security information system

© 2007 by Prentice Hall© 2007 by Prentice Hall Management Information Systems, 10/e Management Information Systems, 10/e Raymond McLeod and George Schell Raymond McLeod and George Schell

11

Management Management Information SystemsInformation Systems

Raymond McLeod Jr. and George P. Raymond McLeod Jr. and George P. Schell Schell Information SecurityInformation Security presented by : presented by :

Dr. Musdalifah Azis, SE., M.SiDr. Musdalifah Azis, SE., M.Si

© 2007 by Prentice Hall Management Information Systems, 10/e Raymond McLeod and George Schell

2

Learning ObjectivesLearning Objectives

► Memahami kebutuhan organisasi untuk keamanan Memahami kebutuhan organisasi untuk keamanan informasi dan kontrol. informasi dan kontrol.

► Tahu bahwa keamanan informasi berkaitan dengan Tahu bahwa keamanan informasi berkaitan dengan mengamankan semua sumber daya informasi, bukan mengamankan semua sumber daya informasi, bukan hanya perangkat keras dan data. hanya perangkat keras dan data.

► Tahu tiga tujuan utama dari keamanan informasi. Tahu tiga tujuan utama dari keamanan informasi. ► Tahu bahwa manajemen keamanan informasi terdiri Tahu bahwa manajemen keamanan informasi terdiri

dari dua bidang: manajemen keamanan informasi (ISM) dari dua bidang: manajemen keamanan informasi (ISM) dan business continuity management (BCM). dan business continuity management (BCM).

► Melihat hubungan logis antara ancaman, risiko dan Melihat hubungan logis antara ancaman, risiko dan kontrol. kontrol.

► Tahu apa ancaman keamanan utama. Tahu apa ancaman keamanan utama. ► Tahu apa risiko keamanan utama.Tahu apa risiko keamanan utama.


3

Learning Objectives (Cont’d)Learning Objectives (Cont’d)► Mengenali masalah keamanan e-commerce dan Mengenali masalah keamanan e-commerce dan

bagaimana perusahaan kartu kredit berurusan dengan bagaimana perusahaan kartu kredit berurusan dengan mereka. mereka.

► Menjadi akrab dengan cara formal untuk terlibat dalam Menjadi akrab dengan cara formal untuk terlibat dalam manajemen risiko. manajemen risiko.

► Tahu proses untuk melaksanakan kebijakan keamanan Tahu proses untuk melaksanakan kebijakan keamanan informasi. informasi.

► Menjadi akrab dengan kontrol keamanan yang lebih Menjadi akrab dengan kontrol keamanan yang lebih populer. populer.

► Menjadi akrab dengan tindakan-tindakan pemerintah Menjadi akrab dengan tindakan-tindakan pemerintah dan industri yang mempengaruhi keamanan informasi. dan industri yang mempengaruhi keamanan informasi.

► Tahu bagaimana untuk memperoleh sertifikasi Tahu bagaimana untuk memperoleh sertifikasi profesional dalam keamanan dan kontrol. profesional dalam keamanan dan kontrol.

► Mengetahui jenis rencana yang termasuk dalam Mengetahui jenis rencana yang termasuk dalam perencanaan Kontinegnsi.perencanaan Kontinegnsi.


4

Organizational Needs for Organizational Needs for Security and ControlSecurity and Control

► Pengalaman industri terinspirasi untuk: Pengalaman industri terinspirasi untuk: tempat perangkat keamanan yang bertujuan tempat perangkat keamanan yang bertujuan

untuk menghilangkan atau mengurangi untuk menghilangkan atau mengurangi kesempatan terhadap kerusakan atau kesempatan terhadap kerusakan atau kehancuran. kehancuran.

Memberikan kemampuan organisasi untuk terus Memberikan kemampuan organisasi untuk terus beroperasi setelah terjadi gangguan.beroperasi setelah terjadi gangguan.

► Patriot Act and the Office of Homeland Patriot Act and the Office of Homeland SecuritySecurity 11stst issue is security vs. individual rights. issue is security vs. individual rights. 22ndnd issue is security vs. availability (i.e., HIPPA). issue is security vs. availability (i.e., HIPPA).


