Posted by Ricky Posted on Wednesday, March 04, 2015 | No comments

Information Security Management - Asset Classification / Klasifikasi Aset

Klasifikasi Aset

Informasi adalah salah satu asset penting bagi sebuah perusahaan atau organisasi, yang sebagaimana asset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus dilindungi. Untuk menjamin kelangsungan perusahaan atau organisasi, meminimalisir kerusakan karena kebocoran system keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha.


Ø  Mengapa dibutuhkan pengklasifikasian asset?
ü  Organisasi mengklasifikasikan informasi untuk menetapkan tingkat perlindungan yang sesuai untuk sumber daya tersebut.
ü  Karena sumber daya yang  terbatas itulah , maka perlu memprioritaskan dan mengidentifikasi apa yang benar-benar membutuhkan perlindungan

Maksudnya :  100% Informasi Perusahaan (Pengelolaan informasi di perusahaan)
ð  10 % adalah informasi yang boleh di ketahui public
ð  10% merupakan informasi yang sangat rahasia, dan
ð  80% adalah informasi yang digunakan oleh pihak internal


Ø  Apa itu Pengklasifikasian asset?
ü  Sebuah proses klasifikasi informasi atau aset adalah proses keputusan bisnis
ü  Peran informasi keamanan yang profesional adalah salah satu saran dan konsultasi.
ü  Keputusan akhir dibuat oleh manajer unit bisnis atau, seperti yang akan kita mendefinisikan segera, pemilik aset

Ø  Bagaimana cara memulai pengklasifikasiaan asset?
Saat kita ingin memulai mengklasifikasiaan asset ada beberapa pertanyaan yang akan membantu kita untuk mengklasifikasi kan asset, pertanyaan itu diantaranya :
ü  Apa saja kegiatan operasi yang kritis/sensitif?
ü  Dimana misi informasi penting atau sensitif harus disimpan?
ü  Dimana informasi ini diproses?
ü  Siapa yang membutuhkan akses ke informasi ini?

Ø  Dimana kita memulai nya?
Banyak sekali istilah yang digunakan untuk mengklasifikasian asset ini tergantung dari organisasi atau perusahaan itu mengelompokan asset tersebut.
Jika Anda seorang agen pemerintah, atau bekerja untuk sebuah badan pemerintah, pastikan untuk memeriksa dengan kelompok urusan regulasi Anda untuk menentukan apakah ada pemerintah manapun yang dikenakan persyaratan.
Contohnya :
1.      Pengklasifikasiaan di pemerintahan
 

2.      Pengklasifikasian di Universitas Priceton
Di universitas ini informasi di klasifikasi kan menjadi 2,yaitu :
ð  Confidential Requirement (Kebutuhan yang rahasia)
o   Public
o   Internal
o   Departemental
o   Confidential
o   Highly confidential
ð  Availability/ Integrity requirement ( Ketersediaan/ Keterpaduan Kebutuhan)
o   Critical
o   Non-Critical
3.      Mega Oil Coporation
Perusahaan ini membagi nya menjadi 3 bagian, yaitu :
ð  Sangat Rahasia : Data Akuisisi , rincian penawaran, strategi negosiasi kontrak
ð  Rahasia : Karyawan dan file penggajian, informasi keunggulan kompetitif
ð  Publik : Semua informasi dalam Amoco keculai yang di klasifikasikan.
4.      Critical Matriks

1. Ketersediaan perlindungan harus dilaksanakan
2. Ketersediaan perlindungan harus dilaksanakan
3. Terus memantau kebutuhan ketersediaan
4. Tidak ada tindakan tambahan yang dibutuhkan pada saat ini


5.      International Service Provider

6.      Perusahaan Manufaktur
Membaginya kedalam warna, yaitu :

7.      General Company
 


Ø  Tanggung jawab karyawan
ð  Pemilik
o   Badan dalam organisasi yang telah ditetapkan tanggung jawab untuk menggunakan hak milik organisasi dan akses hibah privilegesto mereka yang memiliki bisnis sejati.
o   Manajemen perusahaan dari suatu unit organisasi, departemen, dll mana informasi yang dibuat atau yang merupakan pengguna utama dari informasi
ð  Kustodian
o   Badan yang bertanggung jawab untuk melindungi aset informasi berdasarkan persyaratan yang ditetapkan  pemilik
o   Orang yang berhak mendukungan sistem atau organisasi (karyawan, kontraktor, konsultan, vendor, dll) bertanggung jawab untuk menjaga pengamanan yang ditetapkan oleh pemilik
o   Juga disebut sebagai "data pelayan"
ð  Pengguna (User)
o   Orang yang bertanggung jawab untuk melihat, mengubah, atau memperbarui isi dari aset informasi
Contoh dari user  (karyawan, kontraktor, konsultan, vendor, dll) yang bertanggung jawab untuk menggunakan dan menjaga informasi di bawah kendali mereka sesuai dengan petunjuk pemilik

Ø  Contoh-Contoh Klasifikasi kebijakan Informasi
1.      High-Level Policy (Kebijakan Level Tinggi)

2.     




