PERANCANGAN SISTEM MANAJEMEN SEKURITAS I
TESIS – MM2402
PERANCANGAN SISTEM MANAJEMEN SEKURITAS
INFORMASI (SMSI) BERDASARKAN ISO / IEC 27001
Studi Kasus:
Program Magister Manajemen Teknologi (MMT-ITS)
Azis Maidy Muspa
9106.205.309
Dosen Pembimbing
I r. Aries Tjahyanto, MKom
PROGRAM STUDI MAGI STER MANAJEMEN TEKNOLOGI
MANAJEMEN TEKNOLOGI I NFORMASI
PROGRAM PASCASARJANA
I NSTI TUT TEKNOLOGI SEPULUH NOPEMBER
SURABAYA
2010
Latar Belakang
Melaksanakan dan memelihara sebuah rangkaian
proses dari sistem untuk secara efektif mengelola
informasi, baik itu aksesibilitas, kerahasiaan,
integritas serta ketersediaan informasi
Memastikan pemilihan kendali sekuritas yang cukup
dan sesuai dalam melindungi aset informasi serta
memberikan kepercayaan bagi para stakeholders.
Memastikan keberlanjutan bisnis, meminimalkan
risiko yang mungkin terjadi dan memaksimalkan
keuntungan dari investasi dan kesempatan bisnis.
Perumusan Masalah
Bagaimana penggambaran proses bisnis
organisasi?
Bagaimana melakukan identifikasi risiko
terhadap proses bisnis dan aset yang
dimiliki organisasi untuk menemukan
perbaikan-perbaikan yang perlu
dilakukan?
Bagaimana membuat SMSI sebagai
panduan dalam perlindungan dan
pengamanan informasi ?
Batasan Masalah
SMSI yang dibuat hanya berupa usulan
dan diperuntukkan bagi MMT-I TS pada
umumnya serta SI M akademik pada
khususnya.
I dentifikasi Risiko dilakukan terhadap
aset-aset yang berkaitan dengan aplikasi
SI M akademik.
Pembuatan prosedur dan instruksi kerja
hanya untuk beberapa contoh saja
dalam lingkup aplikasi SI M akademik.
Tujuan
Perancangan SMSI sebagai panduan
untuk mengidentifikasi risiko sekuritas
dan memilih sesuai kontrol yang
melibatkan pelaksanaan operasi dan
kontrol yang bertujuan untuk meninjau
dan mengevaluasi kinerja baik itu
efisiensi maupun efektivitas pada
SI M MMT-I TS.
Manfaat
Mendapatkan pemilihan kendali sekuritas yang cukup dan
sesuai untuk melindungi aset informasi serta memberikan
kepercayaan bagi para stakeholders-nya.
Memperoleh panduan proses untuk mengimplementasikan
kontrol terhadap sekuritas informasi, agar dapat menjamin
bahwa objek-objek sekuritas tertentu telah dicapai.
Merupakan sarana publikasi yang positif karena penetapan
I SO/ I EC 27001:2005 akan menunjukkan kepada pelanggan,
patner dan pihak pemerintah bahwa kualitas pelayanan dan
sekuritas yang baik dalam proses bisnis telah dikendalikan
dengan benar.
Tinjauan Pustaka
I SO / I EC 27001:2005,
I SO/ I EC 27001: 2005 mencakup semua jenis
organisasi (seperti perusahaan swasta, lembaga
pemerintahan, dan lembaga nirlaba).
I SO/ I EC 27001: 2005 menjelaskan syarat-syarat
untuk membuat, menerapkan, melaksanakan,
memonitor, menganalisa dan memelihara seta
mendokumentasikan I nformation Security
Management System dalam konteks resiko bisnis
organisasi keseluruhan.
I SO/ I EC 27001 mendefenisikan keperluankeperluan untuk sistem manajemen sekuritas
informasi (SMSI ).
Tinjauan Pustaka
Kendala Penerapan SMSI ,
Meskipun I SO/ I EC 27001 sudah memberikan
gambaran lengkap mengenai ketatalaksanaan
sistem manajemen sekuritas informasi, tetapi
terdapat kesulitan dalam menerapkannya
disebabkan kurangnya perhatian banyak orang
terhadap pentingnya sistem manajemen sekuritas
informasi (terutama Top Manajemen).
Kesulitan penerapan ini meliputi pemilihan metode
pendekatan untuk risk assessment, melakukan
identifikasi resiko, memperkirakan resiko, dan
memilih kendali yang tepat untuk diterapkan
Framwork SMSI
Dasar Formulasi Kebijakan Sekuritas
I nformasi
Risk management pendekatan ini
digunakan jika kebijakan sekuritas
informasi yang dibuat didasarkan
pada tingkat sekuritas sumber daya
informasi perusahaan dibandingkan
dengan risiko yang dihadapi
Dasar Formulasi Kebijakan Sekuritas
I nformasi
I nformation security benchmark
adalah tingkat sekuritas yang
disarankan pada keadaan normal
harus menawarkan perlindungan
yang cukup terhadap gangguan
yang tidak terotorisasi.
Dasar Formulasi Kebijakan Sekuritas
I nformasi
Benchmark compliance dapat
diasumsikan bahwa pemerintah
dan otoritas industri telah
melakukan pekerjaan yang baik
dalam mempertimbangkan
berbagai ancaman serta risiko dan
tolak ukur tersebut.
Strategi Manajemen Sekuritas
I nformasi [ 17]
Tinjauan Pustaka
Analisa Risiko.
1.
Secara umum terdapat dua metode identifikasi
risiko (Risk Analysis), yaitu[ 11] :
Kuantitatif ; I dentifikasi berdasarkan angka-angka
nyata (nilai finansial) terhadap biaya pembangunan
sekuritas dan besarnya kerugian yang terjadi.
identifikasi kuantitatif membantu dalam
menghilangkan keraguan yang meliputi estimasi
waktu dan biaya serta keraguan personal.
2.
Kualitatif ; identifikasi meliputi kegiatan dan
mengenali faktor risiko dilengkapi dengan perkiraan
yang menjelaskan masing-masing risiko dan
dampaknya.
Tinjauan Pustaka
Analisa Risiko..
Model Plan-Do-Check-Act (PDCA)
Proses pemecahan masalah yang digunakan
dalam pengendalian mutu[ 9] .
I nput dalam model ini berupa kebutuhan
sekuritas informasi dan ekspektasi/ harapan,
sedangkan output yang dihasilkan berupa
pengaturan sekuritas informasi.
