international organization for standardization

International Organization For Standardization

27001

Mata Kuliah

Manajemen Pusat Data

Disusun Oleh:

Hasbiyarrahman (41813210038)

Destriyani Putri (41813210018)

Fridha Cipta Nur A. (41813210006)

FAKULTAS ILMU KOMPUTER

SISTEM INFORMASI

BEKASI

Universitas Mercu Buana | 2

DAFTAR ISI

DAFTAR ISI ........................................................................................................................................... 2

BAB I PENDAHULUAN ........................................................................................................................ 5

BAB II PEMBAHASAN ......................................................................................................................... 6

1. Risk Management ......................................................................................................................... 7

Membuat Metodologi Pengukuran Risiko (Risk Assessment Methodology) ............................... 7

Melakukan Pelaksanaan Penilaian / Pengukuran Risiko (Risk Assessment Implementation) ...... 8

Melakukan Implementasi Penanganan Risiko (Risk Treatment Implementation) ....................... 8

Membuat Laporan Penilaian Risiko ISMS ................................................................................ 9

Membuat Pernyataan Dari Penerapan (Statement Of Applicability) ........................................... 9

Membuat Rencana Penanganan Risiko (Risk Treatment Plan) .................................................. 9

2. Security Policy ........................................................................................................................... 10

a. Clear Desk and Clear Screen Policy ....................................................................................... 10

b. Disposal and Destruction Policy............................................................................................. 10

c. Change Management Policy ................................................................................................... 10

d. Back-up Policy ...................................................................................................................... 10

e. Information Transfer Policy ................................................................................................... 10

f. Secure Development Policy ................................................................................................... 10

g. Supplier Security Policy......................................................................................................... 11

h. Business Continuity Policy .................................................................................................... 11

i. Privacy policy ........................................................................................................................ 11

j. Bring Your Own Device (BYOD) Policy ............................................................................... 11

k. Mobile Device and Teleworking Policy ................................................................................. 11

l. Acceptable Use Policy ........................................................................................................... 11

m. Information Classification Policy ........................................................................................... 11

n. Access Control Policy ............................................................................................................ 11

o. Password Policy..................................................................................................................... 11

p. Policy on the Use of Cryptographic Control ........................................................................... 11


3. Organization Of Information Security ......................................................................................... 14

a. Komitmen manajemen untuk kontrol keamanan informasi ..................................................... 14

b. Koordinasi kontrol keamanan informasi ................................................................................. 15

c. Alokasi tanggung jawab kontrol keamanan informasi ............................................................. 15

d. Proses pemberian wewenang pada fasilitas control pengolahan informasi ............................... 15

e. Kontrol perjanjian kerahasiaan ............................................................................................... 15

f. Kontrol kontak dengan pihak berwenang................................................................................ 15

g. Kontrol kontak dengan kelompok-kelompok minat khusus ..................................................... 15

4. Asset Management ..................................................................................................................... 15

a. Inventori ................................................................................................................................ 15

b. Mengklasifikasikan Asset ...................................................................................................... 16

c. Ownership ............................................................................................................................. 16

5. Human Resource (HR) Security .................................................................................................. 16

a. Joiners/Movers ...................................................................................................................... 17

b. Leavers .................................................................................................................................. 17

c. Awareness Traning and Education ......................................................................................... 17

6. Physical And Environmental Security ......................................................................................... 17

- Faktor Lingkungan ................................................................................................................ 18

- Faktor Manusia ...................................................................................................................... 22

7. Communications And Operations Management .......................................................................... 23

Kontrol terhadap personel pengoperasi (Logging) .................................................................. 23

Kontrol terhadap penyimpanan arsip (Archives) ..................................................................... 24

Kontrol terhadap penyusunan (Configuration)........................................................................ 24

Kontrol terhadap cadangan data (Back-up) ............................................................................. 24

8. Access Control ........................................................................................................................... 24

9. Information System Acquisition, Development And Maintanance ............................................... 28

Security requirements of information systems ........................................................................ 28

Correct processing in applications .......................................................................................... 28

Cryptographic controls........................................................................................................... 29

Security in development and support processes ...................................................................... 29

10. Information Security Incident Management ................................................................................ 29

a. Disaster Recovery System ...................................................................................................... 29


b. Ketahanan Sistem (Resiliance) ............................................................................................... 31

11. Business Continuity Management ............................................................................................... 31

a. Strategi Pemulihan Teknologi Informasi ................................................................................ 33

b. Data Back-Up ........................................................................................................................ 35

12. Compliance (Penyesuaian) .......................................................................................................... 36

Audit ..................................................................................................................................... 36

Company policies .................................................................................................................. 36

3rd party/client ...................................................................................................................... 36

Laws and regulation in company location............................................................................... 36

REFERENSI..................................................................................................................................... 38


BAB I

PENDAHULUAN

Informasi merupakan salah satu asset yang sangat penting. Dengan perkembangan

teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan keamanan informasi

semakin meningkat. Untuk itu suatu lembaga atau institusi harus menerapkan kebijakan yang

tepat untuk melindungi asset informasi yang dimiliki. Salah satu kebijakan yang dapat diambil

untuk mengatasi gangguan keamanan informasi adalah dengan menerapkan Sistem Manajemen

Keamanan Informasi (SMKI).

Dalam melakukan pengelolaan perlu adanya standarisasi yang diterapkan atau

diimplementasikan sebagai panduan yang memberikan arahan dalam menjaga asset penting

seperti informasi. Salah satu standar manajemen keamanan informasi yang dikenal luas secara

global yaitu ISO/IEC 27001 untuk membantu suatu organisasi dalam menganalisa sistem

keamanan informasi. Beberapa hal penting yang dapat dijadikan pertimbangan mengapa

ISO/IEC 27001 dipilih karena :

a. ISO/IEC 27001 sangat fleksibel dikembangkan karena sangat tergantung dari

kebutuhan suatu organisasi, misi organisasi, persyaratan keamanan, proses bisnis dan

jumlah pegawai serta ukuran dari struktur organisasi.

b. ISO/IEC 27001 menyediakan sertifikat implementasi Sistem Manajemen Keamanan

Informasi SMKI yang diakui secara internasional yang disebut Information Security

Management System (ISMS).

ISO/IEC 27001 memiliki beberapa keuntungan yang akan diperoleh organisasi setelah

menerapkannya, diantaranya yaitu meningkatkan efektivitas keamanan informasi, menambah

keyakinan mitra bisnis, stakeholders dan pelanggan, menunjukkan kepatuhan pada peraturan dan

hukum yang berlaku, pemantauan yang independen terhadap manajemen keamanan informasi.


BAB II

PEMBAHASAN

ISO/IEC 27001 dapat diterapkan dengan mencapai tier 3 data center. Karena telah

memiliki standar data center yang berkualitas tinggi, handal dan berskala mampu memenuhi

spesifikasi dari sektor keuangan dan perusahaan penyiaran yang diketahui membutuhkan

kemampuan yang cukup tinggi.


Secara umum ISO/IEC 27001 memiliki beberapa aspek yang biasa disebut control yang

harus ada dalam setiap organisasi dalam usahanya mengimplementasikan konsep keamanan

informasi. Kontrol tersebut telah dijelaskan dalam dokumen ISO 27001 Annex A. Controls.

Annex A. berisi control sebagai berikut.

1. Risk Management

Risk Management (Manajemen Risiko) sering disebut dengan analisis risiko yang merupakan

bagian paling kompleks dari implementasi ISO 27001. Tetapi, pada penilaian risiko waktu yang

sama (dan penanganan) adalah langkah yang paling penting pada awal proyek keamanan

informasi.

Set fondasi untuk keamanan informasi.

Mengapa penting ?

- Filosofi utama ISO/IEC 27001 adalah untuk mengetahui insiden yang bisa terjadi

(menilai risiko) dan kemudian menemukan cara yang paling tepat untuk

menghindari insiden seperti itu (memperkirakan risiko).

- Anda harus menilai seberapa penting setiap risiko, sehingga Anda dapat fokus pada

yang paling penting.

Meskipun penilaian dan manajemen risiko adalah pekerjaan yang kompleks, 6 langkah

dasar ini dapat menjelaskan apa yang harus Anda lakukan, yakni :

Membuat Metodologi Pengukuran Risiko (Risk Assessment Methodology)

Langkah awal dalam manajemen risiko, Anda perlu mendefinisikan aturan

tentang bagaimana Anda akan melakukan manajemen risiko. Karena Anda ingin

seluruh organisasi Anda untuk melakukannya dengan cara yang sama. Masalah

terbesar dalam penilaian atau pengukuran risiko yang terjadi jika ada organisasi

yang menerapkan manajemen risiko dengan cara berbeda. Oleh karena itu,

Anda perlu menentukan apakah Anda ingin penilaian risiko yang kualitatif atau

kuantitatif serta skala apakah yang Anda gunakan untuk penilaian kualitatif,

tingkat risiko seperti apa saja yang dapat diterima dsb.


