Keterangan :
·
H = Tinggi
·
M = Sedang
·
L = Rendah
·
Keunggulan
COBIT sebagai rerangka tatakelola adalah sistem keamanan sistem informasi
terintegrasi ke dalam rerangka tatakelola TI yang lebih luas dan besar. Tidak
hanya itu, COBIT juga menyediakan rerangka pengambilan keputusan. Dengan
demikian COBIT selain sebagai sistem penjamin keamanan informasi juga menjadi
rerangka sistem tatakelola TI yang terintegrasi dengan sistem organisasi lain
melalui serangkaian 34 proses.
ISO
17799
Unit
Informasi
|
Sasaran
Kontrol
|
Proses
|
KEBIJAKAN KEAMANAN
|
||
KEBIJAKAN KEAMANAN INFORMASI
|
||
Dokumen kebijakan keamanan informasi
|
PO 6.8
|
PO 6
|
Ulasan dan evaluasi
|
PO 6.5
|
PO 6
|
KEAMANAN ORGANISASI
|
||
INFRASTRUKTUT KEAMANAN INFORMASI
|
||
Forum keamanan informasi manajemen
|
PO 4.6
|
PO 4
|
Koordinasi keamanan sistem informasi
|
PO 4.6
|
PO 4
|
Alokasi tanggung jawab keamanan informasi
|
PO 4.4
|
PO 4
|
Proses otorisasi untuk fasilitas pemrosesan informasi
|
PO 5.4
|
DS 5
|
Saran keamanan informasi spesialis
|
PO 9.4
|
PO 9
|
Kerjasama antar organisasi
|
DS 2.7
|
DS 2
|
Ulasan independen keamanan pengamanan
|
M 4.1
|
M 4
|
KEAMANAN AKSES PIHAK KETIGA
|
||
Identifikasi resiko dari akses pihak ketiga
|
PO 9.3
|
PO 9
|
Persyaratan keamanan dalam kontrak pihak ketiga
|
DS 2.7
|
DS 2
|
OUTSOURCING
|
||
Persyaratan keamanan dalam kontrak outsourcing
|
DS 2.7
|
DS 2
|
ASET KLASIFIKASI DAN PENGENDALIAN
|
||
AKUNTABILITAS UNTUK ASET
|
||
Inventarisasi aset
|
DS 1.6
|
DS 1
|
KLASIFIKASI INFORMASI
|
DS 5.8
|
DS 5
|
Pedoman klasifikasi
|
DS 5.8
|
DS 5
|
Pelabelan dan penangan informasi
|
DS 11.22
|
DS 11
|
KEAMANAN PERSONIL
|
||
KEAMANAN DALAM JOB DEFINISI DAN SUMBER DAYA
|
||
Termasuk keamanan dalam tanggung jawab pekerjaan
|
PO 4.4
|
PO 4
|
Penyaringan dan kebijakan personil
|
PO 7.6
|
PO 7
|
Perjanjian kerahasiaan
|
PO 6.6
|
PO 6
|
Syarat dan ketentuan kerja
|
PO 7.1
|
PO 7
|
PELATIHAN PENGGUNA
|
||
Pendidikan dan pelatihan keamanan informasi
|
DS 7.3
|
DS 7
|
MENANGGAPI KEAMANAN DAN MALFUNGSI KEAMANAN
|
||
Melaporkan insiden keamanan
|
DS 5.10
|
DS 5
|
Melaporkan kelemahan keamanan
|
DS 5.10
|
DS 5
|
Melaporkan malfungsi perangkat lunak
|
DS 5.10
|
DS 5
|
Belajar dari insiden
|
DS 5.10
|
DS 5
|
Proses pendisiplinan
|
PO 7.3
|
PO 7
|
KEAMANAN FISIK DAN LINGKUNGAN
|
||
WILAYAH AMAN
|
||
Paramater keamanan fisik
|
DS 12.1
|
DS 12
|
Kontrol entri fisik
|
DS 12.1
|
DS 12
|
Mengamankan kantor, ruangan, dan fasilitas
|
DS 12.1
|
DS 12
|
Bekerja di area aman
|
PO 6.10
|
PO 6
|
Area pengiriman dan pemuatan terisolasi
|
DS 12.1
|
DS 12
|
KEAMANAN PERALATAN
|
||
Penempatan dan perlindungan peralatan
|
DS 12.1
|
DS 12
|
Pasokan listrik
|
DS 12.1
|
DS 12
|
Keamanan kabel
|
PO 3.1
|
PO 3
|
Pemeliharaan peralatan
|
AI 3.2
|
AI 3
|
Keamanan peralatan di luar lokasi
|
PO 6.8
|
PO 6
|
Pembuangan atau penggunaan kembali peralatan yang aman
|
DS 11.18
|
DS 11
|
KONTROL UMUM
|
||
Hapus meja dan kebijakan layar jernih
|
PO 6.10
|
PO 6
|
Penghapusan properti
|
AI 3.3
|
AI 3
|
MANAJEMEN DAN PENGELOLAAN OPERASI
