Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO 27002:2013 Lanjutan
Klausul Kontrol Keamanan Kategori Keamanan Utama
10. Cryptografi 10.1
Kontrol Kriptografi.
12. Keamanan Operasi 12.1
12.2 12.3
12.4 12.5
12.6 12.7
Tanggung jawab
dan prosedur
operasional. Perlindungan dari malware
Back up Logging dan monitoring
Pengendalian operasional perangkat lunak.
Manajemen kerentanan teknis Konsiderasi sistem informasi.
13. Komunikasi 13.1
13.2 Manajemen jaringan keamanan
Pengiriman informasi 14. Akusisi sistem, pengembangan dan
perawatan 14.1
14.2 Persyaratan
keamanan sistem
informasi Keamanan dalam pengembangan dan
proses dukungan. 15. hubungan dengan distributor
15.1 15.2
Keamanan informasi
hubungan distributor.
Manajemen pelayanan distributor. 16. manajemen insiden keamanan informasi
16.1 Pengelolaan
insiden keamanan
informasi dn perbaikan 17 aspek keamanan informasi manajemen
kelangsungan bisnis. 17.1
17.2 Kelanjutan informasi
Ketimpangan 18. Compliance
18.1 18.2
Kepatuhan dengan
hukum dan
kontrak Pengulangan informasi
2.6 Manajemen Risiko
Semua organisasi, pemerintahan maupun swasta, bermotifkan laba atau nirlaba yang dibangun dengan satu tujuan yaitu memberi nilai kepada semua
pihak yang terkait. Dalam upaya mencapai tujuan menciptakan nilai tambah bagi stakeholder
, setiap organisasi akan menghadapi ketidakpastian. Ketidakpastian ini yang mengandung risiko potensial, yang dapat menghilangkan peluang untuk
menghasilkan nilai tambah. Tugas dari manajemen untuk mengelola risiko-risiko dimaksud agar menjadi peluang yang akan dapat meningkatkan nilai dari para
stakeholder tersebut Tampubolon, 2005. Dalam bidang manajemen dan penyusunan strategi, risiko didefinisikan sebagai sebuah rentang continuum
yang dapat bergerak ke arah ancaman dengan dampak negaif, yaitu tidak
tercapainya tujuan atau kesempatan dengan dampak positif, yaitu tercapainya tujuan yang ditetapkan disertai berbagai tingkat kemungkinan terjadinya ancaman
maupun peluang tersebut. Bank perlu memiliki fungsi penerapan manajemen risiko penggunaan TI
dalam organisasi Bank yang melibatkan pihak-pihak yang memiliki risiko dan yang memantau risiko serta yang melakukan test dan verifikasi Direktorat
Penelitian dan Pengaturan Perbankan, 2007. Bank wajib memiliki pendekatan manajemen risiko yang terintegrasi untuk dapat melakukan identifikasi,
pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko yang terkait dengan penyelenggaraan TI utamanya terdapat lima yaitu risiko
operasional, risiko kepatuhan, risiko hukum risiko reputasi dan risiko strategis Direktorat Penelitian dan Pengaturan Perbankan, 2007.
Risiko operasional dapat timbul disebabkan antara lain oleh ketidaksesuaian desain, implementasi, pemeliharaan, metode pengamanan,
testing, standar internal audit dan penggunaan jasa pihak lain dalam penyelenggaraan teknologi informasi. Risiko kepatuhan dapat timbul disebabkan
bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku. Risiko hukum dapat timbul disebabkan adanya tuntutan
hukum, ketidakadaan peraturan perundangan yang mendukung dan kelemahan perikatan. Risiko reputasi dapat timbul karena kegagalan dalam memberikan
dukungan layanan kepada nasabah. Risiko strategis dapat timbul karena ketidakcocokan teknologi informasi yang digunakan Bank dengan tujuan strategis
Bank dan rencana strategis untuk mencapat tujuan tersebut.
2.7 Penilaian Risiko
