L-1
Lampiran-Lampiran 1. Proses dan Aktifitas OCTAVE-S Proses S1 : Identifikasi Informasi Organisasi Aktivitas
Langkah
Deskripsi
S1.1
1
Menentukan ukuran kualitatif (tinggi,
Membangun
dampak
sedang, rendah) terhadap efek risiko yang
dari kriteria evaluasi
akan dievaluasi dalam misi organisasi dan tujuan bisnis perusahaan. 2
S1.2
Mengidentifikasi informasi yang terkait
Mengidentifikasi aset
dengan aset dalam organisasi (informasi,
organisasi
sistem, aplikasi dan orang).
S1.3
3a Mengevaluasi praktek keamanan organissasi
Menentukan sejauh mana praktek yang disurvei digunakan oleh organisasi
3b
Mengevaluasi
setiap
area
praktek
keamanan yang menggunakan survei dari langkah 3a, contoh dokumen rincinya: • Apa yang saat ini organisasi lakukan dengan baik di area ini (praktek keamanan). • Apa yang saat ini tidak dilakukan dengan baik oleh organisasi di area ini (kerentanan organisasi).
L-2
4
Setelah menyelesaikan langkah 3a dan 3b, tentukan status stoplight (merah, kuning atau hijau) untuk setiap wilayah praktek keamanan.
Status
stoplight
harus
menunjukan seberapa baik kepercayaan terhadap kinerja organisasi di tiap area. ---
Dokumen tindakan terhadap item yang diidentifikasi selama proses S1
---
Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S1
Proses S2 : Membuat Profil Ancaman Aktivitas
Langkah
Deskripsi
S2.1
5
Meninjau
Memilih aset kritis
berhubungan
ulang
informasi
dengan
aset
yang yang
diidentifikasi pada langkah ke 2 dan pilih hingga 5 (lima) yang paling pernting untuk organisasi. 6
Memulai kertas kerja informasi aset kritis untuk setiap aset kritis. Catat nama dari aset informasi aset kritis.
L-3
7
Catat alasan dari setiap pemilihan aset kritis pada kertas kerja infomasi aset kritis.
8
Catat deskripsi dari seriap aset kritis pada kertas kerja informasi aset kritis. Pertimbangkan siapa yang menggunakan aset kritis seperti halnya yang bertanggung jawab untuk itu.
9
Catat aset yang berhubungan dengan setiap aset kritis yang terdapat pada kertas kerja informasi aset kritis. Lihat kertas kerja indetifikasi aset untuk menentukan aset yang terkait dengan aset kritis.
10
S2.2
Catat kebutuhan keamanan untuk setiap
Identifikasi kebutuhan
aset kritis yang terdapat pada kertas kerja
keamanan untuk aset
informasi aset kritis
kritis
11
Untuk setiap aset kritis catat kebutuhan keamanan yang paling penting
yang
terdapat pada kertas kerja infomasi aset kritis S2.3
12
Melengkapi semua ancaman yang sesuai
Identifikasi ancaman pada
dengan aset kritis. Tandai setiap cabang
aset kritis
dalam setiap
pohon
dimana hal
ini
L-4
merupakan kemungkinan ancaman yang tidak dapat diabaikan dalam aset. Setelah melengkapi langkah ini, jika mengalami kesulitan dalam menafsirkan sebuah ancaman pada setiap pohon, tinjau ulang deskripsi dan contoh ancaman dalam panduan penerjemah ancaman 13
Catat contoh spesifik dari pelaku ancaman dalam kertas kerja profil risiko yang berlaku untuk seriap kombinasi motif pelaku
14
Catat kekuatan motif untuk setiap ancaman yang disengaja yang dikarenakan tindakan manusia.
Juga
mencatat
bagaimana
kepercayaan terhadap perkiraan kekuatan atas motif pelaku. 15
Catat seberapa sering setiap ancaman telah terjadi di masa lalu. bagaimana
keakuratan
Juga mencatat datayang
dipercaya. 16
Catat area yang terkait dengan setiap sumber dari ancaman yang sesuai. Sebuah
L-5
area yang terkait adalah sebuah scenario yang mendefinisikan seberapa spesifik ancaman dapat mempengaruhi aset kritis.
---
Dokumen tindakan terhadap item yang diidentifikasi selama proses S2.
---
Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S2
Proses S3 : Memeriksa Perhitungan Infrastuktur yang Berhubungan dengan Aset Kritis Aktivitas
Langkah
Deskripsi
S3.1
17
Pilih sistem yang menarik untuk setiap aset
Memeriksa jalur aset
kritis (yakni sistem yang paling berkaitan dengan aset kritis). 18a
Tinjau ulang jalur yang digunakan oleh setiap aset kritis dan pilih kelas kunci dari komponen yang berkaitan dengan setiap aset kritis. Tentukan kelas komponen yang merupakan menarik.
bagian
dari
sistem
yang
L-6
18b
Menentukan bertindak
kelas
sebagai
komponen akses
(misalnya komponen
poin
yang lanjut
yang digunakan
untuk mengirimkan informasi dan aplikasi dari sistem yang menarik untuk orang)
18c
Menentukan kelas komponen baik internal dan eksternal untuk jaringan organisasi, digunakan oleh orang (misalnya pengguna, penyerang) untuk mengakses sistem.
18d
Menentukan
dimana
informasi
yang
menarik dari sistem disimpan untuk tujuan back-up. 18e
Menentukan mana sistem akses informasi yang lain atau aplikasi dari sistem yang menarik dan kelas komponen mana yang dapat
digunakan
untuk
mengakses
informasi kritis atau layanan dari sistem yang menarik S3.2
19a Menganalisa
Menentukan
kelas
komponen
yang
proses
berhubungan dengan satu atau lebih aset
yang terkait dengan
kritis dan yang menyediakan akses kepada
L-7
Teknologi
aset tersebut. Tandai setiap jalur untuk setiap kelas yang dipilih dalam langkah 18a sampai 18e. Tandai setiap bagian kelas atau contoh spesifik yang berhubungan jika diperlukan. 19b
Untuk
setiap
kelas
komponen
yang
didokumentasi dalam langkah 19a, tandai aset kritis mana yang terkait dengan kelas tersebut. 20
Untuk setiap kelas komponen yang di dokumentasikan dalam langkah 19a, tandai orang atau kelompok yang bertanggung jawab untuk memelihara dan melindungi kelas komponen tersebut.
21
Untuk
setiap
kelas
komponen
yang
didokumentasikan dalam langkah 19a, tandai sejauh mana kelas tersebut dapat bertahan terhadap serangan jaringan. Juga catat
bagaimana
kesimpulan
dibuat.
