Embed Size (px)
Citation preview
L1
Daftar Risiko yang Mungkin Terjadi Berdasarkan Ancaman
Ancaman Risiko yang mungkin terjadi
Alam Gempa bumi
Lingkungan
Hubungan jaringan antar sistem gagal didalam perusahaan
Tidak adanya rekaman terhadap perubahan sistem/aplikasi
software
Putusnya koneksi internet
Kerusakan hardware
Manusia
Penyalahgunaan user ID
Informasi diakses oleh pihak yang tidak berwenang
Mantan user atau karyawan masih memiliki akses informasi
Kesalahan terhadap data dan dokumen yang dipublikasikan
Data dan informasi tidak sesuai dengan fakta
Penggunaan informasi yang tidak benar yang dapat
berdampak pada bisnis
Kebocoran informasi internal perusahaan
Terdapatanya virus dapat menyebabkan kegagalan system
atau hilangnya data
Hacker dapat membuat sistem down
Informasi diubah tanpa adanya persetujuan dari pihak yang
bertanggungjawab
Manipulasi data untuk kepentingan pribadi atau kelompok
Human error pada saat meng-entry data manual kedalam
sistem
Kerusakan database
Error pada program
Gangguan jaringan yang diakibatkan virus
Melihat informasi dari karyawan lain
Kerusakan software
Kerusakan hardware
Tidak adanya rekaman terhadap perubahan sistem/aplikasi
software
L2
Priority Matrix
Kegagalan router atau firewall membuat layanan jadi tidak
dapat diakses
Ancaman Risiko yang mungkin terjadi Tipe Prioritas
Alam Gempa bumi AVA 2
Lingkungan
Hubungan jaringan antar sistem
gagal didalam perusahaan AVA 2
Tidak adanya rekaman terhadap
perubahan sistem/aplikasi software AVA 2
Putusnya koneksi internet AVA 4
Kerusakan hardware AVA 2
Manusia
Penyalahgunaan user ID CON 4
Informasi diakses oleh pihak yang
tidak berwenang
CON,
INT 4
Mantan user atau karyawan masih
memiliki akses informasi CON 5
Kesalahan terhadap data dan
dokumen yang dipublikasikan INT 2
Data dan informasi tidak sesuai
dengan fakta INT 2
Penggunaan informasi yang tidak
benar yang dapat berdampak pada
bisnis
INT 2
Kebocoran informasi internal
perusahaan
CON,
INT 5
Terdapatanya virus dapat
menyebabkan kegagalan system
atau hilangnya data
INT 2
Hacker dapat membuat sistem down CON 3
Informasi diubah tanpa adanya
persetujuan dari pihak yang INT 2
L3
Keterangan : AVA : Availability
CON : Confidentiality
INT : Integrity
5 : Sangat Tinggi (Very High)
4 : Tinggi (High)
2 : Rendah (Low)
3 : Sedang (Medium)
1 : Sangat Rendah (Very Low)
bertanggungjawab
Manipulasi data untuk kepentingan
pribadi atau kelompok INT 4
Human error pada saat meng-entry
data manual kedalam sistem INT 4
Kerusakan database AVA 3
Error pada program AVA 2
Gangguan jaringan yang
diakibatkan virus CON 2
Melihat informasi dari karyawan
lain CON 4
Kerusakan software AVA 2
Kerusakan hardware AVA 2
Tidak adanya rekaman terhadap
perubahan sistem/aplikasi software AVA 2
Kegagalan router atau firewall
membuat layanan jadi tidak dapat
diakses
AVA 4
L4
Hubungan Risiko dengan Kontrol Klausul
Ancaman Risiko yang mungkin
terjadi Tipe Prioritas
Kontrol
Klausul
Alam Gempa bumi AVA 2 9
Lingkungan
Hubungan jaringan
antar sistem gagal
didalam perusahaan
AVA 2 12
Tidak adanya rekaman
terhadap perubahan
sistem/aplikasi software
AVA 2 10
Putusnya koneksi
internet AVA 4 10
Kerusakan hardware AVA 2 9
Manusia
Penyalahgunaan user
ID CON 4 11
Informasi diakses oleh
pihak yang tidak
berwenang
CON, INT 4 13
Mantan user atau
karyawan masih
memiliki akses
informasi
CON 5 11
Kesalahan terhadap
data dan dokumen yang
dipublikasikan
INT 2 12
Data dan informasi
tidak sesuai dengan
fakta
INT 2 12
Penggunaan informasi
yang tidak benar yang
dapat berdampak pada
bisnis
INT 2 11
Kebocoran informasi CON, INT 5 11
L5
internal perusahaan
Terdapatanya virus
dapat menyebabkan
kegagalan system atau
hilangnya data
INT 2 10
Hacker dapat membuat
sistem down CON 3 10
Informasi diubah tanpa
adanya persetujuan dari
pihak yang
bertanggungjawab
INT 2 6
Manipulasi data untuk
kepentingan pribadi
atau kelompok
INT 4 6
Human error pada saat
meng-entry data
manual kedalam sistem
INT 4 12
Kerusakan database AVA 3 14
Error pada program AVA 2 10
Gangguan jaringan
yang diakibatkan virus CON 2 10
Melihat informasi dari
karyawan lain CON 4 12
Kerusakan software AVA 2 13
Kerusakan hardware AVA 2 9
Tidak adanya rekaman
terhadap perubahan
sistem/aplikasi software
AVA 2 10
Kegagalan router atau
firewall membuat
layanan jadi tidak dapat
diakses
AVA 4 10
L6
Kategori Risiko Menurut Hughes
No Kategori Risiko Risiko
1. Keamanan 1, 2, 4, 7, 8, 10, 12, 15, 16, 18, 20
2. Ketersediaan 5, 11, 21, 22
3. Daya Pulih 14, 17
4. Perfoma 13
5. Daya Skala 6
6. Ketaatan 9, 19
Kategori Risiko Menurut Jordan & Silcock
No. Kategori Risiko Risiko
1. Project – Failing to deliver
2. IT Service Continuity – When
business operations go off the air
1, 9, 11, 20, 21
3. Information Assets – Failing to
protect and preserve
2, 3, 4, 5, 7, 8, 10, 11, 15,
19
4. Service Providers and Vendor –
Breaks in the IT value chain
12, 16, 17, 18, 22
5. Applications – Flaky systems
6. Infrastructure – Shaku foundations 14
7. Strategic and Emergent – Disabled
by IT
L7
Nilai Probabilitas dan Dampak Risiko
Aset Kritis Ancaman Dampak Probabilitas
Rep
utas
i
Keu
anga
n
Pro
dukt
ifit
as
Ren
dah
Seda
ng
Tin
ggi
SDBackOffice
Kebocoran data informasi
internal perusahaan (dapat
dibaca, diubah) oleh pihak yang
tidak berwenang
H
H H
√
Rusaknya media penyimpanan M L M √
Hilangnya atau rusaknya
dokumen
M M L √
Database
Server
Data dibaca oleh pihak yang
tidak berwenang
H M M
√
Data diubah oleh pihak yang
tidak berwenang
H H H √
Rusaknya media penyimpanan M L L √
Jaringan Penyadapan (Hacker-Cracker) H H H √
Penggunaan peralatan yang
tidak diperbolehkan (Contoh:
M L L √
L8
Keterangan:
Rentang nilai Reputasi, Keuangan, Produktivitas :
- Low : 10% - 30% - Medium : 40% - 60% - High : 70% - 100%
Modem pribadi)
Kegagalan peralatan informasi M M M √
Hardware Kerusakan peralatan M L L √
Polusi (Debu, karat, efek bahan
kimia)
L L L √
Kebakaran H H H √
Tegangan listrik yang tidak
stabil
M M H √
Pencurian H H H √
Software Virus M H H √
Kesalahan pengunaan M M M √
Pengkopian tanpa ijin M H L √
L9
Ada Maksimal
Ada Tidak
Maksimal
Tidak Ada
Keterangan
Panduan Implementasi
Klausul : 5 Kebijakan Keamanan Kategori Keamanan Utama : 5.1 Kebijakan Keamanan Informasi
5.1.1 Dokumen kebijakan keamanan informasi
√
Perusahaan membuat kebijakan penggunaan TI, dimana aturan kebijakan tersebut disosialisasikan dan diberikan kepada para pegawai. Agar setiap pegawai dapat mengetahui apa saja yang boleh dilakukan dan tidak, sehingga keamanan tetap informasi terjamin.
5.1.2 Tinjauan ulang kebijakan
kemanan informasi √
Perusahaan melakukan evaluasi dan memonitor secara terus menerus terhadap pelaksanaan aturan kebijakan penggunaan TI yang berjalan. Sehingga dapat menjamin setiap kebijakan yang ada sudah berjalan dengan baik
Klausul : 6 Organisasi Keamanan Informasi Kategori Keamanan Utama : 6.1 Organisasi Internal
6.1.1 Komitmen manajemen
terhadap keamanan √
Para pegawai mengetahui batasan dan melakukan tugas dan
L10
informasi. tanggung jawabnya sesuai dengan kepentingannya. Agar dalam pelaksanaannya, semua pihak internal (karyawan) paham dan berkomitmen dalam menjaga aset informasi perusahaan.
6.1.2 Koordinasi keamanan
Informasi. √
Pegawai sepakat dan mendukung kebijakan dalam hal pengaksesan informasi perusahaan, yang mana hanya beberapa orang saja yang dapat mengakses berdasarkan kepentingan orang tersebut. Hal ini bertujuan agar tidak terlalu banyak orang terlibat dan melakukan banyak pengaksesan pada informasi penting perusahaan tersebut.
6.1.3 Pembagian tanggung jawab
keamanan informasi. √
Pada perusahaan telah dibuat struktur organisasi beserta job desk yang telah didiskusi dan disepakati bersama. Untuk memperjelas tugas dan tanggung jawab yang akan dilakukan dalam mengamankan informasi perusahaan.
