BAB 2 LANDASAN TEORI 2.1 Teori Umum 2.1.1 Pengertian Sistem Menurut O’Brien dan Marakas (2013:26) menyatakan bahwa, “a set of interrelated components, with a clearly defined boundary, working together to achieve a common set of objectives by accepting inputs and producing output in an organized transformation process”. Artinya adalah seperangkat komponen yang saling berhubungan, dengan batas yang jelas, bekerja sama untuk mencapai seperangkat dengan tujuan menerima input dan menghasilkan output dalam proses transformasi yang terorganisir. Sistem mempunyai tiga fungsi dasar : - Input : “involves capturing and assembling elements that enter the system to be processed”. Artinya adalah terlibat pengambilan dan perakitan elemen – elemen yang masuk ke sistem untuk diproses. - Output : “involves transformation processes that convert input into output”. Artinya adalah Melibatkan proses transformasi yang mengubah dari input ke output. - Proses : “involves transferring elements that have been produced by a transformation process to their ultimate destination”. Artinya adalah melibatkan memindahkan elemen yang telah diproduksi oleh proses transformasi tujuan akhir mereka. Menurut Gelinas dan Dull (2008:11) menyatakan bahwa, “a set of interdependent elements that together accomplish specific objectives. A system must have organization, interrelationship, integration, and central objectives.” Artinya adalah satu set elemen yang bersama – sama saling bergantung mencapai tujuan tertentu. Suatu sistem harus memiliki organisasi, keterkaitan, integrasi dan tujuan utama. Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta Gelinas dan Dull, penulis dapat menyimpulkan bahwa sistem adalah satu set elemen yang berhubungan dan saling bergantung untuk mencapai tujuan tertentu.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
BAB 2
LANDASAN TEORI
2.1 Teori Umum
2.1.1 Pengertian Sistem
Menurut O’Brien dan Marakas (2013:26) menyatakan bahwa, “a set of
interrelated components, with a clearly defined boundary, working together to achieve a
common set of objectives by accepting inputs and producing output in an organized
transformation process”. Artinya adalah seperangkat komponen yang saling
berhubungan, dengan batas yang jelas, bekerja sama untuk mencapai seperangkat dengan
tujuan menerima input dan menghasilkan output dalam proses transformasi yang
terorganisir.
Sistem mempunyai tiga fungsi dasar :
- Input : “involves capturing and assembling elements that enter the system to be
processed”. Artinya adalah terlibat pengambilan dan perakitan elemen – elemen yang
masuk ke sistem untuk diproses.
- Output : “involves transformation processes that convert input into output”. Artinya
adalah Melibatkan proses transformasi yang mengubah dari input ke output.
- Proses : “involves transferring elements that have been produced by a transformation
process to their ultimate destination”. Artinya adalah melibatkan memindahkan
elemen yang telah diproduksi oleh proses transformasi tujuan akhir mereka.
Menurut Gelinas dan Dull (2008:11) menyatakan bahwa, “a set of interdependent
elements that together accomplish specific objectives. A system must have organization,
interrelationship, integration, and central objectives.” Artinya adalah satu set elemen
yang bersama – sama saling bergantung mencapai tujuan tertentu. Suatu sistem harus
memiliki organisasi, keterkaitan, integrasi dan tujuan utama.
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta
Gelinas dan Dull, penulis dapat menyimpulkan bahwa sistem adalah satu set elemen yang
berhubungan dan saling bergantung untuk mencapai tujuan tertentu.
2.1.2 Pengertian Informasi
Menurut O’Brien dan Marakas (2013:34) menyatakan bahwa, “data that have
been converted into a meaningful and useful context for specific end users“. Artinya
adalah data yang telah diubah menjadi konteks yang berarti dan berguna bagi end-users.
Menurut Rainer dan Cegielski (2012:10) menyatakan bahwa, “data that have
been organized so that they have meaning and value to the recipient”. Artinya adalah
data yang telah terorganisir sehingga mereka memiliki makna dan nilai kepada penerima.
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta
Rainer dan Cegielski, penulis dapat menyimpulkan bahwa informasi adalah data yang
sudah diolah agar mempunyai makna bagi penerima.
