1 Information Information Security Security Edhot Purwoko,ST,MTI Edhot Purwoko,ST,MTI
Jan 07, 2016
11
Information SecurityInformation Security
Edhot Purwoko,ST,MTIEdhot Purwoko,ST,MTI
4
Organizational Needs for Organizational Needs for Security and ControlSecurity and Control
►Pengalaman menginspirasikan industri Pengalaman menginspirasikan industri untuk:untuk: Menempatkan keamanan Menempatkan keamanan
pencegahan tindakan yang bertujuan pencegahan tindakan yang bertujuan untuk menghilangkan atau untuk menghilangkan atau mengurangi kemungkinan kerusakan mengurangi kemungkinan kerusakan atau kehancuran. atau kehancuran.
Menyediakan perusahaan Menyediakan perusahaan kemampuan untuk melanjutkan kemampuan untuk melanjutkan operasional setelah gangguan.operasional setelah gangguan.
5
Information SecurityInformation Security
►Keamanan sistemKeamanan sistem berfokus berfokus melindungi perangkat keras, data, melindungi perangkat keras, data, perangkat lunak, fasilitas komputer, perangkat lunak, fasilitas komputer, dan personal. dan personal.
► Keamanan informasiKeamanan informasi mendeskripsikan mendeskripsikan perlindungan baik peralatan komputer dan perlindungan baik peralatan komputer dan non-peralatan komputer, fasilitas, data, dan non-peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh pihak-informasi dari penyalahgunaan oleh pihak-pihak yang tidak berwenang. pihak yang tidak berwenang. Termasuk mesin fotokopi, fax, semua jenis Termasuk mesin fotokopi, fax, semua jenis
media, dokumen kertas media, dokumen kertas
6
Tujuan Keamanan SistemTujuan Keamanan Sistem
► Keamanan informasi ini dimaksudkan untuk Keamanan informasi ini dimaksudkan untuk mencapai tiga tujuan utama: mencapai tiga tujuan utama: Confidentiality:Confidentiality: Melindungi data perusahaan dan Melindungi data perusahaan dan
informasi dari pengungkapan orang yang tidak berhak.informasi dari pengungkapan orang yang tidak berhak. Availability:Availability: Memastikan bahwa data perusahaan dan Memastikan bahwa data perusahaan dan
informasi hanya tersedia bagi mereka yang berwenang informasi hanya tersedia bagi mereka yang berwenang untuk menggunakannya untuk menggunakannya
Integrity:Integrity: Sistem informasi harus memberikan Sistem informasi harus memberikan representasi akurat dari sistem fisik yang mereka representasi akurat dari sistem fisik yang mereka wakili. wakili.
► Sistem informasi perusahaan harus melindungi Sistem informasi perusahaan harus melindungi data dan informasi dari penyalahgunaan, data dan informasi dari penyalahgunaan, memastikan ketersediaan untuk pihak pengguna, memastikan ketersediaan untuk pihak pengguna, menampilkan keakuratannya. menampilkan keakuratannya.
7
Management of Information Management of Information SecuritySecurity
► Information security managementInformation security management ( (ISMISM) ) adalah Aktifitas untuk menjaga sumber daya adalah Aktifitas untuk menjaga sumber daya informasi tetap amaninformasi tetap aman
► Business continuity managementBusiness continuity management ( (BCMBCM) ) Adalah aktifitas menjaga fungsi perusahaan Adalah aktifitas menjaga fungsi perusahaan dan sumber informasi setelah sebuah dan sumber informasi setelah sebuah bencanabencana
► Corporate information systems security Corporate information systems security officerofficer ( (CISSOCISSO) adalah Bertanggung jawab ) adalah Bertanggung jawab atas keamanan sistem informasi perusahaanatas keamanan sistem informasi perusahaan
► Corporate information assurance officerCorporate information assurance officer ((CIAOCIAO) Melaporkan kepada CEO dan ) Melaporkan kepada CEO dan mengelola sebuah unit information assurancemengelola sebuah unit information assurance
8
Information Security Information Security ManagementManagement
► Terkait dengan perumusan kebijakan keamanan informasi Terkait dengan perumusan kebijakan keamanan informasi perusahaan. perusahaan.
