informasi institut teknologi sepuluh nopember … · agenda presentasi latar belakang ... kerangka...
TRANSCRIPT
INSTITUT TEKNOLOGI SEPULUH NOPEMBER SURABAYA 2009
Jurusan Sistem
Informasi
“ EVALUASI KEAMANAN INFORMASI MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI) BERDASARKAN SNI ISO/IEC
27001:2009 STUDI KASUS: BIDANG APLIKASI DAN TELEMATIKA DINAS KOMUNIKASI DAN INFORMATIKA SURABAYA “
Oleh :
Moch. Rashid Ridho 5208100011
Pendahuluan
Latar Belakang
Permasalahan
Batasan masalah
Tujuan
Manfaat
Tinjauan Pustaka
Metode Penelitian
Hasil Penelitian dan Analisis Data
Perbaikan Keamanan Informasi
Jadwal Kegiatan
Daftar Pustaka
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Agenda Presentasi
LATAR BELAKANG
Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik.
Dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pendahuluan
Penyelenggara Pelayanan Publik harus menerapkan Tata Kelola Keamanan Informasi secara andal dan aman serta bertanggung jawab sesuai dengan ketentuan Pasal 15 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.
Sejak tahun 2008 Kementerian Kominfo telah menyelenggarakan sosialisasi dan bimbingan teknis (bimtek) untuk meningkatkan kesadaran akan pentingnya keamanan informasi.
Bimtek menjelaskan metode atau cara melakukan penilaian mandiri (self assessment) menggunakan alat bantu indeks KAMI yang telah disusun Direktorat Keamanan Informasi - Kementerian Kominfo.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pendahuluan (cont)
Dari hasil sosialisasi dan bimtek keamanan informasi tersebut, diketahui bahwa mayoritas instansi peserta belum memiliki atau sedang menyusun kerangka kerja keamanan informasi yang memenuhi standar SNI ISO/IEC 27001.
Beberapa instansi yang telah memiliki dokumentasi sistem manajemen keamanan informasi juga belum mengetahui apakah kerangka kerja yang mereka bangun telah memenuhi persyaratan standar SNI ISO/IEC 27001 karena belum menjalani audit secara independen.
Dari pemaparan diatas, perlu diadakannya tindak lanjut untuk mengawal dan memonitoring keamanan informasi pada instansi pemerintah dengan menggunakan aplikasi KAMI.
Hasil ini nantinya bisa memberikan gambaran mengenai kesiapan dan kematangan keamanan informasi serta tindak lanjut dari hasil penilaian yang telah dilakukan.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pendahuluan (cont)
Rumusan Masalah
Rumusan masalah yang akan diselesaikan dalam pengerjaan tugas akhir ini meliputi:
Bagaimana melakukan evaluasi kesiapan keamanan sistem informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya ?
Bagaimana melakukan penilaian terhadap kesiapan keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya ?
Bagaimana meningkatkan tingkat kelengkapan dan kematangan keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya ?
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pendahuluan (cont)
Batasan Masalah
Batasan pemasalahan dalam tugas akhir ini adalah:
Evaluasi ini hanya mencakup lingkup keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya
Evaluasi ini menggunakan Indeks Keamanan Informasi (KAMI) oleh Kementerian Kominfo berdasarkan Standart SNI ISO/IEC 27001:2009
Tugas Akhir ini tidak membahas mengenai TIK secara keseluruhan, hanya mencakup pada bagian keamanan informasi mengenai tata kelola, pengelolaan resiko, kerangka kerja, pengelolaan asset dan teknologi yang digunakan
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pendahuluan (cont)
Tujuan Tugas Akhir
Tujuan dari tugas akhir ini antara lain adalah sebagai berikut :
Untuk mengetahui kebutuhan keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya.
Untuk mengetahui tingkat kematangan kesiapan keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya.
Agar dapat memberikan saran perbaikan untuk keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pendahuluan (cont)
Relevansi atau Manfaat Kegiatan Tugas Akhir
Mengetahui hasil pengukuran tingkat kematangan keamanan informasi menggunakan indeks keamanan informasi (Indeks KAMI)
Memberikan gambaran kepada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya mengenai kesiapan keamanan informasi pada instansi yang dikelola
Memberikan informasi kepada Kementerian Kominfo mengenai kematangan keamanan informasi pada instansi yang berada di daerah-daerah khususnya bidang aplikasi dan telematika Dinas Komunikasi dan Informatika dikota Surabaya.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pendahuluan (cont)
Target Luaran
Adapun target luaran yang diharapkan dengan adanya Tugas Akhir ini adalah sebagai berikut:
Hasil analisa menggunakan aplikasi KAMI
Saran perbaikan Keamanan Informasi berdasarkan indeks KAMI
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pendahuluan (cont)
Indeks KAMI
Indeks KAMI adalah alat evaluasi untuk menganalisis tingkat kesiapan pengamanan informasi di instansi pemerintah.Alat evaluasi ini tidak ditujukan untuk menganalisis kelayakan atau efektivitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi. Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar SNI ISO/IEC 27001:2009. Hasil evaluasi indeks KAMI menggambarkan tingkat kematangan, tingkat kelengkapan penerapan SNI ISO/IEC 27001:2009 dan peta area tata kelola keamanan sistem informasi di instansi pemerintah. Sebagai gambaran, hasil evaluasi indeks KAMI dapat dilihat pada gambar dibawah ini.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Tinjauan Pustaka
Standart SNI ISO/IEC 27001:2009
Standart SNI ISO/IEC 27001:2009 “Teknologi informasi – Teknik keamanan – Sistem manajemen keamanan informasi - Persyaratan” disusun secara adopsi identik terhadap ISO 27001:2005, Information technology – Security techniques – Information security management systems – Requirement, dengan metode terjemahan oleh Panitia Teknis PK 03-02 Sistem Manajemen Mutu yang dibentuk oleh BSN.
SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Tinjauan Pustaka
Standar menyatakan persyaratan utama yang harus dipenuhi menyangkut:
Sistem manajemen keamanan informasi (kerangka kerja, proses dan dokumentasi)
Tanggung jawab manajemen
Audit internal SMKI
Manajemen tinjau ulang SMKI
Peningkatan berkelanjutan
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Tinjauan Pustaka
Disamping persyaratan utama di atas, standar ini mensyaratkan penetapan sasaran kontrol dan kontrol-kontrol keamanan informasi meliputi 11 area pengamanan sebagai berikut:
Kebijakan keamanan informasi
Organisasi keamanan informasi
Manajemen aset
Sumber daya manusia menyangkut keamanan informasi
Keamanan fisik dan lingkungan
Komunikasi dan manajemen operasi
Akses kontrol
Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem
informasi
Pengelolaan insiden keamanan informasi
Manajemen kelangsungan usaha (business continuity management)
Kepatuhan
INSTITUT TEKNOLOGI SEPULUH NOVEMBER
2012
Tinjauan Pustaka
Namun, pada buku "Pedoman Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik", Kondisi keamanan yang akan dievaluasi meliputi 5 (lima) area berikut:
Tata Kelola Keamanan Informasi
Manajemen Risiko Keamanan Informasi
Kerangka Kerja Pengelolaan Keamanan Informasi
Pengelolaan Aset Informasi
Teknologi Keamanan Informasi
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Tinjauan Pustaka
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Metode Penelitian
Tahap pendahuluan penelitian
Tahap evaluasi kesiapan keamanan
informasi
Tahap analisa dan kesimpulan
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Tahapan penelitian
Studi pendahuluan
- Studi pustaka
- Observasi
- Wawancara
Perumusan
Masalah
Penetapan tujuan
penelitian
Studi Literatur Studi Lapangan
Pengumpulan Data
- Profil Dinas Komunikasi
dan Informatika
- Proses bisnis Dinas
Komunikasi dan Informatika
Mendefinisikan ruang lingkup
Menetapkan
Peran atau
Tingkat
Kepentingan TIK
di Instansi
Menilai
Kelengkapan
Pengamanan 5
Area
Mengkaji Hasil
Indeks KAMI
Analisa dan
pembahasan
perbaikan
keamanan
informasi
Hasil
- Dokumen TA Hasil analisa
menggunakan KAMI dan
- Saran perbaikan keamanan informasi
terhadap Dinas Kominfo kota Surabaya
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pelaksanaan Pendahuluan TA (Tahap Pendahuluan Penelitian)
Sidang Proposal : 26 Maret 2012
Pengumpulan data dan informasi terkait : 27 - 8 April 2012
Dinas Komunikasi dan Informasi
(Website surabaya.go.id dan Kominfo)
Pembuatan dokumen penilaian evaluasi : 9 - 15 April 2012
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pelaksanaan Evaluasi TA (Tahap Evaluasi Kesiapan Keamanan Informasi)
Menganalisa Dokumen Hasil Risk Assement dan SOP : 16 - 22 April 2012
Penerapan SMKI (ISO 27001)
Pelatihan BIMTEK Indeks KAMI : 17 - 18 April 2012
Menganalisa Dokumen Hasil ICT Pura Kota Surabaya : 23 - 29 April 2012
Menyusun hasil evaluasi dan Buku Tugas Akhir : 01 - 13 Mei 2012
Menganalisa Dokumen Manajemen Mutu : 14 - 27 Mei 2012
ISO 9001 : 2008
Persiapan sidang Progress : 28 – 11 Juni ‘12
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Pelaksanaan evaluasi TA (Tahap Analisa dan Kesimpulan)
Menganalisa hasil penilaian yang telah dilakukan : 14-16 Juni 2012
Membuat saran perbaikkan : 18-24 Juni 2012
Menyelesaikan buku TA & persiapan sidang akhir : 24-30 Juni 2012
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Persiapan dan perlengkapan survei
Pelaksanaan evaluasi TA (Tahap Analisa dan Kesimpulan)
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Kegiatan BIMTEK KAMI
Kegiatan Analisa Di Dinas Kominfo
Pelaksanaan evaluasi TA (Tahap Analisa dan Kesimpulan)
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Kondisi Server Dinkominfo
Ruang Kantor Dinkominfo
Pelaksanaan evaluasi TA (Tahap Analisa dan Kesimpulan)
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Dokumen Sumber Informasi (Offline)
Pelaksanaan evaluasi TA (Tahap Analisa dan Kesimpulan)
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Dokumen Sumber Informasi (Online)
http://www.surabaya.go.id/
http://jdih.surabaya.go.id/
http://dinkominfo.surabaya.go.id/ https://lpse.surabaya.go.id
Pelaksanaan evaluasi TA (Tahap Analisa dan Kesimpulan)
Apa Itu KAMI??? Indeks KAMI adalah alat evaluasi untuk menganalisa tingkat
kesiapan pengamanan informasi di Instansi pemerintah.