5

Information SecurityInformation Security

► System securitySystem security Berfokus pada Berfokus pada perlindungan perangkat keras, data, perlindungan perangkat keras, data, perangkat lunak, fasilitas komputer, dan perangkat lunak, fasilitas komputer, dan personel.personel.

► Information securityInformation security Menggambarkan Menggambarkan perlindungan terhadap kedua komputer dan perlindungan terhadap kedua komputer dan peralatan non-computer, fasilitas, data, dan peralatan non-computer, fasilitas, data, dan informasi dari penyalahgunaan oleh pihak-informasi dari penyalahgunaan oleh pihak-pihak yang tidak sah. pihak yang tidak sah. Termasuk Mesin Fotokopi, Faks, semua jenis Termasuk Mesin Fotokopi, Faks, semua jenis

media, dokumenmedia, dokumen


6

Objectives of Information Objectives of Information SecuritySecurity► Keamanan informasi ini dimaksudkan untuk mencapai Keamanan informasi ini dimaksudkan untuk mencapai

tiga tujuan utama:tiga tujuan utama: Confidentiality:Confidentiality: melindungi data perusahaan dan melindungi data perusahaan dan

informasi dari pengungkapan terhadap orang-orang informasi dari pengungkapan terhadap orang-orang yang tidak sah.yang tidak sah.

Availability:Availability: memastikan bahwa data perusahaan memastikan bahwa data perusahaan dan informasi hanya tersedia untuk orang-orang yang dan informasi hanya tersedia untuk orang-orang yang berwenang dalam menggunakan data dan informasi berwenang dalam menggunakan data dan informasi tersebut.tersebut.

Integrity:Integrity: Sistem informasi harus menyediakan Sistem informasi harus menyediakan representasi akurat dari fisik sistem yang mereka representasi akurat dari fisik sistem yang mereka representasikan. representasikan.

► sistem informasi organisasi harus melindungi data dan informasi dari penyalahgunaan, memastikan ketersediaan untuk pengguna resmi, menampilkan keyakinan dalam akurasinya.


7

Management of Information Management of Information SecuritySecurity

► Information security managementInformation security management ( (ISMISM) ) adalah aktivitas dalam menjaga keamanan adalah aktivitas dalam menjaga keamanan sumber-sumber informasi.sumber-sumber informasi.

► Business continuity managementBusiness continuity management ( (BCMBCM) ) adalah aktivitas dalam menjaga perusahaan adalah aktivitas dalam menjaga perusahaan dan fungsi-fungsi sumber daya informasi dan fungsi-fungsi sumber daya informasi setelah terjadinya bencana.setelah terjadinya bencana.

► Corporate information systems security Corporate information systems security officerofficer ( (CISSOCISSO) ) bertanggung jawab kepada bertanggung jawab kepada sistem keamanan informasi suatu sistem keamanan informasi suatu perusahaan.perusahaan.

► Corporate information assurance officerCorporate information assurance officer ((CIAOCIAO) ) Laporan kepada CEO dan mengelola Laporan kepada CEO dan mengelola sebuah jaminan informasi unit.sebuah jaminan informasi unit.


8

Information Security Information Security ManagementManagement► Berkaitan dengan perumusan kebijakan keamanan Berkaitan dengan perumusan kebijakan keamanan

informasi perusahaaninformasi perusahaan► Risk managementRisk management Adalah pendekatan manajemen

risiko yang berbasiskan keamanan dari sumber daya informasi pada resiko perusahaan (ancaman yang dikenakan) yang dihadapinya.

► Information security benchmarkInformation security benchmark adalah sebuah adalah sebuah rekomendasi tingkat keamanan bahwa dalam keadaan rekomendasi tingkat keamanan bahwa dalam keadaan normal harus dapat menawarkan perlindungan yang normal harus dapat menawarkan perlindungan yang wajar terhadap gangguan tidak resmi yang wajar terhadap gangguan tidak resmi yang direkomendasikan.direkomendasikan. Benchmark adalah tingkat kinerja yang Benchmark adalah tingkat kinerja yang

direkomendasikan. direkomendasikan. Didefinisikan oleh pemerintah dan Asosiasi industri apa Didefinisikan oleh pemerintah dan Asosiasi industri apa

yang berwenang percaya sebagai komponen dari yang berwenang percaya sebagai komponen dari program keamanan informasi yang baik.program keamanan informasi yang baik.