► Pendekatan manajemen risiko berbasis keamanan sumber daya Pendekatan manajemen risiko berbasis keamanan sumber daya informasi perusahaan pada risiko (ancaman dikenakan) yang informasi perusahaan pada risiko (ancaman dikenakan) yang dihadapinya. dihadapinya.
► Information security benchmarkInformation security benchmark adalah tingkat keamanan adalah tingkat keamanan yang direkomendasikan bahwa dalam keadaan normal harus yang direkomendasikan bahwa dalam keadaan normal harus menawarkan perlindungan wajar terhadap gangguan yang tidak menawarkan perlindungan wajar terhadap gangguan yang tidak sah.sah. Benchmark adalah suatu tingkat kinerja yang Benchmark adalah suatu tingkat kinerja yang
direkomendasikandirekomendasikan Ditetapkan oleh pemerintah dan asosiasi industriDitetapkan oleh pemerintah dan asosiasi industri Wewenang apa diyakini sebagai komponen dari suatu program Wewenang apa diyakini sebagai komponen dari suatu program
keamanan informasi yang baik.keamanan informasi yang baik.► Kepatuhan Benchmark/Benchmark complianceKepatuhan Benchmark/Benchmark compliance adalah ketika adalah ketika
sebuah perusahaan mematuhi patokan keamanan informasi dan sebuah perusahaan mematuhi patokan keamanan informasi dan standar yang direkomendasikan oleh industri yang berwenang. standar yang direkomendasikan oleh industri yang berwenang.
9
Figure 9.1 Information Security Figure 9.1 Information Security Management (ISM) StrategiesManagement (ISM) Strategies
10
Ancaman/ThreatAncaman/Threat► Ancaman keamanan informasi adalah orang, Ancaman keamanan informasi adalah orang,
organisasi, mekanisme, atau peristiwa yang organisasi, mekanisme, atau peristiwa yang mempunyai potensi untuk menimbulkan kerugian mempunyai potensi untuk menimbulkan kerugian pada sumber daya informasi perusahaan. pada sumber daya informasi perusahaan.
► Internal and external threatsInternal and external threats Internal mencakup karyawan perusahaan, para pekerja Internal mencakup karyawan perusahaan, para pekerja
sementara, konsultan, kontraktor, dan bahkan mitra bisnis. sementara, konsultan, kontraktor, dan bahkan mitra bisnis. Sebesar 81% kejahatan komputer telah dilakukan oleh Sebesar 81% kejahatan komputer telah dilakukan oleh
karyawan. karyawan. ancaman internal berpotensi kerusakan lebih serius karenaancaman internal berpotensi kerusakan lebih serius karena
► Kebetulan dan disengajaKebetulan dan disengaja
11
Figure 9.2 Unauthorized Acts Figure 9.2 Unauthorized Acts Threaten System Security Threaten System Security
ObjectivesObjectives
12
Types of ThreatsTypes of Threats► Malicious softwareMalicious software(malware) terdiri dari program-program (malware) terdiri dari program-program
lengkap atau segmen kode yang dapat menyerang sistem dan lengkap atau segmen kode yang dapat menyerang sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem (yaitu, menghapus file, sistem berhenti, dll) sistem (yaitu, menghapus file, sistem berhenti, dll)
► Virus adalah program komputer yang dapat menggandakan Virus adalah program komputer yang dapat menggandakan dirinya sendiri tanpa dapat diamati pengguna dan dirinya sendiri tanpa dapat diamati pengguna dan menanamkan salinan dirinya dalam program lain dan boot menanamkan salinan dirinya dalam program lain dan boot sektor. sektor.
► WormWorm tidak dapat mereplikasi diri dalam suatu sistem, tetapi tidak dapat mereplikasi diri dalam suatu sistem, tetapi dapat mengirimkan copynya melalui e-mail. dapat mengirimkan copynya melalui e-mail.
► Trojan horseTrojan horse didistribusikan oleh pengguna sebagai utilitas didistribusikan oleh pengguna sebagai utilitas dan ketika utilitas yang digunakan, menghasilkan perubahan dan ketika utilitas yang digunakan, menghasilkan perubahan yang tidak diinginkan dalam fungsi sistem; tidak dapat yang tidak diinginkan dalam fungsi sistem; tidak dapat mereplikasi atau menggandakan sendiri. mereplikasi atau menggandakan sendiri.