Ada 6 area yg akan dievaluasi :
Peran TIK di dalam Instansi
Tata Kelola Keamanan Informasi
Pengelolaan Risiko Keamanan Informasi
Kerangka Kerja Keamanan Informasi
Pengelolaan Aset Informasi, dan
Teknologi dan Keamanan Informasi
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Paramater Penilaian
Peran dan Tingkat Kepentingan TIK di Instansi
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Peran dan Tingkat Kepentingan TIK di Instansi (Tahap wawancara dan pengamatan)
Karakteristik Instansi
1.1 Total anggaran tahunan yang dialokasikan untuk TIK A. Rp. 20 Milyard atau lebih B. Rp. 8 Milyard sampai dengan Rp. 20 Milyard C. Rp. 3 Milyard sampai dengan Rp 8 Milyard D. Rp. 1 Milyard sampai dengan Rp. 3 Milyard E. Kurang dari Rp. 1 Milyard
Kritis 4
A. Rp. 20 Milyard atau lebih, Dinas Kominfo mendapat anggaran dari APBD sebanyak Rp. 20 milyard atau lebih untuk keperluan TIK
Bukti
Pendukung
Daftar anggaran dana APBD Pemerintah kota Surabaya (Rahasia) Hasil wawancara
Catatan
Tambahan
Untuk dana TIK yang dikeluarkan oleh pemerintah kota surabaya lebih dari 20 Milyard dan digunakan untuk kebutuhan TIK Dinas – Dinas di pemerintahan kota Surabaya. Untuk kebutuhan Dinas Kominfo Surabaya dialokasikan dana sekitar 20 Milyard lebih dari APBD pemerintah kota Surabaya. Dana tersebut digunakan untuk biaya operasional, pembelian dan perawatan kebutuhan TIK untuk Dinas Kominfo.
Jawaban : Kritis
Kesimpulan :
Penggunaan TIK merupakan satu-satunya cara untuk menjalankan proses kerja yang bersifat strategis atau berskala nasional.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Peran dan Tingkat Kepentingan TIK di Instansi (Tahap wawancara dan pengamatan)
Hasil
Skor Peran dan Tingkat Kepentingan TIK di
Instansi 45
Tingkat Ketergantungan Kritis
Paramater Penilaian
5 Area Keamanan Informasi
Dalam perencanaan
Sudah menjadi rencana resmi instansi dan akan dilaksanakan melalui kegiatan internal/proyek
Kebijakan/prosedur pengamanan dalam versi draft
Dalam penerapan atau diterapkan sebagian
Proyek/kegiatan sedang berjalan atau diterapkan secara bertahap
Kebijakan/prosedur sudah dirilis secara resmi tetapi masih tahap implementasi
Diterapkan secara menyeluruh
Sudah berjalan di seluruh area sesuai dengan ruang lingkup yang didefinisikan
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Tata Kelola Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Diterapkan secara menyeluruh
2.1 II 1 Apakah pimpinan Instansi anda secara prinsip dan resmi bertanggungjawab terhadap pelaksanaan program keamanan informasi (misal yang tercantum dalam ITSP), termasuk penetapan kebijakan terkait? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan
Diterapkan secara
menyeluruh 3
A. Diterapkan secara menyeluruh, pimpinan pada Dinas Kominfo secara prinsip dan resmi bertanggung jawab terhadap pelaksanaan keamanan informasi
Bukti
Pendukung
Tugas pokok dan fungsi Dinas Kominfo pada bidang Aplikasi dan Telematika Kebijakan Kepala Dinas, lampiran bukti B.8 Gambar No.38
Catatan
Tambahan
Pimpinan instansi di Dinas Kominfo yaitu kepala Dinas Kominfo bertanggung jawab terhadap pelaksanaan program keamanan informasi yang diterapkan pada lingkungan Dinas. Untuk masing-masing bagian, setiap kepala bidang bertanggung jawab atas keamanan informasi di Dinas Kominfo. Lampiran bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI No. 6
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Tata Kelola Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Dalam penerapan / diterapkan sebagian
2.6 II 1 Apakah Instansi anda sudah mendefinisikan persyaratan / standar kompetensi dan keahlian pelaksana pengelolaan keamanan informasi? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan
Dalam penerapan / diterapkan sebagian
2
B. Dalam penerapan/diterapkan sebagian, di Dinas Kominfo masih dalam tahap mengimplementasikan sebagian dari definisi persyaratan khusus/standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi
Bukti
Pendukung
Data Nominatif Pegawai Negeri Sipil Dinas Komunikasi dan Informatika Pemerintah kota Surabaya
Data Tenaga Kontrak 2011 Dinas Komunikasi dan Informatika SOP Job Description pada ISO 9001:2008, lampiran bukti B.4 Dokumen SOP ISO 9001 :
2008 Gambar No. 21 Peraturan mengenai standart kompetensi, kesadaran dan pelatihan, lampiran bukti B.3
Dokumen Manual Mutu ISO 9001 : 2008 Gambar No. 12 Catatan
Tambahan
Persyaratan / standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi dalam tahap diterapkan sebagian secara spesifik dan dalam bentuk dokumen tertulis yang dapat dijadikan acuan SOP dalam penerimaan pegawai untuk pengelolaan keamanan informasi. Kendala lain yang membuat hal ini tidak bisa dilakukan secara keseluruhan oleh dinas komunikasi dan informatika adalah kebijakan sentral dari pusat dalam proses penerimaan dan penyebaran PNS dilingkungan Dinas.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Tata Kelola Keamanan Informasi (Tahap wawancara dan pengamatan)
Hasil
Total Nilai Evaluasi Tata Kelola 112
Tingkat Kematangan III+
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Pengelolaan Resiko Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Diterapkan secara menyeluruh
3.8 II 1 Apakah Instansi anda sudah menjalankan inisiatif analisa / kajian risiko keamanan informasi secara terstruktur terhadap aset informasi yang ada (untuk nantinya digunakan dalam mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian dari program pengelolaan keamanan informasi)? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan
Diterapkan secara menyeluruh
3