Melakukan Pelaksanaan Penilaian / Pengukuran Risiko (Risk Assessment

Implementation)

Setelah mengetahui aturannya, Anda dapat mulai mencari tahu masalah apa

sajakah yang bisa terjadi. Anda harus mendaftarkan semua asset yang Anda

miliki termasuk ancaman dan kerentanan yang terkait dengan asset tersebut.

Menilai dampak dan kemungkinan untuk setiap kombinasi asset / ancaman /

kerentanan dan terakhir menghitung tingkat risiko.

Perusahaan biasanya hanya menyadari 30 % dari risiko yang mereka miliki.

Oleh karena itu, Anda harus bisa lebih banyak mengungkapkannya jika akan

melakukan langkah ini. Ketika selesai, Anda akan mulai menghargai usaha yang

telah Anda lakukan.

Melakukan Implementasi Penanganan Risiko (Risk Treatment

Implementation)

Tidak semua risiko yang ada bernilai sama. Anda harus fokus pada yang paling

penting disebut risiko yang tidak dapat diterima. Ada empat yang dapat Anda

pilih untuk mengurangi setiap risiko yang tidak dapat diterima, diantaranya :

a. Terapkan kontrol keamanan dari Lampiran A untuk mengurangi risiko lihat

artikel ini ISO 27001 Anne A. controls

(http://www.iso27001standard.com/blog/2014/02/10/overview-of-iso-

270012013-annex-a/)

b. Transfer risiko kepada pihak lain, seperti perusahaan asuransi, membeli

polis asuransi dsb.

c. Hindari risiko dengan menghentikan kegiatan yang terlalu berisiko atau bisa

melakukan hal tersebut dengan cara yang berbeda.

d. Terima risiko. Misal, biaya untuk mengurangi risiko yang akan lebih tinggi

bahwa kerusakan itu sendiri.

Hal ini merupakan dimana Anda perlu untuk menjadi kreatif. Cara mengurangi

risiko dengan investasi minimum. Ini akan menjadi yang paling mudah jika

anggaran Anda tidak terbatas, tapi itu tidak akan pernah terjadi. Karena dapat


dikatakan manajemen Anda benar, adalah mungkin untuk mencapai hasil yang

sama dengan sedikit uang. Anda hanya perlu mencari tahu bagaimana caranya.

Membuat Laporan Penilaian Risiko ISMS

Anda perlu untuk mendokumentasikan segala sesuatu yang telah dilakukan

sejauh ini. Tidak hanya untuk Auditor, tetapi dengan adanya laporan ini Anda

dapat memeriksa hasilnya dalam satu atau dua tahun.

Membuat Pernyataan Dari Penerapan (Statement Of Applicability)

Dokumen ini menunjukkan profil keamanan dalam suatu organisasi.

Berdasarkan hasil penanganan risiko yang dilakukan oleh Anda, harus terdaftar

semua kontrol yang telah Anda terapkan, mengapa Anda menerapkannya dan

bagaimana. Dokumen ini sangat penting karena auditor sertifikasi akan

menggunakannya sebagai pedoman utama untuk audit.

Membuat Rencana Penanganan Risiko (Risk Treatment Plan)

Ini adalah langkah dimana Anda harus pindah dari teori ke praktik. Berdasarkan

pengamatan, dari dahulu hingga sekarang pekerjaan manajemen risiko secara

keseluruhan ini adalah murni teoritis. Tetapi sekarang saatnya untuk

menunjukkan beberapa hasil yang nyata.

Berikut ini merupakan tujuan dari rencana penanganan risiko yakni :

a. Untuk mendefinisikan dengan tepat siapa yang akan melaksanakan setiap

kontrol yang ada.

b. Dimana jangka waktunya.

c. Dimana anggarannya dsb.

Setelah Anda membuat dokumen ini, sangatlah penting untuk mendapatkan

persetujuan manajemen Anda karena membutuhkan banyak waktu dan usaha

(uang) untuk melaksanakan semua kontrol yang telah direncanakan. Tanpa

adanya komitmen dari mereka, Anda tidak akan mendapatkan semua ini.

Intinya adalah ISO/IEC 27001 memaksa Anda untuk melakukan perjalanan ini

dengan cara yang sistematis.


2. Security Policy

Securiy policy dalam ISO/IEC 27001 mencakup kebijakan, panduan dan prosedur mengenai

keamanan sistem informasi. Adapun kebijakan maupun prosedur ini harus mencakup hal-hal

berikut :

a. Clear Desk and Clear Screen Policy

Prosedur yang mengatur untuk pelaksanaan pembersihan informasi yang bersifat

hardcopy pada meja kerja dan penonaktifan pada notebook, PC dsb. Hal ini dilakukan

untuk mengurangi risiko penipuan terhadap pelanggaran keamanan dan pencurian

informasi.

b. Disposal and Destruction Policy

Tujuan adanya prosedur ini untuk memastikan bahwa informasi yang tersimpan pada alat

dan media ini aman dari kerusakan atau penghapusan. Prosedur ini dimaksudkan untuk

organisasi kecil dan menengah.

c. Change Management Policy

Prosedur yang sebagai pedoman untuk penanganan perubahan terkait pengembangan,

perbaikan dan pemeliharaan sistem atau infrastruktur IT dengan memastikan kegiatan

tersebut sudah melalui prosedur yang berlaku dan sesuai dengan spesifikasi kebutuhan

atau persyaratan dari user.

d. Back-up Policy

Prosedur ini bertujuan untuk memastikan bahwa cadangan salinan yang dibuat sesuai

pada interval yang ditentukan dan diuji secara teratur.

e. Information Transfer Policy

Prosedur yang sebagai pedoman untuk memastikan keamanan pada informasi dan

perangkat lunak yang digunakan ketika melakukan pertukaran baik dalam maupun luar

organisasi.

f. Secure Development Policy

Prosedur ini sebagai pedoman untuk mendefinisikan aturan-aturan dasar untuk keamanan

pengembangan perangkat lunak dan sistem.


g. Supplier Security Policy

Prosedur ini untuk mendefinisikan aturan untuk hubungan dengan pemasok dan mitra.

h. Business Continuity Policy

i. Privacy policy

j. Bring Your Own Device (BYOD) Policy

Prosedur yang menjadi pedoman untuk menentukan bagaimana suatu organisasi bisa

mempertahankan pengaturan atas informasi sementara yang didapatkan melalui

perangkat yang tidak dimiliki oleh organisasi.

k. Mobile Device and Teleworking Policy

Prosedur untuk mencegah akses dari pihak yang tidak berwenang ke perangkat mobile

baik di dalam maupun di luar tempat organisasi.

l. Acceptable Use Policy

Prosedur untuk menentukan aturan yang jelas dalam penggunaaan sistem informasi dan

asset informasi lainnya.

m. Information Classification Policy

Prosedur atau kebijakan untuk memastikan bahwa informasi yang dilindungi pada tingkat

yang sesuai.

n. Access Control Policy

Prosedur yang menentukan aturan untuk akses ke berbagai sistem, peralatan, fasilitas dan

informasi yang didasarkan pada kebutuhan bisnis dan keamanan akses.

o. Password Policy

Prosedur yang menetapkan aturan untuk memastikan manajemen password yang aman.

p. Policy on the Use of Cryptographic Control

Prosedur yang menentukan aturan untuk penggunaan kontrol kriptografi serta aturan

penggunaan kunci kriptografi untuk melindungi kerahasiaan, integritas, keaslian dsb.


Langkah-langkah ini dirancang berdasarkan pengalaman dari Dejan Kosutic dengan berbagai

macam klien baik besar maupun kecil, pemerintah atau swasta, nirlaba atau non-profit.

Sebenarnya langkah-langkah ini berlaku untuk segala jenis kebijakan dan prosedur yang tidak

hanya berkaitan dengan ISO 27001 atau BS 25999-2.

Pelajari Persyaratan (Study The Requirements)

Pertama Anda harus belajar dengan sangat hati-hati dalam mempelajari berbagai

persyaratan. Apakah ada undang-undang yang mengharuskan sesuatu yang dimasukkan

ke dalam tulisan atau mungkin kontrak dengan klien atau beberapa kebijakan tingkat

tinggi lain yang sudah ada dalam organisasi (mungkin standar perusahaan) ?