Akhirnya, dokumen konteks tambahan berhubungan dengan analisis infrastuktur. ---
Perbaiki
tahap
1
informasi
yang
L-8
berdasarkan dari jalur akses dan teknologi yang terkait dengan proses. Perbaharui hal berikut jika sesuai: • Tandai setiap cabang tambahan dari pohon ancaman jika sesuai (langkah 12). Pastikan konteks dokumen yang sesuai
untuk
setiap
cabang
yang
ditandai (langkah 13-16). • Perbaiki dokumentasi area yang terkait dengan
menambahkan
rincian
tambahan jika sesuai. Identifikasi dan dokumenkan setiap area baru yang terkait jika sesuai (langkah 16). • Perbaiki
dokumentasi
praktek
keamanan dan kerentanan organisasi dengan
menambahkan
rincian
tambahan jika sesuai. Identifikasi dan dokumenkan praktek keamanan yang baru dan kerentanan organisasi jika diperlukan (langkah 3b). • Perbaiki status stoplight untuk praktek keamanan jika sesuai (langkah 4).
L-9
---
Dokumentasi tindakan terhadap item yang diidentifikasi selama proses S3
---
Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S3
Proses S4 : Identifikasi dan Analisis Risiko Aktivitas
Langkah
Deskripsi
S4.1
22
Menggunakan kriteria evaluasi dampak
Mengevaluasi dampak
sebagai panduan, memberi nilai dampak
ancaman
(tinggi, sedang, rendah) untuk setiap ancaman yang aktif bagi aset kritis.
S4.2
23
Menentukan
ukuran kualitatif
(tinggi,
Membangun
sedang, rendah) terhadap, kemungkinan
kemungkinan kriteria
terjadinya ancaman yang akan di evaluasi.
evaluasi S4.3
24
Menggunakan
kriteria
evaluasi
Mengevaluasi
kemungkinan
kemungkinan
menetapkan nilai kemungkinan (tinggi,
ancaman
sedang, rendah) untuk setiap ancaman yang
aktif
sebagai
terhadap
panduan,
aset
kritis.
Dokumenkan tingkat keyakinan dalam memperkirakan kemungkinan
L-10
---
Dokumen tindakan terhadap item yang diidentifikasi selama proses S4
---
Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S4
Proses S5 : Mengembangkan strategi perlindungan dan rencana mitigasi Aktivitas
Langkah
Deskripsi
S5.1
25
Mengirim status stoplight untuk setiap
Menggambarkan
area praktek keamanan yang
strategi
dengan
perlindungan
area
kertas
kerja
sesuai strategi
perlindungan. Untuk setiap area praktek
saat ini
keamanan identifikasikan pendekatan yang dilakukan oleh organisasi saat ini yang ditujukan terhadap area tersebut. S5.2
26 Memilih
pendekatan
Mengirim status stoplight untuk setiap area praktek keamanan dari kertas kerja
mitigasi
praktek
keamanan
ke
“area
praktek
keamanan” (langkah 26) untuk setiap aset kritis dari kertas kerja profil risiko 27
Memilih
pendekatan
mitigasi
(mengurangi, menunda, menerima) untuk setiap risiko aktif. Untuk setiap risiko
L-11
diputuskan untuk ditangani, lingkari satu atau lebih area praktek keamanan yang hendak dilakukan kegiatan mitigasi. 28
S5.3
Mengembangkan rencana mitigasi untuk
Mengembangkan
setiap area praktek keamanan yang dipilih
rencana mitigasi risiko
pada langkah 27. Setelah langkah ini selesai, jika mengalami kesulitan untuk mendapatkan
aktivitas
mitigasi
yang
potensial pada area praktek keamanan, tinjau ulang contoh aktivitas mitigasi dari area tersebut dipanduan aktivitas mitigasi. S5.4
29
Menentukan
apakah
rencana
Identifikasi perubahan
mempengaruhi
untuk
organisasi. Catat setiap perubahan pada
perlindungan
strategi
kertas
kerja
strategi
mitigasi
strategi
perlindungan
perlindungan.
Selanjutan, tinjau tindak ulang strategi perlindungan,
diikuti
dengan tujuan
perubahan. Tentukan apakah ada niat untuk membuat perubahan tambahan pada strategi
perlindungan.
Catat
setiap
perubahan tambahan pada kertas kerja strategi perlindungan.
L-12
---
Dokumen tindakan terhadap item yang diidentifikasi selama proses S5.
S5.5
30 Identifikasi selanjutnya
langkah
Menentukan Organisasi
apa
yang
dibutuhkan
L-13
Hasil Analisa Dan Wawancara Langkah 1 Tipe Dampak
Rendah
Sedang
Tinggi
Reputasi/kepercayaan Pelanggan Reputasi
Reputasi
adalah
tindakan paling
Reputasi
yang rusak,
telah Reputasi
telah
dan hancur
atau
minimal, diperlukan
sedikit
rusak.
atau beberapa biaya dan
hampir tidak ada upaya biaya
yang
yang diperlukan
untuk
dibutuhkan untuk pulih. memperbaikinya. Kehilangan pelanggan
Kurang dari 5%
Antara 5% sampai
pengurangan
10%
Lebih dari 10%
pengurangan pengurangan
pelanggan karena pelanggan
karena pelanggan karena
kehilangan
kehilangan
kehilangan
kepercayaan.
kepercayaan.
kepercayaan.
Finansial Biaya operasional
Meningkat kurang Biaya dari
5%
operasional Biaya operasional
dalam meningkat
5% lebih dari 15%
biaya operasional sampai 15% setiap setiap tahun
L-14
setiap tahun Kehilangan pendapatan Lebih
tahun. 5% Antara 5% sampai
dari
kehilangan
20%
pendapatan
per pendapatan
per pendapatan
tahun.
tahun.
One-time financial
One-time
tahun. One-Time
Financial One-time
Loss
Lebih besar dari
financial
cost cost
kehilangan 20%
dari
Rp financial
yang kurang dari 50.000.000,Rp 50.000.000,-.
kehilangan per
cost
lebih besar dari
sampai
Rp Rp 250.000.000,-.
250.000.000,-. Produktivitas Jam kerja
Jam
kerja Jam kerja karyawan Jam
karyawan
meningkat
meningkat
lebih 10% sampai 20%
kerja
antara karyawan
kecil dari 10%
meningkat
lebih
dari 20%
Perlindungan/ Kesehatan Hidup
Tidak ancaman
ada Kehidupan karyawan
Adanya sedang karyawan
kehilangan
atau terancam,
signifikan
pada mereka akan pulih
kehidupan
tetapi meninggal.
yang
L-15
Kesehataan
karyawan
setelah
organisasi.
perawatan medis.
menerima
Kesehatan
Pemulihan
pelanggan
atau sementara
karyawan organisasi
ancaman
Pemulihan dari permanen dalam terhadap aspek signifikan
dapat pelanggan
ditanggulangi
atau dari
pelanggan
karyawan.
atau karyawan.