A. Diterapkan secara menyeluruh, Dinas Kominfo bidang aplikasi dan telematika sudah menjalankan inisiatif analisa / kajian risiko keamanan informasi secara terstruktur terhadap aset informasi yang ada (untuk nantinya digunakan mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian program pengelolaan keamanan informasi)
Bukti
Pendukung
Dokumen Risk Assestment dan laporan mendalam keamanan informasi, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 1
Catatan
Tambahan
Dinas Komunikasi dan informatika khususnya bidang aplikasi dan telematika sudah menjalankan inisiatif analisa / kajian risiko keamanan informasi secara terstruktur terhadap aset informasi yang ada (untuk nantinya digunakan dalam mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian dari program pengelolaan keamanan informasi). Dan hasil dari Risk Assestment menghasilkan sebuah SOP yang menjadi dokumen resmi Dinas Kominfo dalam menerapkan keamanan informasi sesuai ISO 27001 : 2005
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Pengelolaan Resiko Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Dalam penerapan/diterapkan sebagian
3.1 II 1 Apakah Instansi anda mempunyai program kerja pengelolaan risiko keamanan informasi yang terdokumentasi dan secara resmi digunakan? A. Diterapkan secara menyeluruh B. Dalam penerapan / diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan
Dalam penerapan / diterapkan
sebagian 2
B. Dalam penerapan / diterapkan sebagian, Dinas Kominfo bidang aplikasi dan telematika mempunyai program kerja pengelolaan risiko keamanan informasi yang terdokumentasi dan secara resmi digunakan.
Bukti
Pendukung
Sebagian contoh tugas/ program kerja terkait pengelolaan resiko yang telah diterapkan oleh dinas kominfo khususnya bidang aplikasi dan telematika.
Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk
Assestment dan SOP SMKI Gambar No. 2
Catatan
Tambahan
Dokumen SOP keamanan informasi merupakan pedoman bagi bidang aplikasi dan telematika dalam pengelolaan resiko terkait keamanan informasi. Dari dokumen SOP kemanan informasi ini, kemudian diimplementasikan kedalam program kerja pengelolaan risiko keamanan informasi yang terdokumentasi dan ditugaskan kepada pihak staf selaku pelaksana program kerja.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Pengelolaan Resiko Keamanan Informasi (Tahap wawancara dan pengamatan)
Hasil
Total Nilai Evaluasi Pengelolaan Risiko
Keamanan Informasi 53
Tingkat Kematangan III
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Kerangka Kerja Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Diterapkan secara menyeluruh
4.6 II 1 Apakah aspek keamanan informasi yang mencakup pelaporan insiden, menjaga kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset tercantum dalam kontrak dengan pihak ketiga? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan
Diterapkan secara menyeluruh
3
A. Diterapkan secara menyeluruh, aspek keamanan informasi yang mencakup pelaporan insiden, menjaga kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset tercantum dalam kontrak dengan pihak ketiga.
Bukti
Pendukung
Contoh surat kontrak dengan pegawai kontrak Dinas Kominfo bidang aplikasi dan telematika, B.6 Dokumen Kontrak Kerja Gambar No.30, No.31, No. 32 dan No 33
Pengumuman kebijakan keamanan informasi untuk bidang aplikasi dan telematika yang telah disahkan oleh kepala Dinas Komunikasi dan Informatika, lampiran bukti B.10 Dokumentasi ruangan kantor Aptel Gambar No. 38
Catatan
Tambahan
Setiap ada pihak ketiga yang ingin mengakses, bekerjasama ataupun melakukan sebuah riset terdapat sebuah pemberitahuan ataupun kontrak tertulis dengan pihak ketiga mengenai menjaga kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset serta ancaman jika terdapat pihak ketiga yang melanggar.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Kerangka Kerja Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Dalam penerapan / diterapkan sebagian
4.1 II 1 Apakah kebijakan dan prosedur keamanan informasi sudah disusun dan dituliskan dengan jelas, dengan mencantumkan peran dan tanggungjawab pihak-pihak yang diberikan wewenang untuk menerapkannya? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan
Dalam penerapan / diterapkan sebagian
2
B. Dalam penerapan/diterapkan sebagian, kebijakan dan prosedur keamanan informasi sudah disusun dan dituliskan dengan jelas, dengan mencantumkan peran dan tanggungjawab pihak-pihak yang diberikan wewenang untuk menerapkannya
Bukti
Pendukung
Dokumen Risk Assestment dan laporan mendalam keamanan informasi, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 1. Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP
SMKI Gambar No. 2 Catatan
Tambahan
Pengimplementasian keamanan informasi berdasarkan SOP yang sudah dibuat telah menjadi dokumen resmi dari Keamanan Informasi bidang aplikasi dan telematika serta telah memasuki tahap pengimplementasian secara bertahap oleh bidang aplikasi dan telematika seperti prosedur peningkatan pelatihan pegawai dengan memberikan BIMTEK terkait keamanan informasi. Kemudian prosedur Business Continuity Planning (BCP) dengan membuat data center dan colocation jika terjadi sesuatu yang tidak diingikan seperti kegagalan sistem, bencana alam, kebakaran ataupun gempa yang bisa menghentikan proses.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Kerangka Kerja Keamanan Informasi (Tahap wawancara dan pengamatan)
Hasil
Total Nilai Evaluasi Kerangka Kerja 123
Tingkat Kematangan II+
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Pengeloaan Aset Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Diterapkan secara menyeluruh
