KEAMANAN INFORMASI (CKI121)

PERTEMUAN 14
IR. NIZIRWAN ANWAR, MT
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS ILMU KOMPUTER
VISI DAN MISI UNIVERSITAS ESA UNGGUL
Materi Sebelum UTS
Materi Sesudah UTS
Penerapan keamanan informasi dimaksudkan untuk mengatasi
segala masalah dan kendala baik secara teknis maupun non-teknis
seperti faktor ketersediaan (availability), kerahasiaan
(confidentiality), dan kesatuan (integrity). Audit keamanan informasi
merupakan bagian dari setiap manajemen keamanan informasi
yang sukses. Audit keamanan informasi merupakan suatu alat atau
perangkat dalam menentukan, mendapatkan, dan mengelola setiap
level keamanan dalam suatu organisasi.
Manajemen
Keamanan
Informasi dapat
dijelaskan
dalam bentuk
siklus hidup
yang memiliki
proses iteratif
yang diperlukan
dalam
pengawasan
dan
pengendalian
Tujuan utama dari audit teknologi informasi (audit TI) awalnya untuk
memeriksa sistem akuntansi berdaya dukung TI. Dalam audit TI,
selalu diperhatikan tiga kriteria pengujian utama yaitu:
1.Efisiensi.
2.Keamanan.
3.Kebenarannya
Ada 7 (tujuh) faktor perlindungan keamanan utama yang perlu
dipertimbangkan:
1.Pendekatan sistematik atas keamanan TI
2.Keamanan sistem TI
3.Jaringan dan koneksi internet
4.Faktor manusia
5.Perawatan sistem TI: penanganan atas update yang relevan
dengan keamanan
6.Penggunaan mekanisme keamanan: penanganan password dan
eksripsi
7.Perlindungan atas bencana dan kerusakan oleh elemen-elemen
Standar SMKI ini dikelompokkan dalam seri ISO 27000 yang terdiri
dari:
ISO/IEC 27000:2009 – ISMS Overview and Vocabulary
ISO/IEC 27001:2005 – ISMS Requirements
ISO/IEC 27002:2005– Code of Practice for ISMS
ISO/IEC 27003:2010 – ISMS Implementation Guidance
ISO/IEC 27004:2009 – ISMS Measurements
ISO/IEC 27005:2008 – Information Security Risk Management
ISO/IEC 27006: 2007 – ISMS Certification Body Requirements
ISO/IEC 27007 – Guidelines for ISMS Auditing
Dokumen tingkat 1 meliputi antara lain ;

1.Kebijakan Keamanan Informasi

2.Peran dan tanggung jawab organisasi keamanan informasi
3.Klasifikasi informasi
4.Kebijakan Pengamanan Akses Fisik dan Lojik
5.Kebijakan Manajemen Risiko TIK
6.Manajemen Kelangsungan Usaha (Business Continuity
Management)
7.Ketentuan Penggunaan Sumber Daya TIK
Dokumen tingkat 2 meliputi antara lain ;

1.Prosedur pengendalian dokumen

2.Prosedur pengendalian rekaman
3.Prosedur audit internal SMKI
4.Prosedur tindakan perbaikan dan pencegahan
5.Prosedur penanganan informasi (penyimpanan, pelabelan,
pengiriman/pertukaran, pemusnahan)
6.Prosedur penanganan insiden/gangguan keamanan informasi
7.Prosedur pemantauan penggunaan fasilitas teknologi informasi
Dokumen tingkat 3 meliputi petunjuk teknis, instruksi kerja dan
formulir yang digunakan untuk mendukung pelaksanaan prosedur
tertentu sampai ke tingkatan teknis. Instruksi kerja tidak selalu
diperlukan untuk setiap prosedur. Sepanjang prosedur sudah
menguraikan langkah-langkah aktivitas yang jelas dan mudah
dipahami penanggung jawab kegiatan, petunjuk teknis / instruksi
kerja tidak diperlukan lagi.
Tujuan utama dari audit keamanan, diantaranya adalah:
Memeriksa kesesuaian dari mulai kebijakkan, bakuan, pedoman,
dan prosedur keamanan yang ada
Mengidentifikasi kekurangan dan memeriksa efektifitas dari
kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada
Mengidentifikasi dan memahami kelemahan (vulnerability) yang
ada
Mengkaji kendala keamanan yang ada terhadap permasalahan
operasional, administrasi, dan manajerial, dan memastikan
kesesuaian dengan bakuan keamanan minimum
Memberikan rekomendasi dan aksi perbaikan/koreksi untuk
peningkatan
Dalam melaksanan audit perlu memperhatikan hal berikut ini, yaitu:

Saat dan frekuensi audit

Perangkat audit
Langkah-langkah audit.
Secara umum, tahapan audit dibagi menjadi bagian berikut ini:

Perencanaan
Pengumpulan data audit
Pengujian audit
Pelaporan hasil audit
Perlindungan atas data dan perangkat audit
Penambahan dan tindak lanjut
Secara umum, tahapan audit dibagi menjadi bagian berikut ini:

Perencanaan
Pengumpulan data audit
Pengujian audit
Pelaporan hasil audit
Perlindungan atas data dan perangkat audit
Penambahan dan tindak lanjut
 Daftar Pustaka

Silberschatz, Galvin & Gagne, Operating System Concepts (6 ed.), John

Wiley and Sons
Ousley, Mark Rhodes; (2013), ”Informatoon Security”, Publisher The
McGraw-Hill Companies, ISBN: 978-0-07-178436-8
Stallings, William; (2006); Cryptography and Network Security Principles and
Practices, Fourth Edition; Publisher Pearson Prentice Hall
John R. Vaccal; (2012); Computer and Information Security Handbook ;
Publisher Morgan Kaufmann
Tipton, Harold F.; Krause, (2004); Information Security Management
Handbook, Publisher Auerbach Publications 5th edition
Charles P. Pfleeger, Shari Lawrence Pfleeger and Jonathan Margulies; (2015);
Security in Computing; Publisher Pearson Education 5th edition