PDCA (Plan, Do, Check, Act) Pada ISMS

Di dalam ISO/IEC 27001:2005 disebutkan bahwa ISMS (Information Security Management System) / SMKI (Sistem Manajemen Keamanan Informasi) merupakan suatu proses yang disusun berdasarkan pendekatan risiko bisnis untuk merencanakan (Plan), mengimplementasikan dan mengoperasikan (Do), memonitor dan meninjau ulang (Check) serta memlihara dan meningkatkan atau mengembangkan (Act) terhadap keamanan informasi perusahaan. Jadi jika mengacu pada pengertian SMKI tersebut, bahwa ISMS adalah suatu pendekatan proses Plan - Do - Check - Act (PDCA) maka untuk mengimplementasikannya diperlukan dukungan manajemen. Berikut tahapan dalam model PDCA :



PLAN (Establish the ISMS)
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan antara lain :

1. Ruang lingkup ISMS
Pemetaan ruang lingkup ISMS agar sesuai dengan kebutuhan keamanan informasi perusahaan seperti pemetaan terhadap proses-proses bisnis yang ada, fungsi-fungsi yang berjalan dalam sistem informasi dan aspek-aspek teknologi yang diterapakan. Pemetaan ini bertujuan untuk mendapatkan gambaran terkini, gap, dan planning kedepan terhadap ISMS.

2. Pendekatan Metodologi berbasis Risiko
Pendekatan metodologi berbasis risiko ini disesuaiakan dengan kriteria perusahaan atau dapat menggunakan standard atau framework yang paling sesuai diterapkan. Metologi secara umum dibagi dalam beberapa tahap sesuai dengan antara lain :
- Analisa Risiko : Dalam tahap ini terdapat beberapa aktivitas seperti asesmen risiko seperti indentifikasi threat, vulnerablity, karakterisktik sistem, likelyhood, analisa dampak/menghitung BIA dan lain-lain. Tujuan dari tahap ini untuk memperoleh gambaran detail dari risiko yang ada.
- Risk Mitigation : Pemilihan terhadap mitigaasi risiko yang akan digunakan, strategi mitigasi risiko, cost benefit analysis dan lain-lain . Pemilihan kontrol dan metrik terhadap ISMS yang bertujuan untuk memperoleh suatu "nilai" berdasarkan gambaran kondisi ISMS dan target pencapaian dari penerapan.
- Risk Evaluation dan Monitoring : Monitoring dan evaluasi terhadap risiko yang ada.

3. Penentuan Kebijakan ISMS
Merupakan pernyataan resmi perusahaan terkait ISMS yang dapat berupa Policy, procedure, standard, guideline dan work instruction.

4. SOA (Statement of Applicability)
Dokumentasi analisis terkait apa dan mengapa kontrol atau kebijakan isms tersebut dipilih dan akan diterapkan. SOA dapat dilakukan setelah melakukan metodologi berbasis risiko.

DO (Implement And Operate the ISMS)
Tahap DO merupakan tahap pelaksanaan dari apa-apa yang telah ditentukan dan direncanakan dalam tahap sebelumnya yakni PLAN. Aktivitas-aktivitas ditahap ini antara lain:
1. Mengelola semua resources yang mungkin terlibat dalam ISMS mencakup: acquire, configuration, maintain dan disposal.
2. Pengawasan implementasi dari ISMS.
3. Pengembangan kebijakan yang disesuaian dengan kerangka yang dihasilkan dalam tahap plan.
4. Knowledge transfer dan user awarness terhadap ISMS.

CHECK (Monitor and Review the ISMS)
ISMS memerlukan adanya pengukuran dalam tahap perencanaan dan implementasi untuk memberikan gambaran gap antara perencanaan dengan implementasi dan dalam rangka menuju langkah improvement ISMS. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:
1. Pengukuran hasil kinerja dari keseluruhan ISMS mecakup pencatatan dan pengumpulan bukti-bukti baik fisik maupun logik sebagai sarana audit.
2. Pengukuran efektifitas dari suatu control yang diterapakan.
3. Review keseluruhan ISMS dan memberikan analisa ISMS.

ACT (Maintain and Improve the ISMS)
Seluruh kontrol yang ditetapkan dan telah diterapkan dalam ISMS tidak akan memberikan hasil yang efektif tanpa adanya improvement atau semua itu hanya akan menjadi tumpukan dokumen atau kumpulan file-file tanpa arti. Tahap ACT mencakup point penting antara lain :
1. Melakukan peningkatan dari hasil asesmen tahap-tahap ISMS sebelumnya.
2. Memastikan kegagalan tidak terulang kembali.
3. Knowledge transfer dari hasil peningkatan.

[Oracle EBS] Query to list Active Responsibilities assigned to Active User

Kadang-kadang kita kesulitan untuk mengelola user yang ada di Oracle EBS. Untuk mempermudah dalam melakukan audit user dan responsibility yang ada di oracle EBS kita bisa menggunakan query berikut ini untuk memunculkan user-user dan responsibility yang aktif.

SELECT fu.user_name, frv.responsibility_name,
TO_CHAR (furgd.start_date, 'DD-MON-RRRR') "START_DATE",
TO_CHAR (furgd.end_date, 'DD-MON-RRRR') "END_DATE"
FROM fnd_user fu,
fnd_user_resp_groups_direct furgd,
fnd_responsibility_vl frv
WHERE fu.user_id = furgd.user_id
AND furgd.responsibility_id = frv.responsibility_id
AND furgd.end_date IS NULL
--AND fu.user_name = '&user_name'
AND furgd.start_date <= SYSDATE AND NVL (furgd.end_date, SYSDATE + 1) > SYSDATE
AND fu.start_date <= SYSDATE AND NVL (fu.end_date, SYSDATE + 1) > SYSDATE
AND frv.start_date <= SYSDATE AND NVL (frv.end_date, SYSDATE + 1) > SYSDATE
order by user_name

Don't Look Behind

Sudah lama sekali rasanya saya tidak mengunjungi, lebih-lebih menulis di blog ini. Saya baca-baca lagi yang ada di blog ini, bahasanya kok aneh pake bangeeet... Hahaha...

Gila bener, postingan awal adalah tahun 2005, itu adalah awal-awal saya kuliah dan postingan akhir adalah tahun  2007. Tulisannya acak adul. Dan syukurlah tidak ada yang mengunjungi blog ini. 100% mati suri.

Eniwei, biarlah tulisan yang jadul tetap ada buat kenang-kenangan yang menunjukkan bahwa blog ini sudah ada sejak lama walaupun hiatus. Mulai sekarang, saya akan mencoba menulis blog yang ada disini.

So, Don't Look Behind, Just See The Future And Do The Best for today....