Tuesday, August 7, 2012

Sepuluh Control Clauses ISO17799

ISO17799 mencakup sepuluh pasal pengamatan (Control Clauses), yaitu:

  1. Security Policy
  2. System Access Control
  3. Communication & Operation Management
  4. System Development & Maintenance
  5. Physical & Environmental Security
  6. Compliance
  7. Personnel Security
  8. Security Organization (Information Security)
  9. Asset Classification & Control
  10. Business Continuity Management

Security Policy

Security Policy atau kebijakan keamanan mengarahkan visi dan misi manajemen dalam rangka menjaga going concern perusahaan dengan mengamankan dan menjaga integritas informasi-informasi krusial yang dimiliki oleh perusahaan.

Security Policy meliputi beberapa aspek, yaitu:

    1. Information Security Infrastructure
    2. Information Security Policy

System Access Control

System Access Control atau kontrol akses sistem adalah kontrol yang mengendalikan akses user terhadap informasi yang telah diatur kewenangannya. System Access Control meliputi beberapa aspek, yaitu:

    1. Access Control
    2. User Access Management
    3. User Responsibilities
    4. Network Access Control
    5. Operation System Access Control
    6. Application Access Control
    7. Monitor System Access and Use
    8. Mobile Computing and Telenetworking

Communication and Operation Management

Communication and Operation Management atau Manajemen operasi dan komunikasi menyediakan perlindungan terhadap infrastruktur sistem informasi melalui pemeliharaan dan pemeriksaan secara berkala serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan untuk menghindari kesalahan operasional. Pemastian ketersediaan komunikasi dan pemeliharaan ini meliputi beberapa aspek, yaitu:

    1. Operational procedures and reponsibilities

    2. System Planning and acceptance

    3. Protection against malicious software

    4. Housekeeping

    5. Network Management

    6. Media handling and security

    7. Exchange of Information and software

System Development & Maintenance

System Development & Maintenance atau Pemeliharaan dan Pengembangan Sistem memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi/validasi terlebih dahulu sebelum diluncurkan. System Development & Maintenance meliputi beberapa aspek, yaitu:

    1. Security requirements of system
    2. Security in application system
    3. Cryptographic control
    4. Security of system files
    5. Security in development and support process

Physical & Environmental Security

Physical & Environmental Security atau Perlindungan Fisik dan Lingkungan memastikan perlindungan keamanan dari segi fisik dan lingkungan jaringan untuk mencegah kehilangan/kerusakan data yang diakibatkan oleh hal yang fisik seperti bencana alam dan pencurian media penyimpanan atau fasilitas informasi yang lain. Perlindungan ini meliputi:

    1. Secure Areas
    2. Equipment security
    3. General Control

Compliance

Compliance atau kesesuaian dengan peraturan memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan yang berlaku. Compliance meliputi beberapa aspek, yaitu:

    1. Compliance with legal requirements
    2. Reviews of security policy and technical comliance
    3. System audit and consideration

Personnel Security

Personnel Security atau keamanan personel mengatur minimalisasi risiko penyalahgunaan tugas dan wewenang akibat kesalahan manusia (human error). Minimalisasi risiko ini bisa dilakukan dengan cara pelatihan-pelatihan mengenai security awareness agar setiap user mampu menjaga keamanan informasi dalam lingkup kerja masing-masing. Personnel Security meliputi beberapa aspek, yaitu:

    1. Security in Job Definition and Resourcing

    2. User Training

    3. Responding to Security Incidens and Malfunction.

Security Organization (Information Security)

Security Organization (Information Security) atau keamanan organisasi mengatur keamanan organisasi secara global antara lain dalam hal mengatur integritas sistem informasi internal terhadap keperluan pihak eksternal serta pengendalian pengolahan informasi yang dilakukan oleh pihak ketiga. Aspek yang tercakup dalam clause ini adalah:

    1. Security of third party access
    2. Outsourcing

Asset Classification & Control

Asset Classification & Control atau Klasifikasi dan Pengendalian Aset mengatur tentang perlindungan aset perusahaan dan aset informasi berdasarkan level proteksi yang ditentukan. Clause ini meliputi beberapa aspek, yaitu:

    1. Accountability for Assets
    2. Information Classification

Business Continuity Management

Business Continuity Management atau manajemen keberlangsungan bisnis mengatur kesiapan perusahaan dalam menghadapi risiko aktivitas bisnis yang dapat menyebabkan kegagalan. Clause ini memberikan landasan mengenai apa saja yang harus lakukan perusahaan dalam mengelola keberlangsungan usahanya.

Sekilas Tentang ISO17799

ISO17799 merupakan suatu struktur dan pedoman yang diakui secara internasional untuk keamanan informasi.

ISO17799 mendefinisikan sebuah proses keamanan informasi yang menyeluruh yang dapat diimplementasikan dalam perusahaan agar memperoleh manfaat yang diinginkan.

ISO17799 memberikan keseimbangan antara proses fisik, keamanan teknikal dan prosedur, serta keamanan pribadi.

Aspek-Aspek Keamanan Informasi

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut ini:

  1. Confidentiality (kerahasiaan), yaitu aspek yang menjamin kerahasiaan data dan informasi. Kerahasiaan memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima, dan disimpan.
  2. Integrity (integritas), yaitu aspek yang menjamin bahwa data tidak diubah tanpa adanya kewenangan, menjamin keakuratan dan keutuhan informasi serta adanya perlindungan terhadap proses penjaminan integritas ini.
  3. Avaibility (ketersediaan), yaitu aspek yang menjamin bahwa data akan tersedia kapan saja saat dibutuhkan.