Keselamatan
Keselamatan
Keselamatan
dipertanyakan.
terpengaruh.
terlanggar.
dalam 4 hari Keselamatan
Denda/hukuman Denda
Denda kurang dari Denda antara Rp Denda lebih besar Rp 100.000.000,-
100.000.000,- dan dari Rp 500.000.000,-.
Investigasi
Rp
500.000.000,-.
Tidak
ada Pemerintah
atau Pemerintah
permintaan
dari organisasi
pemerintah
atau investigasi lainnya investigasi
organisasi
atau
L-16
organisasi
meminta informasi lainnya
investigasi lain.
atau catatan (low melakukan profile).
investigasi profil tinggi investigasi praktek organisasi.
Langkah 2 Aset dan pertanyaan
Jawaban
Sistem Sistem-sistem apa saja yang dibutuhkan semua orang karyawan dalam perusahaan
• PC • Jaringan • Internet
untuk mendukung pekerjaan mereka? Informasi Informasi apa saja yang dibutuhkan
•
Data pelanggan.
semua karyawan dalam perusahaan untuk
•
Data penjualan.
mendukung pekerjaan mereka?
•
Data pembelian.
•
Data pembayaran.
•
Data barang.
• Data Kredit. •
Data stok.
dalam
L-17
Aplikasi dan pelayanan Aplikasi dan layanan apa saja yang
•
Database Oracle
dibutuhkan
dalam
•
Open Office
perusahaan untuk mendukung pekerjaan
•
Eclipse
mereka?
•
Koneksi internet berbasis first media
Siapa yang mempunyai keahlian atau
•
IT manager
kemampuan penting dalam organisasi
•
Development Manager
dan susah untuk digantikan?
•
Network Engineer
•
Admin Support
semua
karyawan
Orang
Keahlian atau pengetahuan Apa keahlian atau kemampuan yang mereka miliki?
1. IT manager : Mempunyai tugas dan wewenang untuk menjalankan,
mengembangkan
dan
bertanggung jawab atas IT infrastruktur korporat
secara
terstruktur
dan
sistematis 2. Development Manager Mempunyai tugas dan wewenang untuk membantu
dalam
memelihara
mengembangkan sistem yang ada
dan
L-18
(e-mail, akses internet, file service, ftp service, print service, Backup data, door acces, billing system, dsb-nya). 3. Network Engineer Mempunyai tugas dan wewenang untuk membantu
dalam
mengembangkan
memelihara
dan
jaringan
dan
interkoneksi-nya (switching, routing, cabling, Wi-Fi, dsb-nya). 4. Admin Support Mempunyai tugas dan wewenang untuk membantu
dalam
hal
administrasi
berkaitan masalah IT infrastruktur (aset IT
inventori,
backup
inventori,
pengadaan/pembelian, dsb-nya). Sistem yang berhubungan Siapa yang menggunakan sistem ini?
• Personal Computer (PC) digunakan oleh semua divisi.
L-19
Aset yang berhubungan Sistem lain yang digunakan?
Internet Service Provider
Langkah 3a Pertanyaan
Banyak
Sedikit
Tidak Ada
1. Kesadaran Keamanan dan Pelatihan Para karyawan memahami peran keamanan dan tanggungjawab
mereka,
dimana
hal
X
ini
didokumentasikan dan diverifikasi. Karyawan mempunyai keahlian yang cukup untuk mendukung semua pelayanan,
X
mekanisme, dan
teknologi, termasuk operasi keamanan mereka. Hal ini didokumentasikan dan diverifikasi. Kesadaran akan keamanan, pelatihan, dan pengingat
X
periodik tersedia untuk semua personil pemahaman karyawan. Hal ini didokumentasikan dan desesuaikan secara periodik. Kesadaran mengikuti praktek keamanan dengan baik seperti : 1. Keamanan informasi 2. Merahasiakan informasi yang sensitive
X
L-20
3. Mempunyai kemampuan yang menggunakan TI hardware dan software 4. Menggunakan password yang baik. 5. Memahani dan mematuhi kebijakan keamanan. 2. Stategi Keamanan Strategi bisnis perusahaan selalu mempertimbangan
X
segi keamanan. Strategi
keamanan
dan
kebijakan
termasuk
X
pertimbangan dari segi bisnis dan tujuan perusahan. Strategi keamanan, tujuan dan sasaran perusahaan
X
didokumentasikan dan dikaji secara rutin, diperbahuri dan dikomunikasi dalam perusahaan. 3. Manajemen Keamanan Manajemen mangalokasikan dana dan sumberdaya
X
yang cukup untuk aktivitas keamanan informasi. Peran keamanan dan tanggungjawab didefinisikan ke
X
semua karyawan perusahaan. Semua karyawan di setiap tingkatan melaksanakan
X
tugas dan tanggungjawab mereka dalam keamanan informasi. Ada prosedur dokumentasi untuk otoritasasi dan pengawasan semua karyawan yang berkerja dalam
X
L-21
penyediaan inforamsi atau penyajian informasi. X
Pemecatan dan penghentian praktek bagi setiap karyawan
yang
terlibat
dalam
permasalahan
keamanan informasi. Perusahaan mengelola risiko keamanan informasi
X
termaksud : 1. Penilaian risiko untuk keamanan informasi 2. Mengambil langkah-langkah untuk mengurangi risiko keamanan risiko keamanan informasi. Manajemen menerima dan bertindak atas laporan
X
rutin dari informasi yang berhubungan dengan keamanan. 4. Kebijakan Keamanan dan Peraturan Perusahaan
memiliki
dokumentasi
secara
X
menyeluruh, dan kebijakan ditinjau dan diperbaharui secara berkala. Tersedia proses dokumentasi secara menyeluruh, dan
X
kebijakan ditinjau dan diperbaruhi secara berkala. Tersedia
proses
dokumentasi
dari
keamanan untuk manajemen termasuk: 1. Kreasi 2. Administrasi
kebijakan
X
L-22
3. Komunikasi X
Perusahaan mempunyai proses dokumentasi dari evaluasi
dan
memastikan
pemenuhan
dengan
kebijakan keamanan informasi. Perusahaan
memaksakan
kebijakan
keamanan
X
mereka. 5. Manajemen Keamanan dan Kolaboratif Perusahaan
memiliki
kebijakan
melindungi
informasi
ketika
dan
prosedur
berkerja
X
dengan
perusahaan lain, termasuk : 1. Melindungi informasi milik perusahaan lain. 2. Memahami kebijakan keamanan dan prosedur perusahaan lain. Dokumentasi informasi perusahaan untuk melindungi kebutuhan-kebutuhan
dan
dengan
X
tegas
memberitahukan ke semua aspek. Perusahaan memiliki mekanisme
formal
untuk
X
verifikasi ke semua pihak perusahaan, outsource keamanan layanan, mekanisme, dan teknologi, agar sesuai dengan kebutuhan dan persyaratannya. Perusahaan memiliki kebijakan dan prosedur untuk berkerja sama dengan perusahaan lain, seperti :
X
L-23
1. Memberikan kesadaran keamanan dan pelatihan perusahaan 2. Mengembangkan
kebijakan
keamanan untuk
perusahaan. 3. Mengembangkan
contigency
plan
untuk
organisasi. 6. Perencanaan Contingency Sebuah analisis dari operasional, aplikasi-aplikasi
X
dan data penting sudah dilaksanakan. Perusahaan
telah
melakukan
dokumentasi,
X
peninjauan kembali, dan pengujian. 1. Kontinuitas bisnis atau rencana operasi darurat 2. Rencana pemulihan bencana 3. Kemungkinan
rencana
untuk
menanggapi
keadaan darurat Kemungkinan pemulihan bencana, dan kontinuitas bisnis
mempertimbangkan
rencana
fisik
X
dan
persyaratan elektronik dan kontrol akses. Seluruh karyawan: 1. Sadar akan kemungkinan, pemulihan bencana, dan kontinuitas bisnis.