Memperhitungkan Hasil Dari Penilaian Risiko (Take Into Account The Results Of Your

Risk Assessment)

Penilaian risiko yang dilakukan akan menentukan mana masalah yang harus Anda

alamatkan dalam dokumen Anda. Misalnya, Anda mungkin perlu memutuskan apakah

Anda akan mengelompokkan informasi tersebut sesuai dengan kerahasiaan. Dan jika

demikian, apakah Anda memerlukan dua, tiga atau empat tingkat kerahasiaan.

Langkah dalam bentuk ini menjadi tidak relevan jika kebijakan atau prosedur tersebut

tidak terkait dengan keamanan informasi atau kelangsungan usaha. Namun, prinsip-

prinsip manajemen risiko tetap berlaku dalam bidang lain seperti manajemen mutu (ISO

9001), pengelolaan lingkungan (ISO 14001) dsb.

Optimalkan dan Menyelaraskan Dokumen (Optimize and Align Your Document)

Hal yang paling penting untuk dipertimbangkan adalah jumlah total dokumen. Apakah

Anda akan menulis sepuluh dokumen 1 halaman atau satu dokumen dengan 10 halaman ?

Jauh lebih mudah untuk mengelola satu dokumen, terutama jika sasaran kelompok

pembaca adalah sama (hanya saja, jangan membuat dokumen 100 halaman).

Selain itu, Anda harus berhati-hati saat menyelaraskan dokumen Anda dengan dokumen

lainnya. Masalah yang Anda tentukan mungkin ada sebagian sudah didefinisikan dalam

dokumen lain. Dalam hal ini, mungkin tidak perlu menulis dokumen baru, tetapi hanya

memperluas yang sudah ada.


Jika Anda menulis dokumen baru tentang masalah yang sudah ada dalam dokumen lain,

pastikan untuk menghindari terjadinya redudansi dalam menggambarkan masalah yang

sama di kedua dokumen. Karena hal itu akan menjadi mimpi buruk untuk

mempertahankan dokumen tersebut. Itu jauh lebih baik apabila salah satu dokumen

membuat referensi ke yang lain tanpa mengulangi hal yang sama.

Strukturkan Dokumen Anda (Structure Your Document)

Anda perlu berhati-hati bahwa Anda harus bisa mematuhi aturan perusahaan dalam

memformat dokumen, jika Anda sudah memiliki template dengan font yang ditentukan,

header, footer dll.

Apabila Anda sudah menerapkan ISO 27001 atau BS 25999-2 (standar manajemen lain)

Anda perlu untuk mengamati prosedur pengendalian dokumen. Prosedur tersebut

mendefinisikan tidak hanya untuk format dokumen, tetapi juga aturan untuk

mendapatkan persetujuan, distribusi dll.

Tulis Dokumen Anda (Write Your Document)

Aturan praktis adalah semakin kecil organisasi dan semakin kecil risiko, dokumen Anda

menjadi tidak begitu kompleks. Tidak ada yang lebih tidak berguna daripada

memutuskan untuk menulis dokumen panjang namun tidak ada yang membaca. Anda

harus memahami bahwa membaca dokumen membutuhkan waktu dan tingkat perhatian

seseorang berbanding terbalik dengan jumlah baris dalam dokumen Anda.

Salah satu teknik yang baik untuk mengatasi perlawanan karyawan lain untuk dokumen

ini (tidak ada yang menyukai perubahan, terutama jika itu berarti sesuatu seperti

kewajiban untuk mengubah password secara teratur) adalah melibatkan mereka dalam

menulis atau mengomentari dokumen ini dengan cara ini mereka akan memahami

mengapa perlu.

Dapatkan Dokumen Anda Disetujui (Get Your Document Approved)

Jika Anda bukan seorang manajer dengan peringkat tinggi di perusahaan, Anda tidak

akan memiliki kekuatan untuk menegakkan dokumen ini.


Hal inilah yang menyebabkan mengapa seseorang dengan posisi tersebut harus bisa

memahami, menyetujui dan secara aktif memerlukan pelaksanaannya. Terdengar mudah,

tapi percayalah sebenarnya tidak. Langkah ini (dan berikutnya) adalah orang-orang yang

dimana dalam pelaksanaannya paling sering gagal.

Pelatihan Dan Kesadaran Karyawan Anda (Training And Awareness Of Your Employees)

Langkah ini mungkin yang paling penting, tapi sayangnya langkah ini adalah salah satu

yang sangat sering dilupakan. Seperti yang telah dibahas sebelumnya, karyawan lelah

dengan perubahan yang konstan dan mereka pasti tidak akan menyambut satu sama lain

jika itu berarti lebih banyak pekerjaan untuk mereka.

Oleh karena itu, sangat penting untuk menjelaskan kepada karyawan Anda mengapa

kebijakan atau prosedur tersebut diperlukan.

Hal-hal yang perlu dipertimbangkan dalam membuat kebijakan keamanan (security

police), prosedur atau bimbingan adalah :

a. Risiko (Risk)

b. Kepatuhan (Compliance)

c. Ukuran perusahaan Anda (Size of your company)

d. Penting (Importance)

e. Jumlah orang yang terlibat (Number of people involved)

f. Kompleksitas (Complexity)

g. Kematangan (Maturity)

h. Frequency of activity

3. Organization Of Information Security

Organisasi internal bertujuan untuk mengelola keamanan informasi dalam organisasi.

a. Komitmen manajemen untuk kontrol keamanan informasi

Manajemen harus secara aktif mendukung keamanan dalam organisasi melalui jelas arah,

menunjukkan komitmen, tugas eksplisit dan pengakuan tanggung jawab keamanan

informasi.


b. Koordinasi kontrol keamanan informasi

Kegiatan keamanan informasi harus dikoordinasikan oleh perwakilan dari berbagai

bagian dari organisasi dengan peran yang relevan dan fungsi pekerjaan.

c. Alokasi tanggung jawab kontrol keamanan informasi

Semua tanggung jawab keamanan informasi harus didefinisikan secara jelas.

d. Proses pemberian wewenang pada fasilitas control pengolahan informasi

Sebuah proses otorisasi manajemen untuk fasilitas pengolahan informasi baru akan

didefinisikan dan diimplementasikan.

e. Kontrol perjanjian kerahasiaan

Persyaratan untuk kerahasiaan atau non-disclosure perjanjian yang mencerminkan

kebutuhan organisasi untuk perlindungan informasi harus diidentifikasi dan secara

teratur.

f. Kontrol kontak dengan pihak berwenang

Kontak yang sesuai dengan otoritas yang relevan harus dipelihara.

g. Kontrol kontak dengan kelompok-kelompok minat khusus

Kontak yang sesuai dengan kelompok kepentingan khusus atau forum keamanan spesialis

lainnya dan asosiasi profesi harus dipelihara.

Pendekatan organisasi untuk mengelola keamanan informasi dan implementasinya (yaitu

tujuan pengendalian, kontrol, kebijakan, proses dan prosedur untuk informasi keamanan)

harus dikaji secara independen pada selang waktu terencana atau ketika signifikan

perubahan pada implementasi keamanan terjadi.

4. Asset Management

Dalam asset management mencakup 3 hal diantaranya yaitu :

a. Inventori

Membuat daftar seluruh asset yang dimiliki perusahaan mulai dari spesifikasinya, nilai,

jumlah, pemeliharaan, daya tahan.


b. Mengklasifikasikan Asset

Asset-asset dapat diklasifikasikan berdasarkan

fungsi-fungsinya apakah itu hardware (storage, mainframes, online/offline), software,

fasilatas, dokumen, data atau informasi

nilai asset

level pengamanannya

efektifitasnya terhadap sistem

c. Ownership

Memiliki daftar siapa yang memiliki atau bertanggung jawab terhadap asset tersebut. Jadi

1 asset dapat memiliki 2 atau lebih owner risk.

5. Human Resource (HR) Security

Organisasi harus memastikan bahwa semua personel yang diberikan tanggung jawab yang

ditetapkan dalam system manajemen keamanan informasi kompeten untuk melaksanakan tugas

yang dipersyaratkan dengan :

Menetapkan kompetensi yang perlu untuk personel yang melaksanakan pekerjaan yang

mempengaruhi system manajemen keamanan informasi.

Menyediakan pelatihan atau mengambil tindakan lain (misalnya mempekerjakan personel

yang kompeten) untuk memenuhi kegiatan tersebut.

