Dokumen tersebut membahas tentang manajemen keamanan informasi, termasuk definisi, tujuan, ancaman, kebijakan dan pengendalian keamanan informasi.

1. SISTEM INFORMASI MANAJEMEN
Pertemuan ke 10
Disusun untuk memenuhi tugas mata kuliah SIM
Dosen Pengampu: Yananto Mihadi Putra, SE, M.Si
Disusun oleh :
Nama : Dian Anggraeni
NIM : 43217110258
FAKULTAS EKONOMI DAN BISNIS – PROGRAM STUDI AKUNTASI
UNIVERSITAS MERCU BUANA
2018

2. Manajemen Keamanan Informasi
Informasi adalah salah suatu asset penting dan sangat berharga bagi
kelangsungan hidup bisnis dan disajikan dalam berbagai format berupa : catatan,
lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi
penting bagi meningkatkan kesuksusesan yang kompetitif dalam semua sektor
ekonomi.
Keamanan informasi dimaksudkan untuk mencapai kerahasiaan,
ketersediaan, dan integritas di dalam sumber daya informasi perusahaan.
Manajemen keamanan informasi terdiri dari:
• Perlindungan Sehari-hari disebut Manajemen Keamanan Informasi
(information security management/ ISM)
• Persiapan untuk menghadapi operasi setelah bencana disebut Manajemen
Kesinambungan Bisnis (business continuity management /BCM)
Definisi Kemanan Teknologi Informasi
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita
dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya
penipuan disebuah sistem yang berbasis informasi, dimana informasinya
sendiri tidak memiliki arti fisik.
Raymond MC.Load (2007) mengistilahkan keamanan informasi
digunakan untuk mendeskripasikan perlindungan baik peralatan komputer dan
nonkomputer, fasilitas, datadan informasi dari penyalahgunaan pihak-pihak yang
tidak berwenang
Aspek Keamanan Teknologi Informasi
Didalam keamanan sistem informasi melingkupi empat aspek, yaitu
privacy,integrity, authentication, dan availability. Selain keempat hal di
atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya
dengan electronic commerce,yaitu access control dan non-repudiation

3. 1. Privacy / Confidentiality
I n t i u t a m a a s p e k p r i v a c y a t a u c o n f i d e n t i a l i t y a d a l a h
u s a h a u n t u k m e n j a g a informasi dari orang yang tidak berhak mengakses.
Privacy lebih ke arah data-data yang sifatnya privat sedangkan confidentiality
biasanya berhubungan dengan data yang diberikan ke pihak lain untuk
keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis)
dan hanya diperbolehkan untuk keperluan tertentu tersebut.
Contoh hal yang berhubungan dengan privacy adalah e-mail
seorang pemakai (user) tidak boleh dibaca oleh administrator. contoh confidential
information adalah data-data yang sifatnya pribadi (seperti nama, tempat
tanggal lahir, social security number, agama, stat us perkawinan,
penyakit yang pernahdi derita, nomor kartu kredit, dan sebagainya) merupakan
data-data yang ingin diproteksi penggunaan dan penyebarannya. contoh lain
dari confidentiality adalah daftar pelanggan dari sebuah internet service provider
(ISP).
2 . I n t e g r i t y
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa
seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang
mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi.
Sebuah e-mail dapat saja “ditangkap” ('intercept) di tengah jalan,
diubah isinya (altered, tampered, modified), kemudian diteruskan ke
alamat yang dituju.
Dengan kata lain, integritas dari informasi sudah tidak terjaga.
Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi
masalah ini. S a l a h s a t u c o n t o h k a s u s t r o j a n h o r s e a d a l a h
d i s t r i b u s i p a k e t p r o g r a m T C P Wrapper (yaitu program populer yang
dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi
oleh orang yang tidak bertanggungjawab. Jika anda memasang program yang