► Benchmark complianceBenchmark compliance is is Ketika sebuah perusahaan Ketika sebuah perusahaan mematuhi patokan keamanan informasi dan standar mematuhi patokan keamanan informasi dan standar yang disarankan oleh otoritas industriyang disarankan oleh otoritas industri..


9

Figure 9.1 Information Security Figure 9.1 Information Security Management (ISM) StrategiesManagement (ISM) Strategies


10

ThreatsThreats► Information security threatInformation security threat adalah orang, organisasi, adalah orang, organisasi,

mekanisme atau peristiwa yang memiliki potensi untuk mekanisme atau peristiwa yang memiliki potensi untuk menimbulkan kerugian pada informasi sumber daya menimbulkan kerugian pada informasi sumber daya perusahaanperusahaan..

► Internal and external threatsInternal and external threats Internal termasuk karyawanperusahaan, pekerja Internal termasuk karyawanperusahaan, pekerja

sementara, konsultan, kontraktor, dan bahkan mitra sementara, konsultan, kontraktor, dan bahkan mitra bisnis. bisnis.

Setinggi 81% kejahatan komputer telah dilakukan oleh Setinggi 81% kejahatan komputer telah dilakukan oleh karyawan. karyawan.

Ancaman internal hadir berpotensi kerusakan lebih Ancaman internal hadir berpotensi kerusakan lebih serius karena kedekatan yang lebih intim terhadap serius karena kedekatan yang lebih intim terhadap pengetahuan sistempengetahuan sistem..

► Accidental and deliberate actsAccidental and deliberate acts


11

Figure 9.2 Unauthorized Acts Figure 9.2 Unauthorized Acts Threaten System Security Threaten System Security

ObjectivesObjectives


12

Types of ThreatsTypes of Threats► Malicious softwareMalicious software ( (malwaremalware) ) Terdiri dari segmen Terdiri dari segmen

lengkap program atau kode yang dapat menyerang sistem lengkap program atau kode yang dapat menyerang sistem dan melakukan fungsi tidak dimaksudkan oleh sistem dan melakukan fungsi tidak dimaksudkan oleh sistem pemilik (yaitu, menghapus file, menghentikan sistem, dll)pemilik (yaitu, menghapus file, menghentikan sistem, dll)..

► VirusVirus adalah program komputer yang dapat mereplikasi adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa observable kepada pengguna dan dirinya sendiri tanpa observable kepada pengguna dan menanamkan diri dalam program lain dan boot sektormenanamkan diri dalam program lain dan boot sektor..

► WormWorm tidak bisa mereplikasi dirinya dalam sistem, tetapi tidak bisa mereplikasi dirinya dalam sistem, tetapi hal ini dapat mengirimkan salinan melalui e-mailhal ini dapat mengirimkan salinan melalui e-mail..

► Trojan horse Trojan horse didistribusikan oleh pengguna sebagai sebuah utilitas dan ketika utilitas digunakan, itu menghasilkan perubahan yang tidak diinginkan dalam fungsi sistem; dapat meniru atau menduplikasi itu sendiri..

► AdwareAdware menghasilkan pesan-pesan iklan yang menghasilkan pesan-pesan iklan yang mengganggumengganggu..

► SpywareSpyware mengumpulkan data dari pengguna mesinmengumpulkan data dari pengguna mesin..


13

RisksRisks

► Information security riskInformation security risk adalah potensi adalah potensi hasil tidak diinginkan dari pelanggaran hasil tidak diinginkan dari pelanggaran informasi keamanan oleh sebuah ancaman informasi keamanan oleh sebuah ancaman keamanan informasikeamanan informasi.. all risks represent unauthorized acts.all risks represent unauthorized acts.