Kemanan informasi diperoleh dengan mengimplementasikan alat kontrol yang layak, yang dapat berupa kebijakan, praktik, struktur, prosedur, dan penggunaan piranti lunak.  

Sekilas Tentang ISO27002 (ISO17799)

ISO27002 adalah sebuah standar ISO yang mendefinisikan seperangkat petunjuk praktis yang terdiri dari praktik yang baik yang berlaku umum untuk menjaga keamanan informasi.

ISO27002 berasal dari standar British Standard BS7799 Part 1 pada tahun 2000 yang pertama kali diterbitkan oleh British Standard Institute pada tahun 1995. BS7799-1 ini adalah sama saja dengan ISO17799. Pada tahun 2005 ISO17799 direvisi dan diterbitkan kembali. Pada tahun 2007 ISO17799 diubah menjadi ISO27002.

Standar ini ditulis oleh sebuah komisi dalam British Standar Institute yang sebagian besar praktik didalamnya mengambil dari petunjuk keamanan informasi internal yang dimiliki oleh sebuah perusahaan minyak.

ISO27002 adalah sebuah standar internasional yang tidak terikat dengan peraturan negara manapun. Penggunaan standar ISO27002 adalah bersifat voluntary yang berarti bahwa masing-masing organisasi dapat memilih praktik terbaik mana yang digunakan yang cocok dengan kebutuhan organisasi.

Sedangkan untuk sertifikasi ISO27001, ada beberapa bagian yang menjadi keharusan yaitu bagian 4,5,6,dan 7.

Sertifikasi ISO27002 tidak dapat dimungkinkan secara formal. Sertifikasi formal hanya mungkin dilakukan untuk ISO27001. ISO27001 sendiri adalah versi ISO dari standar BSI BS7799-2 yang diterbitkan pada akhir 2005.

Mengapa sertifikasi tidak dimungkinkan untuk ISO27002 dan hanya untuk ISO27001?

Iso27002 bukanlah sebuah standar manajemen. Standar manajemen berarti bahwa standar tersebut harus mendefinisikan bagaimana menjalankan sistem, yang dalam ISO27001 didefinisikan dalam Information Security Management System.

Monday, July 16, 2012

Konsep Pengendalian Internal

Pengendalian Internal adalah sebuah proses karena:

  1. pengendalian internal meresap dalam aktivitas operasi organisasi;
  2. pengendalian internal merupakan bagian integral dari aktivitas manajemen pokok.

Pengendalian internal menyediakan assurance yang reasonable, tidak absolut, karena assurance yang lengkap sulit atau bahkan tidak mungkin diperoleh dan sangat mahal.

Sistem pengendalian internal memiliki kelemahan inheren yang meliputi:

  1. Sistem pengendalian internal  mudah menjadi error sehingga mengakibatkan keputusan yang buruk;
  2. Sistem dapat ditunggangi kepentingan manajemen atau adanya kolusi di antara karyawan.

Pengendalian internal memiliki tiga fungsi penting:

  1. Pengendalian Preventif
  2. Pengendalian Detektif
  3. Pengendalian Korektif

Dalam penilaian pengendalian detektif dan korektif salah satu unsur penting efektifitas adalah masalah waktu. Semakin cepat sebuah kebocoran dalam sebuah sistem pengendalian internal dideteksi, maka pengendalian detektif dan korektif semakin baik.

Unsur lain efektifitas fungsi pengendalian adalah biaya. Pengendalian internal harus memenuhi prinsip cost vs benefit. Pengendalian bisa saja mahal tetapi harus mempertimbangkan benefit yang dicapai dari pengendalian tersebut.

Wednesday, July 11, 2012

Cara Menyembunyikan Judul dan Deskripsi Blog

Judul dan deskripsi blog sangat penting dalam membantu search engine menemukan blog kita. Namun, adakalanya judul dan deskripsi ini tidak selaras dan sehati dalam memperindah tampilan blog kita. Berikut ini adalah cara untuk menyembunyikan judul blog atau deskripsi blog:

Langkah 1: Klik Dashboard>Template>Edit HTML

Langkah 2: Temukan kode dengan struktur seperti berikut ini;

#header h1{font-family:'Oswald',Arial,Helvetica,Sans-serif;}
#header .description{font-family:Arial,Helvetica,Sans-serif;}

atau seperti pada gambar berikut:

image

Pada masing-masing baris sebelum tanda “}” tambahkan “display:none”.

Yap. Selesai

Cara Menghilangkan atau Menampilkan Blogger Navbar

Blogger Navbar adalah bar navigasi yang pasti akan terpasang pada template standar pada blogspot. Bar navigasi ini tersedia dalam beberapa set warna seperti yang terlihat pada screenshoot dibawah ini:
image
Saat mengkustom template, kadang-kadang kita sering risih dengan tampilan bar navigasi ini yang seringnya ga matching dengan keseluruhan template kita. Pilihannya, tentu dengan menyembunyikan bar navigasi ini. Sayangnya, hal ini ternyata melanggar Term of Service atau bahasa kerennya ToS dari blogger itu sendiri, sehingga kita terpaksa untuk tetap menampilkannya.
Nih, berikut ini cara menampilkan/menyembunyikan bar navigasi blogger. Masalah mau menampilkan atau menyembunyikan itu hak masing-masing blogger sekalian. :)
Caranya: Setelah masuk ke bagian edit HTML di Dashboard > Template > edit HTML:
Hapus atau tambahkan kode berikut ini
#navbar, #navbar-iframe {
height: 0px;
visibility: hidden;
display: none;
}
Yap. Sekian