4. Sistem keamanan informasi
merupakan suatu subsistem
dalam suatu organisasi yang
bertugas mengendalikan risiko
terkait dengan sistem informasi
berbasis-komputer. Sistem
keamanan informasi memiliki
elemen utama sistem informasi,
seperti perangkat keras,
database, prosedur, dan
pelaporan..
5.
6. Fase Siklus Hidup Tujuan
Analisis sistem Analisis kerentanan sistem dalam arti mengacu yang
relevan dan eksposur kerugian yang terkait dengan
ancaman tersebut.
Desain sistem Desain ukuran keamanan dan rencana kontingensi
untuk mengendalikan eksposur kerugian yang
teridentifikasi.
Implementasi sistem Menerapkan ukuran keamanan seperti yang telah
didesain.
Operasi, evaluasi, dan
pengendalian sistem
Mengoperasikan sistem dan menaksir efektivitas dan
efisiensi.
Membuat perubahan sebagaimana diperlukan sesuai
dengan kondisi yang ada
7.
8. Fase Siklus Hidup Laporan kepada Dewan Direksi
Analisis sistem Sebuah ringkasan terkait dengan semua
eksposur kerugian yang relevan.
Desain sistem Rencana detail mengenai pengendalian dan
pengelolaan kerugian, termasuk anggaran
sistem keamanan secara lengkap.
Implementasi
sistem, operasi,
evaluasi, dan
pengendalian
sistem
Mengungkapkan secara spesifik kinerja
sistem keamanan, termasuk kerugian dan
pelanggaran keamanan yang terjadi, analisis
kepatuhan, serta biaya operasi sistem
keamanan.
11. 1 Pendekatan kuantitatif untuk
manaksir risiko menghitung setiap
eksposur kerugian sebagai hasil kali
biaya kerugian setiap item eksposur
dengan kemungkinan terjadinya
eksposur tersebut.
12. 2pendekatan kualitatif merinci
daftar kerentanan dan ancaman
terhadap sistem, kemudian secara
subjektif maranking item-item tersebut
berdasarkan kontribusi setiap item
tersebut terhadap total eksposur
kerugian perusahaan.
22. Kode Kriminal 301.2 (1). Penggunaan
Komputer tanpa Otoritas legal,
menetapkan pinalti criminal sampai
dengan 10 tahun untuk kecurangan
penggunaan jasa komputer atau
penyadapan sinyal atau fungsi
komputer.
23. Kode Kriminal Pasal 263,
Akses ke Informasi Orang
Lain, menetapkan penalti
kriminal sampai dua tahun
atas akses tidak legal
terhadap informasi atau
program pengolahan data
orang lain.
24. Penal Provision of Personal
Registers Act,1987, Pasal 45,
Personal Registers Trespass,
menetapkan penalti kriminal
sampai enam bulan atas
penggunaan kode pengguna lain
atau sarana kecurangan untuk
mengakses data personal yang
disimpan dalam pemrosesan data
komputer.
25. Undang-Undang Nomor 88-
19, Kode Kriminal, Bab 111,
Artikel 462-2 sampai 9,
menetapkan penalti
kriminal sampai tiga tahun
atas akses illegal terhadap
pemalsuan, modifikasi atau
penghapusan data, atau
penggunaan data yang
diperoleh dari sistem
pemrosesan data yang
terotomatisasi.
26. Kode Kriminal Pasal 147,
Kecurangan Penggunaan
Sistem Pengolahan Data,
menetapkan penalti
kriminal sampai 10
tahun atas kesengajaan
menambah atau
menghapus record data
dengan tujuan untuk
kepentingan diri sendiri.
29. 1
Personal Sistem Komputer
merupakan ancaman potensial karena mereka
diberi berbagai kewenangan akses terhadap
data dan program yang sensitive
30. 2 Pengguna
Sekelompok orang yang heterogen dan dapat
dibedakan dengan yang lain karena area
fungsional mereka bukan merupakan bagian
dari pengolahan data. Banyak pengguna
memiliki akses ke data yang sensitif yang
dapat mereka bocorkan kepada pesaing
perusahaan.