Mengevaluasi keefektifan tindakan yang diambil.

Memelihara rekaman pendidikan, pelatihan, ketrampilan, pengalaman dan kualifikasi.

Organisasi juga harus memastikan bahwa semua personel terkait peduli akan relevansi dan

pentingnya kegiatan keamanan informasinya dan bagaimana mereka memberikan kontribusi

terhadap pencapaian sasaran system manajemen keamanan informasi.

Sumber daya manusia pada sebuah organisasi atau perusahaan khususnya berbasis TI harus

dapat diperhatikan keamanannya. Karena mereka lah yang menjalankan operasi atau kegiatan-

kegiatannya. dalam pengontrolannya dapat dibagi sebagai berikut :


a. Joiners/Movers

Perekrutan pegawai dengan hati-hati. maksudnya saat merekrut pegawai baru harus

memiliki kriteria-kriteria yang sesuai dengan kebutuhan dan sebelumnya harus diketahui latar

belakangnya. Verifikasi latar belakang terhadap semua calon pegawai, kontuktor dan semua

pihak ketiga harus dilaksanakan. Sebagai bagian dari kewajiban kontrak, pegawai, kontruktor

dan pengguna pihak ketiga harus menyetujui dan menandatangani kepegawaian yang harus

menyatakan tanggung jawab mereka dan organisasi terhapad keamanan informasi.

b. Leavers

Dalam beberapa kasus ketika seorang pegawai merasa telah tidak dibutuhkan lagi oleh

organisasi dan pada akhirnya dipecat. Disinilah muncul kerentanan akan data-data organisasi/

perusahaan yang dapat dipublikasi oleh pihak tersebut dikarenakan merasa dibuang. Untuk

menghindari akan hal tersebut harus hak akses semua pegawai, kontruktor dan pengguna pihak

ketiga terhapad informasi dan fasilitas pengolahan informasi harus dihapuskan ketika pekerjaan,

kontrak atau perjanjian berakhir atau disesuaikan dengan perubahan.

c. Awareness Traning and Education

Perlunya pelatihan kepada para pegawai terhadap teknologi yang digunakan dengan

maksud agar meningatkan keefektifan system manajemen keamanan informasi pada organisasi

tersebut.

6. Physical And Environmental Security

Berikut ini merupakan beberapa poin yang perlu diperhatikan dalam penyusunan metode

pengamanan fisik pada data center sebagai cara untuk mengatasi dan menanggulangi kerugian

serta ancaman dari :


- Faktor Lingkungan

1. Bangunan Data Center

Faktor lingkungan berkaitan erat dengan bangunan tempat data center didirikan untuk itu

sebagai awal pembahasan akan dimulai mengenai lokasi bangunan dan fisik bangunan

untuk data center sebagai langkah awal pengamanan data.

o Lokasi Data Center

Pemilihan lokasi bagunan mejadi hal yang harus diperhatikan. Hal-hal berikut dapat

dijadikan bahan pertimbangan dari segi aspek keamanan dalam pemilihan lokasi.

Lokasi yang dipilih sebaiknya yang memiliki sedikit risiko baik dari ancaman

bencana alam (jalur gempa, daerah rawan banjir atau daerah rawan tornado) maupun

dari ancaman teroris dan vandalisme. Data Center sebaiknya dibangun terpisah dari

kantor pusat. Cukup jauh dari jalan raya utama. Tidak bertetangga dengan bandar

udara, pabrik kimia, jalur pipa gas, pusat keramaian (pasar, stadium olahraga) dan

pusat pembangkit listrik. Dan juga lokasi memiliki fasilitas yang memadai, seperti

kecukupan tenaga listrik.

o Kontruksi Bangunan Data Center

Setelah memilih lokasi yang baik selanjutnya kita harus memperhatikan bagunan

yang akan didirikan untuk Data Center. Bangunan harus memperhatikan masalah

sirkulasi udara karena hal ini terkait dengan suhu, ventilasi udara yang cukup,

penggunaan AC yang direncanakan dengan baik, karena biasanya bangunan Data

Center dibuat dengan sedikit/bahkan tidak ada jendela dan tertutup. Bahan bangunan

yang dipakai harus tidak mudah terbakar serta kontruksi bangunan yang tahan gempa.

Adanya ruangan terpisah antara ruangan administratif dengan ruangan server dan

data. Gunakan standar pendingin ruangan, seperti TIA-942 dan perhatikan pengaturan

kabel yang melalui bawah lantai. Karena dalam menyiapkan kabel standar untuk

instalasi listrik yang dibutuhkan dan konstruksi bangunan harus memperhatikan hal

tersebut. Pintu masuk dirancang sangat terbatas. Pintu kebakaran dirancang untuk

keluar saja. Segala aspek keamanan dalam bangunan sebuah Data Center harus


direncanakan dengan baik. Kontruksi dan arsitektur bangunan harus dapat

mengakomodasi semua hal berkaitan dengan keamanan fisik.

o Pengamanan di Sekeliling Bangunan

Di sekeliling bangunan Data Center seharusnya adalah bidang kosong, dimana

bangunan Data Center sebaiknya memiliki jarak 10 meter dengan bangunan lain

atau tanaman dan pepohonan, yang mana hal ini dimaksudkan untuk memudahkan

pengawasan. Penggunaan kamera CCTV sebagai pengawas adalah hal minimal yang

harus dilakukan. Kamera yang digunakan sebaiknya memiliki kemampuan terhadap

cahaya rendah, tahan terhadap suhu dan cuaca.

Pengawasan juga tidak terlepas dari areal parkir yang ada didekat data center.

Pengawasan orang yang masuk dan keluar di kawasan Data Center harus dimonitor

dengan baik. Penggunaan detektor bom sangat disarankan untuk memeriksa setiap

mobil yang akan masuk ke kawasan. Penggunaan penjaga atau petugas keamanan

yang profesional merupakan sebuah hal yang harus dilakukan.

o Pengamanan di Dalam Bangunan

Pengamanan di dalam bangunan juga terkait dengan hal-hal lain, seperti faktor

manusia. Penggunaan kamera pengawas, sensor asap, sensor kebakaran merupakan

hal standar yang harus diterapkan. Pengawasan terhadap pintu masuk dan keluar

orang harus diperhatikan dengan baik. Pintu masuk yang menggunakan bahan dari

baja serta penggunaan kaca dan dinding yang aman akan sulit dilalui. Namun

penggunaan pendeteksi penyusup dapat pula di aplikasikan pada bangunan Data

Center.

2. Kebakaran (System Fire Suppression)

Solusi perlindungan Data Center dari api mempunyai tiga tujuan utama, yaitu: identifikasi

adanya api, pemberitahuan adanya api ke seluruh penghuni dan orang-orang yang

berkepentingan serta memadamkan api.

Pemasangan sistem Fire Suppression yang komprehensif di Data Center sebagai solusi

pencegahan terjadinya api atau penanggulangan api yang sudah terlanjur muncul. Khusus untuk

Data Center, sebaiknya menggunakan gaseous suppressant yang tidak akan merusak server.


Material suppression yang umum adalah Inergen dan Argonite, dua jenis gas mulia seperti FM-

200 dan HFC-227 (dibuat dari heptafluoropropane) serta FE13 atau HFC-23 (yang menyerap

panas dari api).

Komponen minimum fire suppression yang harus digunakan pada data center sederhana

sekalipun adalah sebuah sistem sprinkler biasa (yang bertindak sebagai pre-action sprinkler)

dengan clean-agent fire extinguishers yang cocok. Kemudian meningkat kepada level yang lebih

tinggi, maka sistem fire suppression yang lebih canggih akan meliputi air sampling smoke

detection systems, pre-action sprinkler systems dan clean agent suppression systems.

Sistem peringatan proteksi dini sangat penting untuk menghindari kerusakan dan kehilangan

yang dapat terjadi selama status kebakaran belum benar-benar terjadi (atau awal terjadinya

kebakaran). Contoh sebuah sistem peringatan proteksi dini adalah air sampling smoke detection

systems sebagai pengganti smoke detectors biasa, karena kesensitifannya dan kapabilitas

deteksinya jauh melampaui detektor konvensional.

