“Resume Tentang Dokumen ISO 17799”

DISUSUN OLEH :

1. Mohhamad Setiawan 12.12.0019

2. Jaryanto 12.12.0021

3. Dwiyan Prayoga 12.12.0022

4. Anggit Pancha N. 12.12.0029

5. Wahyu Nurfian 12.12.0062

6. Try Suryanto 12.12.0052

SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER

(STMIK) AMIKOM PURWOKERTO

2014

KATA PENGANTAR

Apa itu keamanan informasi?

Keamanan informasi adalah perlindunganinformasi dariberbagaiancamanuntuk

memastikan kelangsungan bisnis, meminimalkan risikobisnis, danmemaksimalkan laba

atasinvestasi dan peluang bisnis.

Information Security diterapkan melalui suatu kontrol yang didalamnya terdapat

kebijakan, proses, prosedur, struktur organisasi dan perangkat keras serta fungsi perangkat

tersebut.Kontrol ini perlu dibentuk , dilaksanakan,dikaji dan diperbaiki jika suatu saat

diperlukan. Untuk memastikan bahwa tujuan keamanan dan bisnis organisasi

tersebutterpenuhi.

Information Security dibutuhkan karena penting bagi pengembangan bisnis publik

maupun sektor swasta dan untuk melindungi pembangunan infrastruktur yang penting.

Information security melindungi dari ancaman komputer berbahaya dari berbagai sumber

seperti sabotase,spionase, sabotase pengrusakan kebakaran dan banjir. Hacking komputer dan

serangan lainnya menjadikan Information Security lebih semakin canggih.

Informasi merupakan suatu aset yang penting untuk organisasi bisnis dan harus

dilindungi. Hal ini terutama dalam lingkungan bisnis yang semakin saling berhubungan.

Menilai risiko keamanan

Persyaratan keamanan diidentifikasi oleh penilaian metodis risiko keamanan. Pengeluaran

kontrol perlu diimbangi terhadap bahaya bisnis mungkin hasil dari kegagalan keamanan.

Hasil penilaian risiko akan membantu untuk membimbing dan menentukan tindakan

manajemen yang tepat dan prioritas untuk mengelola risiko keamanan informasi, dan untuk

menerapkan kontrol yang dipilih untuk melindungi terhadap risiko ini. Penilaian risiko harus

diulang secara berkala untuk mengatasi setiap perubahan yang mungkin mempengaruhi risiko

hasil penilaian.

Faktor penentu keberhasilan

Pengalaman telah menunjukkan bahwa faktor-faktor berikut seringkali penting untuk

keberhasilan pelaksanaan

keamanan informasi dalam suatu organisasi:

a. kebijakan keamanan informasi, tujuan, dan kegiatan yang mencerminkan tujuan

bisnis.

b. pendekatan dan kerangka kerja untuk melaksanakan, menjaga, memantau, dan

meningkatkan keamanan informasi yang konsisten dengan budaya organisasi..

c. dukungan terlihat dan komitmen dari semua tingkat manajemen.

d. pemahaman yang baik tentang persyaratan keamanan informasi, penilaian risiko, dan

risiko manajemen.

e. pemasaran yang efektif keamanan informasi untuk semua manajer, karyawan, dan

pihak lain untuk mencapai kesadaran. f. distribusi pedoman kebijakan keamanan informasi dan standar untuk semua manajer,

karyawan dan pihak lain. g. ketentuan untuk mendanai kegiatan manajemen keamanan informasi. h. memberikan kesadaran yang tepat, pelatihan, dan pendidikan. i. membentuk proses manajemen insiden keamanan informasi yang efektif. j. pelaksanaan pengukuran

