Mendefinisikan prosedur keamanan informasi yang tepat untuk tiap klasifikasi
Prosedur penamaan yang mencakup informasi dalam format elektronik maupun fisik didokumentasikan sesuai dengan klasifikasi yang telah ditetapkan.
Prosedur pemrosesan, penyimpanan, pengiriman dan penghapusan sesuai persyaratan keamanan didefinisikan.
Persyaratan keamanan bagi masing masing klasifikasi label diidentifikasi
Prosedur penjagaan dan pencatatan ketika terjadi event yang terkait dengan keamanan pada masing masing klasifikasi didefinisikan.
Mengidentifikasi kelemahan dari informasi dalam sistem komunikasi bisnis
Prosedur dan kebijakan yang terkait dengan sistem komunikasi bisnis diidentifikasi.
Kelemahan dari informasi diidentifikasi, dianalisa dan dievaluasi.
Solusi pemecahan terhadap masalah kelemahan dalam sistem komunikasi bisnis ditetapkan.
Menerapkan akses kontrol lingkungan Komputasi yang sesuai
Sistem dan prosedur akses kontrol yang telah ditetapkan dideskripsikan.
Log untuk setiap kegiatan akses secara rinci dibuat.
Mengumpulkan dan memelihara data yang diperlukan untuk memenuhi persyaratan pelaporan keamanan sistem
Data yang diperlukan untuk memenuhi persyaratan pelaporan keamanan system dideskripsikan.
Laporan berkala keamanan sistem dibuat.
Mematuhi dan melaksanakan petunjuk yang terdapat pada dokumen yang diterbitkan khusus oleh pemerintah atau badan badan resmi terkait untuk mengelola sistem operasi
Dokumen yang diterbitkan khusus oleh pemerintah atau badan badan resmi terkait untuk mengelola sistem operasi lingkungan komputasi diarsipkan.
Butir butir pokok yang terdapat pada dokumentasi tersebut diatas dideskripsikan.
Menerapkan Prinsip Keamanan Informasi untuk Penggunaan Jaringan Internet
Mematuhi dan menerapkan kebijakan dan prosedur keamanan informasi yang terkait dengan penggunaan jaringan internet
Kebijakan, prasyarat dan prosedur keamanan yang terkait penggunaan jaringan internet di identifikasi.
Laporan anomali pada penggunaan jaringan internet dibuat.
Mengidentifikasi tipe kelemahan dan jenisjenis serangan dalam jaringan internet
Dokumen tentang tipe-tipe kelemahan dan jenis-jenis serangan diidentifikasi.
Jenis serangan melalui e-mail diidentifikasi.
Jenis serangan virus dan dampaknya diidentifikasi.
Jenis serangan worm dan botnet dan dampaknya diidentifikasi.
Mengaplikasikan penggunaan jaringan internet secara aman
Piranti lunak untuk keamanan penggunaan jaringan internet dipergunakan.
Cara-cara menggunakan e-mail secara aman dipelajari.
Cara-cara menjelajah internet menggunakan browser secara aman dipelajari.
Cara-cara menangkal virus menggunakan piranti lunak anti virus didefinisikan.
Menerapkan Prinsip Keamanan Informasi pada Transaksi Elektronik
Mengidentifikasikan dan memenuhi kebutuhan terkait kerahasiaan, integritas, bukti dari pengguna dokumen kunci dan kontrak yang diakui
Kebijakan, prasyarat dan prosedur keamanan yang terkait diterapkan dalam konfigurasi sistem operasi, insfrastruktur teknologi informasi, perangkat dan aplikasi diidentifikasi.
Laporan kegiatan transaksi elektronik bagi pengguna akhir dibuat.
Menetapkan aspek-aspek transaksi
Bukti keabsahan elektronik (signature) oleh semua pihak yang terlibat dalam suatu transaksi ditetapkan.
Enkripsi terhadap jalur komunikasi antara pihak-pihak yang terlibat diaplikasikan.
Protokol keamanan yang digunakan untuk komunikasi antara pihakpihak yang terlibat dievaluasi Integrasi dan penggabungan keamanan terkait semua proses transaksi yang dilakukan diterapkan.
Melaksanakan dan memantau perlindungan keamanan untuk sistem infrastruktur dan penggunaan teknologi informasi sesuai dengan rencana implementasi dan prosedur operasi standar
Laporan pelaksanaan hasil pemantauan perlindungan keamanan sistem infrastruktur dibuat.
Log audit hasil pemantauan perlindungan keamanan atas prosedur operasi standar dibuat.