Demikian pada gambar 2.2 ditunjukkan
siklus PDCA:
Tinjauan Pustaka
Analisa Risiko…
Gambar 2.2 Model PDCA [ 10]
Tinjauan Pustaka
Analisa Risiko…,
PLAN ( Established SMSI ); Tahap penyusunan rencana yang
akan dilakukan, penentuan masalah yang akan diatasi,
kelemahan yang akan diperbaiki serta pencarian solusi untuk
mengatasi masalah.
DO ( implement and operate the SMSI ); Tahap dimana solusi
dan perubahan dari proses yang telah direncanakan
dilaksanakan. Dengan penerapan prosedur-prosedur serta
instruksi kerja sesuai dengan aktivitas yang terjadi dalam
organisasi.
Check ( monitor and review the SMSI ); Tahapan untuk
meneliti apa yang telah dilaksanakan dan menemukan
kelemahan-kelemahan yang perlu diperbaiki. Berdasarkan
kelemahan-kelemahan tersebut kemudian disusun rencana
perbaikan.
ACT ( maintain and improve the SMSI ); Tahap ini adalah
usaha perbaikan berdasarkan hasil perubahan, meliputi
pengambilan langkah korektif dan preventif berdasarkan hasil
dari audit internal SMSI , tinjauan manajemen atau informasi
lain yang relevan.
Metodologi
Gambar 3.1 Metologi Penelitian
Tahap Persiapan.
Studi Literatur
Dalam hal ini adalah pembelajaran
literatur yang terkait dengan
permasalahan yang ada, seperti
pembelajaran mengenai sekuritas
informasi, SMM, proses pembuatan
SMSI serta standar yang digunakan
dalam pembuatan SMSI .
Tahap Persiapan.,
Identifikasi Permasalahan
Selain itu juga akan ditinjau data
struktur organisasi dan deskripsi kerja
masing-masing bagian atau karyawan.
Serta dilakukan pemahaman secara
menyeluruh mengenai organisasi, baik
tujuan maupun arah organisasi.
Tahap Pengumpulan Data dan I nformasi..
Review Dokumen
Dalam pencarian informasi ( gathering
information ) review dokumen selalu
menempati tahapan utama, karena dapat
memberikan gambaran mengenai sistem
yang ada saat ini secara obyektif.
Dan diperoleh informasi mengenai visi dan
misi, struktur organisasi, serta gambaran
proses bisnis secara global dari MMT- I TS.
Tahap Pengumpulan Data dan I nformasi …
Wawancara
Melalui tahapan wawancara
diharapkan dapat diperoleh
informasi mengenai gambaran
proses bisnis, aset-aset pendukung
serta informasi mengenai
permasalahan dan ancaman yang
berkaitan dengan sekuritas
informasi SI M akademik.
Identifikasi Proses Bisnis
Bisnis Proses
Identifikasi Proses Bisnis
Proses utama ( Primary Activity )
Berkaitan langsung dengan pelayanan
jasa yang diberikan MMT-I TS kepada
para stakeholders-nya.
Apabila terdapat gangguan terhadap
proses utama ini maka dampaknya akan
sangat besar terhadap proses
pelayanan SI M akademik secara
keseluruhan.
Identifikasi Proses Bisnis
Proses penunjang ( Supporting Activity )
merupakan aktivitas yang
bertujuan untuk membantu
terselenggaranya proses bisnis
utama.
Identifikasi Proses Bisnis
Proses manajemen
merupakan proses yang berkaitan
langsung dengan proses penyusunan
rencana, pengorganisasian dan
pengendalian sumber daya yang ada.
Dalam proses manajemen ini terdapat
kegiatan pengawasan atau monitoring
dan evaluasi yang bertujuan untuk
membantu terselenggaranya proses
bisnis utama.
Identifikasi Proses Bisnis
Membuat Profil Ancaman berbasis Aset
Profil ancaman yang dibuat akan
mengidentifikasikan mengenai aset
penting, kebutuhan sekuritas, dan area
kritis yang ada pada organisasi.
Identifikasi Proses Bisnis
Membuat Profil Ancaman berbasis Aset
I dentifikasi kebutuhan sekuritas yang
ada pada aset kritis didasarkan pada
kerahasiaan, integritas dan
ketersediannya pada organisasi.
Sedangkan identifikasi area kritis
didasarkan pada sumber ancaman yang
ada pada aset kritis.
Identifikasi Proses Bisnis
Identifikasi Proses Bisnis
Tabel 4.2
Kebutuhan sekuritas aset kritis
Tahap Penentuan Titik Kontrol
Analisa Risiko.,
Terdapat kriteria ancaman risiko yang
perlu dibuat prosedur pengendaliannya
diantaranya adalah:
Risiko yang memiliki jumlah frekuensi
kemunculan yang tinggi.
Risiko yang bisa menyebabkan
kerusakan yang serius.
Tahap Penentuan Titik Kontrol
Analisa Risiko..,
Adapun tahapan metodologi dalam
memperkirakan risiko adalah sebagai
berikut:
Identifikasi Resiko
Analisis dan evaluasi
resiko
Identifikasi dan evaluasi
pengelolaan resiko
Gambar 4.3 Metodologi Perkiraan Risiko
Pemilihan kontrol
objective dan kontrol
pengelolaan resiko
Identifikasi Risiko
Analisis dan Evaluasi Risiko
Risiko dan dampak pada proses bisnis
Analisis dan Evaluasi Risiko
Penanganan risiko
Identifikasi dan Evaluasi
Pemilihan Pengelolaan Risiko
Menetapkan penanganan atau kontrol
yang tepat terhadap risiko yang
terjadi.
Pencegahan risiko dengan pembuatan
prosedur dan pemilihan tujuan
kontrol.
Menyerahkan penanganan risiko bisnis
pada pihak lain seperti asuransi untuk
mengurangi dampak risikonya.
Pemilihan Tujuan Kontrol dan
Kontrol Pengelolaan Risiko
Tujuan kontrol yang digunakan adalah
hasil pemilihan tujuan kontrol pada
Annex A I SO 27001:2005 yang
disesuaikan dengan ancaman risikonya.
Disamping itu terdapat pembuatan
cause-effect diagram yang bertujuan
untuk mengetahui akar permasalahan
dan penyebab terjadinya risiko.