► AdwareAdware menghasilkan pesan iklan yang mengganggu menghasilkan pesan iklan yang mengganggu► SpywareSpyware mendapatkan data dari mesin pengguna mendapatkan data dari mesin pengguna
13
RisksRisks
►Risiko keamanan informasiRisiko keamanan informasi potensi potensi output yang tidak diharapkan dari output yang tidak diharapkan dari pelanggaran keamanan informasi oleh pelanggaran keamanan informasi oleh ancaman keamanan informasiancaman keamanan informasi semua risiko merupakan tindakan yang tidak sah semua risiko merupakan tindakan yang tidak sah
► Pengungkapan informasi yang tidak Pengungkapan informasi yang tidak terotorisasi dan pencurianterotorisasi dan pencurian
► Penggunaan yang tidak terotorisasiPenggunaan yang tidak terotorisasi► Penghancuran yang tidak terotorisasi dan Penghancuran yang tidak terotorisasi dan
penolakan layanan(Denial of Service)penolakan layanan(Denial of Service)► Perubahan yang tidak terotorisasiPerubahan yang tidak terotorisasi
14
E-commerce ConsiderationsE-commerce Considerations
► Disposable credit card/Kartu kredit “sekali Disposable credit card/Kartu kredit “sekali pakai”pakai”(AMEX) - suatu tindakan yang ditujukan (AMEX) - suatu tindakan yang ditujukan pada 60 sampai 70% dari konsumen yang takut pada 60 sampai 70% dari konsumen yang takut penipuan kartu kredit yang timbul dari penipuan kartu kredit yang timbul dari penggunaan internet. penggunaan internet.
► Visa's memerlukan 10 praktik keamanan bagi para Visa's memerlukan 10 praktik keamanan bagi para pengecer ditambah 3 praktik umum untuk pengecer ditambah 3 praktik umum untuk mencapai keamanan informasi di semua kegiatan mencapai keamanan informasi di semua kegiatan pengecer. pengecer.
► Cardholder Information Security ProgramCardholder Information Security Program ( (CISPCISP) ) ditambah praktek-praktek yang diperlukanditambah praktek-praktek yang diperlukan
15
Sepuluh Praktik Keamanan yang Sepuluh Praktik Keamanan yang dilakukan VISAdilakukan VISA
Retailer harus:Retailer harus:1.1. Memasang dan memelihara firewallMemasang dan memelihara firewall2.2. Memperbaharui keamananMemperbaharui keamanan3.3. Melakukan enkripsi pada data yang disimpanMelakukan enkripsi pada data yang disimpan4.4. Melakukan enkripsi pada data yang akan dikirimMelakukan enkripsi pada data yang akan dikirim5.5. Menggunakan dan memperbaharui piranti lunak antivirusMenggunakan dan memperbaharui piranti lunak antivirus6.6. Membatasi akses data kepada orang-orang yang ingin Membatasi akses data kepada orang-orang yang ingin
tahutahu7.7. Memberikan ID unik kepada setiap orang yang memiliki Memberikan ID unik kepada setiap orang yang memiliki
kemudahan mengakses datakemudahan mengakses data8.8. Memantau akses data dengan data ID unikMemantau akses data dengan data ID unik9.9. Tidak menggunakan kata sandi default yang disediakan Tidak menggunakan kata sandi default yang disediakan
oleh vendoroleh vendor10.10. Secara teratur menguji sistem keamananSecara teratur menguji sistem keamanan
16
Risk ManagementRisk Management
► Mendefinisikan resiko terdiri dari 4 tahapMendefinisikan resiko terdiri dari 4 tahap Identifikasi aset bisnis yang harus dilindungi dari resikoIdentifikasi aset bisnis yang harus dilindungi dari resiko Menyadari resikonyaMenyadari resikonya Menentukan tingkat dampak dalam perusahaan jika resiko Menentukan tingkat dampak dalam perusahaan jika resiko