L11
6.1.4 Proses otorisasi untuk fasilitas pengolahan
informasi. √
Perusahaan sudah memberikan otorisasi dalam mendukung pekerjaannya (edit, update, hapus) yakni dengan menggunakan SDBackOffice, tergantung dengan pengolahan informasi dengan mengakses informasi perusahaan
6.1.5 Perjanjian kerahasiaan √
Semua pihak internal yang diberikan hak khusus maupun para karyawan perusahaan berkomitmen dalam menjaga informasi perusahaan. Hal ini bertujuan agar informasi perusahaan tidak disalahgunakan oleh pihak ekternal.
6.1.6 Kontak dengan pihak
berwenang
√
Karena tanpa adanya dengan pihak berwenang, tidak mempengaruhi proses bisnis yang berjalan pada perusahaan.
Membangun hubungan baik dan saling mendukung dengan vendor-vendor atau penyedia SMKI perlu dipelihara untuk menunjang pelaksanaan Keamanan Informasi dalam Organisasi
6.1.7 Kontak dengan kelompok minat khusus (lembaga
tertentu) √
Karena tanpa adanya kontak dengan kelompok minat khusus (lembaga tertentu) tidak mempengaruhi proses bisnis yang
Perlu menjamin hubungan baik dengan organisasi otoritas penegak hukum, lembaga regulasi pemerintah, penyedia layanan
L12
berjalan pada perusahaan. informasi dan operator telekomunikasi harus dijaga untuk memastikan bahwa langkah yang tepat dapat segera diambil dan diperoleh saran penyelesaian bila terjadi insiden keamanan.
6.1.8 Pengkajian ulang secara
independen terhadap keamanan informasi
√
Perusahaan melakukan evaluasi dan audit secara berkala (1 tahun). Sehingga perushaan dapat melakukan antisipasi dalam mengamankan informasi perusahaan.
Kategori Kebijakan Utama : 6.2 Pihak Eksternal
6.2.1 Identifikasi risiko terhadap hubungannya dengan pihak
ketiga √
Perusahaan tidak memiliki hubungan dengan pihak ketiga, semua di lakukan oleh pihak internal.
Perusahaan perlu mengidentifikasi risiko untuk mengetahui risiko yang ada pada pihak ketiga terhadap jenis akses yang diberikan kepada pihak ketiga.
6.2.2 Akses keamanan dalam hubungan dengan pihak
pelanggan √
Perusahaan memberikan UserID dan password kepada pihak ketiga (pelanggan). Hal ini dikarenakan pihak ketiga menggunakan fasilitas perusahaan tersebut, melakukan kerjasama.
6.2.3 Melibatkan persyaratan √ Perusahaan memberikan otorisasi Perlu adanya peningkatan
L13
keamanan dalam perjanjian dengan pihak ketiga
(pelajar magang, konsultan, OB)
kepada pihak ke-3 untuk mengolah informasi perusahaanny sendiri dengan hak akses yang diberikan oleh perusahaan, yakni edit dan pengupdate-an. Kurang maksimal, dikarenakan tidak adanya monitoring secara langsung, sehingga informasi yang diberikan oleh pihak ketiga bisa salah atau tidak sesuai fakta. Sehingga dapat berdampak pada manfaat dari informasi yang dihasilkan oleh perusahaan tersebut.
keamanan dalam kontrak pihak ketiga ke fasilitas pemrosesan informasi organisasi yang berdasarkan kontrak formal yang berisikan semua persyaratan keamanan untuk memastikan keseuaian dengan kebijakan dan standar keamanan organisasi. Hal-hal yang menjadi pertimbangan dalam pembuatan kontrak adalah: - Kebijakan umum keamanan
informasi - Perlindungan aset - Deskripsi setiap jenis layanan
yang disediakan - Tingkatan layanan yang dapat
dan tidak dapat diterima - Ketentuan pemindahan staf, jika
diperlukan - Kewajiban masing-masing pihak
dalam perjanjian - Tanggungjawab terkait dengan
aspek legal, seperti peraturan perlindungan data, khususnya dengan mempertimbangkan
L14
sistem hukum nasional yang berbeda jika kontrak menyangkut kerjasama dengan organisasi di Negara lain
- Hak Atas Kekayaan Intelektual (HAKI) dan pengaturan hak cipta serta perlindungan terhadap setiap kerja kolaborasi
- Perjanjian kontrol akses - Definisi kriteria kinerja yang
dapat diverifikasi, pemantauan dan pelaporannya
- Hak untuk memantau dan menarik kembali atas aktivitas pengguna
- Penentuan proses penyelesaian masalah secara bertahap dan jika diperlukan pengaturan kontingensi harus dicantumkan
- Tanggungjawab instalasi serta perawatan hardware dan software
- Struktur pelaporan yang jelas dan format pelaporan yang disepakati
L15
- Proses manajemen perubahan yang jelas dan rinci
- Kontrol perlindungan fisik yang diperlukan dan mekanisme untuk menjamin pelaksanaannya
- Pelatihan untuk pengguna dan administrator mengenai metode, prosedur, dan keamanan.
- Kontrol untuk melindungi dari piranti lunak yang berbahaya
- Pengaturan mengenai pelaporan, pemberitahuan, investigasi terjadinya insiden dan pelanggaran keamanan.
- Keterlibatan pihak ketiga dengan subkontraktor
Klausul : 7 Manajemen Aset Kategori Keamanan Utama : 7.1 Tanggung jawab terhadap asset
7.1.1 Inventarisasi asset √
Perusahan menjaga dan melakukan maintenance terhadap aset-aset perusahaan. Agar perusahaan dapat menentukan tingkat perlindungan yang sepandan dengan nilai dan tingkat kepentingan aset.
L16
7.1.2 Kepemilikan asset √
Perusahaan melakukan pemetaan aset yang mana dapat diakses dan tidak, tergantung posisi dan job desk yang telah dibuat. Hal ini bertujuan agar tidak ada campur tangan dari pihak internal lain yang dapat melakukan tindakan penyalahgunaan, seperti pengeditan secara illegal.
7.1.3 Aturan penggunaan asset √
Dalam menggunakan aset kritikal, perusahaan memberikan hak otorisasi yang mana terdapat peraturan dalam menggunakan aset tersebut, disesuaikan dengan kebutuhan dalam menyelesaikan tugasnya, bahwa tidak diijinkan untuk merubah informasi yang ada tanpa adanya perijinan dari divisi yang bersangkutan.
Kategori Keamanan Utama : 7.2 Klasifikasi Informasi
7.2.1 Aturan klasifikasi √
Dalam mengklasifikasi informasi yang ada, perusahaan mengklasifikasi informasi mana yang dapat digunakan dan tidak, berdasarkan kebutuhan divisi
L17
masing-masing. Hal ini bertujuan agar informasi tersebut dapat mendukung aktifitas pekerjaan dari karyawan.
7.2.2 Penanganan dan pelabelan
informasi √
Perusahaan tentu saja memiliki informasi yang jumlahnya sangat banyak. Oleh karena itu, perusahaan mengklasifikasi dan melabelkan data dan infrormasi yang ada. Contohnya saja SDBackOffice, terdapat pemetaan informasi perusahaan, dari database hingga laporan keuangan perusahaan
Klausul : 8 Keamanan Sumber Daya Manusia Kategori Keamanan Utama : 8.1 Sebelum menjadi pegawai 8.1.1
Aturan dan tanggung jawab keamanan
√
Perusahaan melakukan penyeleksian kepada calon pegawai berdasarkan dengan kemampuan yang dimilikinya. Calon pegawai tersebut diberikan pengetahuan tentang job desk yang akan dilakukan jika diterima bekerja pada perusahaan.
8.1.2 Seleksi √ Perusahaan melakukan
L18
penyeleksian dengan cara interview dan tes kemampuan para calon pegawai berdasarkan kebutuhan perusahaan. Hal ini tentu saja melalui persetujuan dan kesepakatan oleh kepala divisi yang berkaitan.
8.1.3 Syarat dan kondisi kerja √
Calon pegawai yang diterima bekerja diperusahaan melakukan kontrak dan paham akan peraturan-peraturan yang berlaku serta budaya kerja dalam perusahaan. Hal ini bertujuan agar calon pegawai tersebut dapat mencapai target yang sesuai dengan harapannya dan dapat berkontribusi pada perusahaan..
Kategori Keamanan Utama : 8.2 Selama menjadi pegawai
8.2.1 Tanggung jawab manajemen √
Kurangnya pelatihan tentang prosedur keamanan dan penggunaan fasilitas pemrosesan informasi yang benar.
Peningkatan yang diperlukan adalah manajemen harus memastikan bahwa pegawai sadar dan peduli terhadap ancaman dan hal yang perlu diperhatikan dalam keamanan informasi, dan dipersiapkan untuk mendukung
L19
kebijakan keamanan organisasi selama masa kerja. Dimana pegawai harus mendapat pelatihan tentang prosedur keamanan dan penggunaan fasilitas pemrosesan informasi yang benar untuk memperkecil kemungkinan risiko keamanan.
8.2.2 Pendidikan dan pelatihan
keamanan informasi √
Pegawai yang diterima oleh perusahaan tentu saja sudah membekali ilmu dibidangnya, akan tetapi ketika bekerja pada perusahaan, pegawai tidak diberikan pelatihan, dikarenakan pegawai tersebut sudah dianggap dapat bekerja berdasarkan ilmu yang dimiliki, maka dikategorikan kurang adanya pelatihan untuk menambah ilmu pegawai tersebut dalam mendukung pekerjaannya.
