MANAGEMENT PRACTICES
Overview
Domain Security Management Practices menjabarkan tentang :
• Aset Fisik
Gedung, tanah, server, pc client, dll
• Aset Informasi
Aset informasi adalah pengetahuan atau
data yang memiliki nilai bagi organisasi.
OS Server, OS Client, Office Application,
Finance and Accounting Application,
Finance Information, dll
Asset Threat
Ancaman (threat) adalah penyebab potensial suatu insiden yang tidak
dikehendaki, yang dapat membahayakan suatu sistem atau organisasi.
• Kebijakan
• Standard
• Panduan
• Prosedur
Kebijakan Keamanan Informasi
TUJUAN
Provide a framework for the
management of security
across the enterprise
Menyediakan kerangka kerja
Bagi manajemen keamanan
di seluruh perusahaan
Kebijakan Keamanan Informasi
• Hirarki Kebijakan
Kebijakan Keamanan Informasi
Prinsip dasar pembuatan kebijakan Keamanan Informasi :
1. Kebijakan keamanan informasi sejalan dengan visi dan misi organisasi.
2. Keamanan informasi harus menjadi bagian yang tidak terpisahkan dalam
operasional manajemen.
3. Penerapan keamanan informasi harus memperhatikan kelayakan biaya yang
dibelanjakan dibandingkan dengan hasil yang ingin dicapai.
4. Tugas pokok dan fungsi manajer keamanan informasi harus jelas dan tertuang
dalam dokumen resmi.
5. Tanggung jawab dan wewenang penggunaan sistem keamanan informasi oleh
pihak di luar organisasi harus dituangkan secara jelas.
Kebijakan Keamanan Informasi
Contoh :
Standard: semua informasi
Policy: semua informasi bisnis sensitif harus dienkripsi dan
harus dilindungi saat ditransfer transfer harus dicatat
Guideline: menjelaskan
cara terbaik Procedure: Instruksi langkah
mentransfer data demi langkah melakukan
sensitif & menyediakan transfer data terenkripsi dan
template untuk memastikan kepatuhan
mencatat transfer dengan kebijakan, standar &
tersebut pedoman terkait.
Kebijakan, Standar, Pedoman & Prosedur
Tujuan
Contoh : • Memastikan pemanfaatan yang efektif dari sumber daya
Kebijakan Teknologi Informasi (TI) Universitas dan meminimalkan
Keamanan terjadinya kerugian karena penyalahgunaan terhadap
Informasi di peralatan atau sistem yang tersedia baik secara sengaja
Universitas maupun tidak disengaja.
CONTOH KEBIJAKAN
Maksud
Contoh : • Memastikan bahwa semua penggunaan fasilitas TI
Universitas sesuai dengan undang-undang yang berlaku.
Kebijakan
• Memastikan bahwa aktifitas setiap individu dalam
Keamanan
pemanfaatan fasilitas TI adalah sesuai wewenangnya
Informasi di
masing-masing dan sejalan dengan kebutuhan untuk
Universitas
mewujudkan program Universitas; dan
• Menyadarkan pengguna TI Universitas bahwa akses mereka
ke fasilitas TI tersebut dapat ditolak atau dikenakan
tindakan lebih lanjut jika dalam pemanfaatannya tidak
sesuai dengan kebijakan yang ditetapkan.
CONTOH KEBIJAKAN
Manfaat
Contoh : • Kerahasiaan (confidentiality) -Data dan informasi hanya
dapat dilihat oleh orang yang berhak dan hanya dapat diubah
Kebijakan oleh orang-orang yang diperbolehkan untuk mengubahnya.
Keamanan
Informasi di • Integritas (integrity) -Data lengkap, akurat, terkini, jelas
Universitas sumbernya dan relevan serta sistem beroperasi sesuai dengan
spesifikasi yang ditetapkan.
• Ketersediaan (availability) -Informasi dan layanan selalu
tersedia bagi orang yang tepat pada saat dibutuhkan.
• Akuntabilitas (accountability) -Semua aktivitas dapat
ditelusuri kembali sampai ke sumber informasinya.
CONTOH KEBIJAKAN
Cakupan
Contoh : • Pemanfaatan TI Secara • Server Universitas (Data
Umum Center)
Kebijakan
Keamanan • Akses Jaringan Universitas • Perlindungan Virus
Informasi di • Akun Pengguna (User • Backupdan Pemeliharaan
Universitas Account) dan Password • E-Mail
• Keamanan Fisik • Akses Internet
• Komputer Portable • Akses Sistem Informasi
(Mobile) Kampus
CONTOH KEBIJAKAN
Diharuskan
Contoh : • Memastikan bahwa Anda telah memahami dan mematuhi
kebijakan Perlindungan Data Universitas, jika ragu maka
Kebijakan
pastikan Anda tidak menyimpan rincian identitas Anda
Keamanan
pada komputer manapun di dalam Universitas.
Informasi di
Universitas • Menggunakan fasilitas TI sesuai dengan wewenang yang
diberikan Universitas, baik sebagai Mahasiwa maupun
staf. Pemanfaatannya harus sejalan dengan bisnis
Universitasdan tidak melanggar Undang-undangyang
berlaku.
CONTOH KEBIJAKAN
Tidak Diperbolehkan
Contoh : • Menyalin atau mendistribusikan perangkat lunak atau
data Universitas dengan cara apapun. Pengguna harus
Kebijakan
Keamanan tunduk pada Kebijakan Hak Cipta Universitas.
Informasi di • Makan atau minum saat menggunakan perangkat TI atau
Universitas berada didalam laboratorium atau ruangan lain yang
menyediakan perangkat TI.
Access Control System & Methodology
Administrative Controls
• Melakukan pemeriksaan latar belakang calon
karyawan
• Melakukan pelatihan pemahaman akan pentingnya
keamanan
• Penjadwalan cuti
• Rotasi pekerjaan dan pembagian tanggung jawab
pekerjaan
• Penandaan dokumen sensitif/rahasia.
Control
Technical Controls
• Pembatasan kesalahan pada login.
• Misal, apabila user salah memasukkan
user name atau password selama lima
kali berturut-turut pada kurun waktu 1
jam, maka user tersebut akan diblokir
tidak dapat masuk ke dalam sistem
selama 24 jam berikutnya.
• Aktivitas ini akan dicatat pada log
untuk keperluan audit.
Control
Physical Controls
• Penggunaan CCTV untuk
memantau aktivitas pada
tempat yang sensitif
keamanannya, misalnya: pada
ruang server
• Penggunaan magnetic ID card
untuk dapat memasuki ruang
server.
Accountable
• Dapat dipertanggung jawabkan
• Tidak bertentangan dengan
peraturan UU yang berlaku, baik
sumber inputnya, prosesnya,
maupun peruntukan/
pemanfaatan outputnya
• Harus mencapai sasaran baik
fisik, keuangan maunpun manfaat
bagi kelancaran tugas
Identification