4. berisi trojan horse tersebut, maka ketika anda merakit (compile) program
tersebut, dia akan mengirimkan eMail kepada orang tertentu yang kemudian
memperbolehkan dia masuk ke sistem anda.
3 . A u t h e n t i c a t i o n
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi
betul- betul asli, orang yang mengakses atau memberikan informasi adalah betul-
betul orang yang dimaksud, atau server yang kita hubungi adalah betul-
betul server yang asli.
Masalah pertama, membuktikan keaslian dokumen, dapat
dilakukan dengan teknologi watermarking dan digital signature.
Watermarking juga dapat digunakan untuk menjaga “intelectual property”,
yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan”
pembuat. Masalah kedua biasanya berhubungan dengan access control, yaitu
berkaitan dengan pembatasan orangyang dapat mengakses informasi. Dalam hal ini
pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah,
misalnya denganmenggunakan password,biometric (ciri-ciri khas orang),
dan sejenisnya. Penggunaan teknologi smart card, saat ini kelihatannya dapat
meningkatkan keamanan aspek ini. Secara umum, proteksi authentication
dapat menggunakan digital certificates. Authentication biasanya diarahkan
kepada pengguna, namun tidak pernah ditujukan kepada server atau mesin.
4 . A v a i l a b i l i t y
Aspek availability atau ketersediaan berhubungan dengan
ketersediaan informasi ketika dibutuhkan. Sistem informasi yang
diserang atau dijebol dapat menghambat atau meniadakan akses ke
informasi. Contoh hambatan adalah serangan yang sering disebut dengan
“denial of service attac” (DoS attack), dimana server dikirimi permintaan
(biasanya palsu) yang bertubi- tubi atau permintaan yang diluar perkiraan sehingga
tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.

5. Contoh lain adalah adanya mailbomb, dimana seorang pemakai
dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang
besar sehingga sang pemakai tidak dapat membuka e-mailnya atau
kesulitan mengakses e-mailnya (apalagi jika akses dilakukan
melalui saluran telepon).Bayangkan apabila anda dikirimi 5000
email dan anda harus mengambil ( download) email tersebut melalui telepon
dari rumah.
5 . A c c e s s C o n t r o l
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal
ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top
secret) & user (guest, admin, top manager, dsb), mekanisme
authentication dan juga privacy. Access control seringkali dilakukan
dengan menggunakan kombinasi userid/password atau dengan menggunakan
mekanisme lain (seperti kartu, biometrics).
6 . N o n - R e p u d i a t i o n
Aspek ini menjaga agar seseorang tidak dapat menyangkal
telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang
mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah
mengirimkan email tersebut.
Aspek ini sangat penting dalam hal electronic commerce.
Penggunaan digital signature, certifiates, dan teknologi kriptografi secara umum
dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum
sehingga status dari digital signature itu jelas legal. Hal ini akan dibahas lebih rinci
pada bagian tersendiri.
Manajemen Keamanan Informasi
Manajemen keamanan informasi menjadi penting diterapkan agar informasi
yang beredar di perusahaan dapat dikelola dengan benar sehingga perusahaan

6. dapat mengambil keputusan berdasarkan informasi yang ada dengan benar pula
dalam rangka memberikan layanan yang terbaik kepada pelanggan. ISM terdiri dari
empat langkah:
• Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi
perusahaan
• Mendefinisikan resiko dari ancaman yang dapat memaksakan
• Penetapan kebijakan keamanan informasi
• Menerapkan controls yang tertuju pada resiko
Tujuan Keamanan Informasi
Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama, yaitu:
• Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan
orang –orang yang tidak berhak
• Ketersediaan: meyakinkan bahwa data dan informasi perusahaan hanya
dapat digunakan oleh orang yang berhak menggunakannya.
• Integritas: sistem informasi perlu menyediakan representasi yang akurat dari
sistem fisik yang direpresentasikan
Ancaman
• Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme,
atau peristiwa yang dapat berpotensi menimbulkan kejahatan pada sumber
daya informasi perusahaan
• Ancaman dapat berupa internal atau external, disengaja atau tidak disengaja
Jenis- Jenis Ancaman:
• Malicious software, atau malware terdiri atas program-program lengkap atau
segmen-segmen kode yang dapat menyerang suatu system dan melakukan
fungsi-fungsi yang tidak diharapkan oleh pemilik system.