► Unauthorized disclosure and threatsUnauthorized disclosure and threats► Unauthorized useUnauthorized use► Unauthorized destruction and denial of Unauthorized destruction and denial of

serviceservice► Unauthorized modificationsUnauthorized modifications


14

E-commerce ConsiderationsE-commerce Considerations

►Disposable credit cardDisposable credit card (AMEX) – an action (AMEX) – an action aimed at 60 to 70% of consumers who fear aimed at 60 to 70% of consumers who fear credit card fraud arising from Internet use.credit card fraud arising from Internet use.

►Visa’s 10 required security practicesVisa’s 10 required security practices for its for its retailers plus 3 general practices for achieving retailers plus 3 general practices for achieving information security in all retailers’ activities.information security in all retailers’ activities.

►Cardholder Information Security ProgramCardholder Information Security Program ((CISPCISP) augmented these required practices.) augmented these required practices.


15

Risk ManagementRisk Management

► Mendefinisikan risiko terdiri dari empat langkah-Mendefinisikan risiko terdiri dari empat langkah-langkah awallangkah awal.. Mengidentifikasi aset bisnis harus dilindungi dari resiko. Mengidentifikasi aset bisnis harus dilindungi dari resiko. Mengenali resiko. Mengenali resiko. Menentukan tingkat dampak risiko terwujud pada perusahaan. Menentukan tingkat dampak risiko terwujud pada perusahaan. Menganalisis kerentanan perusahaanMenganalisis kerentanan perusahaan..

► Dampak keparahan dapat diklasifikasikan sebagai Dampak keparahan dapat diklasifikasikan sebagai :: Dampak parah menempatkan perusahaan keluar dari bisnis Dampak parah menempatkan perusahaan keluar dari bisnis

atau batas kemampuannya fungsi yang parah. atau batas kemampuannya fungsi yang parah. Berdampak signifikan yang dapat menyebabkan kerusakan Berdampak signifikan yang dapat menyebabkan kerusakan

berarti dan biaya, tapi perusahaan tersebut akan bertahan. berarti dan biaya, tapi perusahaan tersebut akan bertahan. Dampak kecil yang menghancurkan dapat menyebabkan Dampak kecil yang menghancurkan dapat menyebabkan

operasi sehari-hari yang khas . operasi sehari-hari yang khas .


16

Table 9.1 Table 9.1 Tingkat dampak dan Tingkat dampak dan kerentanan menentukan kontrolkerentanan menentukan kontrol


17

Risk Analysis ReportRisk Analysis Report

► Temuan dari analisis risiko harus Temuan dari analisis risiko harus terdokumentasi dalam sebuah laporan yang terdokumentasi dalam sebuah laporan yang berisi informasi rinci seperti berikut untuk setiap berisi informasi rinci seperti berikut untuk setiap risiko risiko :: Deskripsi risiko. Deskripsi risiko. Sumber risiko. Sumber risiko. Tingkat keparahan dari risiko yang mengontrol yang Tingkat keparahan dari risiko yang mengontrol yang

sedang diterapkan untuk risiko. sedang diterapkan untuk risiko. Pemilik dari risiko yang direkomendasikan tindakan Pemilik dari risiko yang direkomendasikan tindakan

untuk mengatasi risiko. untuk mengatasi risiko. Merekomendasikan waktunya untuk mengatasi risiko. Merekomendasikan waktunya untuk mengatasi risiko. Apa yang dilakukan untuk mengurangi risiko.Apa yang dilakukan untuk mengurangi risiko.


18

Information Security PolicyInformation Security Policy

►Lima tahap pelaksanaan: Lima tahap pelaksanaan: Tahap 1Tahap 1: proyek inisiasi. : proyek inisiasi. Tahap 2: kebijakan pembangunan. Tahap 2: kebijakan pembangunan. Tahap 3: konsultasi dan persetujuan. Tahap 3: konsultasi dan persetujuan. Tahap 4: kesadaran dan pendidikan. Tahap 4: kesadaran dan pendidikan. Tahap 5: kebijakan diseminasi.Tahap 5: kebijakan diseminasi.


