Upload File

presentasi cns kel 5 ( policy and procedure )

prev
next
out of 27
Download Presentasi Cns Kel 5 ( Policy and Procedure )

Upload: jackerton-uniform

Post on 18-Jul-2015

67 views

Category:

Documents


0 download

Report

TRANSCRIPT

STMIK NUSA MANDIRI PROGRAM PASCA SARJANA MAGISTER ILMU KOMPUTER JAKARTA 2012

POLICIES VERSUS PROCEDURES

POLICIES What

PROCEDURES

Why

- Who - When - How

Policies

Lebih mengutamakan aset apa yang akan dilindungi dan mengapa aset tersebut perlu untuk dilindungi. Dapat menterjemahkan dokumen yang mana berisi apa dan mengapa keamanan informasi untuk organisasi.

Proceduress

Lebih mengutamakan spesifikasi mengukur kebutuhan untuk melindungi aset organisasi. Dapat menterjemahkan dokumen yang berisi siapa, kapan dan bagaimana keamanan informasi dalam organisasi.

POLICY AND PROCEDURE

PENGERTIAN KEBIJAKAN DAN PROSEDUR

Kebijakan (Policy) Rangkaian konsep dan asas yang menjadi garis besar dan dasar rencana dalam pelaksanaan suatu pekerjaan, kepemimpinan, dan cara bertindak, pernyataan cita-cita, tujuan, prinsip, atau maksud sebagai pedoman untuk manajemen dalam usaha mencapai sasaran dan garis besar haluan. Prosedur (Procedure) Sekumpulan aturan untuk mengatur bagaimana sebuah organisasi mengelola, menggunakan, melindungi, dan mendistribusikan semua informasi yang berkaitan dengan organisasi tersebut secara langsung atau tidak langsung.

PERBEDAAN KEBIJAKAN DAN PROSEDUR

Kebijakan - Melindungi aset apa dan mengapa aset tersebut harus dilindungi. - Ruang lingkup luas dan dirancang untuk adanya kesamaan arah dan tujuan dalam masalah keamanan informasi dalam sebuah organisasi. - Dapat dirumuskan dengan: What dan Why Prosedur - Tindakan spesifik yang diperlukan untuk melindungi aset organisasi. - Prosedur mengikuti dari garis kebijakan. - Lebih akurat dan rinci. - Dapat dirumuskan dengan: Who, When dan How

TUJUAN/ALASAN PENGGUNAAN KEBIJAKAN DAN PROSEDUR

Memperoleh keuntungan dari penggunaan kebijakan dan prosedur - secara langsung: mencegah atau mendeteksi fraud, menghalangi hacker - secara tidak langsung: melindungi dari liability potensial, melindungi dari kemungkinan yang tidak diharapkan. Beberapa tujuan yang ada pada kebijakan keamanan informasi - Mengelola resiko - Memastikan kelangsungan bisnis - Menentukan tanggungjawab, harapan dan perilaku yang dapat diterima - Melindungi organisasi dari liability - Memastikan integritas dan kerahasiaan informasi

LANGKAH-LANGKAH DALAM RISK ASSESSMENT Mengidentifikasi dan memprioritaskan aset Mengidentifikasi kelemahan-kelemahan Mengidentifikasi ancaman dan probabilitas Mengidentifikasi penanggulangan Mengembangkan analisis biaya-manfaat Mengembangkan kebijakan keamanan.

LANGKAH-LANGKAH DALAM IMPLEMENTASI KEBIJAKAN KEAMANAN INFORMASI

Mengembangkan kebijakan keamanan dan prosedur manual secara tertulis Dokumentasi kebijakan dan prosedur secara tertulis dibutuhkan agar semua orang yang ada dalam organisasi tersebut dapat tunduk dan mematuhinya. Mengembangkan kesadaran end user dan program pendidikan Dengan kebijakan tertulis, organisasi dapat menunjukkan bahwa setiap tindakan yang dilakukan oleh end user atau karyawan yang tidak diinginkan atau sesuai dengan kebijakan tidak diperbolehkan oleh organisasi.