Tujuan kontrol
Diagram Cause-effect untuk risiko
pencurian password
Jaringan
SDM
Phising
Firewall lemah
Password
sharing
Social
engineering
Pencurian
Password
Management
pasword aplikasi
lemah
Software
Pembuatan Dokumentasi SMSI .
Sebelum melakukan pembuatan SMSI ,
organisasi menunjuk dan membentuk
tim pelaksana pembuatan SMSI . karena
SMSI merupakan suatu sistem sekuritas
yang penerapannya adalah tanggung
jawab semua pihak mulai dari kepala
MMT-I TS sebagai pihak manajemen
atas sampai dengan level yang paling
bawah.
Pembuatan Dokumentasi SMSI ..
Gambar 4. 7 Struktur organisasi tim pelaksana SMSI
Pembuatan Dokumentasi SMSI …
Management Representative (MR) adalah
orang yang ditunjuk oleh organisasi dan
bertanggung jawab terhadap SMSI yang
didokumentasikan. MR menjamin bahwa
dokumentasi SMSI telah dibuat dengan teknik
yang benar dan sesuai dengan standar SMSI
(I SO 27001:2005).
Auditor adalah pihak yang ditunjuk organisasi
dan bertugas mengkoordinasi pelaksanaan
audit internal dari pelaksanaan SMSI .
Pembuatan Dokumentasi SMSI …,
Pengendali dokumen adalah seorang
yang memilisi tanggung jawab
mengendalikan seluruh dokumen
sekuritas informasi MMT-I TS.
Bertugas dalam penerapan SMSI , mulai
dari mendistribusikan, menyimpan,
memelihara, menarik dokumen,
menghancurkan dan memastikan
bahwa dokumen sekuritas informasi
yang beredar adalah dokumen tersini.
Pembuatan Dokumentasi SMSI …,
Wakil sub bagian merupakan perwasilan
dari 3 sub bagian yang mengurusi SI M
akademik dan bertindak sebagai pihak
pelaksana pembuatan SMSI . Wakil sub
bagian bertanggung jawab dalam
membuat dan membangun SMSI di
lingkungan sub bagiannya masingmasing.
Pembuatan dokumentasi SMSI didasarkan pada
klausul 1 s/ d 8 yang terdapat pada I SO
27001:2005 & mengadopsi piramida pembuatan
dokumentasi SMM
Gambar 4. 8 Struktur Pembuatan Dokumentasi SMSI
Pembuatan Dokumentasi SMSI
Pembuatan Manual Sekuritas Informasi (MSI)
Pembuatan MSI bertujuan untuk
menerangkan setiap personil mengenai
komitmen organisasi terhadap sekuritas
informasi. Manual Sekuritas ini memberikan
pandangan kedepan mengenai kebijakan,
tujuan Sekuritas informasi, sistem-sistem,
prosedur dan metodologi pembuatan SMSI .
Terdapat 8 MSI dalam dokumentasi SMSI
yang akan dibuat untuk MMT-I TS
Pembuatan Dokumentasi SMSI
Pembuatan Manual Sekuritas Informasi (MSI)
MSI PENDAHULUAN merujuk pada ( MSI-01),
Manual ini berisi latar belakang
dibuatnya SMSI pada organisasi, serta
siklus yang digunakan dalam proses
pembuatan dan penerapan SMSI ,
yaitu siklus Plan – Do – Check – Act
(PDCA), Visi Dan Misi serta beberapa
sasaran MMT
Pembuatan Dokumentasi SMSI
Pembuatan Prosedur Sekuritas Informasi (PSI)
PSI merupakan uraian atau urutan
pekerjaan yang mendukung MSI .
Dalam SMSI untuk MMT-I TS ini
terdapat 2 tipe prosedur yaitu
prosedur yang mendukung
operasional dari pihak manajemen dan
prosedur untuk kegiatan teknis
operasional.
Pembuatan Dokumentasi SMSI
Pembuatan Prosedur Sekuritas Informasi (PSI)
A.Prosedur pendukung operasional manajemen:
PSI PENGENDALI AN DOKUMEN merujuk pada ( PSI–MR–01)
Prosedur ini berisi mengenai tujuan,
ruang lingkup, standar yang berlaku,
indikator kinerja / kriteria
keberhasilan, rincian prosedur, definisi
& daftar singkatan, dan dibuat untuk
mengendalikan seluruh dokumen
sekuritas informasi yang dipergunakan
dalam penerapan SMSI .
Pembuatan Dokumentasi SMSI
Pembuatan Prosedur Sekuritas Informasi (PSI)
B.Prosedur pendukung operasional teknis:
PSI PENGAMANAN PASSWORD merujuk pada ( PSI-MR-05)
Prosedur ini berisi mengenai tujuan,
ruang lingkup, standar yang berlaku,
indikator kinerja / kriteria
keberhasilan, rincian prosedur,catatan
/ rekaman sekuritas informasi dan
pengamanan password muncul akibat
identifikasi risiko yang mendapati
ancaman pencurian password
menempati level tinggi.
Pembuatan Dokumentasi SMSI
Pembuatan Instruksi Kerja
I nstruksi kerja ini berisi mengenai
tujuan,instruksi kerja,catatan/ rekaman
sekuritas informasi dan dibuat sebagai
arahan dan petunjuk pelaksana bagi
pelaksana teknis. I nstruksi kerja
dibuat secara sederhana, praktis dan
mudah untuk dipahami.
Pembuatan Dokumentasi SMSI
Pembuatan Instruksi Kerja
I K PEMBUATAN PASSWORD merujuk pada ( IK-ADM-01)
I nstruksi ini dibuat untuk menerapkan
manajemen password yang baik sehingga
dapat menghasilkan password yang
berkualitas dan tidak mudah ditebak
sehingga fungsi dari password sendiri
sebagai autentifikasi dapat tercapai.
Hal ini mutlak diperlukan karena pasword
merupakan sistem yang akan memastikan
bahwa benar-benar pemilik saja yang
diperkenankan masuk ke dalamnya.
Pembuatan Dokumentasi SMSI
Pembuatan Formulir-formulir
DAFTAR DOKUMEN EKSTERNAL merujuk pada (FM–MR–01)
Merupakan daftar yang berisi dokumendokumen eksternal yang mendukung
pengimplementasian SMSI .
Formulir ini memudahkan pengguna
untuk melihat dan melakukan
penelusuran dokumen eksternal, karena
mengandung data historis dokumen.
