yang ada meliputi
berbagai aspek, yaitu :
a. Security requirements of system.
b. Security in application system.
c. Cryptographic control
d. Security of system files
e. Security in development and support process
 5. Physical and Environmental Security
(keamanan fisik dan lingkungan)
34

❖ Membahas keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah
kehilangan/kerusakan data yang diakibatkan oleh lingkungan, termasuk
bencana alam dan pencurian data dalam media penyimpanan atau fasilitas
informasi yang lain.

❖ Aspek yang dibahas antara lain:

a. Secure Areas
b. Equipment security
c. General Control
 6. Compliance (penyesuaian)

35

❖ Memastikan implementasi kebijakan-kebijakan keamanan selaras dengan

peraturan dan perundangan yang berlaku, termasuk persyaratan kontraktual
melalui audit sistem secara berkala.

❖ Kepatuhan yang mengarah kepada pembentukan prosedur dan aturan – aturan

sesuai dengan hukum yang berlaku meliputi berbagai aspek, yaitu :
a. Compliance with legal requirements
b. Reviews of security policy and technical compliance.
c. System audit and consideration
 7. Personnel Security (keamanan perorangan)

36

❖ Mengatur tentang pengurangan resiko dari penyalahgunaan fungsi penggunaan

atau wewenang akibat kesalahan manusia (human error), sehingga mampu
mengurangi human error dan manipulasi data dalam pengoperasian sistem serta
aplikasi oleh user, melalui pelatihan-pelatihan mengenai security awareness agar
setiap user mampu menjaga keamanan informasi dan data dalam lingkup kerja
masing-masing.

❖ Personnel Security meliputi berbagai aspek, yaitu :

a. Security in Job Definition and Resourcing.
b. User Training.
c. Responding to Security Incidents and Malfunction.
 8. Security Organization (organisasi keamanan)

37

❖ Mengatur tentang keamanan secara global pada suatu organisasi atau instansi,
mengatur dan menjaga integritas sistem informasi internal terhadap keperluan
pihak eksternal termasuk pengendalian terhadap pengolahan informasi yang
dilakukan oleh pihak ketiga (outsourcing).

❖ Aspek yang terlingkupi, yaitu :

a. Security of third party access
b. Outsourcing
 9. Asset Classification and Control
(klasifikasi dan kontrol aset)
38

❖ Memberikan perlindungan terhadap aset perusahaan dan aset informasi

berdasarkan level proteksi yang ditentukan.

❖ Membahas tentang penjagaan aset yang ada meliputi berbagai aspek,

diantaranya :
a. Accountability for Assets.
b. Information Classification.
 10. Business Continuity Management
(manajemen kelanjutan usaha)
39

❖ Siap menghadapi resiko yang akan ditemui didalam aktivitas lingkungan bisnis
yang bisa mengakibatkan ”major failure” atau resiko kegagalan yang utama
ataupun ”disaster” atau kejadian buruk yang tak terduga, sehingga diperlukan
pengaturan dan manajemen untuk kelangsungan proses bisnis, dengan
mempertimbangkan:
a. Aspects of business continuity management
❖ Membangun dan menjaga keamanan sistem manajemen informasi akan terasa
jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem
yang telah terdisintegrasi. Penerapan standar ISO 17799 akan memberikan
benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja
manajemen yang baik dan terstruktur serta pengukuran kinerja sistem
keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan
efisien.
 Sepuluh Aspek Keamanan Informasi (cont)
40

❖ 36 objek pengamatan/pengawasan keamanan merupakan uraian dari

aspek 10 control clause tersebut.
 Penggunaan ISO 17799
41

Penggunaan dari ISO 17799 masih merupakan alat bantu yang berguna
baik itu pihak internal maupun pihak eksternal yaitu :
❖ Organisasi, untuk mempelajari serta melaksanakannya guna
mendapatkan sertifikasi tersebut
❖ Auditor TI, untuk membandingkan kesesuaian antara standar dengan
kenyataan yang ada di organisasi tersebut
❖ Auditor Keuangan, digunakan sebagai salah satu acuan untuk
menentukan dalamnya pemeriksaan
❖ Pemerintah atau institusi lain yang berkepentingan.
TERIMA KASIH
42