2.1.3 Pengertian Sistem Informasi
Menurut O’Brien dan Marakas (2013:4) menyatakan bahwa, “IS can be any
organized combination of people, hardware, software, communication, network, data
resources, and policies and procedures that stores, retrieves, transform, and disseminates
information in an organization”. Artinya adalah sistem informasi dapat berupa
kombinasi yang terorganisir dari orang, hardware, komunikasi, jaringan, sumber data,
dan kebijakan dan prosedur yang menyimpan, memperoleh kembali, mengubah, dan
menyebarkan informasi di dalam organisasi.
Menurut C. Laudon dan P. Laudon (2008:11) menyatakan bahwa, “a set of
intrerrelated components that collect (or retrieve), process, store, and distribute
information to support decision making and control in an organization”. Artinya adalah
seperangkat komponen yang saling terkait yang mengumpulkan (atau mengambil),
memproses, menyimpan, dan mendistribusikan informasi untuk mendukung pengambilan
keputusan dan kontrol dalam sebuah organisasi.
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta
C. Laudon dan P. Laudon, penulis dapat menyimpulkan bahwa sistem informasi adalah
kombinasi dari seperangkat komponen berupa hardware, jaringan, sumber data yang
terorganisir dan saling terkait, memiliki kebijkan dan prosedur untuk mengumpulkan
(atau mengambil), memproses, menyimpan dan mendistribusikan informasi untuk
pengambilan keputusan dan kontrol dalam sebuah organisasi.
2.1.4 Pengertian Teknologi Informasi
Menurut O’Brien dan Marakas (2013:7) menyatakan bahwa, “Major concepts,
development, and management issues in information technology – that is, hardware,
software, network, data management, and many internet-based technologies”. Artinya
adalah konsep utama, pengembangan, dan masalah pengelolaan di teknologi informasi –
yaitu hardware, software, jaringan, pengelolaan data, dan banyak teknologi berbasis
internet.
Menurut Rainer dan Cegielski (2012:7) menyatakan bahwa, “relates to any
computer-based tool that people use to work with information and to support the
information and information-processing needs of an organization”. Artinya adalah
berkaitan dengan alat berbasis komputer yang digunakan orang untuk bekerja dengan
informasi dan mendukung informasi dan pemrosesan informasi dengan kebutuhan
organisasi.
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta
Rainer dan Cegielski, penulis dapat menyimpulkan bahwa teknologi informasi adalah
konsep utama hardware, software, jaringan yang digunakan orang untuk bekerja dengan
informasi yang mendukung dan pemrosesan informasi dengan kebutuhan organisasi.
2.1.5 Pengertian Rich Picture
Menurut Berg dan Pooley (2013) menyatakan bahwa, “offers a way of global
communication that far exceeds the limitations of text and speech. Simple graphics can
be rapidly communicated, processed and transmitted within a large and culturally
diverse constituency”. Artinya adalah menawarkan cara komunikasi global yang jauh
melebihi keterbatasan teks dan pidato. Grafis sederhana dapat dengan cepat
dikomunikasikan, diproses dan dikirimkan dalam konstituensi besar dan beragam budaya.
Jadi, menurut pendapat yang dikemukakan oleh Berg dan Pooley, penulis dapat
menyimpulkan bahwa rich picture adalah teks yang diubah dalam bentuk gambar yang
dapat dikomunikasikan dalam suatu organisasi.
2.1.6 Pengertian Event Tabel
Menurut Rama dan Jones (2006:39) menyatakan bahwa, ”part of a business
process. Typical events in a business process include agreements with customer /
suppliers / employee for good and services, recognizing claims, and paying or receiving
cash”. Artinya adalah bagian dari proses bisnis. Peristiwa khas dalam proses bisnis
meliputi perjanjian dengan pelanggan / pemasok / karyawan untuk barang dan jasa,
mengakui klaim, dan membayar atau menerima uang tunai.
Jadi, menurut pendapat yang dikemukakan oleh Rama dan Jones, penulis dapat
menyimpulkan bahwa event Tabel adalah rangkaian dari proses bisnis yang meliputi
pembayaran, penerimaan dan perjanjian untuk barang dan jasa.