LANJUTAN

Mengembangkan proses untuk penegakan kebijakan dan pelaksanaan prosedur Satu-satunya cara untuk memastikan kepatuhan yaitu melalui pemantauan dan audit. Mengembangkan proses untuk penelaahan berkala dan memperbarui kebijakan dan prosedur Kebijakan dan prosedur harus dijaga dan diperbaharui sesuai dengan kebutuhan organisasi tersebut. Modifikasi sistem, anggota, prioritas bisnis dan faktor lingkungan harus ada.

KEBIJAKAN YANG TERKAIT DENGAN INDIVIDUBeberapa kebijakan yang harus ada dalam prosedur perekrutan, penghentian dan kehadiran karyawan Pre-Employment Screening Sebelum mempekerjakan seseorang untuk kelompok TI, periksa semua referensi. Mandatory Vacation Policy Setiap karyawan di unit TI harus diminta untuk mengambil setidaknya lima hari kerja berturut-turut libur setiap tahun. Mempertimbangkan perputaran fungsi pekerjaan dan tanggung jawab untuk sebagian setiap posisi dalam sebuah organisasi. New Account Policy Ketika account dibuat untuk end user baru atau karyawan administrator, sistem tidak harus menentukan tingkat otorisasi dan akses untuk menetapkan account.

LANJUTAN

Security Access Change Request Perubahan tingkat akses diminta untuk account yang ada, perubahan tersebut harus didokumentasikan dan disahkan oleh orang lain selain pihak yang meminta. Ketika perubahan tingkat akses dipengaruhi, harus ditinjau oleh orang lain selain sistem administrator yang membuat perubahan. Employee Termination Checklist Ketika seorang karyawan dihentikan, baik secara sukarela atau tanpa sadar, semua akses ke sistem harus dihapus, dan semua kunci, lencana, file, atau peralatan harus dipulihkan. Jika karyawan tersebut adalah seorang sistem administrator semua password harus diubah, jika mungkin. Jika tidak mungkin untuk mengubah semua password, maka setidaknya mengubah password untuk akun penting. Kebijakan tersebut harus ada untuk menghindari kemungkianan adanya seseorang memiliki semua pengetahuan.

LANJUTAN

Information Protection Team Setiap kebijakan keamanan informasi perusahaan harus mencakup pembentukan sebuah informasi perlindungan tim. Tim ini harus bertanggung jawab untuk meninjau, memantau, dan meningkatkan kebijakan dan standar bagi organisasi dalam hal keamanan informasi. Perlindungan informasi tim dan kewenangannya harus dituangkan dalam kebijakan dan prosedur organisasi. Crisis Management Planning Setiap perencanaan dan prosedur organisasi harus mencakup beberapa jenis perencanaan manajemen krisis. Sebagian besar organisasi akan memerlukan paling sedikit dua bagian untuk setiap prosedur manajemen krisis: Satu bagian berurusan dengan perencanaan pemulihan krisis, dan bagian lainnya mencakup perencanaan keamanan komputer sebagai respon atas insiden.

ASPEK KEAMANAN JARINGANDalam pengembangan prosedur dibutuhkan beberapa aspek keamanan jaringan untuk mengatasi semua kemungkinan yang terjadi. Aspek utama keamanan jaringan Confidentiality/Privacy - Kerahasiaan atas data pribadi - Hanya boleh diakses oleh orang yang bersangkutan/berwenang - Berupa data pribadi (no. ktp, no. Hp, alamat) dan data bisnis (daftar gaji, daftar nasabah) - Serangan yang terjadi berupa penyadapan atas data dengan 2 cara, yaitu teknis (sniffing/looger, man in the middle attack) dan non teknis (social engineering). - Perlindungan dengan cara enkripsi data.

