Resume Tentang Dokumen ISO 17799.pdf
-
Upload
obanganggara -
Category
Documents
-
view
26 -
download
1
description
Transcript of Resume Tentang Dokumen ISO 17799.pdf
“Resume Tentang Dokumen ISO 17799”
DISUSUN OLEH :
1. Mohhamad Setiawan 12.12.0019
2. Jaryanto 12.12.0021
3. Dwiyan Prayoga 12.12.0022
4. Anggit Pancha N. 12.12.0029
5. Wahyu Nurfian 12.12.0062
6. Try Suryanto 12.12.0052
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
(STMIK) AMIKOM PURWOKERTO
2014
KATA PENGANTAR
Apa itu keamanan informasi?
Keamanan informasi adalah perlindunganinformasi dariberbagaiancamanuntuk
memastikan kelangsungan bisnis, meminimalkan risikobisnis, danmemaksimalkan laba
atasinvestasi dan peluang bisnis.
Information Security diterapkan melalui suatu kontrol yang didalamnya terdapat
kebijakan, proses, prosedur, struktur organisasi dan perangkat keras serta fungsi perangkat
tersebut.Kontrol ini perlu dibentuk , dilaksanakan,dikaji dan diperbaiki jika suatu saat
diperlukan. Untuk memastikan bahwa tujuan keamanan dan bisnis organisasi
tersebutterpenuhi.
Information Security dibutuhkan karena penting bagi pengembangan bisnis publik
maupun sektor swasta dan untuk melindungi pembangunan infrastruktur yang penting.
Information security melindungi dari ancaman komputer berbahaya dari berbagai sumber
seperti sabotase,spionase, sabotase pengrusakan kebakaran dan banjir. Hacking komputer dan
serangan lainnya menjadikan Information Security lebih semakin canggih.
Informasi merupakan suatu aset yang penting untuk organisasi bisnis dan harus
dilindungi. Hal ini terutama dalam lingkungan bisnis yang semakin saling berhubungan.
Menilai risiko keamanan
Persyaratan keamanan diidentifikasi oleh penilaian metodis risiko keamanan. Pengeluaran
kontrol perlu diimbangi terhadap bahaya bisnis mungkin hasil dari kegagalan keamanan.
Hasil penilaian risiko akan membantu untuk membimbing dan menentukan tindakan
manajemen yang tepat dan prioritas untuk mengelola risiko keamanan informasi, dan untuk
menerapkan kontrol yang dipilih untuk melindungi terhadap risiko ini. Penilaian risiko harus
diulang secara berkala untuk mengatasi setiap perubahan yang mungkin mempengaruhi risiko
hasil penilaian.
Faktor penentu keberhasilan
Pengalaman telah menunjukkan bahwa faktor-faktor berikut seringkali penting untuk
keberhasilan pelaksanaan
keamanan informasi dalam suatu organisasi:
a. kebijakan keamanan informasi, tujuan, dan kegiatan yang mencerminkan tujuan
bisnis.
b. pendekatan dan kerangka kerja untuk melaksanakan, menjaga, memantau, dan
meningkatkan keamanan informasi yang konsisten dengan budaya organisasi..
c. dukungan terlihat dan komitmen dari semua tingkat manajemen.
d. pemahaman yang baik tentang persyaratan keamanan informasi, penilaian risiko, dan
risiko manajemen.