Melaksanakan Kebijakan Keamanan Informasi
Mengidentifikasi aset penting dalam organisasi
Daftar aset penting dalam organisasi yang perlu dilindungi dibuat
Memproteksi aset penting dalam organisasi
Daftar aset penting dalam organisasi yang rentan ancaman.
Penanganan terhadap aset penting yang rentan ancaman dibuat.
Melakukan pemantauan terhadap aktivitas yang rentan ancaman
Daftar aktivitas kegiatan yang perlu dijaga.
Laporan aktivitas kegiatan yang rentan ancaman dibuat.
Mengaplikasikan Ketentuan/Persyaratan Keamanan Informasi
Mengaplikasikan persyaratan untuk program yang spesifik untuk keamanan lingkungan komputasi guna mengidentifikasi kelemahan/kerentanan
Prasyarat untuk program yang spesifik untuk keamanan lingkungan komputasi telah diterapkan.
Laporan daftar program/system keamanan yang telah diterapkan.
Mengumpulkan dan memelihara data yang diperlukan untuk memenuhi persyaratan pelaporan keamanan sistem
Data yang diperlukan untuk memenuhi persyaratan pelaporan keamanan sistem dideskripsikan.
Laporan berkala keamanan sistem dibuat.
Mengindentifikasikan persyaratan keamanan dalam prosedur operasi di lingkungan komputasi
Dasar prasyarat keamanan yang menjadi bagian dari prosedur operasi lingkungan komputasi telah disusun.
Prosedur yang berisi prasyarat keamanan sistem informasi disetujui oleh pimpinan untuk diterapkan.
Menyusun persyaratan keamanan untuk perangkat keras, piranti lunak, dan penggunaan layanan yang spesifik untuk program keamanan jaringan
Daftar prasyarat keamanan untuk perangkat keras, piranti lunak, dan akuisisi layanan yang spesifik telah tersusun.
Persyaratan keamanan untuk perangkat keras, piranti lunak, da akuisisi layanan yang spesifik disetujui oleh pimpinan untuk diaplikasikan
Mengevaluasi dan/atau menyetujui persyaratan keamanan yang relevanterhadap kemampuan teknologi informasi yang baru.
Daftar persyaratan keamanan yang relevan terhadap kemampuan teknologi informasi yang baru dibuat.
Dokumen rekomendasi hasil analis persyaratan keamanan yang relevan terhadap kemampuan teknologi informasi yang baru dibuat.
Menyediakan masukan tentang hal yang terkait dengan persyaratan keamanan untuk dimasukkan dalam laporan pekerjaan dan dokumen dokumen pengadaan terkait
Daftar persyaratan keamanan yang akan dimasukan dalam dokumen pengadaan telah disusun.
Melaksanakan Pencatatan Asset
Mencatat dan mengkatalogkan seluruh asset ke dalam sistem manajemen kelemahan/kerentanan
Dokumentasi pencatatan yang terperinci atas seluruh asset yang masuk kedalam manajemen sistem kerentanan dibuat.
Memastikan bahwa seluruh perangkat keras, piranti lunak, data, dan fasilitas fasilitas lainnya telah diarsipkan, disanitasikan, atau dibuang sesuai dengan tata cara yang konsisten dengan rencana keamanan dan kebutuhan kemanan
Rencana pengarsipan/ penghapusan perangkat keras, piranti lunak, data, dan fasilitas fasilitas lainnya yang disesuaikan dengan kebijakan dan prosedur keamanan yang berlaku disusun.
Laporan hasil kegiatan pengarsipan dan/atau penghapusan perangkat keras, piranti lunak, data, dan fasilitas fasilitas lainnya dibuat.
Menerapkan Kontrol Akses Berdasarkan Konsep/Metodologi yang telah Ditetapkan
Menerapkan kontrol akses lingkungan komputasi yang sesuai
Sistem dan prosedur kontrol akses yang ditetapkan dideskripsikan.
Log untuk setiap kegiatan akses secara rinci dibuat.
Melaksanakan kebijakan organisasi dan kebijakan password organisasi
Dokumen kebijakan password dan penggunaannya ditetapkan.
Laporan atas penerapan system password yang ada dibuat.
Mengelola akun hak jaringan dan hak akses ke sistem jaringan dan infrastrukturnya
Daftar akun beserta hak akses ke dalam sistem dibuat.
Daftar hak hak penting yang diberikan kepada pengguna tertentu didefinisikan.
Mengimplementasikan peringatan secara online untuk menginformasikan para pengguna atas peraturan akses dari seluruh infrastruktur dan penggunaan sistem teknologi informasi
Sistem online dari daftar peringatan yang telah terjadi selama akses penggunaan infrastruktur dan sistem teknologi informasi tersebut dibuat.