Perlu adanya peningkatan dalam pelatihan dan update berkala tentang kebijakan dan prosedur organisasi. Hal ini mencakup persyaratan keamanan, tanggungjawab legal dan kontrol bisnis, sebagaimana halnya pelatihan dalam penggunaan fasilitas pemrosesan informasi yang benar.
8.2.3 Proses kedisplinan √
Perusahaan menerapkan kebijakan dalam bekerja, yaitu jam operasional perusahaan mulai dari pukul 08.30-18.00, jam istirahaht (makan siang) pukul 12.00-13.00,
L20
absensi masuk dan pulang menggunakan Finger Print, tidak memperbolehhkan merokok dalam kantor. Jika ada pegawai yang melanggar, maka akan diberikan sanksi seuai dengan peraturan berlaku.
Kategori Keamanan Utama : 8.3 Pemberhentian atau pemindahan pegawai
8.3.1 Pemutusan Tanggung Jawab √
Pegawai yang melakukan pemberhentian kerja, berarti tidak ada menjalin hubungan lagi dengan perusahaan.
8.3.2 Pengembalian asset √
Aset yang diberikan selama bekerja, akan dikembalikan langsung kepada perusahaan. Karena bukan hak dari mantan pegawai tersebut.
8.3.3 Penghapusan hak akses √
Karena pegawai tersebut sudah melakukan pemutusan atau pemberhentian kerja, maka sesuai dengan kebijakan aturan berlaku perusahaan, akan adanya penghapusan hak akses terhadap informasi dan fasilitas pengolahan informasi perusahaan secara
L21
langsung. Hal ini salah satu cara dalam mengamankan aset informasi yang dimiliki oleh perusahaan.
Klausul : 9 Keamanan Fisik dan Lingkungan Kategori Keamanan Utama : 9.1 Wilayah aman
9.1.1 Pembatas keamanan fisik √
Pengamanann fisik dalam kantor sudah ada, akan tetapi kurang maksimal, dapat dilihat dari tingkat keamanan ruang server, yang mana hanya menggunakan kunci pintu biasa, dan dikunci setelah jam operasional perusahaan sudah selesai.
Harus dipenuhi suatu perlindungan keamanan fisik seperti dinding, kartu akses masuk atau penjaga pintu. Perlindungan fisik dapat dicapai dengan membuat berbagai rintangan fisik disekitar tempat bisnis dan fasilitas pemrosesan informasi. Panduan dan mekanisme kontrol yang diperhatikan: - Batas perimeter keamanan harus
ditetapkan dengan jelas - Batas perimeter bangunan atau
tempat fasilitas pemrosesan informasi harus aman secara fisik
- Wilayah penerima tamu atau alat kontrol akses fisik ke tempat kerja atau bangunan
L22
harus tersedia. Akses menuju tempat kerja atau bangunan harus dibatasi hanya untuk personil dengan otorisasi
Semua pintu darurat dalam batas perimeter keamanan harus dipasang tanda bahaya dan tertutup rapat.
9.1.2 Kontrol masuk fisik √
Kontrol masuk yang harus diperhatikan adalah ruang server perusahaan yang mana dalam pengamannya hanya menggunakan kunci pintu biasa. Sehingga pihak internal yakni pegawai dari berbagai divisi manapun dapat masuk ke ruang server tersebut.
Kontrol yang masuk harus memadai untuk memastikan hanya personil dengan otoritas diperbolehkan masuk.
9.1.3 Keamanan kantor, ruang, dan
fasilitas √
Kantor dilengkapi CCTV, Finger Print, alat pendeteksi asap, alat pemadam kebakaran,
9.1.4 Perlindungan terhadap ancaman eksternal dan
lingkungan sekitar √
Sejauh ini, kantor tidak pernah kebobolan seperti pencurian maupun pengerusakan yang diakibatkan oleh pihak ekternal. Dan dampak yang ditimbulkan
Bagi peralatan sistem informasi harus direncanakan, ditempatkan atau dilindungi untuk mengurangi risiko serangan dari luar dan ancaman kerusakan dari
L23
dari lingkungan sekitar, tidak berakibat fatal bagi perusahaan itu sendiri.
lingkungan sekitar serta kemungkinan terhadap akses tanpa otorisasi. Implementasi berikut harus diperhatikan : - Peralatan harus ditempatkan
utnuk menimimalisir akses yang tidak penting ke tempat kerja.
- Fasilitas pemrosesan informasi dan penyimpanan data sensitive harus ditempatkan dengan tepat agar dapat mengurangi risiko kelalaian selama penggunaan.
- Hal yang perlu perlindungan khusus harus dievaluai guna mengurangi tingkat perlindungan umum yang diperlukan,
- Kontrol harus diadopsi untuk meminimalisir risiko potensi ancaman termasuk : pencurian,kebakaran,ledakan,asap, dan lain-lain
- Organisasi harus
L24
mempertimbangkan kebijakan tentang makan, minum dan merokok disekitar fasilitas pemrosesan informasi.
- Keadaan lingkungan harus dimonitor untuk kondisi yang dapat mempengaruhi operasi fasilitas pemrosesan informasi.
- Penggunaan metode perlindungan khusus
Dampak bencana yang terjadi diwilayah berdekatan seperti kebakaran di satu gedung tetangga , kebocoran air dari atap dan lain-lain.
9.1.5 Bekerja di daerah aman √
Terdapat Finger Print yang terletak didepan kantor, sehingga orang yang tidak berkepentingan tidak dapat masuk kedalam kantor.
9.1.6 Akses publik, pengiriman,
dan penurunan barang √
Untuk mengontrol akses yang berkaitan dengan informasi perusahaan, sehingga dapat menghindari akses yang tidak sah.
L25
Kategori Keamanan Utama : 9.2 Keamanan peralatan
9.2.1 Letak peralatan dan
pengamanannya √
Kurangnya penanganan dalam penempatan peralatan fisik, misalnya letak ruang server berada didekat pantry, yang mana bisa saja pegawai dapat masuk, didukung pula dengan pintu server yang tidak terkunci.
Semua peralatan ditempatkan dan dilindungi untuk mengurangi risiko kerusakan dan ancaman dari lingkungan sekitar, serta kemungkinan diakses tanpa hak (memasang fingerprint / alat biometric)
9.2.2 Utilitas pendukung √
Dalam menghindari kejadian yang tidak diinginkan, seperti mati lampu, maka perusahaan menggunakan UPS sebagai alat bantu dalam memberikan waktu atau jeda untuk menyimpan dan mematikan peralatan hardware dengan benar.
9.2.3 Keamanan pengkabelan √
Kabel yang digunakan, dilakukan pemantauan secara berkala, untuk menghindari konslet listrik.
9.2.4 Pemeliharaan peralatan √
Perusahaan melakukan maintenance terhadap peralatan pendukung proses bisnisnya dengan mengganti atau melakukan “update” terhadap pendukung tambahan tersebut.
L26
9.2.5 Keamanan peralatan diluar
tempat yang tidak disyaratkan √
Perusahaan tidak memiliki tempat keamanan peralatan diluar kantor perusahaan, karena tidak berdampak bagi perusahaan
Sebaiknya perusahaan menempatkan peralatan diluar tempat yang mana peralatan tersebut harus dilindungi dan dimonitor keamanannya, untuk menghindari risiko yang tidak diinginkan oleh organisasi.
9.2.6
Keamanan pembuangan atau pemanfaatan kembali
peralatan √
Untuk menghindari pemanfaatan data penting perusahaan oleh pihak yang tidak bertanggung jawab, karena pihak tersebut bisa saja memanipulasi kembali data untuk menjatuhkan reputasi perusahaan.
9.2.7 Hak pemanfaatan √
Dalam perusahaan, pemanfaatan peralatan baik hardware, software, maupun property lainnya diberikan batasan, yakni tidak diperbolehkan meng-copy (menggunakan) tanpa persetujuan terlebih dahulu.
Klausul : 10 Manajemen komunikasi dan operasi Kategori Keamanan Utama : 10.1 Tanggung jawab dan prosedur operasional 10.1.
1 Pendokumentasian prosedur
operasi √
Semua kegiatan tindakan yang dilakukan oleh para pegawai
L27
diatur dalam kebijakan operasional
10.1.2
Pertukaran manajemen √
Kurang adanya sosialisasi detil perubahan kepada semua pihak yang berkepentingan, serta kurang adanya prosedur persetujuan formal untuk perubahan yang direncanakan.
Manajemen formal tanggung jawab dan prosedur harus diberlakukan untuk menjamin kontrol yg baik atas semua perubahan pada peralatan, piranti lunak dan prosedur.Kontrol yang harus diperhatikan : - Identifikasi dan pencatatan
perubahan penting. - Penilaian potensi dampak dari
perubahan tersebut. - Sosialisasi detil perubahan
kepada semua pihak yang berkepentingan
Prosedur identifikasi tanggung jawab untuk penghentian dan pemulihan karena kegagalan perubahan.
10.1.3
Pemisahan tugas √
Pemetaan tugas yang sudah ditetapkan beserta job desk masing-masing divisi masih belum maksimal, dikarenakan adanya “double job” yang mana
Untuk mengurangi kemungkinan risiko insiden atau penyalahgunaan sistem dengan sengaja harus mempertimbangkan kontrol sbb :
L28
terdapat penduplikasi tugas. - Penting untuk memisahkan kegiatan yang membutuhkan persengkokolan dalam rangka mencegah pelanggaran.
- Jika ada kemungkinan bahaya persekongkolan maka harus dibuat mekanisme kontrol yang melibatkan 2 orang atau lebih untuk memperkecil kemungkinan terjadi konspirasi.
10.1.4
Pemisahan pengembangan, pengujian, dan operasional
informasi √
Sudah adanya pemisahan pengembangan dan fasilitas operational penting, tetapi kurang adanya evaluasi uji coba yang rutin.