e. pemasaran yang efektif keamanan informasi untuk semua manajer, karyawan, dan
pihak lain untuk mencapai kesadaran. f. distribusi pedoman kebijakan keamanan informasi dan standar untuk semua manajer,
karyawan dan pihak lain. g. ketentuan untuk mendanai kegiatan manajemen keamanan informasi. h. memberikan kesadaran yang tepat, pelatihan, dan pendidikan. i. membentuk proses manajemen insiden keamanan informasi yang efektif. j. pelaksanaan pengukuran
PEMBAHASAN
Pokok Bahasan Dokumen ISO 17799
ISO (Organisasi Internasional untuk Standardisasi) dan IEC (the International
ElectrotechnicalKomisi). Keamanan informasi adalah perlindungan informasi dari berbagai
ancaman untuk memastikankelangsungan bisnis, meminimalkan risiko bisnis, dan
memaksimalkan laba atas investasi dan bisnispeluang.Keamanan informasi dicapai dengan
menerapkan satu set cocok kontrol, termasuk kebijakan, proses, prosedur, struktur organisasi
dan perangkat lunak dan fungsi perangkat keras. Kontrol iniperlu dibentuk, dilaksanakan,
dipantau, dikaji ulang dan diperbaiki, jika diperlukan, untuk memastikanbahwa tujuan
keamanan dan bisnis yang spesifik dari organisasi terpenuhi. Hal ini harus
dilakukanhubungannya dengan proses manajemen bisnis lainnya.
Tujuan Untuk memberikan arahan manajemen dan dukungan untuk keamanan
informasi sesuai dengankebutuhan bisnis dan hukum dan peraturan yang relevan.
Manajemen harus menetapkan arah kebijakan yang jelas yang selaras dengan tujuan bisnis
dan menunjukkandukungan untuk, dan komitmen untuk, keamanan informasi melalui isu dan
pemeliharaankebijakan keamanan informasi di seluruh organisasi.
3 sumber utamapersyaratan keamanan.
1. Salah satu sumber yang berasal dari penilaian risiko bagi organisasi, dengan
mempertimbangkanstrategi bisnis secara keseluruhan dan tujuan organisasi. Melalui
penilaian risiko, ancaman terhadapaset diidentifikasi, dan kerentanan terhadap kemungkinan
terjadinya dievaluasi dan potensidampak diperkirakan.
2. Sumber lain adalah persyaratan hukum, undang-undang, peraturan, dan kontrak
bahwaorganisasi, mitra dagang, kontraktor, dan penyedia layanan harus memenuhi, dan
merekalingkungan sosial-budaya.
3.Sumber lain adalah set tertentu dari prinsip-prinsip, tujuan dan kebutuhan bisnis
untukpengolahan informasi bahwa sebuah organisasi telah dikembangkan untuk mendukung
operasinya.
Perlindungan yang dilindungi dalam Keamanan Informasi meliputi :
a) perlindungan data dan privasi informasi pribadi
b) perlindungan catatan organisasi
c) hak atas kekayaan intelektual.
Kontrol yang dianggap praktik umum untuk keamanan informasi meliputi:
a) dokumen kebijakan keamanan informasi
b) alokasi tanggung jawab keamanan informasi
c) kesadaran keamanan informasi, pendidikan, dan pelatihan
d) pengolahan yang benar dalam aplikasi
e) manajemen kerentanan teknis
f) manajemen kelangsungan bisnis
g) pengelolaan insiden keamanan informasi dan perbaikan
Faktor-faktor ygang menentukan keamanan informasi dalam suatu organisasi:
a) kebijakan keamanan informasi, tujuan, dan kegiatan yang mencerminkan tujuan bisnis;
b) pendekatan dan kerangka kerja untuk melaksanakan, menjaga, memantau, dan
meningkatkan keamanan informasi yang konsisten dengan budaya organisasi;
c) dukungan terlihat dan komitmen dari semua tingkat manajemen;
d) pemahaman yang baik tentang persyaratan keamanan informasi, penilaian risiko, dan
risikomanajemen.
e) pemasaran yang efektif keamanan informasi untuk semua manajer, karyawan, dan pihak
lain untukmencapai kesadaran;
f) distribusi pedoman kebijakan keamanan informasi dan standar untuk semua
manajer,karyawan dan pihak lain;
g) ketentuan untuk mendanai kegiatan manajemen keamanan informasi;
h) memberikan kesadaran yang tepat, pelatihan, dan pendidikan;
i) membentuk proses manajemen insiden keamanan informasi yang efektif;
j) pelaksanaan pengukuran
Penilaian Resiko Keamanan
Penilaian risiko harus mencakup pendekatan sistematis memperkirakan besarnya risiko
(riskanalisis) dan proses membandingkan risiko yang diperkirakan terhadap kriteria risiko
untuk menentukansignifikansi risiko (evaluasi risiko).