19

Figure 9.3 Development of Figure 9.3 Development of Security PolicySecurity Policy


20

ControlsControls►Kontrol adalah mekanisme yang dilaksanakan Kontrol adalah mekanisme yang dilaksanakan

dengan baik dalam melindungi perusahaan dengan baik dalam melindungi perusahaan dari risiko atau untuk meminimalisasi dampak dari risiko atau untuk meminimalisasi dampak resiko di perusahaan yang memang terjadi.resiko di perusahaan yang memang terjadi.

►Kontrol teknis adalah mereka yang dibangun Kontrol teknis adalah mereka yang dibangun dalam sistem oleh sistem pengembang dalam sistem oleh sistem pengembang selama sistem pengembangan siklus hidup. selama sistem pengembangan siklus hidup. Termasuk sebuah audit internal pada Termasuk sebuah audit internal pada

proyek tim. proyek tim. Berdasarkan teknologi perangkat keras dan Berdasarkan teknologi perangkat keras dan

lunak.lunak.


21

Technical ControlsTechnical Controls

►Kontrol akses adalah dasar untuk Kontrol akses adalah dasar untuk keamanan terhadap ancaman oleh keamanan terhadap ancaman oleh unauthorized unauthorized orangorang..

►Access control three-step process includes:Access control three-step process includes: User identification.User identification. User authentication.User authentication. User authorizationUser authorization..

►User profilesUser profiles-descriptions of authorized -descriptions of authorized users; used in identification and users; used in identification and authorization.authorization.


22

Figure 9.4 Access Control Figure 9.4 Access Control FunctionsFunctions


23

Technical Controls (Cont’d)Technical Controls (Cont’d)► Deteksi gangguan sistem (IDS) mengenali upaya Deteksi gangguan sistem (IDS) mengenali upaya

untuk melanggar keamanan sebelum ini memiliki untuk melanggar keamanan sebelum ini memiliki kesempatan untuk menimbulkan kerusakan.kesempatan untuk menimbulkan kerusakan.

► Software proteksi virus yang efektif terhadap Software proteksi virus yang efektif terhadap virus yang dbawa oleh e-mail. virus yang dbawa oleh e-mail. Mengidentifikasi pesan pembawa virus dan Mengidentifikasi pesan pembawa virus dan

memperingatkan pengguna.memperingatkan pengguna.

► Dalam ancaman alat prediksi mengklasifikasikan ancaman internal dalam kategori seperti: Ancaman yang mungkin disengaja. Potensi ancaman yang tidak disengaja. Mencurigakan. Tidak berbahaya.

© 2007 by Prentice HallManagement Information Systems, 10/e Raymond McLeod and George Schell

24

FirewallsFirewalls► Firewall bertindak sebagai filter dan penghalang yang membatasi Firewall bertindak sebagai filter dan penghalang yang membatasi

aliran data ke dan dari perusahaan dan Internet. Tiga jenis firewall aliran data ke dan dari perusahaan dan Internet. Tiga jenis firewall adalah:adalah: Penyaringan paket router dilengkapi dengan tabel data alamat IP Penyaringan paket router dilengkapi dengan tabel data alamat IP

yang mencerminkan kebijakan penyaringan yang diposisikan antara yang mencerminkan kebijakan penyaringan yang diposisikan antara Internet dan jaringan internal, dapat berfungsi sebagai firewall. Internet dan jaringan internal, dapat berfungsi sebagai firewall.

►Router adalah sebuah perangkat jaringan yang mengarahkan Router adalah sebuah perangkat jaringan yang mengarahkan arus lalu lintas jaringan. arus lalu lintas jaringan.

►Alamat IP adalah satu set empat nomor (masing-masing dari 0 Alamat IP adalah satu set empat nomor (masing-masing dari 0 hingga 255) yang secara unik mengidentifikasi setiap komputer hingga 255) yang secara unik mengidentifikasi setiap komputer yang terhubung ke Internetyang terhubung ke Internet..