benar-benar terjadibenar-benar terjadi Menganalisa kelemahan perusahaanMenganalisa kelemahan perusahaan
► Tingkat keparahan dampak dapat diklasifikasikan Tingkat keparahan dampak dapat diklasifikasikan sebagaisebagai Dampak yang parah(Severe impact)Dampak yang parah(Severe impact) membuat perusahaan membuat perusahaan
bangkrut atau sangat membatasi kemampuan perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsitersebut untuk berfungsi
Dampak minor(Dampak minor(Minor impact) Minor impact) menyebabkan kerusakan yang menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-harimirip dengan yang terjadi dalam operasional sehari-hari
17
Table 9.1 Degree of Impact and Table 9.1 Degree of Impact and Vulnerability Determine ControlsVulnerability Determine Controls
18
Risk Analysis ReportRisk Analysis Report
► Hasil temuan sebaiknya didokumentasikan dalam Hasil temuan sebaiknya didokumentasikan dalam laporan analisa resiko. Isi dari laporan ini sebaiknya laporan analisa resiko. Isi dari laporan ini sebaiknya mencakup informasi berikut inimencakup informasi berikut ini Deskripsi resikoDeskripsi resiko Sumber resikoSumber resiko Tingginya tingkat resikoTingginya tingkat resiko Pengendalian yang diterapkan pada resiko tersebutPengendalian yang diterapkan pada resiko tersebut Pemilik-pemilik resikoPemilik-pemilik resiko Tindakan yang direkomendasikan untuk mengatasi resikoTindakan yang direkomendasikan untuk mengatasi resiko Jangka waktu yang direkomendasikan untuk mengatasi Jangka waktu yang direkomendasikan untuk mengatasi
resikoresiko Apa yang telah dilaksanakan untuk mengatasi resiko Apa yang telah dilaksanakan untuk mengatasi resiko
tersebuttersebut
19
Kebijakan Keamanan Kebijakan Keamanan InformasiInformasi
►Lima phase implementasi kebijakanLima phase implementasi kebijakan Phase 1: Inisialisasi proyekPhase 1: Inisialisasi proyek Phase 2: Pengembangan kebijakan. Phase 2: Pengembangan kebijakan. Phase 3: Konsultasi dan persetujuan. Phase 3: Konsultasi dan persetujuan. Phase 4:Kesadaran dan edukasi. Phase 4:Kesadaran dan edukasi. Phase 5: Penyebarluasan kebijakan.Phase 5: Penyebarluasan kebijakan.
20
Figure 9.3 Development of Figure 9.3 Development of Security PolicySecurity Policy
21
Controls/PengendalianControls/Pengendalian
► Control Control adalah sebuah mekanisme yang adalah sebuah mekanisme yang diterapkan baik untuk melindungi diterapkan baik untuk melindungi perusahaan dari resiko atau untuk perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi.perusahaan jika resiko tersebut terjadi.
► Technical controlsTechnical controls adalah pengendalian adalah pengendalian yang menjadi satu di dalam sistem dan yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem.masa siklus penyusunan sistem. Termasuk internal auditor dalam project teamTermasuk internal auditor dalam project team Berdasarkan teknologi hardware dan softwareBerdasarkan teknologi hardware dan software
22
Technical ControlsTechnical Controls
► Access control Access control adalah dasar untuk adalah dasar untuk keamanan melawan ancaman yang keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak dilakukan oleh orang-orang yang tidak diotorisasidiotorisasi
► Access control dilakukan melalui proses tiga Access control dilakukan melalui proses tiga tahap yang mencakuptahap yang mencakup User identification.User identification. User authentication.User authentication. User authorizationUser authorization..