5.1 II 1 Apakah tersedia daftar inventaris aset informasi yang lengkap dan akurat? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan
Diterapkan secara
menyeluruh 3
A. Diterapkan secara menyeluruh, tersedia daftar inventaris aset informasi yang lengkap dan akurat
Bukti
Pendukung
Daftar inventaris Dinas Kominfo Surabaya bidang APTEL, lampiran bukti B.14 Data dari PPT, PDF, dll Gambar No. 56
Catatan
Tambahan
Dinas Kominfo Surabaya bidang APTEL telah memiliki daftar inventaris aset informasi yang didokumentasikan dan diupdate.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Pengeloaan Aset Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Dalam penerapan / diterapkan sebagian
5.30 II 2 Apakah konstruksi ruang penyimpanan perangkat pengolah informasi penting menggunakan rancangan dan material yang dapat menanggulangi risiko kebakaran dan dilengkapi dengan fasilitas pendukung (deteksi kebakaran/asap, pemadam api, pengatur suhu dan kelembaban) yang sesuai? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan
Dalam penerapan/diterapkan sebagian
2
B. Dalam penerapan/ diterapkan sebagian, konstruksi ruang penyimpanan perangkat pengolah informasi penting menggunakan rancangan dan material yang dapat menanggulangi risiko kebakaran dan dilengkapi dengan fasilitas pendukung (deteksi kebakaran/asap, pemadam api, pengatur suhu dan kelembaban) yang sesuai
Bukti
Pendukung
Prosedur Server, lampiran bukti B.4 Dokumen SOP ISO 9001 : 2008 Gambar No. 15
Catatan
Tambahan
Dinas Kominfo khususnya bidang aplikasi dan telematika telah memiliki sertifikasi ISO 9001 : 2008 terkait manajemen mutu yaitu SOP mengenai manajemen server
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Pengeloaan Aset Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Dalam perencanaan
5.20 III 2 Prosedur penghancuran data/aset yang sudah
tidak diperlukan
A. Diterapkan secara menyeluruh
B. Dalam penerapan/ diterapkan sebagian
C. Dalam perencanaan
D. Tidak dilakukan
Dalam
perencanaan 1
C. Dalam perencanaan, Dinas Kominfo bidang aplikasi dan telematika
menerapkan prosedur penghancuran data/aset yang sudah tidak
diperlukan Bukti
Pendukung
Draf Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1
Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 2 Catatan
Tambahan
Dinas Komunikasi dan Informatika bidang aplikasi dan telematika telah
memiliki SOP keamanan informasi resmi terkait prosedur penghancuran
data/aset yang sudah tidak diperlukan yaitu SOP Pemusnahan Media Back
Up
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Pengeloaan Aset Keamanan Informasi (Tahap wawancara dan pengamatan)
Hasil
Total Nilai Evaluasi Pengelolaan Aset 120
Tingkat Kematangan II
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Teknologi & Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Diterapkan secara menyeluruh
6.15 III 2 Apakah sistem dan aplikasi yang digunakan sudah menerapkan pembatasan waktu akses termasuk otomatisasi proses timeouts, lockout setelah kegagalan login,dan penarikan akses? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan
Diterapkan secara
menyeluruh 3
A. Diterapkan secara menyeluruh, semua sistem dan aplikasi yang digunakan sudah menerapkan pembatasan waktu akses termasuk otomatisasi proses timeouts, lockout setelah kegagalan login,dan penarikan akses
Bukti
Pendukung
Percobaan akses pada website JDIH, lampiran bukti B.13 Data dari Website Gambar No.52
Percobaan akses di server dan client menerapkan sistem otomatisasi proses timeout.
Catatan
Tambahan
Dinas Kominfo bidang aplikasi dan telematika telah menerapkan sistem pembatasan waktu akses termasuk otomatisasi proses timeouts, lockout setelah kegagalan login.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Teknologi & Keamanan Informasi (Tahap wawancara dan pengamatan)
Jawaban : Dalam penerapan / diterapkan sebagian
6.5 II 1 Apakah jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/keutuhan konfigurasi? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan
Dalam penerapan/ diterapkan sebagian
2
B. Dalam penerapan/ diterapkan sebagian, jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/keutuhan konfigurasi
Bukti
Pendukung
Draf Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 2
Dokumen SOP ISO 9001:2008, lampiran bukti B.4 Dokumen SOP ISO 9001 : 2008 Gambar No. 13
Lampiran bukti jadwal check list perawatan ruangan APTEL B.5 Dokumen Laporan SOP ISO 9001 : 2008 Gambar No. 27
Catatan
Tambahan
Dinas Kominfo khususnya bidang aplikasi dan telematika telah memiliki jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/keutuhan konfigurasi yaitu draf SOP tindakan perbaikkan dan pencegahan. Untuk SOP ISO 9001:2008, terdapat SOP yang mengatur pengembangan dan pemeliharaan aplikasi
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Teknologi & Keamanan Informasi (Tahap wawancara dan pengamatan)
Hasil
Total Nilai Evaluasi Teknologi dan
Keamanan Informasi 90
Tingkat Kematangan II+
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Grafik Hasil Penilaian KAMI (Tahap wawancara dan pengamatan)
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Grafik Hasil Penilaian KAMI (Tahap wawancara dan pengamatan)
Tata Kelola
PengelolaanRisiko
Kerangka KerjaPengelolaan
Aset
Aspek Teknologi
Kepatuhan ISO 27001/SNI
Proses Penerapan
Kerangka Kerja Dasar
Responden
98,24 %
77,94 % 83,33 %
78,43 % 87,23 %
Dari hasil saran perbaikkan point-point yang kurang pada area tata kelola keamanan informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi adalah sebagai berikut :
Efektifitas pengamanan dievaluasi secara berkala dengan melalui proses yang terstruktur.