Perlu adanya pengembangan dalam mekanisme kontrol, seperti: - Piranti lunak pengembangan dan
operasional, sedapat mungkin, dijalankan pada prosesor komputer yang berbeda, atau dalam domain atau direktori yang berbeda
- Kegiatan pengembangan dan pengujian harus sejauh mungkin dipisahkan
- Complier, editor, dan system utilities lain harus tidak bisa diakses dari system operasi
L29
apabila tidak dibutuhkan - Prosedur log-on yang berbeda
harus digunakan untuk sistem operasi dan pengujian, untuk mengurangi risiko kesalahan. Pengguna harus menggunakan Password yang berbeda, dan menu menunjukkan identitas pesan yang sesuai.
Staf pengembangan hanya memiliki akses ke Password operasional dimana ada kontrol untuk menerbitkan Password guna mendukung sistem operasi. Kontrol harus menjamin bahwa Password dirubah setelah digunakan.
Kategori Keamanan Utama : 10.2 Manajemen pengiriman oleh pihak ketiga
10.2.1
Layanan pengiriman √
Layanan kepada pihak ketiga dengan mengirim konfirmasi pertama dengan email kemudian untuk konfirmasi selanjutnya dilakukan dengan via telepon untuk mempertanyakan kebutuhan pelanggan selanjutnya, dan jika
L30
sudah selesai, pelanggan diberikan link yang sudah di-LIVE-kan oleh perusahaan.
10.2.2
Pemantauan dan pengkajian ulang layanan pihak ketiga
√
Website sebelum diberikan kepada pihak klien (pelanggan) akan dilakukan pengkajian ulang agar tidak terjadi kesalahan dalam pengimplementasiannya.
10.2.3
Manajemen perubahan layanan jasa pihak ketiga
√
Ketika website klien (pelanggan) sudah selesai, maka website tersebut sudah merupakan tanggung jawab dari klien, kurang maksimal dikarenakan tidak ada campur tangan dari pihak perusahaan lagi terhadap klien, karena jika website sudah DEAL, maka disimpulkan website tersebut sudah terpenuhi dan bukan tanggungjawab pihak perusahaan lagi.
Hal-hal yang perlu diperhatikan, yaitu; - Mengidentifikasi apikasi
sensitive dan penting lebih baik tetap berada di tempat kerja
- Mendapatkan persetujuan dari pemilik aplikasi,
- Implikasi untuk rencana kelangsungan bisnis,
- Perlu ditetapkan standar keamanan dan proses untuk mengukur kesesuaian,
- Alokasi tanggung jawab spesifik dan prosedur pemantauan secara efektif untuk semua kegiatan
L31
pengamanan yang relevan. - Tanggung jawab dan prosedur
untuk melaporkan dan menangani insiden keamanan.
Kontrol Keamanan Utama : 10.3 Perencanaan sistem dan penerimaan
10.3.1
Manajemen kapasitas √
Dalam mengembangkan sistem yang baru, terlebih dahulu disesuaikan dengan kapasitas atau kemampuan dari perusahaan itu sendiri. Hal ini bertujuan agar anggaran dan waktu tidak terbuang sia-sia.
10.3.2
Penerimaan sistem √
Jika sesuai dan memenuhi kebutuhan perusahaan, maka system tersebut akan dikomunikasikan kepada seluruh pihak internal perusahaan dan didokumentasikan untuk kepentingan evaluasi selanjutnya.
Kategori Keamanan Utama : 10.4 Perlindungan terhadap malicious (kode berbahaya) dan mobile code
10.4.1
Kontrol terhadap kode berbahaya
√
Setiap penggunaan peranti lunak adanya peringatan terhadap kode yang dianggap asing, hanya orang yang memiliki kepentingan dan pelatihan yang hanya dapat
L32
menggunakan peranti lunak yang sensitive.
10.4.2
Kontrol terhadap mobile code √
Tidak menggunakan mobile code. Kontrol yang harus dipenuhi bahwa, dimana penggunaan mobile code diperbolehkan maka penggunaan mobile code yang telah memperbboleh hak akses mengoperasikan sesuai dengan kebijakan Keamanan Informasi yang telah didefinisikan dalam organisasi.
Kategori Keamanan Utama : 10.5 Back-up
10.5.1
Back-up informasi √
Perusahaan melakukan back-up informasi daily, weekly, dan monthly, tergantung prioritasnya. Hal ini bertujuan untuk menghindari kejadian yang tidak diinginkan, karena tidak dapat diprediksi dan diperkirakan kapan terjadinya.
Kategori Keamanan Utama : 10.6 Manajemen keamanan jaringan
10.6.1
Kontrol jaringan √
Setiap pengguna jaringan internal perusahaan diberikan masing-masing 1 (satu) IP Address yang merupakan ID bagi para pengguna
L33
jaringan untuk mengakses resource dari perusahaan dan tidak diperbolehkan untuk merubah, mengganti IP yang telah diberikan oleh Tim TI.
10.6.2
Keamanan layanan √
Perusahaan memastikan bahwa jaringan internal perusahaan tersebut aman dalam melakukan pertukaran informasi dan mendukung transaksi kegiatan perusahaan.
Fitur-fitur keamanan, level layanan diseluruh jaringan harus diidentifikasikan dengan jelas dan dipelihara termasuk perjanjian layanan jariingan yang disediakan oleh pihak ketiga.
Kategori Keamanan Utama : 10.7 Penanganan media
10.7.1
Manajemen pemindahan media
√
Media yang dapat dipindahkan sudah memiliki prosedur pengelolaan, dan sudah disimpan di tempat yang terlindung dan aman.
10.7.2
Pemusnahan atau pembuangan media
√
Perusahaan masih tidak berani membuang semua media penyimpanan yang sudah tidak dipakai lagi.
Mekanisme yang perlu diperhatikan, yaitu; - Media yang berisi informasi
sensitif harus disimpan dan dibuang dengan aman dan tidak membahayakan, seperti penghancuran dan pemotongan, atau
L34
pengosongan data untuk penggunaan aplikasi lain dalam organisasi
- Daftar berikut mengidentifikasi komponen yang mungkin membutuhkan pembuangan secara aman; a. Dokumen cetak, b. Suara atau bentuk rekaman
lain, c. Laporan keluar, d. Media penyimpanan, e. Listing program, f. Dokumentasi sistem.
- Lebih mudah untuk mengatur pengumpulan seluruh komponen media dan dibuang dengan aman, dibandingkan dengan melakukan pemisahan komponen sensitif.
Pembuangan komponen sensitif harus dicatat, untuk mejaga bukti pemeriksaaan (audit trail).
10.7.3
Prosedur penanganan informasi
√ Adanya dokumen prosedur penanganan informasi yang sudah
L35
konsisten.
10.7.4
Keamanan dokumentasi sistem
√
Dokumentasi sistem sudah berisi kumpulan informasi sensitive, seperti deskripsi proses aplikasi, prosedur, struktur data, prosedur otorisasi.
Kategori Keamanan Utama 10.8 Pertukaran informasi
10.8.1
Kebijakan dan prosedur pertukaran Informasi
√
Setiap karyawan diberikan masing-masing akun dengan nama domain yang telah ditentukan oleh perusahaan, yang digunakan untuk keperluan komunikasi antarkaryawan didalam lingkungan kantor perusahaan. Dan tidak diperkenankan menggunakan e-mail akun tersebut untuk kepentingan pribadi.
Kebijakan dan prosedur pertukaran informasi harus dibuat secara formal untuk melindungi pertukaran informasi melalui penggunaan seluruh fasilitas informasi yang ada diorganisasi.
10.8.2
Perjanjian pertukaran √
Setiap adanya pertukaran informasi dengan pihak ketiga selalu dibuat dalam bentuk formal.
10.8.3
Transportasi media fisik √ Penggunaan transportasi atau jasa pengiriminan yang sudah dipercaya.
L36
10.8.4
Pesan elektronik √
Setiap karyawan diberikan masing-masing akun dengan nama domain yang telah ditentukan oleh perusahaan, yang digunakan untuk keperluan komunikasi antarkaryawan didalam lingkungan kantor perusahaan. Akun e-mail tersebut dapat digunakan untuk keperluan dengan klien.
10.8.5
Sistem informasi bisnis √
Kurang dimaksimalkan, dikarenakan masih adanya pencampuran informasi yang diakibatkan adanya double job. Sehingga diperlukan pemetaan yang jelas.
Beberapa hal yang perlu diperhatikan; - Perlu adanya aturan atau
klasifikasi informasi apa saja yang boleh diakses oleh pihak ketiga,
Jika sistem informasi bisnis telah menggunakan suatu aplikasi maka perlu dibangun sistem keamanannya yang menyangkut cara pengaksesan dan penggunaan fasilitas pemrosesan informasi.
Kategori Keamanan Utama 10.9 Layanan E-commerce 10.9.
1 E-Commerce √
Layanan e-commerce yang menggunakan jaringan publik
L37
kepada pelanggan (dengan membangun hubungan yang baik dengan pelanggan) dilindungi guna menghindari penyalahgunaan atau pengaksesan secara illegal.
10.9.2
Transaksi On-Line √
Transaksi yang dilakukan oleh perusahaan baik rekaman dokumen-dokumen maupun transaksi yang berhubungan dengan perusahaan dan pelanggan atau klien dimonitor untuk menghindari penghapusan, pengaksesan, dan penduplikasian informasi secara illegal.
10.9.3
Informasi untuk publik √ Perusahaan melakukan pemetaan informasi yang dapat dilihat dan tidak dapat dilihat oleh public.
Kategori Keamanan Utama 10.10 Monitoring 10.10.1
Rekaman audit √ Perusahaan melakukan pengauditan yang dilakukan setahun sekali secara keseluruhan yang mana orang yang terlibat sebanyak 5 orang termasuk tim dari Singapore. Dan hasil audit
L38
terseebut menjadi tolok ukur dalam mengamankan aset yang dimiliki oleh perusahaan dan didokumentasi.