LANJUTAN

Integrity - Data tidak boleh diubah (tampered, altered, modified) oleh pihak yang tidak berhak. - Serangan yang terjadi berupa pengubahan data oleh pihak yang tidak berhak (snoofing). - Perlindungan dengan cara message authentication code (MAC), digital signature/certificate, hash function, dan logging. Availibility - Data harus tersedia atau dapat diakses saat diperlukan. - Serangan yang terjadi berupa peniadaaan layanan (denial of service (DoS), distributed denial of service (DdoS)) atau menghambat layanan (respon server menjadi lambat), malware, worm. - Perlindungan dengan cara backup, redudancy, firewall.

LANJUTAN

Aspek tambahan keamanan jaringan Non-repudiation - Transaksi yang terjadi tidak dapat disangkal atau dipungkiri - Perlindungan dengan cara digital signature/certificate, kriptography, logging Authentication - Menyatakan keaslian data, sumber data, orang yang mengakses data, server yang digunakan What you have (identity card) What you know (password, PIN) What you are (biometric identity) - Serangan yang terjadi berupa identitas palsu, situs palsu, terminal palsu

LANJUTAN

Acces control - Mekanisme untuk mengatur - Siapa boleh melakukan apa - Dari mana boleh kemana - Penerapannya membutuhkan klasifikasi data (public, private, secret, confident) dan berbasiskan role (kelompok/group hak akses) - Contoh: ACL Proxy (pembatasan bandwith) Accountability - Catatan untuk keperluan pengecekan - Sehingga transaksi dapat dipertanggung jawabkan - Diperlukan kebijakan dan prosedur (policy and procedure) - Implementasi berupa IDS/IPS(firewall), syslog (router)

CONTOH IMPLEMENTASI KEBIJAKAN DAN PROSEDUR DALAM SEBUAH ORGANISASI

Use of Company-Owned Electronic Media and Services - Penggunaan media elektronik untuk komunikasi dan penyimpanan informasi oleh organisasi. - Setiap organisasi yang menggunakan media elektronik dan jasa harus memiliki kebijakan yang jelas dalam mendefinisikan penggunaan media ini dan jasa sebagai properti perusahaan. - Kebanyakan karyawan dalam sebuah organisasi memiliki akses ke satu atau lebih bentuk media elektronik atau jasa. seperti: Komputer (PC, workstation, minicomputer, dan mainframe), Email, Telepon dan surat suara Mesin Faks LAN, intranet, dan Web - Rumusan yang harus ada dalam use of company-owned electronic media and services What Does the Policy Cover? (Apa yang dilindungi oleh kebijakan?) Whose Property Is it? (Aset siapakah itu?) What Is Acceptable Use? (Penggunaan apa sajakah yang diperbolehkan?)

LANJUTAN

Hacking - Kebijakan tersebut juga harus melarang upaya karyawan atau end user untuk "hack" sistem lain. - Hack atau mengakses informasi tanpa otorisasi tidak ditoleransi oleh organisasi, dan harus ada konsekuensi berat untuk pelakunya. Unauthorized Software - Praktek keamanan yang baik adalah memiliki kebijakan yang melarang end user menginstal perangkat lunak pada sistem desktop mereka tanpa otorisasi dari kelompok TI. E-Mail - Setiap organisasi harus memiliki hak untuk meninjau dan mengungkapkan setiap e-mail karyawan yang diterima atau dikirimkan pada atau dari perusahaan milik media elektronik atau jasa

LANJUTAN

Identification - Setiap kebijakan yang meliputi penggunaan media elektronik dan jasa milik perusahaan harus melalui otentikasi identitas dan peniruan. - Kebijakan harus melarang karyawan menyembunyikan identitas mereka atau identitas palsu ketika mengirim, menerima, atau menyimpan e-mail atau komunikasi elektronik lainnya Communicate the Consequences - Mendefinisikan konsekuensi untuk setiap karyawan yang sengaja melanggar kebijakan atau memungkinkan karyawan lain untuk melanggar kebijakan tersebut, sehingga ada atau tidak ada kemungkinan terjadi kesalahpahaman.