Pembuatan Dokumentasi SMSI
Pembuatan Referensi
Referensi berisi dokumen-dokumen
pelengkap yang dibutuhkan dalam
pembangunan SMSI . Semua referensi ini
mengacu pada manual Sekuritas informasi
dan prosedur Sekuritas informasi.
Demikian adalah referensi yang akan
dibuat dalam dokumentasi SMSI untuk
MMT-I TS
Pembuatan Dokumentasi SMSI
Pembuatan Referensi
KEBI JAKAN SEKURI TAS I NFORMASI merujuk pada (RF-MR-04)
Kebijakan sekuritas informasi yang
tercantum dalam dokumen SMSI ini hanya
berupa pernyataan saja. Oleh Karena MMTI TS belum memiliki kebijakan sekuritas
informasi maka perencanaan pembuatan
SMSI ditinjau secara umum dengan
menyesuaikannya terhadap persyaratan
klausul I SO 27001:2005.
Pembuatan Dokumentasi SMSI
Verifikasi Dokumentasi SMSI
Dokumentasi SMSI yang telah dibuat harus
dilakukan verifikasi terhadap persyaratan
kelengkapan dokumen yang terdapat pada
I SO 27001:2005.
Hal ini dikarenakan persyaratan
dokumentasi yang harus ada dalam
pembangunan SMSI terdapat pada klausul
4.3.1 I SO 27001:2005.
Pembuatan Dokumentasi SMSI
Verifikasi Dokumentasi SMSI
Pembuatan Dokumentasi SMSI
Verifikasi Dokumentasi SMSI
Pembuatan Dokumentasi SMSI
Verifikasi Dokumentasi SMSI
Kesimpulan
Penggambaran proses bisnis SI M-Akademik
MMT - I TS didasarkan pada deskripsi pekerjaan
(job description) bagian Pendidikan dan
Kerjasama. Proses bisnis digambarkan menjadi
proses utama, penunjang dan manajemen
I dentifikasi risiko pada proses bisnis dan aset
dilakukan dengan mengidentifikasi risiko yang
mungkin muncul pada aset-aset yang berkaitan
dengan aplikasi SI M akademik serta kelemahan
yang mengancam terjadinya risiko. I dentifikasi
ini akan diukur dan dinilai dengan kriteria
tertentu untuk mengetahui level resiko
Kesimpulan
Pembuatan dokumentasi SMSI
mengadopsi tata cara pendokumentasian
SMM dengan melakukan beberapa
penyesuaian terhadap I SO 27001:2005.
Struktur atau tahapan pembuatan SMSI
Pembuatan dokumentasi SMSI
menghasilkan usulan Manual Sekuritas
I nformasi, Prosedur Sekuritas I nformasi,
I nstruksi Kerja, Referensi serta formulir
dan rekaman.
Saran
Pembuatan SMSI MMT-I TS ini hanya berupa
usulan mencakup proses SI M-Akademik saja,
oleh karena itu diharapkan dalam
pengembangan kedepan dapat dilengkapi
dengan proses-proses yang lain yang terjadi di
MMT-I TS.
SMSI MMT-I TS yang dibuat adalah
berdasarkan I SO 27001:2005 yang hanya
berbasiskan kontrol. Untuk pengembangan
selanjutnya diharapkan dapat dibuat SMSI
dengan standar yang lain misalnya I TI L dan
COBI T yang memiliki kelebihan masing-masing.
DAFTAR PUSTAKA
1.
2.
3.
4.
Jacquelin Bisson, CI SSP (Analis Keamanan I nformasi, Callio Technologies) & René Saint -Germain (Direktur
Utama, Callio Technologies), Mengimplementasi kebijakan keamanan dengan standar BS7799 / I SO17799 untuk
pendekatan terhadap informasi keamanan yang lebih baik, White Paper, http:/ / 202.57.1.181/ ~ download/ linux_
opensource/ artikel+ tutorial/ general_tutorials/ wp_iso_id.pdf
Syafrizal, Melvin. 2008. I nformation Security Management Sistem (I SMS) Menggunakan I SO/ I EC 27001:2005.
STI MI K AMI KOM YOGYAKARTA.
Whitmann, E. M dan Mattord, J.H. 2006. Management of I nformation System. Course Technology.
PMI I Komisariat UNDI P. Pengertian Kebijakan < http:/ / pmiikomundip.wordpress.com/ 2008/ 06/ 06/ kebijakan-dan-
kemiskinan/ >
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
NI ST SP 800- 53, Revision 1, “Recommended Security Controls for Federal Information Systems”. 2006.
Plasma media. Keamanan I nformasi.< http:/ / www.plasmedia.com/ secpolicy.htm>
Wikipedia. Keamanan I nformasi < http:/ / id.wikipedia.org/ wiki/ Keamanan informasi > [ 8 Oktober 2008 jam 13.05
WI B]
Ferdinand Aruan (2003), Tugas Keamanan Jaringan I nformasi (Dosen. Dr. Budi Rahardjo) Tinjauan Terhadap
I SO 17799 - Program Magister Teknik Elektro Bidang Khusus Teknologi I nformasi I TB
Wikipedia. July 2009. Pengertian PDCA, < http:/ / id.wikipedia.org/ wiki/ PDCA>
I SO/ I EC 27001:2005, I nformation technology-Security techniques-I nformation security management systemRequirements. 15 Oktober 2005
I smiatin, Rahayu, D.D, dkk. Januari 2009. Analisis Risiko Proyek Perusahaan. <
http:/ / www.scribd.com/ doc/ 11100389/ Analisis-Resiko-Proyek-an>
Brever, D & Nash, M. 2005. the Similarity between I SO 9001 and BS 7799-2.
Holil, A. 2007. “Pengungkapan kebutuhan”, bahan ajar mata kuliah analisis desain dan sistem informasi.
Brever, D & Nash, M. 2005. the Similarity between I SO 9001 and BS 7799-2.
Wikipedia. Mei 2008. I nformation Technology I nfrastructure Library, URL:http:/ / en.wikipedia.org/ wiki/
I nformation_Technology_I nfrastructure_Library
Wikipedia. Juni 2009. COBI T,
URL:http:/ / id.wikipedia.org/ wiki/ COBI T.htm.