► Sirkuit-tingkat firewall diinstal antara Internet dan jaringanSirkuit-tingkat firewall diinstal antara Internet dan jaringan perusahaan, tetapi lebih dekat ke media komunikasi (sirkuit) dari perusahaan, tetapi lebih dekat ke media komunikasi (sirkuit) dari router.router. Memungkinkan untuk sebuah jumlah tinggi dari otentikasi dan Memungkinkan untuk sebuah jumlah tinggi dari otentikasi dan

penyaringapenyaringan yang akan dilakukan.n yang akan dilakukan.► Application-level firewall terletak antara router dan komputer Application-level firewall terletak antara router dan komputer

melakukan aplikasi. melakukan aplikasi. Memungkinkan untuk kekuatan penuh dari pemeriksaan keamanan Memungkinkan untuk kekuatan penuh dari pemeriksaan keamanan

tambahan yang akan dilakukan.tambahan yang akan dilakukan.


25

Figure 9.5 Location of Firewalls Figure 9.5 Location of Firewalls in the Networkin the Network


26

Cryptographic and Physical Cryptographic and Physical ControlsControls

► Kriptografi adalah penggunaan pengkodean dengan Kriptografi adalah penggunaan pengkodean dengan menggunakan proses matematis. menggunakan proses matematis.

► Data dan informasi dapat disamarkan (dienkripksikan) dalam Data dan informasi dapat disamarkan (dienkripksikan) dalam penyimpanan dan atau ditransmisikan melalui jaringan.penyimpanan dan atau ditransmisikan melalui jaringan.

► If an unauthorized person If an unauthorized person memperoleh aksesmemperoleh akses, the encryption , the encryption membuat data dan informasi tidak dapat dibaca dan membuat data dan informasi tidak dapat dibaca dan melindungi dari melindungi dari unauthorized useunauthorized use itu sendiri itu sendiri..

► Special protocols such as Special protocols such as SETSET (Secure Electronic Transactions) (Secure Electronic Transactions) melakukan pemeriksaan keamanan menggunakan tanda melakukan pemeriksaan keamanan menggunakan tanda tangan digital yang dikembangkan untuk digunakan dalam e-tangan digital yang dikembangkan untuk digunakan dalam e-commerce.commerce.

► Ekspor teknologi enkripsi dilarang pada Kuba, Iran, Irak, Libya, Ekspor teknologi enkripsi dilarang pada Kuba, Iran, Irak, Libya, Korea Utara, Sudan, dan Suriah. Korea Utara, Sudan, dan Suriah.

► Kontrol fisik dari gangguan yang tidak sah seperti kunci pintu, Kontrol fisik dari gangguan yang tidak sah seperti kunci pintu, cetakan palm, cetakan suara, kamera pengintai, dan penjaga cetakan palm, cetakan suara, kamera pengintai, dan penjaga keamanan. keamanan. Menemukan pusat komputer di daerah terpencil yang Menemukan pusat komputer di daerah terpencil yang

kurang rentan terhadap bencana alam seperti gempa bumi, kurang rentan terhadap bencana alam seperti gempa bumi, banjir, dan badai.banjir, dan badai.


27

Formal ControlsFormal Controls

► Kontrol formal mencakup pembentukan kode Kontrol formal mencakup pembentukan kode etik, dokumentasi prosedur yang diharapkan etik, dokumentasi prosedur yang diharapkan dan praktek-praktek, pemantauan, dan dan praktek-praktek, pemantauan, dan mencegah perilaku yang bervariasi dari mencegah perilaku yang bervariasi dari pedoman-pedoman.pedoman-pedoman. Manajemen menunjukkan cukup waktu untuk Manajemen menunjukkan cukup waktu untuk

merancang sistem kontrol mereka. merancang sistem kontrol mereka. Terdokumentasi dalam menulis. Terdokumentasi dalam menulis. Diperkirakan akan berlaku untuk jangka panjang.Diperkirakan akan berlaku untuk jangka panjang.

► Manajemen puncak harus berpartisipasi aktif Manajemen puncak harus berpartisipasi aktif dalam pendirian dan penegakan sistem dalam pendirian dan penegakan sistem kontrol tersebutkontrol tersebut..