PEMBAHASAN

Pokok Bahasan Dokumen ISO 17799

ISO (Organisasi Internasional untuk Standardisasi) dan IEC (the International

ElectrotechnicalKomisi). Keamanan informasi adalah perlindungan informasi dari berbagai

ancaman untuk memastikankelangsungan bisnis, meminimalkan risiko bisnis, dan

memaksimalkan laba atas investasi dan bisnispeluang.Keamanan informasi dicapai dengan

menerapkan satu set cocok kontrol, termasuk kebijakan, proses, prosedur, struktur organisasi

dan perangkat lunak dan fungsi perangkat keras. Kontrol iniperlu dibentuk, dilaksanakan,

dipantau, dikaji ulang dan diperbaiki, jika diperlukan, untuk memastikanbahwa tujuan

keamanan dan bisnis yang spesifik dari organisasi terpenuhi. Hal ini harus

dilakukanhubungannya dengan proses manajemen bisnis lainnya.

Tujuan Untuk memberikan arahan manajemen dan dukungan untuk keamanan

informasi sesuai dengankebutuhan bisnis dan hukum dan peraturan yang relevan.

Manajemen harus menetapkan arah kebijakan yang jelas yang selaras dengan tujuan bisnis

dan menunjukkandukungan untuk, dan komitmen untuk, keamanan informasi melalui isu dan

pemeliharaankebijakan keamanan informasi di seluruh organisasi.

3 sumber utamapersyaratan keamanan.

1. Salah satu sumber yang berasal dari penilaian risiko bagi organisasi, dengan

mempertimbangkanstrategi bisnis secara keseluruhan dan tujuan organisasi. Melalui

penilaian risiko, ancaman terhadapaset diidentifikasi, dan kerentanan terhadap kemungkinan

terjadinya dievaluasi dan potensidampak diperkirakan.

2. Sumber lain adalah persyaratan hukum, undang-undang, peraturan, dan kontrak

bahwaorganisasi, mitra dagang, kontraktor, dan penyedia layanan harus memenuhi, dan

merekalingkungan sosial-budaya.

3.Sumber lain adalah set tertentu dari prinsip-prinsip, tujuan dan kebutuhan bisnis

untukpengolahan informasi bahwa sebuah organisasi telah dikembangkan untuk mendukung

operasinya.

Perlindungan yang dilindungi dalam Keamanan Informasi meliputi :

a) perlindungan data dan privasi informasi pribadi

b) perlindungan catatan organisasi

c) hak atas kekayaan intelektual.

Kontrol yang dianggap praktik umum untuk keamanan informasi meliputi:

a) dokumen kebijakan keamanan informasi

b) alokasi tanggung jawab keamanan informasi

c) kesadaran keamanan informasi, pendidikan, dan pelatihan

d) pengolahan yang benar dalam aplikasi

e) manajemen kerentanan teknis

f) manajemen kelangsungan bisnis

g) pengelolaan insiden keamanan informasi dan perbaikan

Faktor-faktor ygang menentukan keamanan informasi dalam suatu organisasi:

a) kebijakan keamanan informasi, tujuan, dan kegiatan yang mencerminkan tujuan bisnis;

b) pendekatan dan kerangka kerja untuk melaksanakan, menjaga, memantau, dan

meningkatkan keamanan informasi yang konsisten dengan budaya organisasi;

c) dukungan terlihat dan komitmen dari semua tingkat manajemen;

d) pemahaman yang baik tentang persyaratan keamanan informasi, penilaian risiko, dan

risikomanajemen.

e) pemasaran yang efektif keamanan informasi untuk semua manajer, karyawan, dan pihak

lain untukmencapai kesadaran;

f) distribusi pedoman kebijakan keamanan informasi dan standar untuk semua

manajer,karyawan dan pihak lain;

g) ketentuan untuk mendanai kegiatan manajemen keamanan informasi;

h) memberikan kesadaran yang tepat, pelatihan, dan pendidikan;

i) membentuk proses manajemen insiden keamanan informasi yang efektif;

j) pelaksanaan pengukuran

Penilaian Resiko Keamanan

Penilaian risiko harus mencakup pendekatan sistematis memperkirakan besarnya risiko

(riskanalisis) dan proses membandingkan risiko yang diperkirakan terhadap kriteria risiko

untuk menentukansignifikansi risiko (evaluasi risiko).