► Profil penggunaProfil pengguna- deskripsi pengguna yang - deskripsi pengguna yang terotorisasi; digunakan dalam identifikasi terotorisasi; digunakan dalam identifikasi dan authorisasidan authorisasi
23
Figure 9.4 Access Control Figure 9.4 Access Control FunctionsFunctions
24
Technical Controls (Cont’d)Technical Controls (Cont’d)
► Intrusion detection systemsIntrusion detection systems ( (IDSIDS) mengenali ) mengenali upaya pelanggaran keamanan sebelum memiliki upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakankesempatan untuk melakukan perusakan
► Perangkat lunak proteksi virus yang telah terbukti Perangkat lunak proteksi virus yang telah terbukti efektif melawan virus yang terkirim melalui emailefektif melawan virus yang terkirim melalui email Identifikasi pesan pembawa virus dan memperingatkan Identifikasi pesan pembawa virus dan memperingatkan
pengguna.pengguna.► Tools Prediksi ancaman dari dalamTools Prediksi ancaman dari dalam
mengklasifikasikan ancaman sebagai berikutmengklasifikasikan ancaman sebagai berikut Ancaman yang disengajaAncaman yang disengaja Potensi ancaman tidak disengajaPotensi ancaman tidak disengaja mencurigakanmencurigakan Tidak berbahaya(Harmless)Tidak berbahaya(Harmless)
25
FirewallsFirewalls► Firewall Firewall berfungsi sebagai penyaring dan penghalang yang membatasi berfungsi sebagai penyaring dan penghalang yang membatasi
aliran data ke dan dari perusahaan tersebut dan internet. Tiga jenis firewall:aliran data ke dan dari perusahaan tersebut dan internet. Tiga jenis firewall:► Packet-filtering Packet-filtering router dilengkapi dengan tabel data dan alamat-alamat IP router dilengkapi dengan tabel data dan alamat-alamat IP
yang mgnggambarkan kebijakan penyaringan, jika diposisikan antara yang mgnggambarkan kebijakan penyaringan, jika diposisikan antara internet dan jaringan internal router tersebut dapat berlaku sebagai firewallinternet dan jaringan internal router tersebut dapat berlaku sebagai firewall Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringanRouter adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan Alamat IP(IP address)Alamat IP(IP address) adalah serangkaian empat angka(masing- adalah serangkaian empat angka(masing-
masinng 0 - 255) yang secara unik mengindentifikasikan masing-masing masinng 0 - 255) yang secara unik mengindentifikasikan masing-masing komputer yang terhubung ke internetkomputer yang terhubung ke internet
► Firewall tingkat sirkuit(Circuit-level firewall) Firewall tingkat sirkuit(Circuit-level firewall) terpasang antara internet terpasang antara internet dan jaringan perusahaan tapi lebih dekat dengan medium dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi(sirkuit) daripada routerkomunikasi(sirkuit) daripada router Memungkinkan tingkat otentikasi dan penyaringan yang tinggiMemungkinkan tingkat otentikasi dan penyaringan yang tinggi
► Firewall tingkat aplikasi Firewall tingkat aplikasi berlokasi antara router dan komputer yang berlokasi antara router dan komputer yang menjalankan aplikasi tersebutmenjalankan aplikasi tersebut Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan.Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan.
26
Figure 9.5 Location of Firewalls Figure 9.5 Location of Firewalls in the Networkin the Network
27
Cryptographic and Physical Cryptographic and Physical ControlsControls
► Cryptography Cryptography adalah menggunakan pengkodean yang adalah menggunakan pengkodean yang menggunakan proses-proses matematikamenggunakan proses-proses matematika
► Data dan informasi dapat dienkripsi dalam penyimpanan dan juga Data dan informasi dapat dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan.ditransmisikan ke dalam jaringan.
► Jika seorang yang tidak memiliki otoritas memperoleh akses, enkripsi Jika seorang yang tidak memiliki otoritas memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.berarti apa-apa dan mencegah kesalahan penggunaan.