|
||
PROSEDUR TAMBAHAN OPERASIONAL
|
||
Prosedur operasi terdokumentasi
|
DS 13.2
|
DS 13
|
Kontrol perubahan operasional
|
DS 13.1
|
DS 13
|
Prosedur manajemen insiden
|
DS 10.1
|
DS 10
|
Pemisahan tugas
|
PO 4.10
|
PO 4
|
Pemisahan pembangunan dan fasilitas operasional
|
PO 3.1
|
PO 3
|
Manajemen fasilitas eksternal
|
DS 2.3
|
DS 2
|
PERENCANAAN SISTEM DAN PENERIMAAN
|
||
Perencanaan kapasitas
|
DS 3.6
|
DS 3
|
Penerimaan sistem
|
AI 5.13
|
AI 5
|
PERLINDUNGAN TERHADAP PERANGKAT LUNAK BERBAHAYA
|
||
Kontrol terhadap perangkat lunak yang berbahaya
|
DS 5.19
|
DS 5
|
PEMBENAHAN
|
||
Pencadangan informasi
|
DS 11.25
|
DS 11
|
Log operator
|
DS 13.6
|
DS 13
|
Log kesalahan
|
DS 10.1
|
DS 10
|
MANAJEMEN JARINGAN
|
||
Kontrol jaringan
|
DS 5.20
|
DS 5
|
PENANGAN MEDIA DAN KEAMANAN
|
||
Pengelolaan media komputer yang dapat dilepas
|
DS 5.21
|
DS 5
|
Pembuangan media
|
DS 11.18
|
DS 11
|
Prosedur penanganan informasi
|
DS 5.21
|
DS 5
|
Keamanan dokumentasi sistem
|
DS 5.17
|
DS 5
|
PENGALAMAN INFORMASI DAN PERANGKAT LUNAK
|
||
Perjanjian pertukaran informasi dan perangkat lunak
|
DS 9.5
|
DS 9
|
Keamanan media saat transit
|
DS 11.17
|
DS 11
|
Keamanan perdagangan elektronik
|
PO 8.5
|
PO 8
|
Keamanan surat elektronik
|
DS 11.27
|
DS 11
|
Keamanan sistem kantor elektronik
|
PO 6.8
|
PO 6
|
Sistem yang tersedia untuk umum
|
AI 3.3
|
AI 3
|
Bentuk informasi lainnya
|
DS 11.17
|
DS 11
|
Tukar Menukar
|
||
KONTROL AKSES
|
||
PERSYARATAN BISNIS UNTUK KONTROL AKSES
|
||
Kebijakan kontrol akses
|
DS 5.3
|
DS 5
|
PENGGELOLAAN AKSES PENGGUNA
|
||
Pendaftaran pengguna
|
DS 5.4
|
DS 5
|
Manajemenhak istimewa
|
DS 5.4
|
DS 5
|
Manajemen kata sandi pengguna
|
DS 5.4
|
DS 5
|
Tinjau hak akses pengguna
|
DS 5.5
|
DS 5
|
TANGGUNG JAWAB PENGGUNA
|
||
Penggunaan kata sandi
|
PO 6.8
|
PO 6
|
Peralatan pengguna tanpa pengawasan
|
AI 3.3
|
AI 3
|
KONTROL AKSES JARINGAN
|
||
Kebijakan tentang penggunaan layanan jaringan
|
PO 6.8
|
PO 6
|
Jalur yang ditegakkan
|
DS 5.16
|
DS 5
|
Otentikasi penggunaan untuk koneksi eksternal
|
DS 5.20
|
DS 5
|
Otentikasi simpul
|
DS 5.16
|
DS 5
|
Perlindungan port diagnostik jarak jauh
|
AI 3.3
|
AI 3
|
Pemisahan dalam jaringan
|
PO 3.1
|
PO 3
|
Kontrol koneksi jaringan
|
DS 5.20
|
DS 5
|
Kontrol rute jaringan
|
AI 3.3
|
AI 3
|
Keamanan layanan jaringan
|
DS 5.2
|
DS 5
|
KONTROL AKSES SISTEM INFORMASI
|
AI 3.3
|
AI 3
|
Identifikasi terminal otomatis
|
DS 5.16
|
DS 5
|
Identifikasi dan otentikasi pengguna
|
DS 5.2
|
DS 5
|
Prosedur log masuk terminal
|
DS 5.2
|
DS 5
|
Sistem manajemen kata sandi
|
DS 5.2
|
DS 5
|
Penggunaan utilitas sistem
|
AI 3.7
|
AI 3
|
Alarm tahan lama untuk melindungi pengguna
|
DS 10.1
|
DS 10
|
Waktu tunggu terminal habis
|
AI 3.3
|
AI 3
|
Batasan waktu koneksi
|
DS 5.16
|
DS 5
|
KONTROL AKSES APLIKASI
|
||
Akses pembatasan informasi
|
DS 5.3
|
DS 5
|
Isolasi sistem sensitif
|
DS 5.1
|
DS 5
|
MEMONITOR AKSES DAN PENGGUNAAN SISTEM
|
||
Pencatatan kejadian
|
DS 5.10
|
DS 5
|
Pemantauan penggunaan sistem
|
DS 5.10
|
DS 5
|
Sinkronisasi jam