10.10.2
Monitoring penggunaan sistem
√
Monitoring aktivitas pemanfaatan pemrosesan informasi belum di kaji ulang secara regular.
Perlu adanya peningkatan prosedur pemanfaatan fasilitas pemrosesan informasi harus dibuat dan hasil dari monitoring aktivitas pemanfaatan pemrosesan informasi harus dikaji ulang secara regular.
10.10.3
Perlindungan catatan informasi
√
Fasilitas pencatatan dan catatan informasi sudah dilindungi terhadap sabotase dan akses illegal.
Perlu adanya peningkatan dan monitoring dari fasilitas pendokumentasian dan catatan informasi sudah dilindungi terhadap sabotasi dan akses illegal.
10.10.4
Catatan addministrator dan operator
√
Aktivitas administrator sistem dan operator sistem dicatat dan dipelihara.
Perlu adanya peningkatan dan monitoring aktivitas pencatatan administrator sistem dan dimaintenance secara berkala.
10.10.5
Catatan kesalahan √
Kesalahan-kesalahan yang terjadi di dalam sistem dicatat, dianalisa dan dilakukan tindakan yang tepat.
L39
10.10.6
Sinkronisasi waktu √
Waktu seluruh pemrosesan Sistem Informasi di sinkronisasikan dengan waktu yang tepat dan telah disetujui.
Perusahaan perlu adanya waktu untuk seluruh pemrosesan Sistem Informasi didalam organisasi atau domain Keamanan Informasi harus di sinkronisasikan dengan waktu yang tepat yang telah disetujui.
Klausul 11 Kontrol akses Kategori Keamanan Utama 11.1 Persyaratan kontrol akses
11.1.1
Kebijakan kontrol akses √
Perusahaan menerapkan kebijakan akses, yakni dengan membuat UserID dan password, untuk mengambil resource yang mereka perlukan untuk mendukung pekerjaan mereka.
Kategori Keamanan Utama 11.2 Manajemen akses user
11.2.1
Registrasi pengguna √
Setiap karyawan memiliki user ID yang unik, agar pengguna dapat terhubung dan bertanggung jawab agar dapat dimonitoring penggunaan akses terhadap informasi perusahaan oleh ID tersebut. Tetapi tidak adanya pernyataan secara tertulis tentang hak akses mereka.
Harus ada prosedur pendaftaran dan pengakhiran secara formal terhadap pengguna untuk memberikan akses menuju sistem informasi dan layanan seluruh kelompok pengguna, dikontrol melalui proses pendaftaran pengguna secara formal yang harus meliputi :
L40
- Penggunaan ID pengguna yang unik, agar pengguna dapat terhubung dan bertanggung jawab atas tindakannya.
- Memeriksa apakah pengguna yang mempunyai otorisasi dari pemilik sistem, menggunakan untuk akses sistem informasi.
- Memeriksa apakah tingkatan akses yang diberikan sesuai dengan tujuan bisnis dan konsisten dengan kebijakan organisasi tentang sistem keamanan.
- Memberikan pengguna pernyataan tertulis tentang hak akses mereka.
- Harus menandatangani peryataan yang menandakan bahwa mereka memehami tentang kondisi dari aksesnya.
- Penyedia layanan tidak menyediakan akses hingga prosedur otorisasi dilengkapi
L41
- Memelihara catatan resmi seluruh individu yang terdaftar untuk menggunakan layanan.
- Mengakhiri hak akses pengguna yang telah pindah dari pekerjaannya
- Memeriksa secara periodic dan mengakhiri pengulangan pengguna id & catatan pengguna
Menjamin ID pengguna yang sama tidak dikeluarkan kepada pengguna lain.
11.2.2
Manajemen hak istimewa dan khusus
√
Perusahaan membagi tugas dan tanggungjawab berdasarkan kepentingan atau posisi yang diduduki begitupun halnya dengan hak istimewa atau khususnya. Hal ini bertujuan agar tidak terjadi kejadian yang tidak diinginkan.
11.2.3
Manajemen password user √
Setiap karyawan memiliki satu atau lebih password dan berkewajiban menjaga kerahasian dari password tertentu dan tidak dibenarkan untuk membaginya
Pengguna harus disarankan untuk; - Menghentikan sesi aktif ketika
selesai, kecuali dapat diamankan dengan mekanisme pengunci yang tepat, misalnya screen
L42
kepada siapapun kecuali dalam kondisi tertentu yang akan didefinisikan kemudian. Password harus mengikuti aturan seperti terdiri dari setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna.
saver yang dilindungi dengan Password
- Log-off dari mekanisme ketika sesi berakhir (contoh tidak sekedar mematikan komputer atau terminal)
Mengamankan PC atau terminal dari akses tanpa ijin dengan menggunakan key lock atau alat kontrol sejenis, seperti akses Password, ketika tidak dipakai.
11.2.4
Tinjauan hak akses pengguna √
Perusahaan melakukan pengajian ulang dalam rentang waktu secara berkala (kurang lebih 3 bulan) untuk memastikan bahwa tidak ada hak khusus diminta tanpa ijin.
Kategori Keamanan Utama 11.3 Tanggung jawab user
11.3.1
Gunakan password √
Setiap karyawan diwajibkan membuat password mengikuti aturan seperti terdiri dari setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna.
11.3. Peralatan pengguna tanpa √ Tidak adanya perlindungan yang
L43
2 penjagaan spesifik seperti password pada screen saver, log-off dari mainframe ketika sesi berakhir.
11.3.3
Kebijakan clear desk dan clear screen
√
Tidak adanya clear desk dan clear screen pada saat logged-on, sehingga pada saat aplikasi dikeluarkan dan masuk kembali masih dalam logged-on.
Organisasi perlu merencanakan atau mengadopsi kebijakan clear desk untuk cetakan atau dokumen dan media penyimpanan yang dapat dipindah, dan kebijakan clear screen untuk fasilitas pemrosesan informasi untuk mengurangi risiko akses tanpa ijin, kehilangan, dan kerusakan informasi selama dan diluar jam kerja. - Dimana mungkin, cetakan dan
media komputer harus disimpan dalam rak yang terkunci baik dan/atau bentuk perangkat keamanan kantor lain pada saat tidak digunakan, khususnya diluar jam kerja.
- Informasi bisnis yang sensitive dan penting harus disimpan terkunci (idealnya di almari besi atau rak tahan api) jika
L44
tidak dipergunakan, khususnya pada saat kantor kosong.
Komputer pribadi dan terminal komputer dan printer tidak boleh ditinggal logged-on tanpa penjagaan dan harus dilindungi dengan kunci, Password, dan alat kontro lain, ketika tidak dipergunakan.
Kategori Keamanan Utama 11.4 Kontrol akses jaringan
11.4.1
Kebijakan penggunaan layanan jaringan
√
Perusahaan hanya memberikan akses sesuai dengan job desk karyawan dan prosedur otorisasi untuk menentukan siapa yang diperolehkan mangakses jaringan mana dan layanan jaringan apa.
11.4.2
Otentikasi pengguna untuk koneksi eksternal
√
Setiap karyawan akan diberikan masing-masing 1 IP Address yang merupakan ID bagi para pengguna jaringan untuk mengakses resource. Karyawan tidak diperkenankan untuk merubah, menganti IP yang telah diberikan dan atau menggunakan IP selain yang telah diberikan oleh tim TI.
L45
11.4.3
Identifikasi peralatan jaringan √ Adanya security gateway yaitu firewall yang mengontrol komunikasi dalam perusahaan.
11.4.4
Perlindungan remote diagnostic dan konfigurasi
port √
Terminal diagnostic sudah maksimal sehingga hanya akses yang mendapat ijin yang dapat menggunakannya, yang mana diliindungi dengan sistem keamanan yang tepat dan prosedur yang memastikan bahwa pengaksesan hanya dapat dilakukan melalui pengaturan antara pengelola perbaikan komputer dan perangkat keras dan lunak.
11.4.5
Pemisahan dalam jaringan √
Pemisahan dilakukan dengan memasang pengaman gateway antara dua jaringan yang akan terhubung yang mengontrol akses dan aliran informasi antara dua domain dan digunakan untuk menghadang akses tanpa ijin sesuai dengan kebijakan control akses informasi, yaitu firewall.
11.4. Kontrol jaringan koneksi √ Akun yang diberikan oleh
L46
6 perusahaan, yaitu e-mail hingga access network dibatasi dan dikontrol sesuai dengan aturan yang berlaku.
11.4.7
Kontrol jaringan routing √
Jaringan routing dalam perusahaan tetap dikontrol dan didokumentasikan oleh tim TI secara berkala.
Kategori Keamanan Utama A.11.5 Kontrol akses sistem operasi
11.5.1
Prosedur Log-On yang aman √
Terdapat pembatas jumlah kegagalan percobaan log-on, menampilkan informasi seperti tanggal dan waktu log-on berakhir, rincian seluruh kegagalan log-on sejak log-on terkahir berhasil. Menampilkan peringatan umum bahwa komputer hanya boleh di akses oleh pengguna yang diijinkan.
11.5.2
Identifikasi dan otentikasi pengguna
√ Seluruh pengguna (karyawan, staf pendukung) mempunyai ID untuk dapat dilacak penggunaannya.
11.5.3
Sistem manajemen password √ Setiap karyawan diwajibkan membuat password mengikuti aturan seperti terdiri dari
L47
setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna. Pada saat ingin log-on tidak menampilkan password di layar ketika dimasukkan.
11.5.4
Penggunaan sistem utilitas √
Dapat dilihat pada adanya pembatasan pengunaan sistem fasilitas dan pemisahan sistem fasilitas software berdasarkan prosedur ontetikasi.