X
L-24
2. Memahami dan mampu untuk melaksanakan tanggungjawab mereka. 7. Pengendalian Akses Fisik Karyawan dari perusahaan bertanggungjawab
X
untuk kawasan ini: 1. Prosedur dan rencana fasilitas keamanan dalam menjaga lokasi, bangunan dan apapun yang dibatasi 2. Daerah telah didokumentasikan dan diuji. Adanya kebijakan yang di dokumentasikan dan
X
prosedur untuk mengelola pelanggan. Adanya kebijakan yang didokumentasikan dan
X
prosedur untuk mengendalikan akses fisik ke tempat kerja dan perangkat keras (komputer, perangkat komunitas, dll) dan perangkat lunak media. Area kerja yang banyak menggunakan komputer dan komponen lainnya yang menggunakan akses ke informasi yang sensitif secara fisik menjamin untuk mencegah akses yang tidak sah.
X
L-25
8. Pemantauan dan Audit Keamanan Fisik Karyawan
dari
perusahaan
Anda
X
bertanggungjawab untuk kawasan ini: Catatan
pemeliharaan
perbaikan
dan
disimpan
modifikasi
dari
ke
dokumen
fasilitas
fisik
komponen. Tindakan individu atau grup, berkaitan dengan semua media
dikontrol
secara
fisik,
dan
X
dapat
dipertanggungjawabkan. X
Audit dan pemantauan dilakukan secara fisik dan diambil tindakan korektiif yang diperlukan. 9. Sistem dan Manajemen Jaringan Karyawan
dari
perusahaan
anda
bertanggungjawab untuk kawasan ini: Ada dokumentasi dan rencana uji keamanan untuk menjaga sistem keamanan dan jaringan. Sensitifitas
informasi
penyimpanan yang
dilindungi
aman
oleh
tempat
(misalnya, back
X
up
disimpan didalam off-site) Integritas dari perangkat lunak diinstal secara teratur
X
dan diverifikasi. Seluruh sistem selalu diperbahuri dengan revisi, patch, dan rekomendasi dalam laporam keamanan.
X
L-26
Ada dokumentasi dan rencana uji data cadangan
X
untuk backup, perangkat lunak dan data. Semua karyawan memahami tanggungjawab mereka didalam backup plans. Perubahan TI untuk hardware dan software yang
X
direncanakan, dikontrol, dan didokumentasikan. Karyawan
TI
mengikuti
prosedur
penerbitan,
X
mengubah, dan mengakhiri pengguna password, account, dan hak istimewa: 1. Identifikasi pengguna secara unik diperlukan untuk
semua
pengguna
sistem
informasi,
termasuk pihak ketiga pengguna. 2. Penetapan account dan penetapan password telah dihapus dari sistem. Hanya layanan yang diperlukan yang dijalankan pada
X
sistem – yang tidak perlu dihapus. Peralatan dan mekanisme untuk keamanan sistem dan jaringan administrasi yang digunakan, ditinjau secara rutin dan perbaruhi atau diganti. 10. Pemantauan dan Audit Keamanan TI
X
L-27
Karyawan
dari
perusahaan
anda
X
bertanggungjawab untuk kawasan ini: Sistem dan pemantauan jaringan dan audit secara rutin digunakan oleh organisasi. Aktivitas yang tidak bisa akan ditangani sesuai dengan kebijakan atau prosedur yang sesuai. Firewall dan komponen keamanan lainnya secara
X
berkala diaudit untuk mematuhi kebijakan. 11. Pengesahan dan Otorisasi Karyawan
dari
perusahaan
anda
X
bertanggungjawab untuk kawasan ini: Kontrol sesuai akses dan otentikasi pengguna (misalnya: pengizinan file dan konfigurasi jaringan) konsisten dengan kebijakan ini digunakan utuk membatasi akses pengguna ke informasi, sistem sensitif, aplikasi dan layanan tertentu, dan koneksi jaringan. Adanya dokumentasi kebijakan dan prosedur untuk mendirikan
dan mengakhiri
hak
akses
informasi baik untuk individu dan kelompok.
untuk
X
L-28
Metode atau
mekanisme
yang tersedia untuk
memastikan bahwa sensitif informasi belum diakses, diubah, atau dihancurkan dalam bentuk yang tidak sah. Metode atau mekanisme secara berkala ditinjau dan diverifikasi.
X
L-29
12. Manajemen Kerentanan Karyawan
dari
perusahaan
anda
bertanggungjawab untuk kawasan ini: Berikut
adalah
dokumentasi
prosedur
untuk
mengelola tingkat kerentanan, yaitu: 1. Kerentanan memilih alat evaluasi 2. Up to date dengan kerentanan dan jenis serangan metode 3. Meninjau sumber informasi tentang kerentanan pengumuman,
peringkat
keamanan,
dan
pemberitahuan 4. Mengidentifikasi komponen infrastruktur untuk dievaluasi 5. Menafsirkan dan menanggapi hasil 6. Mengelola keamanan tempat penyimpanan dan menjaga kerentanan data.
X
L-30
Prosedur manajemen kerentanan diikuti dan ditinjau
X
serta diupdate secara berkala. Penilaian kerentanan teknologi yang dilakukan secara periodik
pada
dasar,
dan
kerentanan
X
yang
dialamatkan ketika mereka dikenal. 13. Enkripsi Jika
karyawan
dari
perusahaan
X
bertanggungjawab di area ini: Keamanan sesuai kontrol yang digunakan untuk melindungi
informasi
sensitif
selama
dalam
penyimpanan dan transmisi. Protokol enkripsi dipakai ketika mengelola sistem,
X
router dan firewall dari jauh.