3. Suhu

Menentukan kebutuhan sistem pendingin yang dibutuhkan untuk sebuah data center diperlukan

input berupa jumlah panas yang dihasilkan dari perlengkapan IT dan sumber panas lainnya di

Data Center. Pengukuran kebutuhan menggunakan standar watts. Kemudian setelah output panas

didefinisikan maka pertimbangan-pertimbangan berikut harus diperhatikan:

Ukuran beban pendingin dari perangkat (termasuk perangkat penghasil energi)

Ukuran beban pendingin untuk gedung

Sistem pendingin harus dapat mengantisipasi efek humidifikasi, redundansi bila

diperlukan dan untuk kebutuhan masa mendatang

Kegiatan pengaturan temperatur dan sirkulasi udara yang dikenal sebagai HVAC (heating,

ventilation, air conditioning), bertujuan untuk menjaga agar temperatur tetap dalam keadaan

rendah dan konstan serta menyebarkan titik-titik panas yang dibuat oleh suatu kelompok

perangkat yang dalam hal ini terletak di data center. Temperatur yang rendah sangat diperlukan

untuk efisiensi operasi server dan perangkat jaringan untuk menghindarkan dari fluktuasi.


Sistem pendingin pada data center pada prinsipnya adalah sistem aliran udara dingin, yang

terbagi menjadi tiga perangkat utama yaitu air handler, chiller dan menara pendingin. Selain itu,

juga ada perangkat pendingin tambahan, seperti: house air dan make-up air.

4. Listrik Atau Tenaga

Kebutuhan listrik merupakan hal yang penting pada sebuah Data Center. Karena semua

peralatan komputer, peralatan komunikasi dan jaringan serta pendingin membutuhkan energi.

Selain itu juga penggunaan listrik cadangan seperti Genset dan UPS harus dilakukan. UPS yang

digunakan harus mampu memenuhi kebutuhan listrik dari semua peralatan yang ada. Baterai

UPS diharapkan dapat bertahan cukup lama sebelum digantikan dengan listrik cadangan dari

Genset.

Masalah umum yang sering terjadi pada sistem elektrik di Data Center adalah pemasangan

sistem listrik yang salah dan tidak umum antara lain ketiadaan labeling dan dokumentasi,

kemudian sistem pengawasan tidak berjalan dengan baik atau adanya ketidak lengkapan

pemasangan infrastruktur listrik sehingga dapat mengakibatkan tidak berfungsinya sistem listrik.

Sistem elektrik yang dimiliki oleh Data Center menimbulkan suatu masalah bagi lingkungan

karena konsumsi listrik bagi sebuah Data Center sangatlah besar dan berdampak pada emisi

CO2. Hingga tahun 2020 kontribusi emisi CO2 akan meningkat hingga 4 kali lipat seiring

dengan meningkatnya konsumsi listrik untuk menghidupi Data Center yang berkembang secara

signifikan (Mckinsey &Co). Untuk mengatasi hal ini maka diadakannya suatu program yang

diberi nama Corporate Average Data Efficiency (CADE) yang merupakan efisiensi penggunaan

Data Center khususnya untuk perusahaan-perusahaan besar. Proses efisiensi ini sangat beragam,

mulai dari penggunaan software virtualisasi hingga perangkat pengendali proses pendinginan

yang terintegrasi. Selain itu penggunaan alternatif sumber energi juga mulai dipertimbangkan

untuk menuju Green Data Center, misalnya menggunakan tenaga matahari (solar energy).

5. Bencana Alam

Bencana alam memang tak dapat dihindari, namun kita dapat mengantisipasi untuk

mengurangi resiko yang disebabkan oleh bencana alam. Pada awal telah disebutkan bangunan


data center harus jauh dari daerah yang sering dilanda bencana alam seperti gempa bumi, gunung

meletus, banjir, tornado dan sebagainya. Kontruksi bangunan yang memiliki ketahanan terhadap

gempa adalah suatu cara yang dapat diterapkan. Selain itu, rak server dapat ditempatkan pada

platform isolasi seismic sehingga risiko kerusakan jika terjadi gempa berskala kecil dapat

dikurangi.

Namun demikian, penerapan back-up yang berketerusan pada sebuah Data Center tetap

sangat penting. Tempat penyimpanan data hasil back-up nantinya harus dipisah dari Data Center

dan disimpan pada tempat yang aman pula. Teknologi back-up data yang digunakan terkait erat

dengan keamanan data secara virtual. Oleh sebab itu, konvergensi keamanan fisik dan virtual

pada keamanan Data Center merupakan hal yang tidak dapat ditawar.

Back-up data dapat dilakukan langsung di Data Center menggunakan media back-up seperti

Tape Drive, CD, DVD, External HDD, atau media-media lainnya. Selain itu, dapat pula

dilakukan secara virtual melalui jaringan. Back-up yang dilakukan secara virtual ini disebut

dengan istilah remote replication, dimana back-up dilakukan dari Hard Disk ke Hard Disk.

Karena dilakukan melalui jaringan, maka diperlukan bandwidth yang cukup untuk melakukan

hal ini dan aspek keamanan virtual harus diperhatikan. Penyimpanan terhadap data hasil backup

perlu diutamakan. Gudang penyimpanan harus aman dari penyusup dan ruangan penyimpan

harus baik, bebas dari debu, tidak lembab dan tidak mudah terbakar agar data tetap terjaga.

Back-up yang dilakukan merupakan salah satu cara dalam perencanaan pemulihan bencana

atau lebih dikenal dengan disaster recovery planning (DR planning). Dengan adanya

perencanaan ini, dimaksudkan agar setelah bencana selesai, maka perusahaan dapat melanjutkan

operasi bisnis. Data yang telah di back-up akan di restore sehingga bisnis dapat terus berlanjut.

- Faktor Manusia

Pada akhirnya, kesuksesan pengamanan Data Center juga akan sangat tergantung dari faktor

manusia. Faktor manusia perlu diatasi dengan menggunakan metoda dan teknik tertentu.

Kebanyakan cara yang digunakan untuk mengatasi faktor manusia ini dengan menerapkan

access door / pintu akses dengan teknologi fingerprint sensor atau biometric. Namun demikian,

karena hal ini menyangkut manusia, maka keberhasilan penerapan biometric juga perlu didukung


oleh staff dan kebijakan keamanan yang terkontrol. Staf perlu dididik dan dilatih, serta

diharapkan dapat timbul kesadaran akan keamanan sehingga dapat mengurangi potensi ancaman

yang dapat terjadi.

Cara lain yaitu dengan menetapkan zona keamanan pada Data Center. Cara ini dilakukan

untuk membatasi interaksi seseorang terhadap ruang komputer dan peralatan vital lainnya.

Seperti halnya interaksi pada pusat pembangkit dan pusat pendingin yang juga perlu dibatasi,

karena dapat berpotensi mengganggu keamanan Data Center. Dalam setiap zona akan diterapkan

kebijakan keamanan yang berbeda, penggunaan peralatan baik kamera pengawas (CCTV)

maupun teknologi biometric, password dan lainnya adalah cara yang dapat diterapkan untuk

pengamanan fisik.

Selain itu, monitoring selama 24 jam juga perlu dilakukan, baik di wilayah sekitar gedung

maupun di dalam gedung. Kesadaran akan gangguan keamanan dari pengguna yang berasal dari

dalam adalah wajib untuk di sosialisasikan. Kepercayaan perlu diberikan, namun pengawasan

harus tetap dilaksanakan. Penerapan kebijakan menjadi poin penting dalam hal ini. Penggunaan

teknologi lainnya yang dapat mendukung keamanan merupakan hal yang layak untuk

dipertimbangkan.

7. Communications And Operations Management

a. Kontrol Operasi

Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan.

Termasuk dalam kontrol ini :

Kontrol terhadap personel pengoperasi (Logging)

Dokumen yang berisi prosedur dan berisi pedoman untuk melakukan suatu pekerjaan.

Pedoman-pedoman ini harus dijalankan dengan tegas. Selain itu, para personel yang

bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catatan-catatan

dalam sistem komputer (system log) benar-benar terpelihara.


Kontrol terhadap penyimpanan arsip (Archives)

Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk

pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai.

Prosedur pengoperasian harus didokumentasikan, dipelihara dan tersedia untuk semua

pengguna yang memerlukannya.

Kontrol terhadap penyusunan (Configuration)

Tugas dan lingkup tanggung jawab harus dipisahkan untuk mengurangi peluang bagi

modifikasi yang tidak sengaja atau tidak sah atau penyalahgunaan terhadap asset

organisasi.

