Nama : Ary suganda

NIM : 191103598

Kelas : A2

1. Mengapa SMKI dibutuhkan ? JAWAB:

Banyaknya pelanggaran keamanan ini menunjukkan sebagian besar usaha keamanan informasi adalah
dipusatkan pada ancaman eksternal, ancaman yang utama datang dari dalam organisasi. Kesalahan
Operator dan kegagalan tenaga manusia adalah dua sumber pelanggaran keamanan paling besar.
Virus memperoleh 16% tentang peristiwa keamanan, sedang akses yang unauthorised eksternal
memperoleh 2%. Demikian juga survey dilakukan ISBS terhadap 1000 orang manajer sebagai
penanggung jawab keamanan informasi organisasinya. Laporan menunjukkan bahwa hanya 2%
tentang pelanggaran informasi yang serius adalah dalam kaitannya dengan akses eksternal
unauthorised.

2. Apa yang dimaksud SMKI ? JAWAB:

adalah sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan yang diperlkukan

untuk implementasi kontrol keamanan yang telah disesuaikan dengan kebutuhan organisasi. ISMS
didesain untuk melindungi asset informasi dari seluruh gangguan keamanan. Sistem manajemen
keamanan informasi menjaga kerahasiaan, integritas dan ketersediaan informasi dengan penerapan
suatu proses manajemen risiko dan memberikan keyakinan kepada pihak yang memerlukannya
bahwa semua risiko ditangani dengan baik. Sistem manajemen keamanan informasi merupakan
bagian dari dan terintegrasi dengan proses-proses organisasi dan keseluruhan struktur manajemen
dan keamanan informasi dipertimbangkan dalam proses-proses disain, sistem informasi, dan
pengendalian. Diharapkan bahwa implementasi sistem manajemen keamanan informasi akan
disesuaikan sejalan dengan kebutuhan organisasi.

3. Ruang lingkup SMKI ? JAWAB:

Ruang lingkup ini meliputi : a. Proses dan/atau Kegiatan. Misalnya: Penyediaan layanan publik,
Pengamanan Pusat Data, pengembangan aplikasi, penggunaan jaringan dan fasilitas email, dan
sebagainya. b. Satuan Kerja. Misalnya: Direktorat, Departemen atau Bidang. c. Lokasi kerja. Misalnya:
Tingkat Pusat, daerah atau keduanya. Mana saja lokasi yang dipilih untuk menerapkan SMKI? Apakah
SMKI akan langsung diterapkan ke seluruh lokasi kerja? Atau apakah diterapkan secara bertahap
dengan memprioritaskan pada lokasi tertentu terlebih dahulu? Penetapan ruang lingkup ini harus
didiskusikan dengan Satuan Kerja terkait dengan memperhatikan tingkat kesiapan masing-masing
termasuk ketersediaan sumber daya yang diperlukan untuk membangun dan menerapkan SMKI.

4. Apa itu keamanan informasi ? JAWAB:

Keamanan informasi adalah sekumpulan metodologi, praktik, ataupun proses yang dirancang dan
diterapkan untuk melindungi informasi atau data pribadi dari akses, penggunaan, penyalahgunaan,
gangguan, atau modifikasi yang tidak sah. Keamanan informasi bertujuan untuk melindungi data pada
berbagai tahap, baik itu ketika proses menyimpan, mentransfer, atau menggunakannya.

5. Perbedaan keamanan informasi dan keamanan cyber ? JAWAB:

Keamanan informasi merupakan suatu perlindungan informasi dari akses, penggunaan,

pengungkapan, gangguan, modifikasi, atau penghancuran yang tidak sah untuk memberikan
kerahasiaan, integritas, dan ketersediaan informasi. Sedangkan keamanan cyber adalah kemampuan
untuk melindungi atau mempertahankan penggunaan cyber space dari serangan cyber. Jadi,
keamanan informasi adalah sub-domain atau disiplin khusus di bawah payung keamanan cyber.
Keamanan cyber memiliki ruang lingkup yang lebih luas untuk menangani semua jenis aktivitas
keamanan digital yang melibatkan pengamanan semua jenis aset IT dari segala jenis penyalahgunaan,
pencurian, dan pengungkapan informasi rahasia.

6. 3 Aspek dalam Keamanan Informasi (CIA Triad) JAWAB:

A. Confidentiality (Kerahasiaan), Ketika kita membahas mengenai aspek confidentiality atau

kerahasiaan informasi, maka kita sedang berbicara mengenai serangkaian upaya perlindungan agar
informasi tidak terakses oleh pihak yang tidak berwenang. Informasi rahasia memang dianggap
sebagai data yang bernilai oleh para cyber hacker. Informasi yang diincar biasanya berupa informasi
pelanggan, data karyawan, kekayaan intelektual, atau informasi mengenai rahasia dagang. Oleh
karena itulah para cyber hacker terus mencari kerentanan yang ada pada dalam sistem agar mereka
bisa mengakses info-info penting tersebut. Jadi, kesimpulannya aspek confidentiality ini memiliki
tujuan untuk melindungi informasi dari akses dan penyalahgunaan info yang tidak sah.