14. Desain dan Arsitektur Keamanan Jika karyawan dari organisasi bertanggungjawab area ini: Sistem arsitektur dan desain baru dan sistem yang di revisi termasuk pertimbangan untuk: 1. Keamanan strategi, kebijakan, dan prosedur 2. Sejarah keamanan kompromi 3. Hasil penilaian risiko keamanan
X
L-31
Perusahaan mempunyai diagram up-to-date yang
X
menunjukan keamanan arsitektur dari perusahaan dan topologi jaringan. 15. Manajemen Insiden Jika
karyawan
dari
perusahaan
X
anda
bertanggungjawab di area ini: Prosedur
yang
didokumentasikan
untuk
mengindentifikasi, melaporkan, dan menanggapi dugaan pelanggaran keamanan dan insiden. X
Prosedur insiden manajemen secara periodik dites, diverikasi, dan diupdate. Ada kebijakan yang didokumentasikan dan prosedur untuk bekerja dengan lembaga penegak hukum.
X
L-32
Langkah 3B Area
Apa kelebihan organisasi
Apa kekurangan
di dalam area ini ?
organisasi di dalam area ini ?
1. Kesadaran Keamanan .
Karyawan kadang lupa akan tanggungjawab dan kurang nya kesadaran dalam mendukung kesadaran keamanan.
dan Pelatihan
2. Strategi Keamanan
Strategi bisnis perusahaan
Strategi keamanan di Perusahaan tidak rutin
selalu mempertimbangkan diperbaharui setiap sisi keamanan.
3. Manajemen Keamanan
Semua karyawan di setiap
Pengupdatean keamanan
tingkatan
harus di lakukan secara
melaksanakan
tugas dan tanggungjawab rutin mereka
dalam
keamanan
informasi.
4. Kebijakan Keamanan Perusahaan memiliki dokumentasi secara dan Peraturan menyeluruh, dan kebijakan ditinjau dan diperbahuri secara berkala.
L-33
5. Manajemen Keamanan
Kesadaran keamanan yang tinggi dikarenakan pelatihan perusahaan dan peraturan yang sudah di dokumentasi
Kolaboratif 6. Perencanan Contingency
7. Pengendalian Fisik
8. Pemantauan Audit Fisik
Karyawan sadar akan kemungkinan, pemulihan bencana, dan kontinuitas bisnis, mampu untuk melaksanakan tanggung jawab mereka.
.
Akses Kebijakan yang di dokumentasikan dan prosedur untuk mengelola pelanggan.
.
dan Adanya
catatan
Keamanan pemeliharaan disimpan ke dokumen
dan
modifikasi
dari fasilitas fisik komponen..
9. Sistem
dan Informasi dilindungi di tempat penyimpanan yang manajemen jaringan aman.
L-34
dan Pemantauan dan audit keamanan dilakukan secara Audit Keamanan TI rutin.
10. Pemantauan
11. Pengesahan Otorisasi
dan Adanya dokumentasi kebijakan dan prosedur untuk mendirikan dan mengakhiri hak akses untuk informasi.
12. Manajemen Kerentanan
13. Enkripsi
Prosedur manajemen kerentanan diikuti dan ditinjau secara rutin.
Perusahaan menggunakan enkripsi, Keamanan sesuai dengan kontrol yang digunakan untuk melindungi informasi sensitif
mempunyai 14. Desain dan Arsitektur Perusahaaan diagram up- to-date yang menunjukan keamanan Keamanan arsitektur
15. Manajemen Insiden
Kebijakan yang sudah didokumentasikan dan prosedur untuk bekerja dengan lembaga penegak hukum.
L-35
Langkah 4 Seberapa
efektif
perusahaan
Red
Yellow
Green
mengimplementasikan pelatihan di area ini ?
1. Kesadaran Keamanan dan Pelatihan
X X
2. Strategi Keamanan 3. Manajemen keamanan
X
4. Kebijakan Keamanan dan Peraturan
X
5. Manajemen Keamanan Kolaboratif
X
6. Perencanaan Contingency
X
7. Pengendalian Akses Fisik
X
8. Pemantauan dan Audit Keamanan Fisik
X
9. Sistem dan Manajemen Jaringan
X
10. Pemantauan dan Audit Keamanan TI
X
11. Pengesahan dan Otorisasi
X
12. Manajemen Kerentanan
X
13. Enkripsi
X
14. Desain dan Arsitektur Keamanan
X
15. Manajemen Insiden
X
L-36
Langkah 5 Pertanyaan yang dipertimbangkan: Aset akan mempunyai dampak buruk dalam perusahaan jika: • Aset jatuh ketangan orang lain yang tidak berwenang. • Aset dimodifikasi tanpa otorisasi. • Aset hilang atau rusak. • Akses ke aset terputus. Aset Kritikal Source Code
Catatan kumpulan kode bahasa pemrograman tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh komputer.
SOP
Sistem atau prosedur yang disusun untuk memudahkan, merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan proses melakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP agar para karyawan dapat memahami dan melakukan tugasnya sesuai standar yang digariskan perusahaan.
L-37
L-40
Langkah 6
Langkah 7
Aset Kritikal
Alasan Untuk penilaian
Source Code
Langkah 8 Deskripsi Manager IT
Karena ini adalah Kumpulan kode kode dalam bahasa tertentu
pemrograman penting
yang
digunakan sebagai sumber informasi yang hanya dapat diakses oleh orang yang
SOP
mempunyai otorisasi. Karena SOP merupakan Sistem Development sistem
prosedur
peraturan perusahaan
dan
cara
kerja
yang
ada
di
perusahaan contohny pada development apa bila di dalam software development tidak terdapat SOP maka pembuatan development
software akan
tidak
maksimal atau tidak sesuai yang di inginkan.
L-38
Langkah 9
Langkah 10
Aset yang berhubungan
Kebutuhan keamanan
Langkah 11 Kebutuhan keamanan yang paling penting
Aset
mana
berhubungan
yang Apa kebutuhan keamanan dengan dalam sistem ini ?
sistem ini ? PC Internet Eclipse
Apa kebutuhan keamanan yang
paling
dalam sistem ini ? ⌧ Confidentiality ⌧ Integrity ⌧ Availability
Confidentiality Integrity ⌧ Availability
penting
L-39
DATA TABEL LAMPIRAN TERPISAH
L-40
L-41
L-42
L-43
L-44
L-45
L-46
L-47
Langkah 16 Pihak dalam yang menggunakan
akses
jaringan Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini. Berikan contoh bagaimana pihak dalam yang bertindak secara sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini. Pihak dalam yang menggunakan
akses
jaringan Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini.