Laporan pelaksanaan peringatan secara online dibuat.
Catatan log dari daftar peringatan yang sudah terjadi dan kondisi terakhir masingmasing peringatan tersebut dibuat.
Menyusun prosedur untuk memastikan pengguna sistem menyadari tanggung jawab keamanan mereka sebelum memberikan akses ke sistem informasi organisasi
Prosedur tentang tanggung jawab keamanan bagi tiap pengguna disusun.
Hasil audit/rekomendasi pelaksanaan pemberian akses ke pengguna diterapkan.
Melakukan kontrol dan pengawasan pada setiap pengguna yang memiliki akses khusus menjalankan fungsi keamanan agar menerima pelatihan keamanan dasar dan berkelanjutan serta mendapatkan sertifikasi yang sesuai untuk melaksanakan tugas keamanan
Pelatihan keamanan dasar dan berkelanjutan dilaksanakan untuk SDM yang memiliki akses khusus menjalankan fungsi keamanan.
Sertifikasi keamanan yang dikeluarkan oleh badan/lembaga terkait dimiliki oleh SDM yang memiliki akses khusus menjalankan fungsi keamanan
Menerapkan Standar-Standar Keamanan Informasi yang Berlaku
Mengevaluasi komponen pokok standar keamanan untuk menentukan apakah bisa diaplikasikan secara efektif untuk kebutuhan organisasi
Daftar komponen pokok standar keamanan untuk kebutuhan organisasi disusun.
Rekomendasi hasil analisa standar keamanan untuk kebutuhan strategis organisasi dibuat.
Menganalisa skema akses berbasis peran/tanggung jawab/jabatan untuk implementasi keamanan informasi
Rincian pekerjaan untuk setiap peran/jabatan dalam organisasi dan akuntabilitas informasi untuk masing-masing peran/jabatan tersebut diidentifikasi.
Prosedur tentang tugas dan tanggungjawab yang terkait dengan keamanan sistem informasi dibuat.
Menganalisis dan memilih referensi standar keamanan dalam tingkatan strategis
Risiko sistem informasi, analisa dampak bisnis dan rencana mitigasi disusun.
Referensi untuk pembuatan kebijakan dan prosedur keamanan informasi diseleksi
Mengidentifikasi standar keamanan informasi (seperti SNI ISO 27001, COBIT, dll)
Referensi standar keamanan informasi diidentifikasi.
Prioritas penerapan standar keamanan informasi organisasi disetujui oleh pimpinan organisasi.
Mengelola Keamanan Fisik
Menetapkan batas keamanan fisik, dengan kekuatan yang disesuaikan dengan persyaratan keamanan dari aset yang dilindunginya dan hasil dari penilaian risiko
Persyaratan keamanan asset dan informasi yang dilindungi dianalisa.
Batas keamanan fisik ditetapkan.
Kekuatan batas keamanan fisik ditetapkan.
Menerapkan mekanisme dan prosedur pengamanan terhadap setiap pintu akses dan jendela untuk menghindari akses ilegal
Setiap pintu akses dan jendela di lokasi penyimpanan fasilitas pemrosesan informasi diidentifikasi.
Potensi pengaksesan ilegal dari pintu akses dan jendela diidentifikasi.
Risiko yang ditimbulkan dari pengaksesan ilegal dianalisa.
Prosedur pengamanan yang dapat mengatasi risiko pengaksesan ilegal, termasuk penjagaan khusus diterapkan.
Mengatur pemisahan secara fisik antara fasilitas pemrosesan informasi yang dikelola oleh pihak ketiga dan dikelola oleh organisasi
Fasilitas pemrosesan informasi yang dikelola oleh pihak ketiga dan organisasi diidentifikasi.
Penempatan fasilitas pemrosesan informasi yang dikelola oleh pihak ketiga dan internal organisasi diatur.
Mengelola Script Keamanan Informasi
Menulis dan merawat script terkait keamanan informasi untuk lingkungan jaringan
Dokumentasi script untuk lingkungan jaringan dibuat.
Kemampuan menulis script untuk lingkungan jaringan didemonstrasikan.
Menulis dan meremajakan script yang dibutuhkan untuk menjamin keamanan lingkungan strategis
Dokumentasi script untuk keamanan informasi ditingkat strategis dibuat.
Kemampuan menulis script untuk lingkungan strategis didemonstrasikan.
Melakukan Instalasi Piranti Lunak
Melakukan instalasi dan mengoperasikan sistem Teknologi Informasi dengan tata cara pengujian yang sama sekali tidak mengubah struktur kode pemrograman dan melanggar standar pengamanan
Dokumen petunjuk pelaksanaan bagi kegiatan instalasi yang sudah di otorisasi sebelumnya diterapkan.