3.       

Ø  Kebijakan Manajemen Arsip
 Memberikan standar untuk menjaga catatan lengkap dan akurat dan memastikan bahwa karyawan menyadari bagaimana cara  menjaga, mencatat dan untuk berapa lama file itu disimpan, apakah ada yang harus di buang, dan bagaimana membuangnya.
·                     Mengapa hal ini diperlukan?
ü  Organisasi diwajibkan oleh hukum untuk mempertahankan beberapa jenis catatan, biasanya untuk jangka waktu tertentu
ü  Biaya penyimpanan dan administrasi yang terlibat dalam mempertahankan materi di luar masa manfaatnya.
·         • Isi (contoh):
1
Pendahuluan
7
Pelayanan
2
Peran Retensi Pusat
8
Memindahkan Rekaman
3
Peran Record Manajemen
9
Merekan Retrieval
4
Peran Manajemen Personalia
10
Rekaman Diskontruksi
5
Peran Kordinator Departemen Arsip
11
Kebutuhan
6
Jenis Dokumen Mainted di Pusat Retensi



Ø  Matrix Penanganan Standar Informasi
Standar untuk mendukung pelaksanaan kebijakan klasifikasi informasi dan kebijakan manajemen catatan
ü   Beberapa standar:
1.       Bahan cetak
2.       Stored Informasi Secara elektronik
3.      Menyebarkan Informasi Secara elektronik
4.      Merekam Manajemen Retensi Jadwal

Contoh matriks :
 

Ø  Metodologi Klasifikasi Informasi
Sebuah metode untuk mengevaluasi informasi dan menyediakannya dengan indikasi di mana informasi harus diklasifikasikan.
Caranya dengan menggunakan lembar kerja yang dapat digunakan oleh unit bisnis untuk detemine apa saja yang  klasifikasi informasi yang mereka miliki dalam sebuah organisasi.
ü    Contoh form nya:

ü    Contoh Pengklasifikasiannya:
1.      Catatan karyawan
o    Tinjauan kinerja catatan karyawan
o    kartu waktu
o    Rekam medis Karyawan
o    dokumen disiplin
2.         Catatan group administrasi
o                       Laporan status bulanan
o                      Laporan status tahunan
o                      Laporan tujuan tahunan
3.         Catatan Proses Bisnis
o                      Pembelian kontrak
o                       Laporan keuangan Triwulan
o                      Tugas jadwal manajemen proyek,
o                      Panduan referensi
4.      Informasi Operasi
o                      Informasi bisnis proses
o                      Kegiatan perdagangan
o                      Informasi Biaya Produksi
o                      Daftar pelanggan
o                      Alokasi asset
Ø  Otorisasi untuk Akses
ü  Pemilik
§  Menilai-nilai dari sumber daya informasi dan menetapkan tingkat klasifikasi yang tepat
§   Secara berkala meninjau tingkat klasifikasi
§  Menilai dan menentukan kontrol yang tepat
§  Berkomunikasi akses dan persyaratan perlindungan
§  Menyediakan akses ke individals dengan bisnis butuhkan untuk akses
§  Menilai risiko kehilangan informasi
§  Perlindungan Pemantauan persyaratan
§        Memastikan bahwa BCP telah diimplementasikan dan diuji

ü   Kustodian
§   Memberikan perlindungan yang tepat untuk peralatan pengolahan, penyimpanan informasi, cadangan, dan pemulihan
§   Menyediakan lingkungan pemrosesan yang aman
§   Penyelenggara permintaan akses ke informasi diotorisasi oleh pemilik

ü  Pengguna
§   Menggunakan informasi tersebut hanya untuk tujuan yang dimaksudkan
§   Menjaga integritas, kerahasiaan, dan ketersediaan informasi diakses

Tambahan, BACA JUGA Exclusive Dealing Entry Barrier oleh Telkom (wartel)

Categories: ,

0 komentar:

Post a Comment

Subscribe to: Post Comments (Atom)

Latest Post

 
Recent Post no Thumbnail by Tutorial Blogspot