Dalam perusahaan ada yang dinamakan public folder, public folder tempat dimana tempat dimana folderfolder yang ada dapat di share atau dilihat oleh orang banyak. Masalah yang terjadi folder dapat sengaja atau tidak sengaja di hapus oleh orang yang tidak bertanggung jawab
L-48
Berikan contoh bagaimana Pernah terkena virus tetapi yang tidak menggunakan pihak dalam yang bertindak linux seperti notebook-notebook karyawan . secara sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini.
Pihak
dalam
yang
menggunakan akses fisik Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan
akses
fisik
untuk mengancam sistem ini. Berikan contoh bagaimana pihak dalam yang bertindak secara sengaja dapat menggunakan
akses
fisik
untuk mengancam sistem ini. Pihak
luar
yang
menggunakan akses fisik
L-49
Berikan contoh bagaimana pihak luar yang bertindak secara tidak sengaja dapat menggunakan
akses
fisik
untuk mengancam sistem ini. Berikan contoh bagaimana pihak luar yang bertindak secara
sengaja
menggunakan
akses
dapat fisik
untuk mengancam sistem ini.
Langkah 17 System of Interest Sistem apa yang paling dekat yang berkaitan dengan aset penting? SOP Langkah 18a System of Interest Kelas komponen mana yang dibawah ini yang merupakan bagian dari system of interest? ⌧Server Jaringan Internal
L-50
Lainnya Langkah 18b Intermediate Access Points Kelas komponen mana yang dibawah ini yang dapat berfungsi sebagai intermediate access points? ⌧ Jaringan Internal Jaringan External Lainnya Langkah 18c System Access by People Kelas komponen mana yang dibawah ini merupakan orang yang dapat mengakses system of interest? ⌧On-Site Workstations ⌧Laptops PDAs/Wireless Components Home/External Workstations Lainnya
L-51
Langkah 18d Data Storage Locations Kelas komponen mana yang dibawah ini yang merupakan informasi dari system of interest disimpan untuk tujuan cadangan? ⌧ Storage Devices Lainnya Langkah 18e Other Systems and Components Kelas komponen mana dibawah ini yang dapat digunakan untuk mengakses informasi penting atau aplikasi dari system of interest? ⌧ Source Code
L-52
Server `
Server 1
Karyawan TI
X
Karyawan TI
X
X
X
Internal Networks SEMUA
X
X
On-site workstation Logistic Purchasing Marketing Finance Laptops SEMUA Manager
X X X X
Karyawan TI
X
X
Karyawan TI
X
X
X
Storage devices Local back up
Karyawan TI X
X
X
Lainnya
Tidak formal
Tidak tahu
Tidak ada
Formal
Metode pengambilan data
Proteksi
Sedikit
Langkah 19b Aset kritis
Banyak
Langkah 19a Kelas
Langkah 21
Langkah 20 Tanggung jawab
L-53
Langkah 23 Frequency-Based Criteria Berpikir tentang apa yang tinggi, sedang, dan rendah yang memungkinkan terjadinya ancaman bagi aset-aset penting perusahaan anda. Tinggi Mengukur Hari
Minggu
Bulan
waktu
Sedang 4 Setahun
x Kurang dari 4 X
1X
Kurang
setahun
dari
setahun
peristiwa
Rendah
1
X setahun
Frekuensi tahunan
365
52
12
4
<4
1
<1
L-54
1. Kesadaran Keamanan dan
Langkah 25
Langkah 29
Pelatihan
Stoplight Status R Pelatihan Keamanan
Sebagaimana pelatihan
formal Akankah
beberapa
strategi kegiatan
mitigasi
organisasi anda?
mengubah pelatihan anda?
Suatu strategi
perusahaan pelatihan
mempunyai yang
telah
Sekarang
Berubah
strategi
L-55
meliputi ⌧Sekarang
didokumentasikan kesadaran
keamanan
Berubah
dan
keamanan-terkait pelatihan
untuk
mendukung teknologi. Suatu
perusahaan
mempunyai ⌧ Sekarang
Berubah
strategi pelatihan yang informal dan tidak didokumentasikan. Pelatihan Kesadaran Keamanan
sering Akankan
beberapa
keamanan kegiatan
mitigasi
Seberapa kesadaran
diberikan pelatihan?
mengubah pelatihan anda?
Secara berkala pelatihan kesadaran
⌧ Sekarang
Berubah
keamanan disediakan untuk semua karyawan 1 kali setiap 1tahun. Pelatihan
kesadaran
keamanan ⌧ Sekarang
Berubah
diberikan untuk anggota karyawan baru sebagai bagian dari orientasi mereka. Suatu organisasi tidak memberikan ⌧ Sekarang pelatihan kesadaran
keamanan.
Anggota karyawan belajar tentang masalah
keamanan
dengan
Berubah
strategi
L-56
sendirinya. Akankah
beberapa
TI kegiatan
mitigasi
Pelatihan Hubungan Keamanan
Sejauh mana anggota
untuk Pendukung Teknologi
karyawan mensyaratkan mengikuti yang
untuk mengubah pelatihan untuk
berhubungan pelatihan
dengan keamanan?
berhubungan keamanan?
Anggota
karyawan
informasi
yang diminta
mengikuti
pelatihan
teknologi
Sekarang
⌧ Berubah
Sekarang
Berubah
Berubah
untuk
keamanan
yang terkait dengan teknologi yang
ada
untuk
mendukung
mereka. Anggota
karyawan
teknologi
informasi
dapat
mengikuti
pelatihan kemanan yang terkait untuk
persyaratan
setiap teknologi yang
mendukung mereka jika mereka memintanya. Peusahaan
umumnya
tidak ⌧ Sekarang
memberikan
kesempatan
bagi
mengikuti yang dengan
L-57
anggota
karyawan
teknologi
untuk
mengikuti
informasi
pelatihan yang terkait keamanan yang didukung teknologi. Anggota karyawan
teknologi
mempelajari
informasi
tentang isu
yang
terkait dengan keamanan dengan sendirinya. Keamanan Sebagaimana
Pembaharuan
formal Akankah
Secara
mekanisme organisasi mitigasi
Periodik
anda
untuk mekanisme
kegiatan mengubah untuk
memberikan keamanan memberikan keamanan periodic? Suatu
perusahaan
mekanisme
formal
memiliki
⌧ Sekarang
periodik? Berubah
untuk
menyediakan anggota karyawan dengan pembaruan berkala tentang masalah keamanan. Suatu organisasi tidak memiliki mekanisme untuk menyediakan anggota pembaruan
karyawan
dengan
⌧ Sekarang
Berubah
L-58
berkala
tentang
masalah
keamanan. Pelatihan Verifikasi
Sebagaimana
formal Akankah
mekanisme organisasi mitigasi anda
memverifikasi yang karyawan
menerima pelatihan? Suatu
memiliki ⌧Sekarang
perusahaan
mekanisme
formal
yang
⌧ Berubah
untuk
menerima
pelatihan yang terkait
dengan
keamanan Perusahaan
tidak
memiliki ⌧ Sekarang
mekanisme untuk pelacakan dan verifikasi anggota karyawan yang menerima pelatihan yang terkait dengan keamanan.