Memperbaiki beberapa kelemahan dalam sistem manajemen tata kelola masih ditemukan sehingga dapat mengakibatkan dampak yang signifikan.
Meningkatkan tata kelola pengamanan yang sudah mematuhi ambang batas minimum standar atau persyaratan hukum yang terkait.
Meningkatkan kesadaran kepada semua pihak yang terlibat, untuk menyadari tanggungjawab mereka dalam pengamanan informasi.
Menerapkan seluruh persyaratan dan standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi keseluruh lingkup area kerja bidang aplikasi dan telematika.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Tata Kelola Keamanan Informasi
Dari hasil saran perbaikkan point-point yang kurang pada area pengelolaan resiko keamanan informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi adalah sebagai berikut :
Menerapkan secara menyeluruh pengelolaan resiko untuk menjadi bagian dari kriteria proses penilaian obyektif kinerja efektifitas pengamanan terhadap semua aktivitas IT bidang Aplikasi dan telematika.
Melaksanakan evaluasi secara menyeluruh terhadap program pengelolaan resiko keamanan informasi yang telah dilaksanakan.
Melakukan dokumentasi terhadap penyelesaian langkah mitigasi yang sudah diterapkan untuk mengetahui kondisi perkembangan status penyelesaian langkah mitigasi resiko dipantau secara berkala.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Pengelolaan Resiko Keamanan Informasi
Dari hasil saran perbaikkan point-point yang kurang pada area kerangka kerja keamanan informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi adalah sebagai berikut :
Menerapkan secara menyeluruh kebijakan dan prosedur keamanan informasi terhadap semua aktivitas IT bidang aplikasi dan telematika.
Menerapkan secara menyeluruh proses penerapan perencanaan pemulihan bencana terhadap layanan TIK (disaster recovery plan) yang sudah didefinisikan komposisi, peran, wewenang dan tanggungjawab tim yang ditunjuk.
Melaksanakan evaluasi secara menyeluruh terhadap pengelolaan kebijakan dan prosedur keamanan informasi yang telah disusun dan dituliskan dengan jelas, dengan mencantumkan peran dan tanggungjawab pihak-pihak yang telah diberikan wewenang.
Melakukan dokumentasi dan pelaporan terhadap penerapan kerangka kerja keamanan informasi yang dipantau secara berkala.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Kerangka Kerja Pengelolaan
Keamanan Informasi
Dari hasil saran perbaikkan point-point yang kurang pada area pengelolaan aset informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi adalah sebagai berikut :
Menerapkan secara menyeluruh proses penerapan definisi tingkatan akses yang berbeda dan matrix yang merekam alokasi akses pada bidang aplikasi dan telematika.
Menerapkan secara menyeluruh proses penerapan konstruksi ruang penyimpanan perangkat pengolah informasi penting menggunakan rancangan dan material yang dapat menanggulangi segala resiko yang akan terjadi.
Melaksanakan secara menyeluruh prosedur pengelolaan aset informasi.
Menerapkan sanksi atau denda yang telah dibuat, kepada semua pihak yang lalai dalam melaksanakan pengelolaan aset informasi.
Melaksanakan secara menyeluruh tata tertib penggunaan komputer, email, internet dan intranet serta peraturan pengamanan data pribadi.
Melakukan kajian terhadap pengelolaan aset informasi.
Melaksanakan secara menyeluruh dokumentasi dan pelaporan terhadap segala aktivitas pengelolaan aset informasi.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Pengelolaan Aset Keamanan Informasi
Dari hasil saran perbaikkan point-point yang kurang pada area teknologi dan keamanan informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi adalah sebagai berikut :
Menerapkan secara menyeluruh proses penerapan konfigurasi standar untuk keamanan sistem bagi keseluruhan aset komputer dan perangkat jaringan, yang dimutakhirkan sesuai perkembangan dan kebutuhan pada bidang aplikasi dan telematika.
Menerapkan secara menyeluruh proses penerapan menerapkan pengamanan untuk mendeteksi dan mencegah penggunaan akses jaringan (termasuk jaringan nirkabel) yang tidak resmi.
Melaksanakan secara menyeluruh prosedur keamanan informasi.
Menerapkan sanksi atau denda yang telah dibuat, kepada semua pihak yang lalai dalam melaksanakan pengelolaan teknologi dan keamanan informasi.
Melaksanakan secara menyeluruh dokumentasi dan pelaporan terhadap segala aktivitas pengelolaan teknologi dan keamanan informasi.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Teknologi dan Keamanan Informasi
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Area Tata Kelola Keamanan Informasi
No Kategori
Kematangan
Kategori Pengamanan
Point Evaluasi Tata Kelola Status
/ Kondisi Skor
2.6 II 1 Apakah Instansi anda sudah mendefinisikan persyaratan / standar kompetensi dan keahlian pelaksana pengelolaan keamanan informasi?