11.5.5
Sesi time-out √
Pada webpages, sesi time out kurang dimaksimalkan dilihat dari tidak adanya batas waktu pemakaian.
11.5.6
Batasan waktu koneksi √
Waktu koneksi hanya dibatasi pada jam kerja normal, untuk mengurangi peluang akses tanpa ijin.
Kategori Keamanan Utama 11.6 Kontrol akses informasi dan aplikasi
11.6.1
Pembatasan akses informasi √
User ID dibuat sesuai dengan posisi pekerjaan, sehingga user ID tersebut hanya dapat mengakses informasi dari bagiannya.
L48
11.6.2
Pengisolasian sistem yang sensitive
√
Sistem yang bersifat sensitif hanya dapat dijalankan pada komputer khusus, dan hanya orang yang memiliki akses yang dapat menjalankan sistem tersebut.
Kategori Keamanan Utama 11.7 Komputasi bergerak dan bekerja dari lain tempat (teleworking)
11.7.1
Komputasi bergerak dan terkomputerisasi yang
bergerak √
Tersedianya back-up yang memadai untuk perlindungan dari pencurian atau hilangnya informasi. Adanya pelatihan yang diberikan untuk staf yang menggunakan komputasi bergerak guna meningkatkan kesadaran dalam mengantisipai risiko.
11.7.2
Teleworking √
Tidak adanya penggunaan teleworking di SD, karena semua perkerjaan tidak diperbolehkan dikerjakan diluar kantor.
Disesuaikan dengan kebutuhan tetapi harus tetap dikontrol.
Klausul : 12 Akuisisi sistem informasi, pembangunan dan pemeliharaan Kategori Keamanan Utama 12.1 Persyaratan keamanan sistem informasi
12.1.1
Analisis dan spesifikasi dan persyaratan keamanan
√
Belum adanya framework untuk menganalisis kebutuhan keamanan. Penghitungan risiko dan manajemen risiko harusnya
Membuat framework untuk menganalis kebutuhn kemanan dan mengidentifikasi kontrol untuk memenuhi kebutuhan
L49
diimplementasikan secara maksimal.
adalah perhitungan risiko dan manajemen risiko.
Kategori Keamanan Utama 12.2 Pemrosesan yang benar dalam aplikasi
12.2.1
Validasi data input √
Pemeriksaan terhadap masukan ganda atau masukan kesalahan dapat di deteksi, dan adanya prosedur untuk merespon kesalahan validasi dan menguji kebenaran input data.
12.2.2
Pengendalian proses internal √ Penyaringan terhadap data yang dimasukkan untuk mendeteksi adanya kerusakan data.
12.2.3
Integritas pesan √
Aplikasi yang digunakan belum memaksimalkan melihat pesan tersebut sudah di ubah atau belum.
Integritas pesan harus diperhatikan bagi aplikasi yang membutuhkan adanya keamanan demi menjaga keutuhan dari isi pesan, seperti pengiriman data elektronik, spesifikasi, kontrak, proposal dan lainnya atau jenis pertukaran data elektronik penting lainnya. Teknik kriptografi dapat dipergunakan sebagai alat yang tepat untuk menerapkan prosesw otentikasi pesan.
12.2. Validasi data output √ Kurang adanya pengecekan Validasi data output dapat
L50
4 kevalid suatu data yang di dapat. meliputi ; - Pengujian kebenaran untuk
memeriksa apakah data output tersebut masuk akal atau tidak,
- Rekonsiliasi jumlah perhitungan Kontro untuk memastikan seluruh data yang telah diproses,
- Penyediaan informasi yang cukup bagi para pengguna informasi atau pemroses data berikutnya untuk menentukan tingkat akurasi, kelengkapan, ketepatan, dan klasifikasi informasi,
- Prosedur untuk merespon pengujian validasi data output,
Menetapkan tanggung jawab seuruh personil yang terlibat dalam proses data output.
Kategori Keamanan Utama 12.3 Kontrol Kriptografi
12.3.1
Kebijakan dalam penggunaan kontrol kriptografi
√ Penggunaan kriptografi sudah dipakai, sehingga hanya pihak SD yang dapat membaca.
12.3. Manajemen kunci √ Walaupun sudah menggunakan Sistem manajemen harus tersedia
L51
2 kriptografi, tapi manajemen kunci belum digunakan secara maksimal sehingga masih berkemungkinan terjadinya ancaman terhadap kerahasiaan, ontentikasi keutuhan informasi.
untuk mendukung organisasi dalam penggunaan dua jenis teknik kriptografi, yaitu; - Teknik kunci rahasia, ketika
dua atau lebih pihak berbagi kunci yang sama dan kunci iini digunakan untk meng-enkripsi dan men-deskripsi informasi.
- Teknik kunci publik, dimana setiap pengguna mempunyai sepasang kunci, sebuah kunci publik (yang dapat diperluhatkan ke semua orang) dan sebuah kunci pribadi (yang harus dirahasiakan).
Sistem manajemen kunci harus dibangun melalui penyusunan standar, prosedur dan metode aman yang disepakati bersama untuk; - Menghasilkan kunci untuk
beragam sistem kriptografi dan aplikasi,
- Menghasikan dan
L52
mendapatkan sertifikat kunci publik,
- Mendistribusikan kunci pada pengguna, termaduk bagaimana kunci harus diaktifkan ketika diterima,
- Menyimpan kunci, termasuk bagaimana pihak berwenang mendapatkan akses terhadap kunci,
- Kesepakatan mengenai kunci yang disalahgunakan,
- Mengarsip kunci, misalkan untuk perarsipan atau pembuatan back up informasi,
Memusnahkan kunci. Kategori Keamanan Utama 12.4 Keamanan File Sistem
12.4.1
Kontrol operasional software √
Tersedianya prosedur untuk proses instalasi piranti lunak pada sistem operasi, sehingga tidak sembarangan dapat meng-instal suatu program.
12.4.2
Perlindungan data pengujian sistem
√ Prosedur akses diterapkan terhadap sistem aplikasi operasional, harus diterapkan
L53
terhadap aplikasi operasional dan harus diterapkan pula pada sistem aplikasi yang di uji.
12.4.3
Kontrol akses ke source program
√
Kategori Keamanan Utama 12.5 Keamanan dalam pembangunan dan proses-proses pendukung
12.5.1
Prosedur perubahan kontrol √
tidak adanya evaluasi kejadian secara berkala, sehingga tidak adanya prosedur mengupdate kontrol.
Manajemen harus memastikan bahwa prosedur keamanan dan kontrol tidak dilanggar, dan pemrogram pendukung hanya diberi akses pada bagian sistem yang diperlukan untuk pekerjaannya, serta adanya perjanjian dan persetujuan formal untuk setiap perubahan diminta. Proses ini mencakup: - Memelihara catatan tingkat
otorisasi yang disetujui - Memastikan perubahan yang
diajukan oleh pengguna yang berhak
- Mengkaji ulang prosedur kontrol dan integritas untuk memastikan bahwa mereka tidak menjadi rawan karena
L54
perubahan - Mengidentifikasi semua piranti
lunak komputer, informasi, database organisasi dan piranti keras yang membutuhkan penyesuaian
- Mendapat persetujuan formal untuk proposal yang lengkap sebelum pekerjaan dimulai
- Memastikan bahwa pengguna dengan otorisasi meneriman perubahan sebelum implementasi
- Memastikan bahwa implementasi dilakukan untuk meminimalisir gangguan bisnis
- Memastikan bahwa sistem dokumentasi telah diperbaharui saat selesainya setiap perubahan, serta pengarsipan, dan pembuangan dokumentasi lama
- Memelihara satu versi kontrol untuk semua pemutakhiran piranti lunak
- Memelihara bukti pemeriksaan
L55
(audit trail) dari semua permintaan perubahan
- Memastikan bahwa dokumentasi operasional dan prosedur pengguna dirubah sesuai kebutuhan
- Memastikan bahwa implementasi perubahan berlangsung pada waktu yang tepat dan tidak mengganggu proses bisnis terkait.
12.5.2
Tinjauan teknis aplikasi setelah dilakukan perubahan
sistem operasi √
Sistem operasi diubah secara berkala, seperti memasang piranti lunak versi baru, tetapi sistem aplikasinya tidak dikaji ulang dan diuji secara berkala.
Prosedur ini harus mencakup : - Pengkajian ulang dari kontrol
apikasi dan prosedur keutuhan untuk memastikan bahwa tidak ada kebocoran oleh perubahan sistem operasi,
- Memastikan bahwa rencana dukungan dan anggaran tahunan akan mencakup kaji ulang dan uji sistem sebagai akibat dari perubahan sistem operasi,
- Memastikan bahwa modifikasi perubahan sistem operasi
L56
dilakukan tepat waktu untuk memungkinkan kaji ulang dilakukan sebelum implementasi,
- Memastikan bahwa perubahan yang sesuai telah dibuat terhadap rencana kelangsungan bisnis.
12.5.3
Pembatasan perubahan paket software
√
Software tidak boleh diubah secara bebas, tetapi harus mendapat ijin dari manajemen yang bertanggung jawab.
Hal yang harus dipertimbangkan, yaitu: - Risiko built-in kontrol dan
proses keutuhan menjadi rawan atau lemah,
- Apakah persetujuan vendor harus diminta,
- Kemungkinan memperoleh perubahan yang diperlukan dari vendor nsebagai program updates standar,
- Dampak jika organisasi menjadi bertanggung jawab untuk pemeliharaan piranti lunak sebagai bagian dari perubahan.
12.5. Kelemahan informasi √ Kemungkinan-kemungkinan
L57
4 kelemahan informasi dicegah, untuk mengurangi terjadinya risiko bisnis.
