Digunakan untuk mendeskripsikan perlindungan baikperalatan komputer maupun non komputer, fasilitas,data, dan informasi dari penyalahgunaan pihak-lpihakyang tidak berwenang.

Kerahasiaan, perusahaan berusaha untuk melindungi data daninformasinya dari pengungkapan kepada orang-orang yang tidakberwenang. Contohnya: piutang dagang, pembelian, dan utangdagang.

Ketersediaan, adalah menyediakan data dan informasi sedia bagipihak-pihak yang memiliki wewenang untuk menggunakannya.Contohnya: sistem informasi sumber daya manusia dan sisteminformasi eksekutif

Integritas, semua sistem informasi harus memberikanrepresentasi akurat atas sistem fisik yang di representasikannya.

Keamanan informasi, aktifitas untuk menjaga agar sumber dayainformasi tetap aman. Sedangkan, aktifitas untuk menjaga agarperusahaan dan sumber daya informasinya tetap berfungsisetelah adanya bencana disebut manajemen keberlangsunganbisnis.

Manajemen Informasi terdiri dari 4 tahap:

1. Mengidentifikasi ancaman yang dapat menyerang sumberdaya informasi perusahaan.

2. Mendefinisikan resiko yang dapat di sebabkan olehancaman-ancaman tersebut.

3. Menentukan kebijakan keamanan dan informasi.

4. Mengimplementasikan pengendalian untuk mengatasiresiko-resiko tersebut.

Ancaman keamanan informasi adalah orang,organisasi, mekanisme, atau peristiwa yang memilikipotensi untuk membahayakan sumberdaya informasiperusahaan.

Ancaman Internal dan Eksternal, ancaman internalmencakup bukan hanya karyawan perusahaan, tetapijuga pekerja temporer, konsultan, kontraktor, danbahkan mitra bisnis perusahaan tersebut. Sedangkan,ancaman eksternal adalah ancaman yang di luarperusahaan yang tidak ada hubungannya denganinternal seperti perusahaan lain yang sama produkdengan perusahaan kita atau bisa juga disebut pesaingdalam usaha.

Virus, hanyalah salah satu contoh jenis perantilunak yang menyandang namaperanti lunak yangberbahaya (malicios software).

Malicios dan malware,terdiri atas programprogram lengkap atau segmen-segmen kode yangdapat menyerang suatu sistem dan melakukanfungsi-fungsi yang tidak di harapkan oleh pemiliksistem. Fungsi-fungsi tersebut dapat menghapusfile atau menyebabkan sistem tersebut berhenti.

Risiko keamanan informasi di definisikan sebagai potensioutput yang tidak di harapkan dari pelanggaran keamananinformasi oleh ancaman keamanan informasi. Risiko-risikoseperti ini di bagi menjadi 4 jenis, yaitu:

1. pengungkapan informasi yang tidak terotoritas danpencurian.

2. penggunaan yang tidak terotorisasi.

3. penghancuran yang tidak terotorisasi dan penolakan pelayanan.

4. modifikasi yang tidak terotorisasi.

E-commerce (perdagangan elektronik) telahmemperkenalkan keamanan baru. Masalah inibukanlah perlindungan data, informasi, dan perantilunak, tapi perlindungan dari pemalsuan kartu kredit.Menurut sebuah survei yang di lakukan oleh gartnergroup, pemalsuan kartu kredit 12 kali lebih seringterjadi untuk para peritel.

E-mmerce di bandingkan dengan para pedagang yangberurusan dengan pelanggan mereka secara langsung.Untuk mengatasi masalah ini, perusahaanperusahaankartu kredit yang utama telah mengimplementasikanprogram yang di tujukan secara khusus untukkeamanan kartu kredit e-commerce.

Pada september 2000, American Expressmengumumkan sebuah kartu kredit “sekali pakai”.Kartu ini bekerja dengan cara: Saat pemegang kartuingin membeli sesuatu secara online, ia akanmemperoleh angka yang acak dari situs webperusahaan kartu kredit tersebut. Angka inilah, danbukannya nomor kartu kredit pelanggan tersebut,yang di berikan kemudian melaporkannya keperusahaan kartu kredit untuk pembayaran.

Visa mengumumkan 10 praktik terkait keamanan yang diharapkanperusahaan ini. Untuk diikuti oleh paritelnya. Diantaranya yaitu :

1. Memasang dan memelihara firewall

2. Memperbarui keamanan

3. Melakukan enkripsi pada data yang disimpan

4. Melakukan ekripsi pada data yang dikirimkan

5. Menggunakan dan memperbaiki peranti lunak antivirus

6. Membatasi akses data kepada orang-orang yang ingin tahu

7. Memberikan ID unik kepada setiap orang yang memiliki kemudahanmengakses data

8. Memantau akses data dengan ID unik

9. Tidak menggunakan kata sandi default yang disediakan oleh vendor

10. Secara teratur menguji sistem keamanan

Manajemen risiko di identifikasi sebagai satu dari duastrategi untuk mencapai keamanan informasi.

Pendefinisian risiko terdiri atas empat langkah, yaitu:

1. identifikasi aset-aset bisnis yang harus di lindungidari risiko.