Jaya Ari, Made. Juni 2008. Pengenalan identifikasi risiko,
< URL:http:/ / blimadeari.wordpress.com/ 2008/ 06/ 05/ pengenalan-identifikasi-risiko-tsi
PERANCANGAN SISTEM MANAJEMEN SEKURITAS
INFORMASI (SMSI) BERDASARKAN ISO / IEC 27001
Studi Kasus:
Program Magister Manajemen Teknologi (MMT-ITS)
Azis Maidy Muspa
9106.205.309
Dosen Pembimbing
I r. Aries Tjahyanto, MKom
PROGRAM STUDI MAGI STER MANAJEMEN TEKNOLOGI
MANAJEMEN TEKNOLOGI I NFORMASI
PROGRAM PASCASARJANA
I NSTI TUT TEKNOLOGI SEPULUH NOPEMBER
SURABAYA
2010
Latar Belakang
Melaksanakan dan memelihara sebuah rangkaian
proses dari sistem untuk secara efektif mengelola
informasi, baik itu aksesibilitas, kerahasiaan,
integritas serta ketersediaan informasi
Memastikan pemilihan kendali sekuritas yang cukup
dan sesuai dalam melindungi aset informasi serta
memberikan kepercayaan bagi para stakeholders.
Memastikan keberlanjutan bisnis, meminimalkan
risiko yang mungkin terjadi dan memaksimalkan
keuntungan dari investasi dan kesempatan bisnis.
Perumusan Masalah
Bagaimana penggambaran proses bisnis
organisasi?
Bagaimana melakukan identifikasi risiko
terhadap proses bisnis dan aset yang
dimiliki organisasi untuk menemukan
perbaikan-perbaikan yang perlu
dilakukan?
Bagaimana membuat SMSI sebagai
panduan dalam perlindungan dan
pengamanan informasi ?
Batasan Masalah
SMSI yang dibuat hanya berupa usulan
dan diperuntukkan bagi MMT-I TS pada
umumnya serta SI M akademik pada
khususnya.
I dentifikasi Risiko dilakukan terhadap
aset-aset yang berkaitan dengan aplikasi
SI M akademik.
Pembuatan prosedur dan instruksi kerja
hanya untuk beberapa contoh saja
dalam lingkup aplikasi SI M akademik.
Tujuan
Perancangan SMSI sebagai panduan
untuk mengidentifikasi risiko sekuritas
dan memilih sesuai kontrol yang
melibatkan pelaksanaan operasi dan
kontrol yang bertujuan untuk meninjau
dan mengevaluasi kinerja baik itu
efisiensi maupun efektivitas pada
SI M MMT-I TS.
Manfaat
Mendapatkan pemilihan kendali sekuritas yang cukup dan
sesuai untuk melindungi aset informasi serta memberikan
kepercayaan bagi para stakeholders-nya.
Memperoleh panduan proses untuk mengimplementasikan
kontrol terhadap sekuritas informasi, agar dapat menjamin
bahwa objek-objek sekuritas tertentu telah dicapai.
Merupakan sarana publikasi yang positif karena penetapan
I SO/ I EC 27001:2005 akan menunjukkan kepada pelanggan,
patner dan pihak pemerintah bahwa kualitas pelayanan dan
sekuritas yang baik dalam proses bisnis telah dikendalikan
dengan benar.
Tinjauan Pustaka
I SO / I EC 27001:2005,
I SO/ I EC 27001: 2005 mencakup semua jenis
organisasi (seperti perusahaan swasta, lembaga
pemerintahan, dan lembaga nirlaba).
I SO/ I EC 27001: 2005 menjelaskan syarat-syarat
untuk membuat, menerapkan, melaksanakan,
memonitor, menganalisa dan memelihara seta
mendokumentasikan I nformation Security
Management System dalam konteks resiko bisnis
organisasi keseluruhan.
I SO/ I EC 27001 mendefenisikan keperluankeperluan untuk sistem manajemen sekuritas
informasi (SMSI ).
Tinjauan Pustaka
Kendala Penerapan SMSI ,
Meskipun I SO/ I EC 27001 sudah memberikan
gambaran lengkap mengenai ketatalaksanaan
sistem manajemen sekuritas informasi, tetapi
terdapat kesulitan dalam menerapkannya
disebabkan kurangnya perhatian banyak orang
terhadap pentingnya sistem manajemen sekuritas
informasi (terutama Top Manajemen).
Kesulitan penerapan ini meliputi pemilihan metode
pendekatan untuk risk assessment, melakukan
identifikasi resiko, memperkirakan resiko, dan
memilih kendali yang tepat untuk diterapkan
Framwork SMSI
Dasar Formulasi Kebijakan Sekuritas
I nformasi
Risk management pendekatan ini
digunakan jika kebijakan sekuritas
informasi yang dibuat didasarkan
pada tingkat sekuritas sumber daya
informasi perusahaan dibandingkan
dengan risiko yang dihadapi
Dasar Formulasi Kebijakan Sekuritas
I nformasi
I nformation security benchmark
adalah tingkat sekuritas yang
disarankan pada keadaan normal
harus menawarkan perlindungan
yang cukup terhadap gangguan
yang tidak terotorisasi.
Dasar Formulasi Kebijakan Sekuritas
I nformasi
Benchmark compliance dapat
diasumsikan bahwa pemerintah
dan otoritas industri telah
melakukan pekerjaan yang baik
dalam mempertimbangkan
berbagai ancaman serta risiko dan
tolak ukur tersebut.
Strategi Manajemen Sekuritas
I nformasi [ 17]
Tinjauan Pustaka
Analisa Risiko.
1.
Secara umum terdapat dua metode identifikasi
risiko (Risk Analysis), yaitu[ 11] :
Kuantitatif ; I dentifikasi berdasarkan angka-angka
nyata (nilai finansial) terhadap biaya pembangunan
sekuritas dan besarnya kerugian yang terjadi.
identifikasi kuantitatif membantu dalam
menghilangkan keraguan yang meliputi estimasi
waktu dan biaya serta keraguan personal.
2.
Kualitatif ; identifikasi meliputi kegiatan dan
mengenali faktor risiko dilengkapi dengan perkiraan
yang menjelaskan masing-masing risiko dan
dampaknya.
Tinjauan Pustaka
Analisa Risiko..
Model Plan-Do-Check-Act (PDCA)
Proses pemecahan masalah yang digunakan
dalam pengendalian mutu[ 9] .
I nput dalam model ini berupa kebutuhan
sekuritas informasi dan ekspektasi/ harapan,
sedangkan output yang dihasilkan berupa
pengaturan sekuritas informasi.