Dalam Penerapan / Diterapkan Sebagian
3
Saran Perbaikkan
1. Menerapkan seluruh persyaratan dan standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi keseluruh lingkup area kerja bidang aplikasi dan telematika. Dengan cara menerapkan langkah sebagai berikut :
Melakukan seleksi secara selektif terhadap SDM yang akan diterima, dilihat dari : CV Pendidikan terakhir, minimal S1 Jurusan IT Prestasi dan keahlian di bidang IT Tes IQ dan Kepribadian Sertifikat keahlian dibidang IT. Penguasaan bahasa
Pendidikan dan pelatihan keamanan informasi. Ada beberapa alternatif pendidikan dan alternatif mengenai keamanan informasi, antara lain : CISA (Certified Information Systems Auditor)
Biaya ujian CISA sebesar USD 475. Informasi lengkap mengenai CISA bisa diakses di http://www.isaca.org. Secara teratur, ISACA mengadakan ujian CISA di Jakarta setiap 6 bulan.
CISSP dikeluarkan oleh International Information Systems Security Certification Consortium (ISC)². CISSP dengan membayar USD 550. Jika lulus ujian dan belum memiliki pengalaman selama 5 tahun di 2 CBK domain yang berbeda, orang tersebut masih berstatus CISSP Associate. Ujian diadakan setiap tahunnya dijakarta, Informasi lengkap mengenai CISSP bisa diakses di http://www.isc2.org
2.7 II 1 Apakah semua pelaksana pengamanan informasi di Instansi anda memiliki kompetensi dan keahlian yang memadai sesuai persyaratan / standar yang berlaku?
Dalam Penerapan/ Diterapkan Sebagian
3
Saran Perbaikkan
1. Menerapkan secara menyeluruh pengamanan informasi di Instansi dengan memasukkan SDM yang memiliki kompetensi dan keahlian memadai sesuai persyaratan/standar yang berlaku.
2. Meningkatkan kesadaran semua pihak yang terlibat menyadari tanggungjawab mereka dalam pengamanan informasi.
Perbaikkan Keamanan Informasi
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Meningkatkan awarness pegawai terhadap Keamanan Informasi
Perbaikkan Keamanan Informasi
Meningkatkan teknologi Keamanan Informasi
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Internasional Information Systems Security Certification Consortium (ISC) ²
Berkantor pusat di Amerika Serikat , berdiri tahun 1988
Lembaga ini diakui untuk sertifikasi Standar Internasional dan Program pendidikan kelas dunia.
Memiliki lebih dari 75.000 anggota Lembaga ini menyediakan surat sertifikasi para
profesional di lebih dari 135 negara
Information Systems Audit and Contro; Association (ISACA)
ISACA berdiri pada tahun 1967
Keanggotaan lebih dari 95.000 yang kuat di seluruh dunia.
Anggota tinggal dan bekerja di lebih dari 160 negara dan mencakup berbagai posisi yang berkaitan dengan IT profesional meilputi: auditor, konsultan, pendidik, IS keamanan profesional, regulator, petugas informasi kepala dan auditor internal.
Kesimpulan
Kesimpulan yang dapat diambil dalam pengerjaan tugas akhir dengan studi kasus evaluasi kesiapan keamanan sistem informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya antara lain:
Dengan menggunakan aplikasi Indeks KAMI yang diterbitkan oleh Kementerian Komunikasi dan Informatika berdasarkan SNI ISO/IEC 27001:2009. Indeks KAMI digunakan untuk mengevaluasi tingkat kesiapan dan kematangan keamanan informasi pada instansi pemerintahan pada 5 area evaluasi keamanan.
Hasil analisis data menjelaskan bahwa ketergantungan bidang aplikasi dan telematika (Aptel) masuk dalam kategori kritis. Sedangkan untuk tingkat keamanan, aptel mendapatkan skor 498, skor ini masuk dalam kategori baik untuk mengimplementasikan standart ISO 27001.
Untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi. Bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya harus menerapkan seluruh prosedur dan kebijakan keamanan informasi pada seluruh area.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Saran
Saran yang dapat diambil untuk perbaikan secara menyeluruh, dalam pengerjaan tugas akhir dengan studi kasus evaluasi kesiapan keamanan sistem informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya dengan menerapkan tahap 5 D antara lain:
1. Dilaksanakan, bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya harus melaksanakan semua kebijakan dan prosedur keamanan informasi pada semua area. Hal ini bertujuan untuk memaksimalkan pencapaian dan tingkat kematangan keamanan informasi
2. Dimonitoring, setelah melakukan dan melaksanakan seluruh kebijakan dan prosedur yang ada. Bidang Aplikasi dan telematika harus selalu memonitoring segala aktivitas IT meliputi kinerja pegawai, kinerja hardware dan software pengamanan serta penerapan regulasi(sanksi dan hukuman) yang ada terkait keamanan informasi.
3. Dievaluasi, tahapan ini bertujuan untuk mengevaluasi setiap penerapan kebijakan dan prosedur terkait keamanan informasi. Evaluasi ini menilai efektifitas, kinerja, dan efisiensi terhadap segala aktivitas IT yang dilakukan
4. Diperbarui, tahapan ini merupakan langkah selanjutnya dari proses evaluasi penerapan kebijakan dan prosedur. Apabila dalam hasil evaluasi tersebut terdapat kekurangan baik dalam penerapan kebijakan, prosedur, teknologi dan SDM, maka perlu adanya tindakan pembaruan atau perbaikan.
5. Dokumentasi, tahap ini bertujuan untuk, melaporkan mencatat dan merekam segala aktivitas IT yang berhubungan dengan keamanan informasi.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Daftar Pustaka
[1] Alexander, M. (2010). Excel Dashboard & Report. Hoboken: Wiley.