► Protocol khusus sepert Protocol khusus sepert SETSET(Secure Electronin Transactions) (Secure Electronin Transactions) melakukan pengecekan keamanan menggunakan tanda tangan melakukan pengecekan keamanan menggunakan tanda tangan digital dikembangkan dalam e-commercedigital dikembangkan dalam e-commerce
► Pelarangan teknologi enkripsi ke Cuba, Iran, Iraq, Libya, Korut, Sudan Pelarangan teknologi enkripsi ke Cuba, Iran, Iraq, Libya, Korut, Sudan dan Syriadan Syria
► Physical controls Physical controls melindungi dari gangguan yang tidak terotorisasi melindungi dari gangguan yang tidak terotorisasi seperti kunci pintu, cetak telapak tangan, voice print, kamera seperti kunci pintu, cetak telapak tangan, voice print, kamera pengawas dan penjaga keamanan.pengawas dan penjaga keamanan. Meletakkan pusat komputer ditempat terpencil yang jauh dari kota dan Meletakkan pusat komputer ditempat terpencil yang jauh dari kota dan
jauh dari wilayah yang sensitif terhadap bencana seperti gempa bumi, jauh dari wilayah yang sensitif terhadap bencana seperti gempa bumi, banjir dan badaibanjir dan badai
28
Formal ControlsFormal Controls
► Formal controlFormal control mencakup penentuan cara mencakup penentuan cara berperilaku, dokumentasi prosedur dan berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda serta pencegahan perilaku yang berbeda dari panduan yang berlakudari panduan yang berlaku Management memerlukan banyak waktu untuk Management memerlukan banyak waktu untuk
menyusunnya.menyusunnya. Mendokumentasikan dalam bentuk tertulisMendokumentasikan dalam bentuk tertulis Diharapkan dapat berlaku untuk jangka waktu Diharapkan dapat berlaku untuk jangka waktu
yang panjangyang panjang► Top management harus berpartisipasi aktif Top management harus berpartisipasi aktif
dalam menentukan dan memberlakukannyadalam menentukan dan memberlakukannya
29
Informal ControlsInformal Controls
►EdukasiEdukasi►Program pelatihanProgram pelatihan►Program pengembangan managementProgram pengembangan management►Pengendalian ini ditujukan untuk menjaga Pengendalian ini ditujukan untuk menjaga
agar para karyawan perusahaan agar para karyawan perusahaan memahami serta mendukung program memahami serta mendukung program keamanan tersebutkeamanan tersebut
32
Industry StandardsIndustry Standards
► Center for Internet Security (CIS)Center for Internet Security (CIS) adalah adalah organisasi nonprofit didedikasikan untuk organisasi nonprofit didedikasikan untuk membantu para pengguna komputer guna membantu para pengguna komputer guna membuat sistem mereka lebih aman.membuat sistem mereka lebih aman. CIS BenchmarksCIS Benchmarks membantu mengamankan membantu mengamankan
pengguna mengamankan sistem informasi dengan pengguna mengamankan sistem informasi dengan cara menerapkan pengendalian khusus teknologicara menerapkan pengendalian khusus teknologi
CIS Scoring ToolsCIS Scoring Tools memberi kemampuan bagi memberi kemampuan bagi pengguna untuk menghitung tingkat keamanan, pengguna untuk menghitung tingkat keamanan, membandingkannya dengan tolok ukur, dan membandingkannya dengan tolok ukur, dan menyiapkan laporan yang mengarahkan pengguna menyiapkan laporan yang mengarahkan pengguna dan administrator sistem untuk mengamankan dan administrator sistem untuk mengamankan sistemsistem
33
Professional CertificationProfessional Certification
►Dimulai tahun 1960 profesi IT mulai Dimulai tahun 1960 profesi IT mulai menawarkan program sertifikasi:menawarkan program sertifikasi: Information Systems Audit and Control Information Systems Audit and Control
AssociationAssociation ( (ISACAISACA)) International Information System Security International Information System Security
Certification ConsortiumCertification Consortium ( (ISCISC)) SANSSANS ( (SysAdmin, Audit, Network, SysAdmin, Audit, Network,
SecuritySecurity) ) InstituteInstitute
34
Business Continuity Business Continuity ManagementManagement
► Business continuity managementBusiness continuity management((BCMBCM) ) aktiaktiffiittas yang ditujukan untuk menentukan as yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem operasional setelah terjadi gangguan sistem informasiinformasi
► Aktifitas ini disebut Aktifitas ini disebut Perencanaan Perencanaan bencana(Disaster planning)bencana(Disaster planning), namun istilah , namun istilah yang lebih positif adalah yang lebih positif adalah Contigency PlanContigency Plan
► Contigency PlanContigency Plan merupakan dokumen tertulis merupakan dokumen tertulis formal yang menyebutkan secara detail formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan terjadi gangguan, atau ancaman gangguan pada operasional perusahaan.pada operasional perusahaan.