28

Informal ControlsInformal Controls►PendidikanPendidikan..►Program-program PelatihanProgram-program Pelatihan►Program-program pengembangan Program-program pengembangan

manajemen.manajemen.►Dimaksudkan untuk memastikan karyawan Dimaksudkan untuk memastikan karyawan

perusahaan memahami dan mendukung perusahaan memahami dan mendukung program keamanan.program keamanan.

►Praktek bisnis yang baik adalah tidak Praktek bisnis yang baik adalah tidak menghabiskan lebih banyak kontrol untuk menghabiskan lebih banyak kontrol untuk biaya perkiraan risiko yang ada.biaya perkiraan risiko yang ada.

►Menetapkan kontrol pada tingkat yang tepat.Menetapkan kontrol pada tingkat yang tepat.


29

Government and Industry Government and Industry AssistanceAssistance

► United Kingdom's BS7799. United Kingdom's BS7799. The UK standards establish a set of baseline The UK standards establish a set of baseline controls. They were first published by the British Standards Institute in 1995, controls. They were first published by the British Standards Institute in 1995, then published by the International Standards Organization as ISO 17799 in then published by the International Standards Organization as ISO 17799 in 2000, and made available to potential adopters online in 2003.2000, and made available to potential adopters online in 2003.

► BSI IT Baseline Protection Manual. BSI IT Baseline Protection Manual. The baseline approach is also The baseline approach is also followed by the German Bundesamt fur Sicherheit in der Informationstechnik followed by the German Bundesamt fur Sicherheit in der Informationstechnik (BSI). The baselines are intended to provide reasonable security when (BSI). The baselines are intended to provide reasonable security when normal protection requirements are intended. The baselines can also serve normal protection requirements are intended. The baselines can also serve as the basis for higher degrees of protection when those are desired.as the basis for higher degrees of protection when those are desired.

► COBIT. COBIT. COBIT, from the Information Systems Audit and Control Association COBIT, from the Information Systems Audit and Control Association and Foundation (ISACAF), focuses on the process that a firm can follow in and Foundation (ISACAF), focuses on the process that a firm can follow in developing standards, paying special attention to the writing and developing standards, paying special attention to the writing and maintaining of the documentation.maintaining of the documentation.

► GASSP. GASSP. Generally Accepted System Security Principles (GASSP) is a product Generally Accepted System Security Principles (GASSP) is a product of the U. S. National Research Council. Emphasis is on the rationale for of the U. S. National Research Council. Emphasis is on the rationale for establishing a security policy.establishing a security policy.

► ISF Standard of Good Practice. ISF Standard of Good Practice. The Information Security Forum Standard The Information Security Forum Standard of Good Practice takes a baseline approach, devoting considerable attention of Good Practice takes a baseline approach, devoting considerable attention to the user behavior that is expected if the program is to be successful. The to the user behavior that is expected if the program is to be successful. The 2005 edition addresses such topics as secure instant messaging, Web server 2005 edition addresses such topics as secure instant messaging, Web server security, and virus protection.security, and virus protection.


30

Government LegislationGovernment Legislation

► Both United States and United Kingdom Both United States and United Kingdom established standards and passed legislation established standards and passed legislation aimed at addressing the increasing importance of aimed at addressing the increasing importance of information security.information security.

► U.S. Government Computer Security Standards.U.S. Government Computer Security Standards. Set of security standards organizations should meet. Set of security standards organizations should meet. Availability of software program that grades usersAvailability of software program that grades users’’

systems and assists them in configuring their systems systems and assists them in configuring their systems to meet standards.to meet standards.

► U.K. Anti-terrorism, Crime and Security Act U.K. Anti-terrorism, Crime and Security Act (ATCSA) 2001.(ATCSA) 2001.


31

Industry StandardsIndustry Standards► Center for Internet Security (CIS)Center for Internet Security (CIS) adalah adalah

sebuah organisasi nirlaba yang didedikasikan sebuah organisasi nirlaba yang didedikasikan untuk membantu pengguna komputer untuk untuk membantu pengguna komputer untuk membuat sistem mereka lebih aman.membuat sistem mereka lebih aman. CIS BenchmarksCIS Benchmarks membantu pengguna dalam membantu pengguna dalam

mengamankan sistem informasi mereka dengan mengamankan sistem informasi mereka dengan mengimplementasikan kontrol spesifik teknologi.mengimplementasikan kontrol spesifik teknologi.