12.5.5
Pembangunan software yang di-outsource-kan
√
Setiap piranti lunak yang dikerjakan oleh pihak ketiga harus diatur dalam lisensi, kepemilikan kode dan hak kekayaan intelektual.
Kategori Keamanan Utama 12.6 Manajemen teknik kelemahan (Vulnerability)
12.6.1
Kontrol terhadap kelemahan secata teknis (Vulnerability)
√
Kelemahan sistem informasi yang dimiliki tidak selalu dievaluasi dan diukur kelayakannya.
Dari waktu kewaktu informasi tentang kelemahan sistem informasi yang dimiliki oleh organisasi harus selalu dapat ditemukan, dievaluasi dan diukur kelayakannya berhunbungan dengan risiko yang dapat terjadi kepada organisasi.
Klausul 13 Manajemen Kejadian Keamanan Informasi Kategori Keamanan Utama 13.1 Pelaporan kejadian dan kelemahan Keamanan Informasi
13.1.1
Pelaporan kejadian keamanan informasi
√
Karena biasanya dilaporkan langsung kepada Manajer TI
Sabaiknya seluruh karyawan, kontraktor dan pengguna pihak ketiga dari sistem informasi dan layanan seharusnya disyaratkan untuk mencatat dan melaporkan
L58
temuan atau dugaan apapun dari kelemahan keamanan dalam sistem atau layanan. Hal ini bertujuan untuk memastikan bahwa kejadian Keamanan Informasi dan terdeteksinya kelemahan keamanan informasi dapat ditangani dengan tepat waktu dan benar.
13.1.2
Pelaporan kelemahan keamanan
√
Karena tidak ada pihak ketiga Informasi yang tepat waktu terkait dengan kelemahan teknis dari sistem informasi yang digunakan seharusnya diperoleh, pembongkaran organisasi terhadap kelemahan yang dievaluasi dan pengukuran seecara tepat diambil untuk mengetahui risiko yang terkait
Kategori Keamanan Kontrol 13.2 Manajemen kejadian Keamanan Informasi dan pengembangannya
13.2.1
Tanggung jawab dan prosedur
√
Sudah dibaginya tanggung jawab yang jelas pada setiap divisi dan prosedur-prosedur yang mendukung sehingga kecepatan dan keefektifitasan dalam penanganan kejadian Keamanan
L59
Informasi dipastikan.
13.2.2
Belajar dari insiden keamanan informasi
√
Perusahaan melakukan review dan pembelajaran kembali kejadian yang pernah terjadi mengenai kemanan informasi.
13.2.3
Pengumpulan bukti √
Setiap kejadian kemaanan informasi, semua bukti-bukti didata dan dikumpulkan.
Klausul A.14 Manajemen Kelangsungan Bisnis (Business Continuity Management) Kategori Keamanan Utama 14.1 Aspek keamanan dalam manajemen kelangsungan bisnis
14.1.1
Memasukkan Keamanan Informasi dalam proses
manajemen kelangsungan bisnis
√
Perusahaan melakukan pengujian secara berkala dan updating untuk rencana kelangsungan bisnis, akan tetapi proses pengelolaan persyaratan keamanan informasi belum diperhatikan secara maksimal.
Hal yang perlu diperhatikan dalam manajemen kelangsungan bisnis, yaitu; - Memahami risiko yang
dihadapi organisasi dan dampaknya, termasuk proses identifikasi dan prioritas proses bisnis yang penting,
- Memahami dampak yang diakibatkan oleh penghentian yang bisa terjadi terhadap proses usaha (penting untuk menemukan solusi yang akan mengatasi kesalahan kecil, seperti juga kesalahan serius
L60
yang dapat membahayakan keseimbangan organisasi), dan menetapkan tujuan dan prioritas bisnis,
- Mempertimbangkan pencarian asuransi yang sesuai yang dapat membentuk proses kelangsungan bisnis,
- Memformulasikan dan mendokumentasikan kelangsungan strategi bisnis yang konsistem dengan tujuan dan prioritas bisnis yang telah ditetapkan,
- Pengujian berkala dan updating rencana kelansungan bisnis sejalan dengan strategi yang disetujui,
- Pengujian dan kehandalan rencana berkala dan proses yang telah ditetapkan,
Memastikan bahwa manajemen keangsungan bisnis dapat dikerjakan bersama dalam proses dan struktur organisasi
L61
14.1.2
Kelangsungan bisnis dan penilaian risiko
√
Perusahaan melakukan identifikasi kejadian yang dapat menyebabkan penghentian proses bisnis, dan penghitungan risiko untuk menetapkan dampak yang mungkin terjadi.
Kelangsungan usaha harus dimulai dengan mengidentifikasikan kejadian yang dapat menyebabkan penghentian proses usaha, seperti kegagalan alat banjir dan kebakaran. Kemudian menetapkan skala prioritas berdasarkn dampak yang ditimbulkan. Setiap perencanaan perlu adanya dokumentasi atau pencatatan dan harus adanya dukungan dari manajemen.
14.1.3
Pembangunan dan implementasi rencana kelangsungan yang di dalamnya termasuk
Keamanan Informasi
√
Proses pengujian prosedur darurat belum diperhatikan secara maksimal.
Proses perencanaan kelangsungan bisnis perlu mempertimbangkan ha berikut :
- Identifikasi dan persetujuan tentang seluruh tanggung jawab dan prosedur darurat,
- Implementasi prosedur darurat yang memungkinkan pemulihan dan pengoperasian kembali dalam skala waktu
L62
yang ditetapkan,
- Dokumentasi proses dan prosedur yang disepakati,
- Pendidikan staf yang memadai dari proses dan prosedur darurat yang disepakati, termasuk manajemen krisis,
- Proses pengujian dan perbaruan rencana.
14.1.4
Kerangka kerja rencana kelangsungan bisnis
√
Tidak adanya framework tunggal dari rencana kelangsungan usaha untuk memastikan seluruh rencana tidak berubah, dan untuk mengidentifikasi prioritas untuk pengujian dan pemeliharaan.
Perlu adanya framework untuk memastikan seluruh rencana tidak berubah, dan untuk mengidentifikasi prioritas untuk pengujian dan pemeliharaan. Ketika kebutuhan baru teridentifikasi, prosedur darurat harus ditetapkan, seperti rencana evakuasi atau semua pengaturan darurat yang berlaku, harus diperbaiki sesuai dengan: - Kondisi pengaktivitasian
rencana yang sudah dijelaskan untuk
L63
dikerjakan(bagaimana menganalisa situasi,siapa terlibat dan lainnya) sebelum rencana diaktifkan
- Prosedur darurat yang menjelaskan kegiatan yang harus dilakukan terkait dengan kesalahan yang membahayakan operasional usaha dan atau manusia
- Prosedur darurat yang menjelaskan kegiatan yang harus dilakukan untuk memindahkan kegiatan usaha yang esensial atau dukungan layanan yang memberikan alternative lokasi.
- Prosedur penyimpulan yang menjelaskan kegiatan yang harus dilakukan untuk mengembalikan operasional usaha yang normal.
- Penjadwalan pemeilharaan yang menjelaskan bagaimana dan kapan rencana akan diuji,
L64
dan proses untuk penjagaann perencanaan.
- Kesadaran dan kegiatan pendidikan yang didesain untuk menghasilkan pemahaman proses kelangsungan usaha dan memastikan kelanjutan proses berjalan efektif.
- Tanggung jawab individu yang menjelaskan siapa yang bertanggung jawab dalam pengeksekusian setiap komponen dalam rencana.
14.1.5
Pengujian, pemeliharaan dan penilaian ulang rencana
kelangsungan bisnis √
Pengujian untuk rencana kelangsungan bisnis dilakukan sesuai penjadwalan yang sudah ditentukan. Tetapi pengujian tidak dilakukan secara berulang.
Perencanaan sebaiknya terlebih dahulu diuji secara berkala untuk memastikan bahwa hal tersebut merupakan perkembangan terbaru dan efektif.Penjadwalan pengujian untuk rencana kelangsungan usaha harus mengindikasikan bagimana dan kapan setiap komponen dalam rencama harus diuji. Berbagai varian teknik harus digunakan untuk menyediakan
L65
kepastian bahwa rencana akan berjalan seperti yang sesungguhnya, meliputi : - Pengujian pemulihan teknis
operasional, dan - Pengujian kehandalan fasilitas
dalam kelangsungan bisnis. Rencana kelangsungan bisnis harus dijaga dengan dikaji ulang secara berkala dan update untuk memastikan efektivitas yang berkelanjutan.
Klausul A.15 Kepatuhan Kategori Keamanan Utama 15.1 Kepatuhan terhadap persyaratan legal
15.1.1
Identifikasi peraturan yang dapat diaplikasikan
√
Belum adanya penasihat hukum untuk menghindari dari hukum pidana maupun perdana.
Semua perundangan, peraturan dan kebutuhan kontrak yang relevan harus ditetapkan secara eksplesit dan terdokumentasi untuk setiap sistem informasi. Mekanisme kontrol spesifik dan tanggung jawab individu yang sesuai dengan kebutuhan harus ditetapkan dan terdokumentasi dengan cara yang sama.
15.1. Hak kekayaan intelektual √ Perusahaan sudah menetapkan
L66
2 (HKI)
prosedur yang tepat untuk memastikan setiap produk memliki hak cipta sehingga tidak ada penggandaan materi kepemilikan
15.1.3
Perlindungan dokumen organisasi
√
Semua data yang sensitive dan penting disimpan di SDBackOffice sesuai dengan jenis data sehingga tidak terjadi duplikasi dokumen dan yang mengaksesnya direkam dan dimonitor guna menghindari penyalahgunaan dokumen.
15.1.4
Perlindungan data dan kerahasiaan informasi pribadi
√
Semua data pribadi karyawan disimpan di SDBackOfiice untuk melindungi informasi berdasarkan haknya agar tidak disalahgunakan.