Demikian pada gambar 2.2 ditunjukkan
siklus PDCA:
Tinjauan Pustaka
Analisa Risiko…
Gambar 2.2 Model PDCA [ 10]
Tinjauan Pustaka
Analisa Risiko…,
PLAN ( Established SMSI ); Tahap penyusunan rencana yang
akan dilakukan, penentuan masalah yang akan diatasi,
kelemahan yang akan diperbaiki serta pencarian solusi untuk
mengatasi masalah.
DO ( implement and operate the SMSI ); Tahap dimana solusi
dan perubahan dari proses yang telah direncanakan
dilaksanakan. Dengan penerapan prosedur-prosedur serta
instruksi kerja sesuai dengan aktivitas yang terjadi dalam
organisasi.
Check ( monitor and review the SMSI ); Tahapan untuk
meneliti apa yang telah dilaksanakan dan menemukan
kelemahan-kelemahan yang perlu diperbaiki. Berdasarkan
kelemahan-kelemahan tersebut kemudian disusun rencana
perbaikan.
ACT ( maintain and improve the SMSI ); Tahap ini adalah
usaha perbaikan berdasarkan hasil perubahan, meliputi
pengambilan langkah korektif dan preventif berdasarkan hasil
dari audit internal SMSI , tinjauan manajemen atau informasi
lain yang relevan.
Metodologi
Gambar 3.1 Metologi Penelitian
Tahap Persiapan.
Studi Literatur
Dalam hal ini adalah pembelajaran
literatur yang terkait dengan
permasalahan yang ada, seperti
pembelajaran mengenai sekuritas
informasi, SMM, proses pembuatan
SMSI serta standar yang digunakan
dalam pembuatan SMSI .
Tahap Persiapan.,
Identifikasi Permasalahan
Selain itu juga akan ditinjau data
struktur organisasi dan deskripsi kerja
masing-masing bagian atau karyawan.
Serta dilakukan pemahaman secara
menyeluruh mengenai organisasi, baik
tujuan maupun arah organisasi.
Tahap Pengumpulan Data dan I nformasi..
Review Dokumen
Dalam pencarian informasi ( gathering
information ) review dokumen selalu
menempati tahapan utama, karena dapat
memberikan gambaran mengenai sistem
yang ada saat ini secara obyektif.
Dan diperoleh informasi mengenai visi dan
misi, struktur organisasi, serta gambaran
proses bisnis secara global dari MMT- I TS.
Tahap Pengumpulan Data dan I nformasi …
Wawancara
Melalui tahapan wawancara
diharapkan dapat diperoleh
informasi mengenai gambaran
proses bisnis, aset-aset pendukung
serta informasi mengenai
permasalahan dan ancaman yang
berkaitan dengan sekuritas
informasi SI M akademik.
Identifikasi Proses Bisnis
Bisnis Proses
Identifikasi Proses Bisnis
Proses utama ( Primary Activity )
Berkaitan langsung dengan pelayanan
jasa yang diberikan MMT-I TS kepada
para stakeholders-nya.
Apabila terdapat gangguan terhadap
proses utama ini maka dampaknya akan
sangat besar terhadap proses
pelayanan SI M akademik secara
keseluruhan.
Identifikasi Proses Bisnis
Proses penunjang ( Supporting Activity )
merupakan aktivitas yang
bertujuan untuk membantu
terselenggaranya proses bisnis
utama.
Identifikasi Proses Bisnis
Proses manajemen
merupakan proses yang berkaitan
langsung dengan proses penyusunan
rencana, pengorganisasian dan
pengendalian sumber daya yang ada.
Dalam proses manajemen ini terdapat
kegiatan pengawasan atau monitoring
dan evaluasi yang bertujuan untuk
membantu terselenggaranya proses
bisnis utama.
Identifikasi Proses Bisnis
Membuat Profil Ancaman berbasis Aset
Profil ancaman yang dibuat akan
mengidentifikasikan mengenai aset
penting, kebutuhan sekuritas, dan area
kritis yang ada pada organisasi.
Identifikasi Proses Bisnis
Membuat Profil Ancaman berbasis Aset
I dentifikasi kebutuhan sekuritas yang
ada pada aset kritis didasarkan pada
kerahasiaan, integritas dan
ketersediannya pada organisasi.
Sedangkan identifikasi area kritis
didasarkan pada sumber ancaman yang
ada pada aset kritis.
Identifikasi Proses Bisnis
Identifikasi Proses Bisnis
Tabel 4.2
Kebutuhan sekuritas aset kritis
Tahap Penentuan Titik Kontrol
Analisa Risiko.,
Terdapat kriteria ancaman risiko yang
perlu dibuat prosedur pengendaliannya
diantaranya adalah:
Risiko yang memiliki jumlah frekuensi
kemunculan yang tinggi.
Risiko yang bisa menyebabkan
kerusakan yang serius.
Tahap Penentuan Titik Kontrol
Analisa Risiko..,
Adapun tahapan metodologi dalam
memperkirakan risiko adalah sebagai
berikut:
Identifikasi Resiko
Analisis dan evaluasi
resiko
Identifikasi dan evaluasi
pengelolaan resiko
Gambar 4.3 Metodologi Perkiraan Risiko
Pemilihan kontrol
objective dan kontrol
pengelolaan resiko
Identifikasi Risiko
Analisis dan Evaluasi Risiko
Risiko dan dampak pada proses bisnis
Analisis dan Evaluasi Risiko
Penanganan risiko
Identifikasi dan Evaluasi
Pemilihan Pengelolaan Risiko
Menetapkan penanganan atau kontrol
yang tepat terhadap risiko yang
terjadi.
Pencegahan risiko dengan pembuatan
prosedur dan pemilihan tujuan
kontrol.
Menyerahkan penanganan risiko bisnis
pada pihak lain seperti asuransi untuk
mengurangi dampak risikonya.
Pemilihan Tujuan Kontrol dan
Kontrol Pengelolaan Risiko
Tujuan kontrol yang digunakan adalah
hasil pemilihan tujuan kontrol pada
Annex A I SO 27001:2005 yang
disesuaikan dengan ancaman risikonya.
Disamping itu terdapat pembuatan
cause-effect diagram yang bertujuan
untuk mengetahui akar permasalahan
dan penyebab terjadinya risiko.