7. Peranti Lunak yang berbahaya (Malicious Software-Malware)
1. Virus
Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat
diamati oleh si pengguna dan menempelkan salinan dirinya pada program-
program dan boot sector lain
2. Worm
Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi
dapat menyebarkan salinannya melalui e-mail
3. Trojan Horse
Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri,
namun disebarkan sebagai perangkat
4. Adware
Program yang memunculkan pesan-pesan yang mengganggu
5. Spyware
Program yang mengumpulkan data dari mesin pengguna
Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal
utama, yaitu :
1. Ancaman Alam
Yang termasuk dalam kategori ancaman alam terdiri atas :
 Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi,
badai, pencairan salju
 Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
 Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
2. Ancaman Manusia
Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :
 Malicious code
 Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
 Social engineering

8.  Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS,
backdoor
 Kriminal
 Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
 Teroris
 Peledakan, Surat kaleng, perang informasi, perusakan
3. Ancaman Lingkungan
Yang dapat dikategorikan sebagai ancaman lingkungan seperti :
 Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan
dalam jangka waktu yang cukup lama
 Polusi
 Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan
anti api, dll
 Kebocoran seperti A/C, atap bocor saat hujan
Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau
belum teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks
ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat di
minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas serangan
yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan seperti
terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami mall
function.
Kebijakan Keamanan Informasi
Sebuah kebijakan keamanan infomasi bisa diimplementasikan menggunakan
5 pendekatan dibawah ini:
• Tahap 1: Pengenalan project.
• Tahap 2 Pengembangan kebijakan
• Tahap 3: Konsultasi dan penyetujuan

9. • Tahap 4: Kesadaran dan pendidikan
• Tahap 5: Penyebaran kebijakan
Kebijakan Keamanan yang Terpisah
• Keamanan Sistem Informasi
• Pengendalian Akses Sistem
• Keamanan Personel
• Keamanan Lingkungan Fisik
• Keamanan Komunikasi data
• Klasifikasi Informasi
• Perencanaan Kelangsungan Usaha
• Akuntabilitas Manajemen
kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk
tulisan, dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan,
pengendalian dapat diimplementasikan.
Pengendalian Dalam menejeman Keamanan Informasi
- Kontrol
Kontrol adalah mekanisme yang diimplementasikan untuk melindungi
perusahaan dari resiko-resiko dan meminimalisir dampak dari resiko yang
terjadi:
• Technical control teknis dibangun didalam sistem oleh sistem
pengembang sementara proses pengembangan berjalan.
• Access control adalah dasar keamanan melawan ancaman oleh orang-
orang yan tidak berkepentingan langsung/terkait.
• Intrusion detection systems akan mencoba mencari tahu satu percobaan
yang dilakukan ntuk menerobos keamanan sebelum menimbulkan
kerusakan

10. - Pengendalian Teknis
Adalah pengendalian yang menjadi satu di dalam system dan dibuat olehpara
penyususn system selama masa siklus penyusunan system.Dilakukan melalui
tiga tahap:
1. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor
telepon.nomor telepon.
2. Otentikasi Pengguna
Pengguna memverivikasi hak akses dengan cara memberikan sesuatu
yang mereka miliki, seperti chip identifikasi atau tanda tertentu.
3. Otorisasi Pengguna
Pengguna dapat mendapatkan wewenang untuk memasuki tingkat
penggunaan tertentu.
Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat
menggunakan sumber daya informasi yang terdapat di dalam batasan file
akses.
- Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan
perusakan.
Contoh:
Peranti lunak proteksi virus (virus protection software).Peranti lunak yang
didesain untuk mencegah rusaknya keamanan sebelum terjadi.
- Firewall

11. Suatu Filter yang membatasi aliran data antara titik-titik pada suatu jaringan-
biasanya antara jaringan internal perusahaan dan Internet.
Berfungsi sebagai:
1. Penyaring aliran data
2. Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut
dan internet.
Jenis:
Firewall Paket
Firewall Tingkat Sirkuit
Firewall Tingkat Aplikasi
- Pengendalian Kriptografis
Merupakan penggunaan kode yang menggunakan proses-proses
matematika.Meningkatkan keamanan data dengan cara menyamarkan data
dalam bentuk yang tidak dapat dibaca. Berfungsi untuk melindungi data dan
informasi yang tersimpan dan ditransmisikan, dari pengungkapan yang tidak
terotorisasi.
• Enkripsi: merubah data asli menjadi data tersamar.
• Deksipsi: merubah data tersamar menjadi data asli.
Kriptografi terbagi menjadi:
 Kriptografi Simetris
Dalam kriptografi ini, kunci enkripsi sama dengan kunci dekripsi.
 Kriptografi Asimetris
Dalam kriptografi ini, kunci enkripsi tidak sama dengan kunci dekripsi.
Contoh:
Enkripsià kunci public
Dekripsià Kunci Privat
 Kriptografi Hybrid