[2] Alter, S. (1992). Information System: A Management Perspective. The Benjamin/Cummings Publishing Company, Inc.
[3] Alter, S. (2002). The Information System: The Foundation of E-Business (4th ed.). New Jersey: Pearson Education, Inc.
[4] Arbiansyah, G., Kristianto, D., Neneng. (2010). Pemetaan Model Tata Kelola Teknologi Informasi Yang Menunjang Strategi Dan Visi Oorganisasi Di Indonesia Pada Bank Swasta XYZ. Seminar Nasional Aplikasi Teknologi Informasi 2010 (SNATI 2010), (hal. 133-137). Yogyakarta.
[5] Badan Standardisasi Nasional, 2. (2009, Februari 21). http://websisni.bsn.go.id/index.php?/sni_main/sni/detail_sni/10233. Dipetik Februari 21, 2012, dari websisni.bsn.go.id: http://websisni.bsn.go.id/index.php?/sni_main/sni/detail_sni/10233
[6] Basics of business intelligence. (2003). Dipetik February 2011, dari IBM: www-03.ibm.com/systems/.../systems_storage_solutions_business_intelligence_pdf_business-intel.pdf
[7] Bonar, George H., Hopwood, William S. (1993). Accounting Information System (5th ed.). Prentice-Hall, Inc.
[8] Carlson, T. (2001). Information Security Management: Understanding ISO 17799. Lucent Technologies Worldwide Services.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Daftar Pustaka
[9] Detiknas. (2007). Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Jakarta: Depkominfo.
[10] Few, S. (2006). Information Dashboard Design. Italy: Oreilly.
[11] Gasperz, V. (2002). ISO 9001:2000 And Continual Quality Improvement. Jakarta: PT. Gramedia Pustaka Utama.
[12] Gelinas, Ulric J., Oram, Allan E., Wiggins, William P. (1990). Accounting Information System. PWS-KENT Publishing Company.
[13] Guldentops, E., Van Grembergen, W., & De Haes, S. (2002). Control and Governance Maturity Survey: Establishing a reference benchmark and a self assesment tool. Information System Control Journal, 6 .
[15] Hall, J. A. (2001). Accounting Information Systems (3rd ed.). South Western College Publishing.
[16] Hisham, M. Haddad, Brunil, D. Romero. (2009). Asset Identification for Security Risk Assesment in Web Application. International Journal Of Software Engineering, IJSE , II.
[17] Industry, M. o. (1999). Corporate approaches to IT Governance. Dipetik December 30, 2010, dari www.jipdec.or.jp/chosa/MITIBE/sld001.htm
[18] ISO. (2005). ISO/IEC 17799. Switzerland: International Standard for Organization.
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Daftar Pustaka
[19] ITGI. (2001). Board Briefing on IT Governance. Dipetik December 28, 2010, dari www.itgi.org
[20] ITGI. (2000). Control Objectives for Information and Related Technologies (COBIT) (3 ed.). USA.
[21] Joan Hash, d. 2. (2012, Februari 19). http://csrc.nist.gov/publications/nistpubs/800-18-Rev1/sp800-18-Rev1-final.pdf. Dipetik Februari 2012, 2012, dari csrc.nist.gov: http://csrc.nist.gov/publications/nistpubs/800-18-Rev1/sp800-18-Rev1-final.pdf
[22] Jobbe, D., & Lancaster., G. (2009). Selling and sales management — 8th ed. Edinburgh Gate: Pearson Education Limited.
[23] Kadir, A. (2003). Pengenalan Sistem Informasi. Yogyakarta: Penerbit ANDI.
[24] Lucas, H. (2000). Information Technology for Management (7th ed.). Irwin/McGraw-Hill.
[25] Malik, S. (2005). Enterprise dashboards : design and best practices for IT. Hoboken, New Jersey.: John Wiley & Sons, Inc.
[26] Martin, E. (1999). Managing Information Technology What Managers Need to Know (3rd ed.). New Jersey: Pearson Education International.
[27] Mattord, M. W. (2010). Management Of Information System. . Course Technology CENGAGE Learning.
Penulis bernama lengkap Moch. Rashid Ridho, lahir di surabaya 20 September 1989. Penulis dalam pergaulannya dilingkungan sistem informasi biasa dipanggil “ridho”.
Penulis menempuh pendidikan TK Al-Hidayah Surabaya, SD Negeri Kebonsari II/415 Surabaya, SMP Negeri 22 Surabaya, SMA Negeri 18 Surabaya, Penulis melanjutkan penddikan ke jenjang S1 di jurusan sistem informasi, fakultas teknologi informasi,institut teknologi sepuluh nopember surabaya memalui jalur PMDK Mandiri pada tahun 2008.
Selama kuliah penulis aktif dalam organisasi Himpunan Mahasiswa Jurusan (HMJ), mengikuti UKM paduan suara ITS, aktif dalam kegiatan Latihan Keterampilan Manajemen Mahasiswa (LKMM) ITS dan memiliki kegiatan bisnis selama masa perkuliahan. Beberapa pencapaian prestasi penulis diantaranya adalah juara 2 kompetisi bisnis online jurusan sistem informasi (Siboy), juara 1 lomba kompetisi bisnis ITS, dan juara favorit lomba bisnis online yang diadakan oleh bank CIMB serta beberapa penghargaan lainnya. Jika terdapat pertanyaan mengenai tugas akhir ini, penulis dapat dihubungi melalui [email protected]
INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012
Biodata Penulis