Penilaian risiko juga harus dilakukan secara berkala untuk perubahan alamat dalam

keamananpersyaratan dan dalam situasi risiko, misalnya dalam aset, ancaman, kerentanan,

dampak, risikoevaluasi, dan ketika terjadi perubahan yang signifikan. Penilaian risiko ini

harus dilakukan dalamcara metodis mampu menghasilkan hasil yang sebanding dan

direproduksi.

Alternatif pilihan untuk pengobatan risiko keamanan sistem meliputi:

a. menerapkan kontrol yang tepat untuk mengurangi risiko.

b. sadar dan obyektif menerima risiko, menyediakan mereka dengan jelas

memenuhikebijakan organisasi dan kriteria keberterimaan risiko.

c. menghindari risiko dengan tidak membiarkan tindakan yang akan menyebabkan risiko

terjadi.

d. mentransfer risiko yang terkait kepada pihak lain, misalnya asuransi atau pemasok.

Perjanjian kerahasiaan atau non-disclosure harus membahas kebutuhan untuk

melindungi rahasiainformasi menggunakan istilah hukum tetap. Untuk mengidentifikasi

persyaratan untuk kerahasiaan atau non-perjanjian pengungkapan, elemen-elemen berikut

harus dipertimbangkan:

a) definisi dari informasi yang akan dilindungi (misalnya informasi rahasia);

b) diharapkan durasi kesepakatan, termasuk kasus di mana kerahasiaan mungkin perlu

dipertahankan tanpa batas;

c) tindakan yang diperlukan ketika kesepakatan dihentikan;

d) tanggung jawab dan tindakan penandatangan untuk menghindari pengungkapan informasi

yang tidak sah

(Seperti 'perlu tahu');

e) kepemilikan informasi, rahasia dagang dan kekayaan intelektual, dan bagaimana hal ini

berhubungan dengan

perlindungan informasi rahasia;

f) persetujuan penggunaan informasi rahasia, dan hak-hak penandatangan untuk

menggunakan

informasi;

g) hak untuk mengaudit dan memantau kegiatan yang melibatkan informasi rahasia

h) proses pemberitahuan dan pelaporan pengungkapan yang tidak sah atau rahasia

pelanggaran informasi

i) istilah untuk informasi yang akan dikembalikan atau dimusnahkan pada perjanjian

penghentian, danTindakan

j) diharapkan akan diambil dalam kasus pelanggaran perjanjian ini.

Berdasarkan persyaratan keamanan organisasi, unsur-unsur lain mungkin diperlukan dalam

kerahasiaan

atau perjanjian non-disclosure.

Ada banyak jenis aset, termasuk berikut ini yang kami sebutkan dibawah ini :

a) Informasi: database dan file data, kontrak dan perjanjian, dokumentasi sistem,

informasi penelitian, buku petunjuk, materi pelatihan, prosedur operasional atau dukungan,

rencana kesinambungan bisnis, pengaturan mundur, audit, dan informasi arsip;

b) aset perangkat lunak: aplikasi perangkat lunak, perangkat lunak sistem, perangkat

pengembangan, dan utilitas;

c) aset fisik: peralatan komputer, peralatan komunikasi, removable media, dan

peralatan lainnya;

d) layanan: komputasi dan komunikasi, utilitas umum, misalnya pemanasan, pencahayaan,

listrik, dan AC;

e) orang, dan kualifikasi, keterampilan, dan pengalaman;

f) tidak berwujud, seperti reputasi dan citra organisasi.

Kepemilikan aset dapat dialokasikan untuk beberapa hal berikut seperti ini :

a) proses bisnis.

b) kegiatan yang ditentukan.

c) aplikasi, atau

d) didefinisikan set data.