12. Menggabungkan antara kriptografi simetris dan Asimetris, sehingga
mendapatkan kelebihan dari dua metode tersebut.
Contoh:
SET (Secure Electronic Transactions) pada E-Commerce
- Pengendalian Fisik
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan computer.Perkembangan seterusnya menghasilkan
kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan
dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan.
- Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi
prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan
perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat
formal karena manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku
dalam jangka panjang.
- Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi
serta program pembangunan manajemen.Pengendalian ini ditunjukan untuk
menjaga agar para karyawan perusahaan memahami serta mendukung
program keamanan tersebut.
Resiko
Tindakan tidak sah yang menyebabkan resiko dapat digolongkan ke dalam empat
jenis :
• Pencurian dan Penyingkapan tidak sah

13. • Penggunaan Tidak Sah
• Pembinasaan dan Pengingkaran Layanan yang tidak sah
• Modifikasi yang tidak sah
Manajemen Risiko (Management Risk)
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai
keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan atau
menghilangkan risiko atau mengurangi dampaknya.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
1. dampak yang parah (severe impact) yang membuat perusahaan bangkrut
atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
2. dampak signifikan (significant impact) yang menyebabkan kerusakan dan
biaya yang signifikan, tetapi perusahaan tersebut tetap selamat
3. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip
dengan yang terjadi dalam operasional sehari-hari.
Tabel Tingkat Dampak dan Kelemahan
Dampak Parah Dampak Signifikan Dampak
Minor
Kelemahan
Tingkat
Tinggi
Melaksanakan analisis
kelemahan. Harus
meningkatkan
pengendalian
Melaksanakan analisis
kelemahan.
Harus meningkatkan
pengendalian
Analisis
kelemahan
tidak
dibutuhkan
Kelemahan
Tingkat
Menengah
Melaksanakan analisis
kelemahan. Sebaiknya
meningkatkan
pengendalian.
Melaksanakan analisis
kelemahan. Sebaiknya
meningkatkan
pengendalian.
Analisis
kelemahan
tidak
dibutuhkan

14. Kelemahan
Tingkat
Rendah
Melaksanakan analisis
kelemahan. Menjaga
Pengendalian tetap ketat.
Melaksanakan analisis
kelemahan. Menjaga
Pengendalian tetap
ketat.
Analisis
kelemahan
tidak
dibutuhkan
Kelemahan keamanan sistem informasi
Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada
saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan
atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku
yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada
prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin
terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari
luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.
Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan,
yaitu :
1) Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan
ancaman dan kelemahan
2) Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan
proses yang mengubah sistem dari keadaan normal menjadi keadaan
abnormal
3) Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang
sudah tidak seimbang untuk dikembalikan dalam keadaan normal
Tindakan tersebutlah menjadikan bahwa keamanan sistem informasi tidak
dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan
masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan
sistem itu sendiri.

15. Serangan-serangan dalam Keamanan Informasi
1) Serangan untuk mendapatkan akses
Caranya antara lain: Menebak password, terbagi menjadi 2 cara:
 Teknik mencoba semua kemungkinan password
 Mencoba dengan koleksi kata-kata yang umum dipakai. Missal: nama anak,
tanggal lahir
2) Serangan untuk melakukan modifikasi
Setelah melakukan serangan akses biasanya melakukan sesuatu pengubahan
untuk mendapatkan keuntungan. Contoh:
 Merubah nilai
 Penghapusan data hutang di bank
3) Serangan untuk menghambat penyediaan layanan
Cara ini berusaha mencegah pihak-pihak yang memiliki pemakai sah atau
pengaruh luas dan kuat untuk mengakses sebuah informasi
Missal:
 Mengganggu aplikasi
 Mengganggu system
 Mengganggu jaringan
Pentingnya Keamanan system
Sistem Informasi diperlukan karena:
1) Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia
nyata ke dunia virtual
Contohnya adalah: dalam bentuk transaksi elektronik seperti e-banking, dan
pembawa aspek positif maupun negative, misalnya: pencurian, pemalsuan, dan
penggelapan menggunakan internet.
2) Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai
Contoh: Pemakai kurang menguasai computer.
3) Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai ekonomis.