Kebijakan, prasyarat instalasi dan pengoperasian sistem Teknologi Informasi yang telah disepakati bersama disusun.
Melaksanakan instalasi, pengujian, pemeliharaan, dan peremajaan piranti lunak dan perangkat keras sistem operasi sistem teknologi informasi untuk memenuhi persyaratan keamanan
Daftar komponen yang sudah diinstalasi, diuji, dan diremajakan disusun.
Dokumentasi pengujian hasil instalasi dan relevansi terhadap uji coba persyaratan keamanan dibuat.
Melaksanakan instalasi, pengujian,perawatan, dan peremajaan piranti lunak dankeras sistem operasi jaringan agar sesuai dengan kebutuhan atas keamanan
Dokumen petunjuk pelaksanaan ketentuan keamanan bagi kegiatan instalasi, pengujian, perawatan, dan peremajaan piranti lunak dan keras sistem operasi jaringan dibuat.
Laporan hasil kegiatan instalasi, pengujian, perawatan, dan peremajaan piranti lunak dan keras sistem operasi jaringan dibuat.
Mendukung instalasi perangkat keras baru maupun perubahan, sistem operasi, dan aplikasi piranti lunak memastikan integrasi dengan persyaratan keamanan untuk tingkatan strategis
Kebijakan dan prosedur ketentuan keamanan bagi kegiatan instalasi perangkat keras baru maupun perubahan, sistem operasi, dan aplikasi piranti lunak di tingkatan strategis diaplikasikan.
Laporan hasil kegiatan instalasi perangkat keras baru maupun perubahan, sistem operasi, dan aplikasi piranti lunak di tingkatan strategis dibuat.
Melakukan Aktifitas Penghapusan Hak Akses
Mengidentifikasi hak akses yang harus dihapuskan atau diubah
Hak akses yang telah diberikan kepada personil diidentifikasi.
Hak akses yang harus diubah atau dihapus terkait perubahan status personil diidentifikasi.
Perubahan hak akses pada sistem informasi diterapkan.
Melaksanakan penggantian password/akun yang diketahui oleh pegawai yang meninggalkan perusahaan, yang tetap aktif setelah pegawai tersebut keluar
Password/akun bersama yang juga diketahui oleh personil yang keluar diidentifikasi.
Password/akun, sesuai standar keamanan password organisasi, diganti.
Password/akun yang baru kepada anggota tim yang lain dipublikasikan.
Menyediakan Dukungan Keamanan Bagi Pengguna
Menyediakan dukungan keamanan bagi para pengguna akhir untuk semua sistem operasi, infrastruktur teknologi informasi, perangkat, dan aplikasi
Kebijakan, prasyarat dan Prosedur keamanan yang terkait diaplikasikan dalam konfigurasi sistem operasi, insfrastruktur teknologi informasi, perangkat dan aplikasi diidentifikasi.
Laporan kegiatan dukungan keamanan bagi pengguna akhir dibuat.
Laporan berkala konfigurasi sistem keamanan dibuat.
Melaksanakan dukungan keamanan untuk para pelanggan termasuk instalasi, konfigurasi, pembetulan masalah, pemberian bantuan untuk pelanggan, dan juga memberikan pelatihan, sebagai tanggapan dari kebutuhan pelanggan atas sistem teknologi jaringan
Daftar komponen-komponen yang sudah terinstalasi dan terkonfigurasi beserta kelengkapan administrative dukungan lainnya disusun
Menyediakan dukungan bagi para pengguna akhir untuk semua aplikasi yang terkait untuk keamanan sistem jaringan
Daftar dukungan yang diberikan kepada pengguna akhir yang berkaitan dengan keamanan jaringan disusun.
Memberikan dukungan untuk keamanan pelayanan pengguna sesuai dengan persyaratan performa yang ada.
Daftar/katalog layanan sistem informasi disusun.
Prosedur dan kebijakan, dan standar keamanan informasi untuk pengguna diterapkan.
Laporan berkala kegiatan dukungan untuk keamanan pelayanan pengguna dibuat.
Memberikan dukungan untuk pengembangan kebijakan, prosedur, dan standar untuk keamanan pelayanan pengguna.
Daftar/catalog layanan sistem informasi disusun.
Prosedur dan kebijakan, dan standar keamanan informasi untuk pengguna diidentifikasi.
Biaya
Rp 1,500,000
Biaya diatas belum termasuk termasuk biaya transportasi, akomodasi, dan pajak terkait