yang
menerima pelatihan?
pelacakan dan verifikasi anggota karyawan
mengubah
untuk mekanisme anda untuk
memverifikasi karyawan
kegiatan
Berubah
L-59
Langkah 28 1. Kesadaran Keamanan dan Pelatihan Kegiatan Mitigasi
Alasan
Penanggung Jawab
Pendukung
Kegiatan mitigasi
Mengapa anda
Siapa yang harus
Apa dukungan
yang mana yang
memilih setiap
terlibat dalam
tambahan akan
anda laksanakan
kegiatan?
melaksanakan setiap
diperlukan ketika
kegiatan? Mengapa?
melaksanakan
dalam praktek keamanan di
setiap kegiatan
wilayah ini?
(misalnya, pendanaan, komitmen dari karyawan, sponsor)?
Menyediakan
Pelatihan kesadaran
Pimpinan
Pendanaan dari
pelatihan
keamanan secara
perusahaan yang
perusahaan dan
kesadaran
berkala diperlukan
bertanggung jawab.
komitmen dari
keamanan pada
semua karyawan
seluruh karyawan
agar penerapan
perusahaan.
keamaan menjadi lebih baik.
karyawan
L-60
Memberikan
Agar para karyawan
Pimpinan
Pendanaan dari
kesempatan bagi
mempunyai
perusahaan dan
perusahaan dan
karyawan
keahlian dibidang
divisi TI
komitmen dari
teknologi
keamanan yang
informasi untuk
menggunakan
mengikuti
teknologi
karyawan.
pelatihan yang terkait keamanan yang didukung teknologi Menyediakan
Karena perangkat TI Manajer TI, dan
Pendanaan dari
pelatihan
selalu berkembang
perusahaan dan
pendukung TI
dan
komitmen dari
secara periodik
perlu adanya
karyawan TI.
pada karyawan TI.
pelatihan dalam karyawan TI agar penerapan TI organisasi menjadi lebih baik.
Karyawan TI.
L-61
Memiliki
Untuk mendata
mekanisme untuk
karyawan apakah
pelacakan dan
sudah mengikuti
verifikasi anggota
pelatihan atau
karyawan yang
belum.
Manajer TI
Komitmen dari karyawan
menerima pelatihan yang terkait dengan keamanan. Melakukan sistem
Agar keamanan data
pembaharuan
perusahaan terjamin
Divisi TI.
Pendanaan dari perusahaan dan
keamanan secara
komitmen
periodik.
karyawan
L-62
Langkah 30 Management Sponsorship for Security Improvement Apa yang harus dilakukan manajemen − Mengutamakan keamanan informasi untuk mendukung pelaksanaan hasil dari OCTAVE-S?
dalam strategi bisnis perusahaan − Mengalokasikan
dana
untuk
melakasanakan rencana mitigasi − Menentapkan
karyawan
untuk
L-63
menerapkan
kegiatan
keamanan
informasi dengan baik Monitoring Implementation Apa yang akan organisasi lakukan untuk − Merencanakan proses mitigasi risiko melacak
kemajuan
dan
memastikan
yang matang
bahwa hasil pengukuran ini dilaksanakan? − Membuat laporan proses mitigasi yang telah dilakukan − Melakukan
evaluasi
dalam
rapat
bulanan, dan memeriksa laporan rutin. Expanding the Current Information Security Risk Evaluation Akankah
Anda
pengukuran
risiko
mengembangkan Perusahaan dengan
tidak
akan
melakukan
metode pengukuran risiko penambahan aset-aset
OCTAVE-S saat ini untuk menambahkan penting, jika kegiatan mitigasi yang ada aset-aset penting?
sekarang
belum
diterapkan
secara
menyeluruh. Net
Information
Security
Risk
Evaluation Kapan sebuah organisasi akan melakukan Perusahaan dianjurkan untuk melakukan pengukuran
risiko
dengan
OCTAVE-S selanjutnya?
metode pengukuran risiko dengan OCTAVE-S setiap tahun.
L-64
Pertanyaan Wawancara
Berikut ini adalah lampiran daftar pertanyaan yang telah diajukan kepada pejabat di perusahaan untuk proses pengumpulan data. 1. Bagaimana sejarah dibentuknya PT.Mandala Multifinance Tbk ? – Didirikan pada tahun 1983, PT Mandala MultifinanceTbk bergerak pada bidang usaha pembiayaandengan fokus utama pembiayaan konsumenkendaraan roda dua. Perusahaan didirikan dengannama PT Vidya Cipta Leasing Corporation dan telahbeberapa kali bergantinama, hingga pada 21 Juli1997 nama PT Mandala Multifinance disahkan olehMenteri Keuangan berdasarkan Keputusan MenteriKeuangan RI No.323/KMK.017/1997. kegiatan usaha Perusahaan meliputi Sewa Guna Usaha, Anjak Piutang, UsahaKartu Kredit, dan Pembiayaan Konsumen.Sejak pertama didirikan, Perusahaan memegangteguh komitmen untuk memberikan pelayananterbaik terhadap konsumen dan mitra bisnis. Pemegang saham utama PT MandalaMultifinance Tbk merupakan para professional yang berpengalaman lebih dari 20 tahun di bidangotomotif, diawali sebagai main dealer sepeda motordi wilayah Lampung dan Jawa Barat.Perusahaan mencatatkan sahamnya dengankode [MFIN] di Bursa Efek Indonesia pada tanggal l6 September 2005 dengan menjual sahamnyakepada publik sebesar 24,53%. Hal ini bertujuanuntuk memperkuat struktur permodalan sertameningkatkan sumber dana untuk modal kerjaPerusahaan.Unit Usaha Syariah dibuka pada April 2006 denganrekomendasi DewanSyariah Nasional – MajelisUlama Indonesia No.U-075/DSNMUI/IV/2006.Pembiayaan syariah ini dijalankan dengan dukungankerja sama dari
L-65
hampir semua bank syariah diIndonesia dan perkembangannya dari tahun ke tahuncukup menggembirakan. 2. Apa yang menjadi visi dan misi PT.Mandala Multifinance Tbk ? Visi : Menjadi perusahaan pembiayaan terbaik secara finansial yang berorientasi pada pelanggan. Misi : 1.
Menyediakan fasilitas pembiayaan dengan cepat dan efektif melalui perbaikan proses kerja, teknologi informasi, dan perluasan jaringan.