31. 3
Penyusup
Setiap orang yang memiliki akses ke peralatan, data
elektronik, atau file tanpa hak yang legal merupakan
penyusup. Penyusup yang menyerang sistem
informasi sebagai sebuah kesenangan dan tantangan
dikenal dengan nama hacker.
33. 1Manipulasi Input
Metode ini mensyaratkan
kemampuan teknis yang paling
minimal. Seseorang bisa saja
mengubah input tanpa memiliki
pengetahuan mengenai cara
operasi sistem komputer.
34. 2Mengubah Program
Mengubah program mungkin merupakan
metode yang paling jarang digunakan untuk
melakukan kejahatan komputer. Langkanya
penggunaan metode ini mungkin karena
dibutuhkan keahlian pemrograman yang
hanya dimiliki oleh sejumlah orang yang
terbatas.
35. 3Mengubah File Secara
Langsung
Dalam beberapa kasus, individu-individu
tertentu menemukan cara
untuk memotong proses normal untuk
menginputkan data ke dalam program
komputer. Jika hal ini terjadi, hasil yang
dituai adalah bencana.
36. 4 Pencurian Data
Pencurian data dapat dilakukan oleh individu-individu
dengan akses terhadap e-mail, dapat
dengan mudah menyalin informasi rahasia dan
mengirim informasi tersebut ke luar perusahaan
lewat internet. Dengan menggunakan metode
tersebut, penyusup dapat mencuri sejumlah besar
informasi hanya dalam hitungan menit.
37. 5Sabotase
Sabotase komputer membahayakan
sistem informasi. Perusakan sebuah
komputer atau perangkat lunak dapat
menyebabkan kebangkrutan suatu
perusahaan. Karyawan yang tidak
puas, khususnya yang telah dipecat,
biasanya merupakan pelaku sabotase
utama. Sabotase telah menjadi isu
besar dalam perdagangan web
38. 6 Penyalahgunaan atau
Pencurian Sumber Daya
Informasi
Salah satu jenis penyalahgunaan
informasi terjadi pada saat seorang
karyawan menggunakan sumber
daya komputer organisasi untuk
kepentingan pribadi.
40. Keamanan sistem informasi merupakan
sebuah aplikasi prinsip-prinsip
pengendalian internal yang secara
khusus digunakan untuk mengatasi
masalah-masalah dalam sistem
informasi.
51. keamanan internet menuntut perhatian
khusus karena koneksi perusahaan dengan
internet memberi peluang bagi perusahaan
untuk menjadi sasaran setiap hacker yang ada di
dunia. Internet menciptakan jendela elektronik
bagi dunia luar yang mengeliminasi semua
isolasi fisik sumber daya informasi perusahaan.
Oleh karena itu, semua lapisan pemisahan fisik
yang terkait dengan pendekatan akses berlapis
guna menciptakan keamanan sistem, tidak
sepenuhnya dapat mengamankan sistem
informasi perusahaan.
59. Pengelolaan risiko bencana
memerhatikan pencegahan dan
perencanaan kontingensi. Dalam suatu
kasus, asuransi mungkin dapat membantu
mengendalikan risiko, tetapi banyak
perusahaan asuransi enggan menanggung
biaya interupsi bisnis perusahaan besar,
khususnya perusahaan yang tidak memiliki
perencanaan pemulihan dari bencana yang
mungkin terjadi.
66. Rencana pemuliahan dari
bencana harus diimplementasikan
pada level tertinggi di dalam
perusahan. Idealnya, rencana
pemuliahan mesti mendapatkan
persetujuan dari dewan direksi
sebagai bagian dari perencanaan
keamanan komputer secara umum