Kontrol terhadap cadangan data (Back-up)

Metadata disimpan dalam sistem database relasional yang menyimpan konten / dokumen

dalam sistem file ke file server. Sebuah back-up metadata penuh dilakukan setidaknya

sekali sehari. Sebuah back-up online penuh konten juga dilakukan pada server back-up

sekali sehari. Ditambahkannya, setidaknya sekali seminggu memiliki salinan lengkap dari

metadata dan konten disimpan ke media back-up yang terpisah. Parameter berikut

diramalkan sebagai bagian dari keamanan data :

a. Recovery Point Objective (RPO) : Dalam kasus pemulihan darurat jangka waktu

maksimum selama data mungkin hilang adalah 30 menit.

b. Pemulihan Sisa Tujuan (RTO) : Dalam kasus pemulihan darurat waktu untuk

memulihkan layanan adalah maksimal 48 jam setelah infrastruktur jaringan,

hardware dan software yang tersedia.

c. Retensi Waktu : Back-up disimpan hingga 6 bulan.

d. Log Audit : Audit Log disimpan selama minimal 12 bulan.

8. Access Control

Access control dapat diaplikasikan terhadap setiap objek yang dapat diamankan dalam sistem

operasi. Sebagai contoh dalam Windows NT, terdapat objek berkas (file object), objek proses

(process object), objek ancaman (thread object) dan beberapa objek lainnya yang terdaftar


dalam Windows NT Object Manager. Objek-objek dalam Active Directory Windows 2000 dan

Windows Server 2003 juga dapat diamankan, meski seringnya diaplikasikan terhadap sebuah

group atau direktori.

Access control umumnya diimplementasikan dengan memberikan izin (permisi) dan hak

terhadap objek secara spesifik. Izin diberikan terhadap objek untuk menentukan siapa saja yang

dapat mengakses objek tersebut dan sebatas apa ia berhak mengaksesnya. Izin tersebut, dapat

diaplikasikan oleh administrator sistem atau pemilik objek tersebut (orang yang membuat objek).

Jenis izin yang dapat diaplikasikan bergantung pada objek yang hendak diamankan. Sebagai

contoh objek berkas dalam keluarga sistem operasi Windows NT yang disimpan dalam sebuah

partisi dengan sistem berkas NTFS dapat diamankan.

Selain izin, access control juga diimplementasikan dalam bentuk hak (right). Hak dapat

diberikan kepada sebuah pengguna atau sebuah group pengguna untuk memberikan kepada

mereka hak untuk melakukan beberapa tugas yang menyangkut administrasi sistem, seperti

halnya melakukan back-up, mematikan server, atau melakukan logon secara interaktif.

Aspek keamanan data/informasi atau disebut juga keamanan virtual pada data center

menyangkut hal-hal sebagai berikut.

o Kontrol akses logikal, menyangkut apa, siapa dan bagaimana data diakses secara virtual.

Contohnya seperti password untuk menentukan hak akses.

o Kontrol penyimpan, menyangkut berapa lama data disimpan dan jenis keamanan apa

yang digunakan pada media penyimpan dan data yang disimpan. Contohnya sistem back-

up data yang dipakai dan enkripsi yang digunakan.

o Keamanan jaringan baik jaringan intranet maupun internet terkait dengan konfigurasi

jaringan, hak akses jaringan, firewall, intrusion detection dan lainnya.

o Keamanan sistem terkait dengan sistem operasi yang digunakan.

a. Kontrol Akses Terhadap Perangkat Teknologi Pusat Data

Untuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi

yang berbeda. Setiap pemakai dilengkapi dengan nama pemakai dan password. Password


bersifat rahasia sehingga diharapkan hanya pemiliknya yang mengetahui password. Setelah

pemakai berhasil masuk ke dalam sistem (login), pemakai akan mendapatkan hak akses sesuai

dengan otoritas yang telah ditentukan. Terkadang, pemakai juga dibatasi oleh waktu. Kontrol

akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh, administrator basis data

mengatur agar pemakai X bisa mengubah data A, tetapi pemakai Y hanya bisa membaca isi

berkas tersebut.

Jika pendekatan tradisional hanya mengandalkan pada password, sistem-sistem yang lebih

maju mengombinasikan dengan teknologi lain. Misalnya, mesin ATM (anjungan tunai mandiri)

menggunakan magnetic card atau bahkan kartu cerdas sebagai langkah awal untuk mengakses

sistem dan kemudian baru diikuti dengan pemasukan PIN (personal identification number).

Teknologi yang lebih canggih menggunakan sifat-sifat biologis manusia yang bersifat unik,

seperti sidik jari dan retina mata, sebagai kunci untuk mengakses sistem.

Pada sistem yang terhubung ke Internet, akses Intranet dari pemakai luar (via Internet) dapat

dicegar dengan menggunakan firewall. Firewall dapat berupa program ataupun perangkat keras

yang memblokir akses dari luar intranet.

Berikut beberapa hak akses yang diterapkan dalam memberikan keamanan terhapad data center.

o Physical Access Control

Pengamanan terhadap hak akses secara fisik berarti mengamankan asset organisasi secara

fisik. Pengendalian hak akses fisik ini berupa hanya memberikan hak akses kepada yang

berhak atas teknologi yang digunakan pada pusat data. Standar yang digunakan dalam

pengendalian hak akses berupa :

a. Memberikan password pada asset fisik tekologi pusat data. Contoh : sebuah

komputer yang diberikan password, dengan seperti itu maka hanya orang-orang

berhak yang dapat mengaksesnya.

o Network Access Control

Pada sistem yang terhubung ke Internet, akses Intranet dari pemakai luar (via Internet)

dapat dicegah dengan menggunakan firewall. Firewall dapat berupa program ataupun

perangkat keras yang memblokir akses dari luar intranet.


o System Access Control

Keamanan sistem terkait dengan sistem operasi yang digunakan. untuk melakukan

pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi yang berbeda-

beda. Setiap pemakai dilengkapi dengan nama pemakai dan password. Password bersifat

rahasia sehingga diharapkan hanya pemiliknyalah yang tahu password-nya. Setelah

pemakai berhasil masuk ke dalam sistem (login), pemakai akan mendapatkan hak akses

sesuai dengan otoritas yang telah ditentukan. Terkadang, pemakai juga dibatasi oleh

waktu. Kontrol akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh,

administrator basis data mengatur agar pemakai X bisa mengubah data A, tetapi pemakai

Y hanya bisa membaca isi berkas tersebut.

o Data Access Control

Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil

membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer).

Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi

tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang

cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain

dikenal dengan istilah kriptografi. Adapun sistemnya disebut sistem kripto. Secara

lebih khusus, proses untuk mengubah teks asli (cleartext atau plaintext) menjadi teks

yang telah dilacak (cliphertext) dinamakan enskripsi, sedangkan proses kebalikannya,

dari chiphertext menjadi cleratext, disebut dekrpisi.

Dua teknik yang popular untuk melakukan enskripsi yaitu DES dan public-key

encryption.

DES merupakan teknik untuk melakukan enskripsi dan deskripsi yang dikembangkan

oleh IBM pada tahun 1970-an. Kunci yang digunakan berupa kunci privat yang

bentuknya sama. Panjang kunci yang digunakan sebesar 64 bit. Algoritma yang

digunakan mengonversi satu blok berukuran 64 bit (8karakter) menjadi blok data

berukuran 64 bit.

Sistem DES yang menggunakan kunci privat memiliki kelemahan yang terletak pada

keharusan untuk mendistribusikan kunci ini. Pendistribusian inilah yang menjadi titik

rawan untuk diketahui oleh pihak penyadap.


Untuk mengatasi kelemahan sistem kripto simetrik, diperkenalkan teknik yang disebut

kriptografi kunci publik. Sistem ini merupakan model sistem kripto asimetrik, yang

menggunakan kunci enkripsi dan dekripsi yang berbeda. Caranya adalah dengan

menggunakan kunci privat dan kunci publik. Sebagai gambaran, bila pengirim S

mengirimkan pesan ke penerima R, ia menggunakan kunci publik R dan kemudian R

melakukan deskripsi dengan menggunakan kunci privat R.

o Application Access Control

Akan berkaitan dengan layer 4 (transport layer) dan layer 5 (session layer) untuk

meningkatkan waktu respon suatu server. Layer 4 adalah layer end-to-end yang paling

bawah antara aplikasi sumber dan tujuan, menyediakan end-to-end flow control, end-to-

end error detection & correction, dan mungkin juga menyediakan congestion

controltambahan. Sedangkan layer 5 menyediakan 11 riteri dialog (siapa yang memiliki

giliran berbicara/mengirim data), token management (siapa yang memiliki akses ke

resource bersama) serta sinkronisasi data (status terakhir sebelum link putus). Berbagai

isu yang terkait dengan hal ini adalah load balancing, caching, dan terminasi SSL, yang

bertujuan untuk mengoptimalkan jalannya suatu aplikasi dalam suatu sistem.

