Tahapan yang dilalui dalam pelaksanaan program keamanan:
1. Persiapan
Rencana Pekerjaan (Preparation of a Project Plan)
Perencanaan proyek untuk tinjauan keamanan mengikuti
item sebagai berikut:
·
Tujuan review
- Rung lingkup review
- Tugas yang harus dipenuhi
- Organisasi dari tim proyek
- Sumber anggaran (pendanaan)
- Jadwal untuk menyelesaikan tugas
2. Identifikasi
Kekayaan (Identification of Asset)
Kategori asset:
- Personel (pengguna akhir, analis, programmer, operator, pegawai, security)
- Harsware (mainframe, minicomputer, microcomputer, disk, printer, communication lines, concentrator, terminal)
- Dokumentasi (sistem dan program, basis data, rencana dasar, insuransi, kontrak)
- Persediaan (alat-alat yang dapat dicairkan, kertas, tape, kaset)
- Data/informasi (file asli, file transaksi, file arsip)
- Software aplikasi (debitor, creditor, sales, inventory)
- Sistem Software (compilers, utilitas, DBMS, sistem operasi, software komunikasi, spreadsheets)
3. Penilaian
Kekayaan (Valuation of Asset)
Mengukur
penilaian kekayaan dengan cara penilaian kekayaan yang hilang (lost), waktu
periode untuk perhitungan atas hilangnya kekayaan, dan umur asset.
4. Identifikasi
Ancaman-ancaman (Threats Identification)
Sumber ancaman Eksternal:
- Kejadian alami (Nature / acts of god)
- h/w suppliers
- s/w suppliers
- kontaktor
- suppliers sumber daya lainnya
- competitor (sabotase, pengintaian, perkara hokum, masalah finansial secara wajar ataupun tidak terhadap competitor)
- hutang dan hak pemilik
- perpaduan (pelanggaran, sabotase, gangguan)
- pemerintahan
- lingkungan (gangguan, publisitas yang kurang baik)
- criminal/hackers (pencurian, sabotase, pengintaian, pemerasan)
Sumber ancaman Internal:
- manajemen (kesalahan dalam penyediaan sumber daya, perencanaan dan control yang tidak cukup)
- pegawai (kesalahan pemakai, pencurian, penipuan, sabotase, pemerasan, penggunaan layanan yang tidak sah)
- sistem yang tidak stabil (kesalahan hardware, kesalahan software, kesalahan fasilitas)
Sebagai
contoh, perusahaan asuransi dapat menyediakan informasi tentang kemungkinan
terjadinya kebakaran api dalam satu waktu periode tertentu.
Tahap analisis expose terdiri dari 4 tugas, yaitu:
- Identifikasi control ditempat
- Penilaian keandalan control ditempat
- Evaluasi kemungkinan bahwa insiden ancaman akan berhasil
- Menilai kerugian yang dihasilkan dari ancaman
7. Mengatur
Kontrol (Adjust Controls)
Cukupannya
meliputi cara mengelola resiko, termasuk kebijakan, prosedur, pedoman, praktek
atau struktur organisasi yang dapat di administrasikan, secara teknis,
manajemen, atau sifat hokum.
Insiden
keamanan informasi akan dikomunikasikan dengan cara yang memungkinkan tindakan
korektif yang tepat waktu yang akan diambil. Pelaporan insiden formal dan
prosedur tambahan akan dibentuk dan dikomunikasikan kepada semua pengguna. Tanggung
jawab dan prosedur akan dibentuk untuk menangani insiden keamanan informasi
setelah pelaporan.
Sumber Terkait:
No comments:
Post a Comment