Penilaian risiko juga harus dilakukan secara berkala untuk perubahan alamat dalam
keamananpersyaratan dan dalam situasi risiko, misalnya dalam aset, ancaman, kerentanan,
dampak, risikoevaluasi, dan ketika terjadi perubahan yang signifikan. Penilaian risiko ini
harus dilakukan dalamcara metodis mampu menghasilkan hasil yang sebanding dan
direproduksi.
Alternatif pilihan untuk pengobatan risiko keamanan sistem meliputi:
a. menerapkan kontrol yang tepat untuk mengurangi risiko.
b. sadar dan obyektif menerima risiko, menyediakan mereka dengan jelas
memenuhikebijakan organisasi dan kriteria keberterimaan risiko.
c. menghindari risiko dengan tidak membiarkan tindakan yang akan menyebabkan risiko
terjadi.
d. mentransfer risiko yang terkait kepada pihak lain, misalnya asuransi atau pemasok.
Perjanjian kerahasiaan atau non-disclosure harus membahas kebutuhan untuk
melindungi rahasiainformasi menggunakan istilah hukum tetap. Untuk mengidentifikasi
persyaratan untuk kerahasiaan atau non-perjanjian pengungkapan, elemen-elemen berikut
harus dipertimbangkan:
a) definisi dari informasi yang akan dilindungi (misalnya informasi rahasia);
b) diharapkan durasi kesepakatan, termasuk kasus di mana kerahasiaan mungkin perlu
dipertahankan tanpa batas;
c) tindakan yang diperlukan ketika kesepakatan dihentikan;
d) tanggung jawab dan tindakan penandatangan untuk menghindari pengungkapan informasi
yang tidak sah
(Seperti 'perlu tahu');
e) kepemilikan informasi, rahasia dagang dan kekayaan intelektual, dan bagaimana hal ini
berhubungan dengan
perlindungan informasi rahasia;
f) persetujuan penggunaan informasi rahasia, dan hak-hak penandatangan untuk
menggunakan
informasi;
g) hak untuk mengaudit dan memantau kegiatan yang melibatkan informasi rahasia
h) proses pemberitahuan dan pelaporan pengungkapan yang tidak sah atau rahasia
pelanggaran informasi
i) istilah untuk informasi yang akan dikembalikan atau dimusnahkan pada perjanjian
penghentian, danTindakan
j) diharapkan akan diambil dalam kasus pelanggaran perjanjian ini.
Berdasarkan persyaratan keamanan organisasi, unsur-unsur lain mungkin diperlukan dalam
kerahasiaan
atau perjanjian non-disclosure.
Ada banyak jenis aset, termasuk berikut ini yang kami sebutkan dibawah ini :
a) Informasi: database dan file data, kontrak dan perjanjian, dokumentasi sistem,
informasi penelitian, buku petunjuk, materi pelatihan, prosedur operasional atau dukungan,
rencana kesinambungan bisnis, pengaturan mundur, audit, dan informasi arsip;
b) aset perangkat lunak: aplikasi perangkat lunak, perangkat lunak sistem, perangkat
pengembangan, dan utilitas;
c) aset fisik: peralatan komputer, peralatan komunikasi, removable media, dan
peralatan lainnya;
d) layanan: komputasi dan komunikasi, utilitas umum, misalnya pemanasan, pencahayaan,
listrik, dan AC;
e) orang, dan kualifikasi, keterampilan, dan pengalaman;
f) tidak berwujud, seperti reputasi dan citra organisasi.
Kepemilikan aset dapat dialokasikan untuk beberapa hal berikut seperti ini :
a) proses bisnis.
b) kegiatan yang ditentukan.
c) aplikasi, atau
d) didefinisikan set data.