Tujuan kontrol
Diagram Cause-effect untuk risiko
pencurian password
Jaringan
SDM
Phising
Firewall lemah
Password
sharing
Social
engineering
Pencurian
Password
Management
pasword aplikasi
lemah
Software
Pembuatan Dokumentasi SMSI .
Sebelum melakukan pembuatan SMSI ,
organisasi menunjuk dan membentuk
tim pelaksana pembuatan SMSI . karena
SMSI merupakan suatu sistem sekuritas
yang penerapannya adalah tanggung
jawab semua pihak mulai dari kepala
MMT-I TS sebagai pihak manajemen
atas sampai dengan level yang paling
bawah.
Pembuatan Dokumentasi SMSI ..
Gambar 4. 7 Struktur organisasi tim pelaksana SMSI
Pembuatan Dokumentasi SMSI …
Management Representative (MR) adalah
orang yang ditunjuk oleh organisasi dan
bertanggung jawab terhadap SMSI yang
didokumentasikan. MR menjamin bahwa
dokumentasi SMSI telah dibuat dengan teknik
yang benar dan sesuai dengan standar SMSI
(I SO 27001:2005).
Auditor adalah pihak yang ditunjuk organisasi
dan bertugas mengkoordinasi pelaksanaan
audit internal dari pelaksanaan SMSI .
Pembuatan Dokumentasi SMSI …,
Pengendali dokumen adalah seorang
yang memilisi tanggung jawab
mengendalikan seluruh dokumen
sekuritas informasi MMT-I TS.
Bertugas dalam penerapan SMSI , mulai
dari mendistribusikan, menyimpan,
memelihara, menarik dokumen,
menghancurkan dan memastikan
bahwa dokumen sekuritas informasi
yang beredar adalah dokumen tersini.
Pembuatan Dokumentasi SMSI …,
Wakil sub bagian merupakan perwasilan
dari 3 sub bagian yang mengurusi SI M
akademik dan bertindak sebagai pihak
pelaksana pembuatan SMSI . Wakil sub
bagian bertanggung jawab dalam
membuat dan membangun SMSI di
lingkungan sub bagiannya masingmasing.
Pembuatan dokumentasi SMSI didasarkan pada
klausul 1 s/ d 8 yang terdapat pada I SO
27001:2005 & mengadopsi piramida pembuatan
dokumentasi SMM
Gambar 4. 8 Struktur Pembuatan Dokumentasi SMSI
Pembuatan Dokumentasi SMSI
Pembuatan Manual Sekuritas Informasi (MSI)
Pembuatan MSI bertujuan untuk
menerangkan setiap personil mengenai
komitmen organisasi terhadap sekuritas
informasi. Manual Sekuritas ini memberikan
pandangan kedepan mengenai kebijakan,
tujuan Sekuritas informasi, sistem-sistem,
prosedur dan metodologi pembuatan SMSI .
Terdapat 8 MSI dalam dokumentasi SMSI
yang akan dibuat untuk MMT-I TS
Pembuatan Dokumentasi SMSI
Pembuatan Manual Sekuritas Informasi (MSI)
MSI PENDAHULUAN merujuk pada ( MSI-01),
Manual ini berisi latar belakang
dibuatnya SMSI pada organisasi, serta
siklus yang digunakan dalam proses
pembuatan dan penerapan SMSI ,
yaitu siklus Plan – Do – Check – Act
(PDCA), Visi Dan Misi serta beberapa
sasaran MMT
Pembuatan Dokumentasi SMSI
Pembuatan Prosedur Sekuritas Informasi (PSI)
PSI merupakan uraian atau urutan
pekerjaan yang mendukung MSI .
Dalam SMSI untuk MMT-I TS ini
terdapat 2 tipe prosedur yaitu
prosedur yang mendukung
operasional dari pihak manajemen dan
prosedur untuk kegiatan teknis
operasional.
Pembuatan Dokumentasi SMSI
Pembuatan Prosedur Sekuritas Informasi (PSI)
A.Prosedur pendukung operasional manajemen:
PSI PENGENDALI AN DOKUMEN merujuk pada ( PSI–MR–01)
Prosedur ini berisi mengenai tujuan,
ruang lingkup, standar yang berlaku,
indikator kinerja / kriteria
keberhasilan, rincian prosedur, definisi
& daftar singkatan, dan dibuat untuk
mengendalikan seluruh dokumen
sekuritas informasi yang dipergunakan
dalam penerapan SMSI .
Pembuatan Dokumentasi SMSI
Pembuatan Prosedur Sekuritas Informasi (PSI)
B.Prosedur pendukung operasional teknis:
PSI PENGAMANAN PASSWORD merujuk pada ( PSI-MR-05)
Prosedur ini berisi mengenai tujuan,
ruang lingkup, standar yang berlaku,
indikator kinerja / kriteria
keberhasilan, rincian prosedur,catatan
/ rekaman sekuritas informasi dan
pengamanan password muncul akibat
identifikasi risiko yang mendapati
ancaman pencurian password
menempati level tinggi.
Pembuatan Dokumentasi SMSI
Pembuatan Instruksi Kerja
I nstruksi kerja ini berisi mengenai
tujuan,instruksi kerja,catatan/ rekaman
sekuritas informasi dan dibuat sebagai
arahan dan petunjuk pelaksana bagi
pelaksana teknis. I nstruksi kerja
dibuat secara sederhana, praktis dan
mudah untuk dipahami.
Pembuatan Dokumentasi SMSI
Pembuatan Instruksi Kerja
I K PEMBUATAN PASSWORD merujuk pada ( IK-ADM-01)
I nstruksi ini dibuat untuk menerapkan
manajemen password yang baik sehingga
dapat menghasilkan password yang
berkualitas dan tidak mudah ditebak
sehingga fungsi dari password sendiri
sebagai autentifikasi dapat tercapai.
Hal ini mutlak diperlukan karena pasword
merupakan sistem yang akan memastikan
bahwa benar-benar pemilik saja yang
diperkenankan masuk ke dalamnya.
Pembuatan Dokumentasi SMSI
Pembuatan Formulir-formulir
DAFTAR DOKUMEN EKSTERNAL merujuk pada (FM–MR–01)
Merupakan daftar yang berisi dokumendokumen eksternal yang mendukung
pengimplementasian SMSI .
Formulir ini memudahkan pengguna
untuk melihat dan melakukan
penelusuran dokumen eksternal, karena
mengandung data historis dokumen.
