1. Jelaskan apa yang disebut dengan kebijakan keamanan informasi!
2. Jelaskan tahapan yang terjadi pada keamanan informasi! 3. Jelaskan bagaimana menentukan kebijakan keamanan informasi oleh para pemangku kepentingan pada perusahaan !
Jawaban :
1. Kebijakan keamanan informasi disusun untuk mendukung pencapaian sasaran
keamanan informasi. Di dalamnya terdapat komitmen untuk memenuhi berbagai persyaratan keamanan informasi dan komitmen untuk melakukan perbaikan yang berkelanjutan. 2. Tahapan tahapan keamanan informasi :
- Inisiasi (initiation). Merupakan fase awal yang dibutuhkan untuk menetapkan
tujuan sistem seperti dokumentasi. - Pengambangan dan akuisisi (development/acquisition). Pada fase ini sistem dirancang, dibeli, diprogram, dikembangkan, atau dikonstruksikan. - Implementasi (Implementation). Merupakan fase dimana sistem ditest dan diinstall. Aktifitasnya termasuk menginstalasi dan mengendalikan, test keamanan, sertifikasi, dan akreditasi. - Operasi dan Pemeliharaan (Operation/Maintenance). Pada fase ini dimana sistem bekerja atau dijalankan. Sistem juga dilakukan modifikasi jika terjadi penambahan software atau hardware, dan memberikan identifikasi. Aktifitas lain yang dilakukan pada tahap ini adalah jaminan operasional dan adminsitrasi, auditing dan minitoring. - Penyelesaian dan Pembuangan (disposal). Fase ini merupakan bagian dari fase lifecycle yang melakukan disposisi pada informasi, hardware dan software. Aktifitas lain termasuk diantaranya adalah memindah (moving), mengarsipkan (archiving), menyingkirkan (discarding), atau memusnahkan (destroying) informasi dan sanitasi media.
3. Kebijakan keamanan informasi tersebut harus tersedia dalam bentuk informasi
terdokumentasi, dikomunikasikan ke seluruh elemen organisasi dan tersedia bagi para pemangku kepentingan jika diperlukan. Kebijakan tersebut dapat dipisahkan antara kebijakan keamanan informasi yang bersifat umum dan kebijakan yang lebih bersifat teknis dan detil. Kebijakan keamanan informasi ini dapat dijabarkan secara lebih lanjut ke dalam berbagai prosedur dan instruksi kerja yang dapat mendukung pencapaian sasaran keamanan informasi. Sejalan dengan hal itu, untuk keperluan pengendalian risiko, maka seperangkat kebijakan untuk keamanan informasi harus ditentukan, disetujui oleh manajemen, diterbitkan dan dikomunikasikan kepada karyawan dan pihak eksternal terkait.