B. Integrity, Dalam keamanan informasi, integrity atau integritas mengacu pada suatu metode atau
langkah-langkah untuk menjaga agar data atau informasi tidak dapat dimanipulasi, diubah atau diedit
oleh pihak yang tidak punya wewenang. Langkahlangkah ini memberikan jaminan atas keakuratan dan
kelengkapan informasi.

C. Availability, Aspek ketiga dalam CIA triad adalah availability atau ketersediaan. Artinya, dalam
konteks keamanan informasi upaya untuk menjaga agar sebuah sistem tetap bisa digunakan adalah
hal penting yang perlu dilakukan. Dengan memberikan perlindungan availability, Anda harus bisa
memberikan jaminan bahwa sistem dan data dapat diakses oleh pengguna yang diautentikasi
kapanpun informasi tersebut dibutuhkan.

7. Apa yang dimaksud dengan IT Risk Management ? JAWAB:

merupakan suatu proses identifikasi kerentanan dan ancaman terhadap sumber daya informasi yang
digunakan oleh sebuah perusahaan atau organisasi, yang dilakukan oleh manajer IT untuk mencapai
tujuan bisnis, mengurangi risiko, dan menyeimbangkan pengeluaran dalam mencapai keuntungan dan
melindungi teknologi informasi perusahaan tersebut. Alasan utama mengapa suatu perusahaan perlu
untuk menerapkan proses manajemen risiko adalah untuk mendukung misi perusahaan dan
melindungi aset dari perusahaan tersebut. Pada IT risk management, erat kaitannya dengan
bagaimana implementasi security pada suatu perusahaan sehingga diperlukan pemahaman tentang
proses bisnis organisasi dan kemungkinan risiko yang berdampak pada proses bisnis tersebut. Risk
management akan sangat membantu manajemen perusahaan untuk menyeimbangkan antara
dampak dari risk dan cost yang dibutuhkan untuk meminimalisir risiko tersebut.

8. Apa itu audit internal ? JAWAB:

adalah penilaian yang sistematis dan objektif yang dilakukan oleh auditor internal untuk memeriksa
dan mengevaluasi kegiatan organisasi. Audit Internal hadir untuk membantu pencapaian tujuan
perusahaan dengan memberikan penilaian yang tidak bias sehingga dapat menyampaikan
rekomendasi yang memiliki nilai tambah bagi suatu perusahaan. Audit Internal biasanya dilakukan
oleh unit yang ada di dalam perusahaan yang memiliki tugas untuk melakukan audit terhadap
perusahaan tersebut. Pelaksana Audit Internal adalah auditor internal. Aktivitas Audit Internal
menjadi sebuah pendukung utama bagi tercapainya tujuan pengendalian internal. Saat menjalankan
tugasnya, auditor internal harus berlaku objektif dan kedudukannya di dalam perusahaan adalah
independen.

9. Sebutkan area kontrol dalam ISO 27001 JAWAB:

Pemerintah RI menyadari penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini
sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat
peran TIK yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi
dari tata kelola pemerintahan yang baik (Good Corporate Governance). Dalam penyelenggaraan tata
kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat
kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK
mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan
(integrity) dan ketersediaan (availability) (Panduan KIPP, 2011). Kondisi keamanan yang akan
dievaluasi meliputi 5 (lima) area yaitu : Tata Kelola Keamanan Informasi, Manajemen Risiko Keamanan
Informasi, Kerangka Kerja Pengelolaan Keamanan Informasi, Pengelolaan Aset Informasi, Teknologi
Keamanan Informasi. Lima area evaluasi ini merupakan rangkuman kontrol-kontrol keamanan
sebagaimana dijelaskan dalam ISO/ISO 27001:2005 dengan mempertimbangkan karakteristik kondisi
penerapan sistem manajemen keamanan informasi, khususnya instansi/lembaga penyelenggara
pelayanan publik di Indonesia. Area evaluasi ini akan terus disempurnakan sesuai peningkatan
kepedulian dan kematangan penerapan tata kelola keamanan informasi di lingkungan penyelenggara
pelayanan publik.

10. Apa itu ISO 27001:2013 ? JAWAB:

ISO 27001:2013 merupakan icon sertifikasi seri ISO 27000 terbaru yang rilis pada tahun 2013. ISO
27001:2013 adalah sebuah dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau
Information Security Managemen System (ISMS) yang memberikan gambaran secara umum mengenai
apa saja yang harus dilakukan oleh sebuah organisasi atau enterprise dalam usaha rangka
mengimplementasikan konsep konsep keamanan informasi. ISO 27001:2013 berisi 14 group (klausa)
yang juga mencakup 113 kontrol, dan pada pelaksanaannya perusahaan dapat memilih kontrol mana
yang paling relevan dengan kondisi di lapangan dengan melakukan penilaian resiko dan aset pada
tahapan awal. Namun pemilihan ini bukan pekerjaan yang mudah, karena banyak parameter yang
harus dijadikan pertimbangan. Untuk itu proses pemilihan kontrol keamanan informasi berbasis ISO
27001 umumnya mengandalkan jasa konsultan keamanan informasi.