Pembuatan Dokumentasi SMSI
Pembuatan Referensi
Referensi berisi dokumen-dokumen
pelengkap yang dibutuhkan dalam
pembangunan SMSI . Semua referensi ini
mengacu pada manual Sekuritas informasi
dan prosedur Sekuritas informasi.
Demikian adalah referensi yang akan
dibuat dalam dokumentasi SMSI untuk
MMT-I TS
Pembuatan Dokumentasi SMSI
Pembuatan Referensi
KEBI JAKAN SEKURI TAS I NFORMASI merujuk pada (RF-MR-04)
Kebijakan sekuritas informasi yang
tercantum dalam dokumen SMSI ini hanya
berupa pernyataan saja. Oleh Karena MMTI TS belum memiliki kebijakan sekuritas
informasi maka perencanaan pembuatan
SMSI ditinjau secara umum dengan
menyesuaikannya terhadap persyaratan
klausul I SO 27001:2005.
Pembuatan Dokumentasi SMSI
Verifikasi Dokumentasi SMSI
Dokumentasi SMSI yang telah dibuat harus
dilakukan verifikasi terhadap persyaratan
kelengkapan dokumen yang terdapat pada
I SO 27001:2005.
Hal ini dikarenakan persyaratan
dokumentasi yang harus ada dalam
pembangunan SMSI terdapat pada klausul
4.3.1 I SO 27001:2005.
Pembuatan Dokumentasi SMSI
Verifikasi Dokumentasi SMSI
Pembuatan Dokumentasi SMSI
Verifikasi Dokumentasi SMSI
Pembuatan Dokumentasi SMSI
Verifikasi Dokumentasi SMSI
Kesimpulan
Penggambaran proses bisnis SI M-Akademik
MMT - I TS didasarkan pada deskripsi pekerjaan
(job description) bagian Pendidikan dan
Kerjasama. Proses bisnis digambarkan menjadi
proses utama, penunjang dan manajemen
I dentifikasi risiko pada proses bisnis dan aset
dilakukan dengan mengidentifikasi risiko yang
mungkin muncul pada aset-aset yang berkaitan
dengan aplikasi SI M akademik serta kelemahan
yang mengancam terjadinya risiko. I dentifikasi
ini akan diukur dan dinilai dengan kriteria
tertentu untuk mengetahui level resiko
Kesimpulan
Pembuatan dokumentasi SMSI
mengadopsi tata cara pendokumentasian
SMM dengan melakukan beberapa
penyesuaian terhadap I SO 27001:2005.
Struktur atau tahapan pembuatan SMSI
Pembuatan dokumentasi SMSI
menghasilkan usulan Manual Sekuritas
I nformasi, Prosedur Sekuritas I nformasi,
I nstruksi Kerja, Referensi serta formulir
dan rekaman.
Saran
Pembuatan SMSI MMT-I TS ini hanya berupa
usulan mencakup proses SI M-Akademik saja,
oleh karena itu diharapkan dalam
pengembangan kedepan dapat dilengkapi
dengan proses-proses yang lain yang terjadi di
MMT-I TS.
SMSI MMT-I TS yang dibuat adalah
berdasarkan I SO 27001:2005 yang hanya
berbasiskan kontrol. Untuk pengembangan
selanjutnya diharapkan dapat dibuat SMSI
dengan standar yang lain misalnya I TI L dan
COBI T yang memiliki kelebihan masing-masing.
DAFTAR PUSTAKA
1.
2.
3.
4.
Jacquelin Bisson, CI SSP (Analis Keamanan I nformasi, Callio Technologies) & René Saint -Germain (Direktur
Utama, Callio Technologies), Mengimplementasi kebijakan keamanan dengan standar BS7799 / I SO17799 untuk
pendekatan terhadap informasi keamanan yang lebih baik, White Paper, http:/ / 202.57.1.181/ ~ download/ linux_
opensource/ artikel+ tutorial/ general_tutorials/ wp_iso_id.pdf
Syafrizal, Melvin. 2008. I nformation Security Management Sistem (I SMS) Menggunakan I SO/ I EC 27001:2005.
STI MI K AMI KOM YOGYAKARTA.
Whitmann, E. M dan Mattord, J.H. 2006. Management of I nformation System. Course Technology.
PMI I Komisariat UNDI P. Pengertian Kebijakan < http:/ / pmiikomundip.wordpress.com/ 2008/ 06/ 06/ kebijakan-dan-
kemiskinan/ >
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
NI ST SP 800- 53, Revision 1, “Recommended Security Controls for Federal Information Systems”. 2006.
Plasma media. Keamanan I nformasi.< http:/ / www.plasmedia.com/ secpolicy.htm>
Wikipedia. Keamanan I nformasi < http:/ / id.wikipedia.org/ wiki/ Keamanan informasi > [ 8 Oktober 2008 jam 13.05
WI B]
Ferdinand Aruan (2003), Tugas Keamanan Jaringan I nformasi (Dosen. Dr. Budi Rahardjo) Tinjauan Terhadap
I SO 17799 - Program Magister Teknik Elektro Bidang Khusus Teknologi I nformasi I TB
Wikipedia. July 2009. Pengertian PDCA, < http:/ / id.wikipedia.org/ wiki/ PDCA>
I SO/ I EC 27001:2005, I nformation technology-Security techniques-I nformation security management systemRequirements. 15 Oktober 2005
I smiatin, Rahayu, D.D, dkk. Januari 2009. Analisis Risiko Proyek Perusahaan. <
http:/ / www.scribd.com/ doc/ 11100389/ Analisis-Resiko-Proyek-an>
Brever, D & Nash, M. 2005. the Similarity between I SO 9001 and BS 7799-2.
Holil, A. 2007. “Pengungkapan kebutuhan”, bahan ajar mata kuliah analisis desain dan sistem informasi.
Brever, D & Nash, M. 2005. the Similarity between I SO 9001 and BS 7799-2.
Wikipedia. Mei 2008. I nformation Technology I nfrastructure Library, URL:http:/ / en.wikipedia.org/ wiki/
I nformation_Technology_I nfrastructure_Library
Wikipedia. Juni 2009. COBI T,
URL:http:/ / id.wikipedia.org/ wiki/ COBI T.htm.
Jaya Ari, Made. Juni 2008. Pengenalan identifikasi risiko,
< URL:http:/ / blimadeari.wordpress.com/ 2008/ 06/ 05/ pengenalan-identifikasi-risiko-tsi