16. Contoh: dokumen rancangan produk baru, kartu kredit, dan laporan keuangan
perusahaan
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan,
secara umum diartikan sebagai “quality or state of being secure-to be free from
danger” [1]. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan
bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan
secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi
keamanan informasi memiliki fokus dan dibangun pada masing-masing ke-khusus-
annya. Contoh dari tinjauan keamanan informasi adalah:
• Physical Security yang memfokuskan strategi untuk mengamankan pekerja
atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman
meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
• Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi
orang-orang dalam organisasi.
• Operation Security yang memfokuskan strategi untuk mengamankan
kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
• Communications Security yang bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat
ini untuk mencapai tujuan organisasi.
• Network Security yang memfokuskan pada pengamanan peralatan jaringan
data organisasi, jaringannya dan isinya, serta kemampuan untuk
menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data
organisasi.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab untuk program
khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam
manajemen keamanan informasi dikenal sebagai 6P yaitu:
Planning

17. Planning dalam manajemen keamanan informasi meliputi proses
perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada
tiga tahapannya yaitu:
1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi
untuk periode yang lama, biasanya lima tahunan atau lebih,
2) tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode
yang lebih singkat, misalnya satu atau dua tahunan,
3) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang
dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi
keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada
beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
v Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi,
dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan
sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar
terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan
ancaman yang telah terjadi dan menyerang aset informasi, dan mengancam
confidentiality, integrity atau availbility sumberdaya informasi. Insident Response
Planning meliputi incident detection, incident response, dan incident recovery.
v Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan
melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi
dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP
tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan
pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana
jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan

18. tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang
lama untuk melakukan pemulihan.
v Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi
bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif.
Faktor penting yang diperhitungkan dalam BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
• Enterprise Information Security Policy (EISP) menentukan kebijakan
departemen keamanan informasi dan menciptakan kondisi keamanan
informasi di setiap bagian organisasi.
• Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang
menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi
keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail
atau penggunaan internet.
• System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat
atau teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur
dalam beberapa bagian. Salah satu contohnya adalah program security education
training and awareness. Program ini bertujuan untuk memberikan pengetahuan
kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman
keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi
organisasi.
Protection

19. Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko,
meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme
proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun
perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam
rencana keamanan informasi.
People
Manusia adalah penghubung utama dalam program keamanan informasi.
Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program
keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil
dalam organisasi.
Standar apa yang digunakan?
ISO/IEC 27001 adalah standar information security yang diterbitkan pada
October 2005 oleh International Organization for Standarization dan International
Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan
swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005
menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor,
menganalisa dan memelihara seta mendokumentasikan Information Security
Management System dalam konteks resiko bisnis organisasi keseluruhan
ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem
manajemen keamanan informasi (ISMS). ISMS yang baik akan membantu
memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan
melindungi proses bisnis yang penting agar terhindar dari resiko kerugian/bencana
dan kegagalan serius pada pengamanan sistem informasi, implementasi ISMS ini
akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang
ditimbulkan dalam masa waktu yang tidak lama.
Contoh :
Persoalan E-Commerce

20. E-commerce (perdagangan elektronik) telah memperkenalkan keamanan
baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi
perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang di lakukan
oleh gartner group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para
peritel.
E-Commerce di bandingkan dengan para pedagang yang berurusan dengan
pelanggan mereka secara langsung. Untuk mengatasi masalah ini, perusahaan-
perusahaan kartu kredit yang utama telah mengimplementasikan program yang di
tujukan secara khusus untuk keamanan kartu kredit e-commerce.

21. DAFTAR PUSTAKA
 https://www.proxsisgroup.com/articles/manajemen-keamanan-
informasi-di-perusahaan/
 MGA Maggie, 2013. http://megyanggraini.blogspot.com/2013/07/sistem-
informasi-manajemen-keamanan.html (04 Jul 2013)
 https://jigokushoujoblog.wordpress.com/2010/11/20/pentingnya-
manajemen-kontrol-keamanan-pada-sistem/
 Rosadi, Cepi, 2014. http://cvrosadi.blogspot.com/2014/07/makalah-
manajemen-keamanan-informasi.html (03 Jul 2014)
 Kurnia, Nadya. https://id.scribd.com/doc/292989180/sistem-keamanan-
informasi-manajemen
 Putra, Yananto Mihadi. (2018). Modul Kuliah Sistem Informasi
Manajemen: Implementasi Sistem Informasi. FEB - Universitas Mercu
Buana: Jakarta