LANJUTAN

Information Privacy - Langkah-langkah aktif diambil oleh semua karyawan untuk memastikan bahwa privasi informasi dipertahankan. - Informasi perusahaan yang berkaitan dengan pelanggan, karyawan, dan proyek proyek perusahaan dan produk harus ditinjau untuk menentukan tingkat sensitivitas. Systems Administration - Menentukan bagaimana menangani kontrol dan pemantauan para administrator dari berbagai sistem organisasi.

LANJUTAN

Information and Data Management - Menentukan mana informasi harus berada dan bagaimana informasi dipindahkan atau dikirimkan. - Kebijakan harus mengatur prosedur yang tepat untuk melindungi terhadap potensi ancaman dari virus komputer - Sebagai tindakan pencegahan, perusahaan harus memiliki hak untuk memeriksa, mengakses, menggunakan, dan mengungkapkan informasi salah satu atau semua atau data, dikirim, diterima, atau disimpan pada media elektronik, perangkat, atau layanan yang dimiliki atau dibayar oleh perusahaan

LANJUTAN

Remote Network Access - Kebijakan untuk akses remote harus membahas isu yang terkait dengan otentikasi dan kontrol akses. - Kebijakan perlu dikembangkan untuk memastikan bahwa kontrol yang tepat dilaksanakan, dipertahankan, dan dimonitor pihak ketiga untuk semua akses ke jaringan organisasi. Security of Telecommunications - Kebijakan harus rinci apa langkah-langkah yang harus diambil ketika menggunakan cara yang berbeda dalam komunikasi elektronik yang didasarkan pada kepekaan informasi. Physical Security - Akses fisik ke fasilitas IT harus dibatasi hanya untuk orang yang berwenang yang memerlukan akses untuk menjalankan fungsi pekerjaan mereka

LANJUTAN

Use of Standards - Kebijakan harus dikembangkan yang mendikte platform standar atau operasi secara umum di organisasi. Kepatuhan terhadap platform harus menjadi wajib. Reporting Noncompliance - Organisasi mendidik karyawan dan end user untuk melaporkan ketidakpatuhan yang terjadi tetapi tidak pernah menyediakan cara untuk melaporkan hal tersebut. - Jika ketidakpatuhan melibatkan supervisor, administrator sistem, atau kegiatan kriminal nyata, individu mungkin khawatir untuk melaporkan kejadian karena takut pembalasan. - Dalam keadaan tersebut yang dibutuhkan adalah menyediakan cara untuk melaporkan masalah ketidakpatuhan secara anonim.

DAFTAR PUSTAKA : - GOOGLE.CO.ID - Fundamental of network Security Jhon E caNavan - pengantar keamanan komputer budi raharjo - berbagai sumber


UNIVERSITAS INDONESIA EFEKTIVITAS “SUNSET POLICY” … 27639-Efektivitas sunset policy-HA.pdfuniversitas indonesia efektivitas “sunset policy” dalam meningkatkan tingkat kepatuhan

Public Policy

Procedure rpp

CNS Sinap n Reflex

Procedure of IVF

Infeksi cns (central nervous system)

Cns Toxoplasmosis

STANDARD OPERATING PROCEDURE

Perioperative Procedure

Trade policy

CNS Congenital Kel 14

Pengantar Obat CNS

Standard Operation Procedure

Standard Operational Procedure

FUNCTION & STORED PROCEDURE

III Isi - Cvd Dan Trauma Cns 2

Pbo(Procedure) Gustipr

Stored Procedure

Cns epis 2 f farm 06 fd

RPP Process Procedure

Pascal Procedure

Store procedure

RPP Procedure Text

Standar Operating Procedure

CNS Divisi Aferen

Cns Depresant 1

TRAUMA CNS - lms.umm.ac.id

Swenson Procedure

Welding Procedure

Basic of Cns Pharmacotherapy

DIVIDEN POLICY

Stored Procedure & Cursor

Contoh Texs Procedure

PENGESAHAN - gunawansusilo64.files.wordpress.com · procedure fungsi, procedure soal, dan procedure naskah soal. Prosedure ... sekaligus contoh penulisan fungsi ... dilakukan menggunakan

PostgreSQL Stored-procedure