CIS Scoring ToolsCIS Scoring Tools memungkinkan pengguna memungkinkan pengguna untuk menghitung tingkat keamanan mereka, untuk menghitung tingkat keamanan mereka, membandingkannya dengan tolok ukur dan membandingkannya dengan tolok ukur dan menyiapkan laporan yang memandu pengguna menyiapkan laporan yang memandu pengguna dan administrator untuk mengamankan sistem.dan administrator untuk mengamankan sistem.


32

Professional CertificationProfessional Certification

►Beginning in the 1960s the IT Beginning in the 1960s the IT profession began offering certification profession began offering certification programs:programs: Information Systems Audit and Control Information Systems Audit and Control

AssociationAssociation ( (ISACAISACA)) International Information System Security International Information System Security

Certification ConsortiumCertification Consortium ( (ISCISC)) SANSSANS ( (SysAdmin, Audit, Network, SysAdmin, Audit, Network,

SecuritySecurity) ) InstituteInstitute


33

Business Continuity Business Continuity ManagementManagement

► Business continuity managementBusiness continuity management ( (BCMBCM) ) adalah kegiatan-kegiatan yang ditujukan untuk adalah kegiatan-kegiatan yang ditujukan untuk melanjutkan operasi setelah gangguan sistem melanjutkan operasi setelah gangguan sistem informasiinformasi..

► Aktivitas ini disebut sebagaiAktivitas ini disebut sebagai disaster planningdisaster planning, , then more positive term then more positive term contingency planningcontingency planning..

► Contingency planContingency plan is is Penyebab utama di Penyebab utama di kontinjensi perencanaan; ini adalah sebuah kontinjensi perencanaan; ini adalah sebuah dokumen resmi tertulis yang merinci secara dokumen resmi tertulis yang merinci secara detail tindakan yang akan diambil dalam hal detail tindakan yang akan diambil dalam hal bahwa ada sebuah gangguan, atau ancaman bahwa ada sebuah gangguan, atau ancaman gangguan, di setiap bagian dari komputasi gangguan, di setiap bagian dari komputasi operasi perusahaan .operasi perusahaan .


34

Contingency SubplansContingency Subplans► Emergency planEmergency plan menentukan langkah-langkah yang menentukan langkah-langkah yang

menjamin keselamatan karyawan ketika terjadi menjamin keselamatan karyawan ketika terjadi bencana. bencana. Termasuk sistem alarm, prosedur evakuasi, dan sistemTermasuk sistem alarm, prosedur evakuasi, dan sistem fire- fire-

suppressionsuppression..

► Backup planBackup plan adalah pengaturan untuk fasilitas backup adalah pengaturan untuk fasilitas backup komputasi dalam setiap peristiwa bahwa fasilitas biasa komputasi dalam setiap peristiwa bahwa fasilitas biasa yang hancur atau rusak di luar penggunaan. Backup yang hancur atau rusak di luar penggunaan. Backup dapat dicapai dengan beberapa kombinasi dari dapat dicapai dengan beberapa kombinasi dari redundansi, keragaman dan mobilitas.redundansi, keragaman dan mobilitas.

► Vital recordsVital records adalah dokumen – dokumen kertas adalah dokumen – dokumen kertas tersebut, microforms, dan magnet dan media tersebut, microforms, dan magnet dan media penyimpanan optik yang diperlukan untuk menjalankan penyimpanan optik yang diperlukan untuk menjalankan bisnis perusahaanbisnis perusahaan..

► Vital records planVital records plan menspesifikasikam bagaimana menspesifikasikam bagaimana the the vital records vital records dapat diproteksi dan mencakup dapat diproteksi dan mencakup penggandaan penggandaan offsite backup.offsite backup.

security information system

Business

Transcript of security information system