9. Information System Acquisition, Development And Maintanance

Adapun kebijakan maupun prosedur dalam manajemen ini harus mencakup hal-hal berikut :

Security requirements of information systems

Kontrol ini bertujuan untuk memastikan bahwa keamanan adalah bagian integral dari

sistem informasi dengan cara menganalisa persyaratan keamanan dan spesifikasinya.

Correct processing in applications

Kontrol ini bertujuan untuk mencegah kehilangan, kesalahan, modifikasi serta

penyalahgunaan informasi yang terdapat di dalam operating system (PC yang

digunakan oleh user) maupun dalam aplikasi. Seperti :

a. Validasi input data

b. Kontrol pengolahan internal

c. Integritas pesan


d. Validasi data output

Cryptographic controls

Untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan kriptografi.

Seperti :

a. Kebijakan penggunaan kontrol kriptografi

b. Manajemen kunci

c. Keamanan sistem file

d. Kontrol perangkat lunak operasional

e. Perlindungan data pengujian sistem

f. Kontrol akses ke kode sumber program

Security in development and support processes

Untuk menjaga keamanan aplikasi sistem perangkat lunak dan informasi. Seperti :

a. Merubah prosedur pengendalian

b. Teknis review aplikasi setelah perubahan sistem operasi

c. Pembatasan perubahan paket perangkat lunak

d. Pengembangan perangkat lunak outsorcing

e. Manajemen kerentanan teknis untuk mengurangi risiko yang dihasilkan dari

eksploitasi kerentanan teknis yang diterbitkan.

10. Information Security Incident Management

Incident Management diperlukan dalam data center berdasarkan ISO 27001. Manajemen ini

berisi tentang :

a. Disaster Recovery System

Disaster Recovery System terdiri dari 4 komponen diantaranya :

Emergency Plan

Identifikasi ancaman (threat)

Penyebab dari ancaman ?

Buat scenario terjadinya ancaman

Kemungkinan terjadinya


Kerugian yang didapat

Mengspesifikasikan langkah yang harus dilakukan apabila terjadi

Back-up Plan

Mengspesifikasikan hal-hal yang perlu di back-up seperti :

Menentukan lokasi dari sumber daya untuk back-up.

Prosedur dalam back-up.

Dimana / bagaimana prosedur untuk sumber daya yang dibutuhkan dalam

operasi.

Mempertimbangkan sumber daya apa saja yang perlu di back-up. Misalnya

back-up hardware, menyediakan hardware yang berkaitan dengan sistem di

lokasi yang berbeda atau melakukan perjanjian dengan perusahaan lain bisa

menyewa hardware atau meminjam dan mungkin menyediakan hardware

apabila dibutuhkan. Bisa juga mengasuransikan beberapa hardware yang

dianggap penting. Misal lainnya seperti bagaimana back-up karyawan ?

dengan memback-up mereka dengan diberikan latihan mengenai disaster-

disaster tertentu.

Recovery Plan

Rencana ini dimaksudkan untuk mengetahui bagaimana caranya memulihkan

operasi dengan cepat. Rencana ini harus menspesifikasikan :

Aplikasi dan data yang harus di restore.

Menentukan tanggung jawab komite untuk mengambil langkah-langkah

tertentu dalam recovery.

Test Plan

Test plan berfungsi untuk mengidentifikasi kekurangan dari emergency plan,

backup plan dan recovery plan. Dalam test ini disaster tersebut dan rencana-

rencananya harus di simulasikan sehingga dapat mengetahui apa saja yang

dibutuhkan atau yang perlu dilengkapi dalam komponen-komponen sebelumnya.

Testplan dilakukan agar disaster plan system ini dapat berjalan lebih efektif serta

efisien.


b. Ketahanan Sistem (Resiliance)

Resiliance system, mencakup hal-hal yang berkaitan dengan pengukuran ketahanan

sistem terhadap bencana. Seberapa kuat sistem yang ada bertahan dari insiden-insiden

yang dispesifikasikan.

11. Business Continuity Management

Kelangsungan bisnis sangat penting untuk keberhasilan bisnis. Ini tidak bisa lagi tetap

menjadi perhatian dari departemen IT sendiri. Bagaimana Anda menentukan kelangsungan dan

pemulihan kebutuhan bisnis Anda untuk melindungi terhadap bencana? Bagaimana Anda

mengidentifikasi dan mengintegrasikan bisnis dan TI prioritas penting dalam program

kontinuitas yang komprehensif? Darimana Anda memulai ?

Data PTS ini pusat rencana pemulihan bencana untuk kelangsungan bisnis meliputi :

Identifikasi unit bisnis dan tujuan operasional.

Mengidentifikasi persediaan dan asset berdasarkan peringkat kekritisan untuk tujuan bisnis.

Peringkat ancaman yang menimbulkan risiko terhadap aset kritis.

Mengidentifikasi tingkat keparahan kerentanan dalam aset kritis.

Prioritaskan risiko dengan fokus pada aset yang terkena ancaman bencana yang kredibel dan

kerentanan yang ada.

Mengembangkan strategi yang meminimalkan risiko bencana dan memaksimalkan ROI.

PTS bekerja dengan Anda dalam menciptakan data center rencana pemulihan bencana dan

memberikan perkiraan biaya untuk beradaptasi fasilitas dan teknologi sumber daya Anda untuk

ketersediaan berkelanjutan :

Backup dan opsi pemulihan untuk teknologi informasi multi-vendor Anda.

Bandingkan pemulihan bencana pilihan situs internal dan eksternal.

Menilai dan meningkatkan pemulihan infrastruktur penting Anda.

Menilai dan meningkatkan perlindungan proses bisnis penting Anda.


Data Center Disaster Recovery

Disaster (bencana) didefinisikan sebagai kejadian yang waktu terjadinya tidak dapat diprediksi

dan bersifat sangat merusak. Pengertian ini mengidentifikasikan sebuah kejadian yang tiba-tiba,

tidak diharapkan, bersifat sangat merusak, dan kurang perencanaan. Bencana terjadi dengan

frekuensi yang tidak menentu dan akibat yang ditimbulkannya meningkat bagi mereka yang

tidak mempersiapkan diri terhadap kemungkinan-kemungkinan timbulnya bencana. Berbagai

bencana yang mungkin terjadi antara lain adalah:

Bencana alam disebabkan oleh kondisi geografis dan geologis dari lokasi

Kebakaran disebabkan oleh faktor lingkungan dan pengaturan sistem elektrik yang dapat

menyebabkan korsleting

Kerusakan pada jaringan listrik disebabkan oleh sistem elektrik

Serangan teroris disebabkan oleh lemahnya keamanan fisik dan non fisik data center

Sistem atau perangkat yang rusak terkait dengan kesalahan manajemen pengawasan

perangkat

Kesalahan operasional akibat ulah manusia

Virus misalkan disebabkan oleh kesalahan pemilihan anti virus yang digunakan.

Bisnis menggunakan teknologi informasi dengan cepat dan efektif memproses informasi.

Karyawan menggunakan surat elektronik dan Voice Over Internet Protocol (VOIP) sistem

telepon untuk berkomunikasi. Pertukaran data elektronik (EDI) digunakan untuk mengirimkan

data termasuk pesanan dan pembayaran dari satu perusahaan ke perusahaan lain. Server

memproses informasi dan menyimpan data dalam jumlah besar. Komputer desktop, laptop dan

perangkat nirkabel digunakan oleh karyawan untuk menciptakan, proses, mengelola dan

menyampaikan informasi. Apa yang Anda ketika teknologi informasi Anda berhenti bekerja?

Sebuah teknologi informasi rencana pemulihan bencana (DRP TI) harus dikembangkan dalam

hubungannya dengan rencana kesinambungan bisnis. Prioritas dan tujuan waktu pemulihan

untuk teknologi informasi harus dikembangkan selama analisis dampak bisnis. Strategi

pemulihan Teknologi harus dikembangkan untuk memulihkan perangkat keras, aplikasi dan data

pada waktunya untuk memenuhi kebutuhan pemulihan bisnis.


Bisnis besar dan kecil membuat dan mengelola volume besar informasi elektronik atau data.

Sebagian besar data yang penting. Beberapa data sangat penting untuk kelangsungan hidup dan

melanjutkan operasi bisnis. Dampak kehilangan data atau korupsi dari kegagalan perangkat

keras, kesalahan manusia, hacking atau malware bisa menjadi signifikan. Sebuah rencana untuk

backup data dan pemulihan informasi elektronik sangat penting.

a. Strategi Pemulihan Teknologi Informasi

Strategi pemulihan harus dikembangkan teknologi informasi (TI) sistem, aplikasi dan data.