|
AI 3.4
|
AI 3
|
KOMPUTASI MOBILE DAN TELEWORKING
|
||
Komputasi bergerak
|
PO 6.10
|
PO 6
|
Teleworking
|
PO 6.10
|
PO 6
|
PENGEMBANGAN SISTEM DAN PEMELIHARAAN
|
||
PERSYARATAN KEAMANAN SISTEM
|
PO 9.3
|
PO 9
|
Analisis dan spesifikasi kebutuhan keamanan
|
PO 9.3
|
PO 9
|
KEAMANAN DALAM SISTEM APLIKASI
|
||
Input validasi data
|
DS 11.6
|
DS 11
|
Kontrol pemroresan internal
|
DS 11.9
|
DS 11
|
Otentifikasi pesan
|
DS 11.28
|
DS 11
|
Validasi data keluaran
|
DS 11.15
|
DS 11
|
KONTROL KRIPTOGRAFI
|
||
Kebijakan tentang penggunaan kontrol kriptografi
|
PO 6.10
|
PO 6
|
Enskripsi
|
DS 5.18
|
DS 5
|
Tanda tangan digital
|
DS 5.18
|
DS 5
|
Layanan non penolakan
|
DS 11.27
|
DS 11
|
Manajemen kunci
|
DS 5.18
|
DS 5
|
KEAMANAN FILE SISTEM
|
||
Kontrol perangkat lunak operasional
|
DS 9.4
|
DS 9
|
Perlindungan data uji sistem
|
AI 5.8
|
AI 5
|
Akses kontrol ke perpustakaan sumber program
|
AI 6.5
|
AI 6
|
KEAMANAN DALAM PENGEMBANGAN DAN PROSES PENDUKUNG
|
||
Ubah prosedur kontrol
|
AI 6.1
|
AI 6
|
Tinjauan teknis perubahan sistem operasi
|
AI 6.2
|
AI 6
|
Batasan pada perubahan paket perangkat lunak
|
AI 6.3
|
AI 6
|
Saluran terselubung dan trojan
|
DS 5.19
|
DS 5
|
Kode
|
||
Pengembangan perangkat lunak yang dialihdayakan
|
DS 2.5
|
DS 2
|
PENGELOLAAN KONTINUASI BISNIS
|
||
ASPEK MANAJEMEN KONTINUASI BISNIS
|
||
Proses manajemen kesinambungan bisnis
|
DS 4.1
|
DS 4
|
Kontinuitas bisnis dan analisis dampak
|
DS 4.1
|
DS 4
|
Menulis dan melaksanakan rencana kesinambungan
|
DS 4.3
|
DS 4
|
Kerangka kerja perencanaan kesinambungan bisnis
|
DS 4.1
|
DS 4
|
Menguji, memelihara dan menilai kembali rencana kesinambungan
bisnis
|
DS 4.6
|
DS 4
|
PEMENUHAN
|
||
KEPATUHAN DENGAN PERSYARATAN LEGAL
|
||
Identifikasi peraturan yang berlaku
|
PO 8.4
|
PO 8
|
Hak kekayaan intelektual
|
PO 8.4
|
PO.8
|
Menjaga catatan organisasi
|
DS 5.7
|
DS 5
|
Perlindungan data dan privasi informasi pribadi
|
PO 8.4
|
PO 8
|
Pencegahan penyalahgunaan fasilitas pengolahan informasi
|
PO 6.8
|
PO 6
|
Pengaturan kontrol kriptografi
|
PO 6.8
|
PO 6
|
Kumpulan bukti
|
PO 6.8
|
PO 6
|
ULASAN KEBIJAKAN DAN KEPATUHAN TEKNIS
|
||
Kepatuhan dengan kebijakan keamanan
|
PO 6.6
|
PO 6
|
Pemeriksaan kepatuhan teknis
|
PO 6.6
|
PO 6
|
PERSIAPAN AUDIT SISTEM
|
||
Kontrol audit sistem
|
M 4.1
|
M 4
|
Perlindungan alat audit sistem
|
AI 3.7
|
AI 3
|
- Keunggulan penggunaan ISO bagi sistem tatakelola keamanan informasi adalah ISO bersifat lebih rinci dibanding COBIT dan menyediakan petunjuk struktur dan konten kebijakan keamanan infomasi. Karena ISO bersifat lebih rinci, bahkan dapat dijadikan bersifat teknis. ISO lebih cenderung menjadi pilihan bagi manajer TI dan manajer keamanan informasi.
- Kelemahan ISO adalah menjadi pedoman yang berdiri sendiri atau tidak terintegrasi dengan rerangka sistem tatakelola TI yang lebih luas. Oleh karena itu ISO lebih tepat digunakan untuk kepentingan teknis, tidak digunakan sebagai pedoman umum dalam sistem tatakelola keamanan SI organisasi.
Tidak ada komentar:
Posting Komentar