2. menyadari risikonya.

3. menentukan tingkatan dampak pada perusahaanjika risiko benar-benar terjadi.

4. menganalisis kelemahan perusahaan tersebut.

Mengabaikan apakah perusahaan mengikuti strategi manajemenrisiko kepatuhan tolak ukur maupun tidak. Suatu kebijakan yang menerapkan kebijakan keamanannya dengan pendekatan yang bertahap. 5 fase implementasi kebijakan keamanan.

Fase 1. inisiasi proyek : tim yang menyusun kebijakan keamanan yang din bentuk dan suatu komite akan mencangkup manajer dari wilayahdimana kebijakan akan diterapkan

Fase 2. penyusunan kebijakan: tim proyek berkonsultasi dengan semuapihak yang berminat & berpengaruh oleh proyek.

Fase 3. Konsultasi & persetujuan : berkonsultasi dengan manjemenuntuk memberitaukan temuannya. Serta untuk mendapatkanpandangan mengenai persyaratan kebijakan

Fase 4. kesadaran dan edukasi: program pelatihan kesadaran danedukasi dilaksanakan dalam unit organisasi

Fase 5. penyebarluasan kebijakan: disebarluaskan oleh seluruh unit organisasi dimana kebijakan dapat diterapkan.

Pengendalian(control) mekanisme yang diterapkanbaik untuk melindungi perusahaan dari risikoatau meminimalkan dampak risiko padaperusahaan jika risiko tersebutterjadi.pengendalian dibagi menjadi tiga kategoriyaitu :

• Teknis

• Formal

• Dan Informal

Pengendalian yang menjadi satu di dalam sistem dandibuat oleh penyusun sistem selama masa sikluspenyusunan sistem. Melibatkan seorang auditorinternal didalam tim proyek merupakan satu cara yanganat baik untuk menjaga agar pengendalian semacamini menjadi bagian dari desain sistem.

Dasar untuk keamanan melawan ancaman yang dilakukanoleh orang-orang yang tidak diotorisasi adalahpengendalian akses. Alasannya sederhana: jika orang yangtidak diotorisasi tiadak diizinkan untuk mendapatkanakses terhadap sumber daya informasi, maka pengrusakantidak dapat dilakukan. Pengendalian akses dilakukanmelalui proses tiga tahap yang mencakup :

1. Identifikasi pengguna.

2. Otentifikasi pengguna.

3. Otorisasi pengguna.

Logika dasar dari sistem deteksi gangguan adalahmengenali upaya pelanggaran keamanan sebelummemiliki kesempatan untuk melakukanperusakan. Salah satu contoh yang baik adalah“peranti lunak proteksi virus” yang terbukti efektifelewan virus yang terkirim melalui e-mail.

Berfungsi sebagai penyaring dan penghalang yangmembatasi aliran data ke perusahaan tersebut daninternet. Dibuatnya suatu pengaman terpisah untukuntuk masing-masing komputer.

Tiga jenis firewall adalah penyaring paket, tingkatsirkuit, dan tingkat aplikasi.

Data dan informasi yang tersimpan dan ditranmisikandapat dilindungi dari pengungkapan yang tidakterotorisasi dengan kriptografi yaitu penggunaan kodeyang menggunakan proses matematika.

Popularitas kriptografi semakin meningkat karena e-commerce dan produk ditunjukan untukmeningkatkan keamanan e-commerence.

Peringatan pertama terhadap gangguan yang tidakterotorasi adalah mengunci pintu ruangan komputer.Perkembangan seterusnya menghasilkan kunci-kunciyang lebih canngih, yang dibuka denagn cetakantelapak tangan dan cetakan suara, serta kamerapengintai dan alat penjaga keamanan. Perusahaandapat melaksanakan pengendalian fisik hingga tahaptertinggi dengan cara menempatkan pusatkomputernya di tempat terpencil yang jauhdari kotadan jauh dari wilayah yang sensitif terhadap bencanaalam seperti gempa bumi, banjir, dan badai.

mencangkup penentuan cara berperilaku,dokumentasi prosedur, dan praktik yang diharapkan.Pengendalian ini bersifat formal, karena manjemenmenghabiskan bayak waktu untuk menyusunnya,mendokumentasikan dalam bentuk tulisan dandiharapkan untuk berlaku dalam jangka panjang.

Mencangkup program-program pelatihan dan edukasiserta program pembangunan manajemen.Pengendalian ini berkaitan untuk menjaga agar parakaryawan perusahaan memahami serta mendukungprogram keamanan tersebut.

Perusahaan harus mencanangkan kebijakan manajemenkeamanan informasi sebelum menempatkanpengendalian. Kebijakan ini dapat dibuat berdasarkanidentifikasi ancaman dan risiko ataupun berdasarkanpanduan yang diberikan oleh pemerintah dan asosiasiindustri. Perusahaan harus mengimplementasikagabungan dari pengendalian teknis, formal, informal yangdiharapkan untuk menawarkan tingkat keamanan yangdiinginkan pada batasan biaya yang telah di tentukan dandisesuaikan dengan pertimbangan lain yang membuatperusahaan dan sistemnya mampu berfungsi secara efektif.