2.
Mengutamakan kepuasan pelanggan dan mitra usaha.
3.
Mengutamakan kemitraan yang saling menguntungkan.
4.
Menjaga kredibilitas dan kepercayaan perbankan.
3. Bagaimanakah struktur organisasi PT.Mandala Multifinance Tbk. – Data hasil wawancara digunakan pada halaman 54. 4. Apa saja tugas dan wewenang dari tiap bagian pada struktur organisasi tersebut ? – Data hasil wawancara digunakan pada halaman 55 hingga 60. 5. Bagaimanakah proses bisnis PT.Mandala Multifinance Tbk ? Pemesanan kredit yaitu proses nasabah memilih Mandala Multifinance sebagai pemberi jasa kredit untuk kendaraan bermotor yang akan dibelinya. Proses ini diawali dengan Konsumen yang ingin memiliki kendaraan bermotor tetapi tidak memiliki dana secara tunai atau cash , konsumen mengirimkan
L-66
permintaan untuk melakukan pembelian kendaraan secara kredit kepada pihak Mandala Multifinance. Mandala Multifinance bekerja sama dengan beberapa dealer atau agen yang telah dipilih oleh calon nasabah. Setelah calon nasabah memilih jenis kendaraan yang diinginkan dan memilih Mandala Multifinance sebagai jasa pemberi kreditnya, calon nasabah harus mengisi sebuah formulir permohonan kredit.Formulir permohonan kredit yang telah diisi dengan lengkap beserta lampiran-lampiran yang dibutuhkan kemudian dikirimkan oleh dealer kepada pihak Mandala Multifinance untuk ditindak lanjuti.Berkas-berkas diterima oleh bagian Administrasi Marketing, kemudian data-data calon nasabah dimasukan ke dalam sistem yang berjalan. Selanjutnya timsurvey yang telah ditugaskan untuk melakukan survey, membawa formulir yang berisikan daftar penilaian terhadap lingkungan tempat tinggal calon nasabah tersebut. Hasil survey yang diperoleh diserahkan kepada bagian Marketing. Bagian ini akan menghitung total perolehan nilai dari calon nasabah. Setelah total keseluruhan nilai diperoleh, maka nilai tersebut akan diberikan kepada pimpinan cabang sebagai bahan pertimbangan untuk menentukan apakah nasabah ini berhak untuk mendapatkan kredit yang diinginkan atau tidak. Bagian Marketing akan memberitahukan hasil keputusannya kembali kepada tim survey. Jika permohonan kredit calon nasabah diterima, maka timsurvey akan menginformasikan kepada dealer, lalu akan disampaikan kepada nasabah atau pembeli itu sendiri. Jika permohonan kredit tersebut ditolak, Tim survey akan langsung menginformasikan kepada nasabah. Bagian Purchasingakan melakukan pengecekan data pemesanan kredit yang baru. Untuk setiap pemesanan kredit yang baru, bagian ini akan
L-67
mengirimkan Purchase Order dan surat jalan kepada dealer yang berhubungan, sehingga motor dapat langsung dikirimkan kepada pembeli. Setelah itu bagian Purchasing akan mengurus asuransi yang dibutuhkan, lalu menyampaikan permintaan dana ke bagian Finance cabang. Bagian Finance cabang akan meneruskan permintaan dana tersebut ke bagian Finance pusat. Setelah dana dicairkan, Finance cabang dapat langsung mentransfer dana kepada dealer. Setelah itu pihak dealer akan menyerahkan BPKB dari kendaraan yang dipilih kepada bagian Finance cabang, yang lalu akan diteruskan kepada Finance pusat dan disimpan sampai nasabah melunasi kreditnya. 6. Bagaimanakah proses development PT.Mandala Multifinance Tbk ? User melakukan permintaan/perbaikan program kepada bagian Komite Sistem& Prosedur dengan membuat Form Permintaan/Perbaikan Program sebanyak 3 rangkap : rangkap 1
: di berikan untuk kepala divisi,kepala divisi hanya mengecek saja
rangkap 2
: di berikan ke kepala sub divisi
rangkap 3
: di arsip oleh komite sistem&prosedur
Setelah menerima Form Permintaan / Perbaikan Program dari Komite Sistem& Prosedur, Kepala Sub Divisi akan mengecek apakah program yang diberikan perlu didiskusikan dengan Komite Design. Apabila perlu didiskusikan maka Komite Design membuat / revisi design& spesifikasi berdasarkan prosedur design & spesifikasi sistem bersama dengan Kepala Sub Divisi yang menghasilkan Form Permintaan Persetujuan hasil Design/ Spesifikasi yang akan diberikan kepada Kepala Divisi.
L-68
Kepala Divisi bertugas menyetujui Form Permintaan Persetujuan hasil Design/ Spesifikasi. Jika disetujui maka Kepala Sub Divisi akan membuat Form Hasil Design & Spesifikasi yang akan diberikan kepada PIC yang ditugaskan. PIC akan memberikan Form Hasil Design & Spesifikasi kepada Bagian Developer lalu Bagian Developer akan melakukan implementasi kedalam design sistem. Jika tidak disetujui maka Komite Design akan mengulang proses dari membuat / revisi design& spesifikasi berdasarkan prosedur design & spesifikasi sistem.
Apabila tidak perlu didiskusikan maka Kepala Sub Divisi akan membuat / revisi design& spesifikasi berdasarkan prosedur design & spesifikasi sistem. Kepala Sub Divisi membuat Form Permintaan Persetujuan hasil Design/ Spesifikasi. Jika Form Permintaan Persetujuan hasil Design/ Spesifikasi disetujui oleh Kepala Divisi maka akan membuat Form Hasil Design & Spesifikasi yang akan diberikan kepada PIC yang ditugaskan. PIC akan memberikan Form Hasil Design & Spesifikasi kepada Bagian Developer lalu Bagian Developer akan melakukan implementasi kedalam design sistem.7. Berapakah komputer yang digunakan pada PT.Mandala Multifinance Tbk ?
8. OS apakah yang digunakan PT.Mandala Multifinance Tbk ?
L-69
Menggunakan Operating System Linux. 9. Software apakah yang digunakan dalam pembuatan program pada PT.Mandala Multifinance Tbk ? Pembuatan Program dengan menggunakan Software Java dan eclipse 10. Software apakah yang digunakan database PT.Mandala Multifinance Tbk ? Sistem database menggunakan Oracle. 11. Strategi apakah yang diterapkan PT.Mandala Multifinance Tbk dalam hal menjaga keamanan IT ? – Data hasil wawancara digunakan pada halaman 66. 12. Risiko apa saja yang dapat terjadi pada PT.Mandala Multifinance Tbk ? – Data hasil wawancara digunakan pada halaman 67.