Ini termasuk jaringan, server, desktop, laptop, perangkat nirkabel, data dan konektivitas.

Prioritas untuk pemulihan itu harus konsisten dengan prioritas untuk pemulihan fungsi

bisnis dan proses yang dikembangkan selama analisa dampak terhadap bisnis. ITU sumber

daya yang diperlukan untuk mendukung fungsi bisnis sensitif terhadap waktu dan proses

juga dapat diidentifikasi. Waktu pemulihan untuk sumber itu harus sesuai tujuan waktu

pemulihan fungsi bisnis atau proses yang tergantung pada sumber daya itu.

Sistem teknologi informasi memerlukan perangkat keras, perangkat lunak, data dan

konektivitas. Tanpa salah satu komponen dari "sistem", sistem mungkin tidak berjalan. Oleh

karena itu, pemulihan strategi harus dikembangkan untuk mengantisipasi kehilangan satu

atau lebih komponen sistem berikut :

o Computer ruang lingkungan (ruang komputer yang aman dengan kontrol iklim, ber- dan

cadangan listrik, dll)

o Hardware (jaringan, server, desktop dan laptop, perangkat nirkabel dan periferal)

o Connectivity layanan penyedia (serat, kabel, wireless, dll)

o Software aplikasi (pertukaran data elektronik, Surat elektronikmanajemen sumber daya

perusahaan, produktivitas kantor, dll)

o Data dan pemulihan.

Beberapa aplikasi bisnis tidak bisa mentolerir downtime apapun. Mereka memanfaatkan

pusat data ganda mampu menangani semua kebutuhan pengolahan data, yang berjalan

secara paralel dengan data cermin atau sinkronisasi antara dua pusat. Ini adalah solusi yang

sangat mahal yang hanya perusahaan besar yang mampu. Namun, ada solusi lain yang


tersedia untuk ukuran kecil dan menengah bisnis dengan data dan aplikasi bisnis penting

untuk melindungi.

Internal Pemulihan Banyak Strategi

bisnis memiliki akses ke fasilitas yang lebih dari satu. Hardware di fasilitas alternatif

yang dapat dikonfigurasi untuk menjalankan serupa hardware dan software aplikasi bila

diperlukan. Dengan asumsi data didukung off-site atau data dicerminkan antara dua

situs, data dapat dipulihkan di situs alternatif dan pengolahan dapat melanjutkan.

Penjual Didukung Pemulihan Strategi

ada vendor yang bisa menyediakan "hot situs" untuk itu pemulihan bencana. Situs ini

adalah sepenuhnya dikonfigurasi data Center dengan produk hardware dan software

yang umum digunakan. Pelanggan dapat memberikan unik peralatan atau perangkat

lunak baik di saat bencana atau menyimpannya di lokasi panas siap untuk digunakan.

Aliran data, Layanan keamanan data dan aplikasi dapat host dan dikelola oleh vendor.

Informasi ini dapat diakses di situs utama bisnis atau situs alternatif menggunakan web

browser. Jika sebuah outage terdeteksi di situs klien oleh vendor, vendor otomatis

memegang data sampai sistem klien dipulihkan. Vendor tersebut juga dapat

memberikan data penyaringan dan deteksi ancaman malware, yang meningkatkan

keamanan Maya.

Rencana Pengembangkan Disaster Recovery

Bisnis IT harus mengembangkan rencana pemulihan bencana itu. Ini dimulai dengan

mengumpulkan inventarisasi data, aplikasi perangkat lunak dan perangkat keras

(misalnya server, desktop, laptop dan perangkat nirkabel). Rencana harus mencakup

strategi untuk memastikan bahwa semua informasi yang penting didukung.

Mengidentifikasi aplikasi perangkat lunak kritis dan data dan perangkat keras yang

diperlukan untuk menjalankan mereka. Menggunakan perangkat keras standar akan

membantu untuk meniru dan reimage hardware baru. Memastikan bahwa salinan


program perangkat lunak tersedia untuk memungkinkan instalasi ulang pada

penggantian peralatan. Memprioritaskan hardware dan software pemulihan.

Dokumen rencana pemulihan bencana itu sebagai bagian dari rencana kesinambungan

bisnis. Uji rencana secara berkala untuk memastikan bahwa ia bekerja.

b. Data Back-Up

Usaha menghasilkan sejumlah besar data dan file data yang berubah sepanjang hari kerja.

Data dapat hilang, rusak, terganggu atau dicuri melalui kegagalan perangkat keras,

kesalahan manusia, hacking dan malware. Hilangnya atau korupsi data dapat mengakibatkan

gangguan bisnis yang signifikan.

Data backup dan pemulihan harus menjadi bagian integral dari rencana kesinambungan

bisnis dan rencana pemulihan bencana teknologi informasi. Mengembangkan strategi

backup data dimulai dengan mengidentifikasi apa data untuk cadangan, memilih dan

menerapkan perangkat keras dan perangkat lunak cadangan prosedur, penjadwalan dan

melakukan backup dan secara berkala memvalidasi bahwa data telah akurat back-up.

Mengembangkan Cadangan Data Rencana

mengidentifikasi data pada jaringan server, komputer desktop, laptop komputer dan

perangkat nirkabel yang didukung bersama dengan catatan hard copy dan informasi lainnya.

Rencana harus mencakup secara teratur jadwal backup dari perangkat nirkabel, komputer

laptop dan desktop komputer ke server jaringan. Data pada server dapat kemudian didukung.

Back up hard copy Catatan penting dapat dicapai oleh scanning catatan kertas ke dalam

format digital dan memungkinkan mereka untuk didukung bersama dengan data digital

lainnya.

Pilihan Untuk Data Cadangan Kaset

peluru dan kapasitas besar USB drive dengan data terintegrasi cadangan perangkat lunak

yang efektif bagi bisnis untuk data cadangan. Frekuensi backup, keamanan backup dan aman


penyimpanan off-site harus diatasi dalam rencana. Backup harus disimpan dengan tingkat

yang sama keamanan sebagai data asli.

Banyak vendor menawarkan layanan backup online data termasuk penyimpanan di "awan".

Ini adalah solusi biaya-efektif untuk bisnis dengan koneksi internet. Perangkat lunak diinstal

pada server klien atau komputer secara otomatis di back-up.

Data harus didukung sesering yang diperlukan untuk memastikan bahwa, jika data hilang, itu

tidak dapat diterima untuk bisnis. Analisa dampak terhadap bisnis harus mengevaluasi

potensi untuk data yang hilang dan mendefinisikan "pemulihan titik tujuan." Data pemulihan

kali harus dikonfirmasi dan dibandingkan dengan itu dan tujuan waktu pemulihan fungsi

bisnis.

12. Compliance (Penyesuaian)

Berdasarkan ISO 27001 keamanan harus disesuaikan dengan hukum, peraturan, dan kontrak

persyaratan. Adapun hal-hal yang perlu disesuaikan seperti :

Audit

Kontrol terhadap sistem operasional dan peralatan audit. Selama dilakukan audit sistem harus

dilakukan untuk meminimalkan intervensi dari dan ke proses audit sistem tersebut. Dan

untuk melindungi integritasnya serta mencegah penyalahgunaan peralatan audit.

Company policies

Kadang-kadang Anda mungkin memiliki peraturan atau persyaratan kontrak untuk menulis

dokumen tertentu.

3rd party/client

Misalnya klien Anda mungkin mengharuskan Anda untuk menandatangani NDAs dengan

karyawan Anda.

Laws and regulation in company location

Kita perlu menyesuaikan sistem keamanan kita dengan peraturan yang berlaku di

daerah/teritory perusahaan. Misalkan ada beberapa peralatan yang tidak diizinkan untuk


digunakan atau ada kebijakan khusus mengenai pelestarian lingkungan dan sebagainnya.

Jangan sampai kita harus membuat ulang sistem karena melanggar kebijakan dan

sebagainnya.


REFERENSI

http://www.iso27001standard.com/blog/2015/03/26/iso-27001-risk-assessment-treatment-6-

basic-steps/

http://www.iso27001standard.com/blog/2015/03/26/seven-steps-for-implementing-policies-and-

procedures/

http://www.iso27001standard.com/?s=policy&lang=en

http://www.isaca.org/Groups/Professional-English/iso-iec-27000-

series/GroupDocuments/The%20new%20standard%20ISO27001.pdf