15.1.5
Pencegahan penyalahgunaan fasilitas pengolahan informasi
√
Perusahaan sudah memiliki peraturan bahwa fasilitas hanya dapat digunakan oleh pegawai untuk mendukung pekerjaannya dan sistem hanya dapat mengakses adalah orang yang diberikan hak akses, sehingga yang tidak diotorisasi tidak dapat mengakses.
L67
15.1.6
Peraturan kontrol kriptografi √
Digunakan sebagai pedoman dalam mengamankan informasi, dengan mengubah kode atau password yang hanya dapat dibaca dan dimengerti oleh pihak SD.
Mekanisme kontrol dapat meliputi: - Impor dan/atau ekspor piranti
keras dan piranti lunak komputer untuk menjalankan fungsi kriptografi,
Impor dan/atau ekspor piranti keras dan lunak komputer yang dirancang untuk ditambahkan fungsi kriptografi.
Kategori Keamanan Utama 15.2 Kepatuhan pada kebijakan keamanan, standard dan kepatuhan Objektif Kontrol : Untuk memastikan kepatuhan terhadap sistem dengan kebijakan keamanan organisasi dan standar
15.2.1
Kepatuhan dengan kebijakan keamanan dan standar
√
Perusahaan sudah melakukan pemeriksaan secara berkala untuk memastikan bahwa seluruh prosedur dilaksanakan dengan benar sesuai dengan kebijakan. Untuk menghindari praktek kesalahan keamanan.
15.2.2
Pemeriksaan kepatuhan Teknis
√
Sistem informasi sudah diperiksa secara berkala dengan asistensi teknik dari ahlinya dan menghasilkan laporan teknisi untuk mendeteksi kerentanan.
L68
Kategori Keamanan Utama 15.3 Audit Sistem Informasi dan Pertimbangannya Objektif Kontrol : Untuk memaksimalkan efektivitas dan meminimalkan gangguan dari atau ke dalam proses audit sistem informasi
15.3.1
Audit kontrol Sistem informasi
√
Kebutuhan Audit dan kegiatan yang melibatkan pemeriksaan pada sistem operasional sudah teliti dalam perencanaan untuk dapat meminimalisirkan risiko gangguan pada sistem operasional dalam proses bisnis.
15.3.2
Perlindungan terhadap perangkat audit sistem
informasi √
Perlindungan terhadap akses ke alat audit sistem informasi dilakukan untuk mencegah adanya tindakan penyalahgunaan atau pelanggaran terhadap sistem informasi.
L70
HASIL WAWANCARA 2 NOVEMBER 2012
1. Sistem, software, dan hardware apa saja yang dibutuhkan untuk mendukung
proses bisnis perusahaan?
Jawab : Mapinfo, Arcgis, AdobePhotoshop CS6, Xampp,Netbean, VS studio
2010, SQL server 2008, Mysql Yog,PHP,Engine-x.
2. Jaringan apa yang digunakan untuk mendukung komunikasi dalam proses
bisnis perusahaan?
Jawab : Internet, telepon, Voip/ TCP/IP
3. Apakah terdapat komunikasi yang tidak efektif dalam pelaksanaan proses
bisnis dalam perusahaan?
Jawab : Tidak, karna mempunyai help desk system.
4. Dalam mengakses komputer pada perusahaan, apakah semua pegawai dapat
mengakses nya?
Jawab : Tidak, tergantung masing-masing bagian dan job desk mereka.
5. Apakah perusahaan mengalami kesulitan dalam instalasi hardware?
Jawab : tidak sama sekali.
6. Apakah perusahaan mengalami kesulitan dalam instalasi software?
Jawab : tidak sama sekali.
7. Aplikasi dan service apa saja yang digunakan untuk mendukung pekerjaan
proyek?
Jawab : Web server, Database server, Aplikasi server
8. Apakah tim IT di dalam perusahaan sudah cukup untuk menangani proses
bisnis yang berjalan?
Jawab : sudah cukup menguasai karna mereka di hire sesuai dengan skill
yang mereka punya.
L71
9. Siapa saja pihak-pihak yang berperan penting dalam perusahaan yang
berkaitan dengan IT?
Jawab : Tim IT dan Management (Manager,Direktur, Finance dll)
a. Keahlian seperti apa saja yang dimiliki oleh mereka?
10. Dalam mengakses data dan informasi, apakah diberikan hak akses yang
sama?
Jawab : tidak sama,ada batasan akses setiap team diberikan user ID dan
password HANYA untuk mengambil resource yang mereka perlukan untuk
mendukung pekerjaan mereka.
11. Apakah diberikan batasan untuk data dan informasi perusahaan (yang
sensitive dan yang boleh diakses oleh orang luas)
Jawab : Tentu.
Contoh : Data sensitive misalnya source code aplikasi; kalau internal (finance
dan hrd, sebagian data customermerupakan data yang sensitive, sesuai
perjanjian yang dibuat dari kedua belah pihak)
12. Apakah disetiap komputer, windows diberikan password?
- Jika Ya, berapa jangka waktu yang diberikan untuk meng-update
password / mengganti password windows tersebut?
Jawab : YA, setiap 3 bulan sekali. Password panjangnya 8 karakter yg
terdiri dari kombinasi abjad,spesial karakter,angka. Tidak boleh
“nama123”
13. Apakah komputer/notebook pada perusahaan juga diproteksi menggunakan
enkripsi?
Jawab : Ya, ada notebook juga.
L72
14. Apakah perusahaan menggunakan Firewall ?
Jawab : YA, firewall yang mencakup 1 jaringan,Firewall dibuat sendiri
berbasis open source.
15. Apakah perusahaan menggunakan software ERP seperti SAP?
- Jika Ya,
o apakah dipasang UserID dan password?
o Berapa lama jangka waktu yang ditetapkan untuk meng-update
UserID dan Password tersebut?
o Dalam membuat password, apakah terdapat format yang sudah
ditetapkan oleh perusaan? (ex: terdiri dari 6digit, 1angka, dan 1
symbol)
o SAP, apakah perusahaan melakukan training terhadap para
karyawannya? Berapa kali diberikan training? Siapa yang terlibat
dalam training tersebut?
- Jika Tidak, software apa yang digunakan oleh perusahaan?
Jawab : Tidak, kita menggunakan internal aplikasi, dibuild sendiri basic
nya dari ERP & SAP. Contoh nya : SD Back Office
16. Untuk mem-backup data di komputer dan di file server, berapa lama jangka
waktu yang diberikan / kebijakan perusahaan? (ex: daily backup, weekly
backup, monthly backup)
Jawab : Daily back up, weekly backup, monthly backup tergantung prioritas
data nya.
17. Factor apa saja yang dapat mengancam sistem IT perusahaan?
a. Internal : Bagaimana penanggulangan resiko IT pada perusahaan?
L73
b. Eksternal : Bagaimana penanggulangan resiko IT terhadap
perusahaan?
Jawab : hacker,cracker (eksternal), kalau internal biasanya virus yang dibawa
dari pegawai.
Penanggulangan resiko :
Internal : penerapan security policy, audit internal secara berkala, monitoring
system
Eksternal : Firewall/IDS/IPS, Monitoring system, audit security.Audit security
terdiri dari 5 orang dan ada orang-orang dari singapore yang mengaudit, biasanya
1 tahun sekali untuk yang secara keseluruhan.
Jika ada kesalahan biasanya akan ada alert dari sistem dan sudah otomatis.
18. Apakah diberikan prosedur dan kebijakan bagi pegawai yang memiliki hak
akses terhadap data dan informasi (yang sensitive) ? (untuk menghindari
kebocoran data dan informasi terhadap pihak luar)
Jawab : ada, pegawai biasanya akan menandatangani surat kontrak pada saat
awal bekerja, (ada kesepakatan)
19. Operating system dan antivirus apa yang digunakan oleh perusahaan?
- Apakah operating system dan antivirus yang digunakan asli?
o Jika Tidak, mengapa demikian? (Berikan alasannya)
o Berapa jangka waktu yang ditetapkan untuk meng-update?
Jawab : Server = Unix, Windows : original, Antiviru License : Kaspersky.
20. Untuk menghindari kejadian yang tidak terduga seperti mati lampu
kebakaran, dan lain sebagainya, tindakan seperti apa yang telah dilakukan
oleh perusahaan StreetDirectory dalam meminimalisir / menanganinya?
L74
Jawab : di server ada system buffer (kurang lebih 15 menit, waktu untuk
mematikan server secara benar) pake UPS.
21. Apa saja penyebab terjadinya down pada sistem?
a. Berapa lama waktu yang diperlukan untuk mengatasi down pada
sistem tersebut?
b. Oleh karena itu, bagaimana penanganan resiko yang dilakukan oleh
perusahaan jika terjadi down pada sistem?
Jawab : Sistem error & Human error. Relative tidak lama, karna kami ada
DRC, krn pake UPS itu
22. Untuk ruang server, fasilitas yang dipasang / diberikan seperti apa? (ex: ac,
cctv, etc)
Jawab : ya, ada ac, cctv, ups.
23. Apakah terdapat kebijakan dalam menggunakan fasilitas komputer dalam hal
mengakses situs jaringan social maupun meng-install program?
Jawab : ada, biasanya user akan melakukan request ke leader terlebih dahulu,
jika di approve maka leader akan mengirimkan request tsb ke team melalui
email.
24. Apakah dalam perusahaan terdapat audit keamanan sistem IT?
Jawab : Yang mengaudit adalah tim IT, termasuk dari Singapore, total
sebanyak 5 orang
Jangka waktu mengaudit secara keseluruhan memakan 1 tahun, analisa log
dilakukan setiap hari, dengan menggunakan sistem automatically dan manual
juga.