2.1.7 Pengertian Overview Activity Diagram
Menurut Rama dan Jones (2006:61) menyatakan bahwa, “present a high-level
view of the business process by documenting the key events, the sequence of these events,
and the information flows among these events”. Artinya adalah menyajikan tampilan
tingkat tinggi dari proses bisnis dengan mendokumentasikan peristiwa penting, urutan
kejadian tersebut, dan informasi mengalir antara peristiwa ini.
Jadi, menurut pendapat yang dikemukakan oleh Rama dan Jones, penulis dapat
menyimpulkan bahwa overview activity diagram adalah rangkaian sebuah proses bisnis
yang diterjemahkan dalam sebuah diagram dengan mendokumentasikan event
berdasarkan kejadian.
2.1.8 Pengertian Detail Activity Diagram
Menurut Rama dan Jones (2006:61) menyatakan bahwa, “ it provides a more
Detail representation of the activities associated with one or two events shown on the
overview diagram”. Artinya adalah memberikan representasi yang lebih rinci dari
aktivitas yang berhubungan dengan satu atau dua acara yang ditampilkan pada diagram
overview.
Jadi, menurut pendapat yang dikemukakan oleh Rama dan Jones, penulis dapat
menyimpulkan bahwa Detail activity diagram adalah rangkaian detail event yang
didapatkan dari overview diagram dan diterjemahkan dalam sebuah diagram.
2.1.9 Infrastruktur Teknologi Informasi
1.1.9.1 Pengertian Hardware
Menurut O’Brien dan Marakas (2013:115) menyatakan bahwa, “a system of
information processing component that perform input, processing, output, storage, and
control function”. Artinya adalah sistem komponen pengolahan informasi yang
melakukan input, proses, output, penyimpanan, dan fungsi pengendalian.
Menurut Rainer dan Cegielski (2012:40) menyatakan bahwa, “a device such as
the processor, monitor, keyboard, and printer. Together these device accept data and
information, process it, and display it”. Artinya adalah perangkat seperti prosesor,
monitor, keyboard, dan printer. Bersama perangkat ini menerima data dan informasi,
proses, dan menampilkannya
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta
Rainer dan Cegielski, penulis dapat menyimpulkan bahwa hardware adalah komponen
pengolahan meliputi prosesor, monitor, keyboard dan printer.
1.1.9.2 Pengertian Software
Menurut O’Brien dan Marakas (2013:124) menyatakan bahwa, “general term for
various kinds of programs used to operate and manipulate computers and their
peripheral devices”. Artinya adalah jenis program yang digunakan untuk memanipulasi
komputer dan perangkat peripheral mereka.
Menurut Rainer dan Cegielski (2012:40) menyatakan bahwa, “a program or
collection of programs that enables the hardware to process data”. Artinya adalah
program atau kumpulan program yang memungkinkan perangkat keras untuk memproses
data.
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta
Rainer dan Cegielski, penulis dapat menyimpulkan bahwa software adalah jenis program
untuk memanipulasi computer dan memungkinkan perangkat keras untuk memproses
data.
1.1.9.3 Pengertian Jaringan
Menurut O’Brien dan Marakas (2013:208) menyatakan bahwa, “interconnected
or interrelated chain, group, or system”. Artinya adalah rantai yang saling berhubungan
atau saling terkait, kelompok atau sistem.
Menurut Rainer dan Cegielski (2012, p40), “a connecting system (wireline or
wireless) that permits different computers to share resources”. Artinya adalah sistem
penghubung (wireline atau wireless) yang memungkinkan komputer yang berbeda untuk
berbagi sumber daya.
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta
Rainer dan Cegielski, penulis dapat menyimpulkan bahwa jaringan adalah sistem yang
saling berhubungan terkait perorangan atau perkelompok yang memungkinkan komputer
yang berbeda berbagi data.
1.1.10 Pengertian Customer
Menurut Zeithaml, Bitner, dan Gremler (2010:27) menyatakan bahwa, ”customer
as assets to be valued, developed, and retained”. Artinya adalah pelanggan sebagai aset
yang harus dihargai, dikembangkan, dan dipertahankan.
Jadi menurut pendapat yang dikemukakan oleh Zeithaml, Bitner, dan Gremler,
penulis dapat menyimpulkan bahwa pelanggan adalah aset yang harus dihargai,
dikembangkan serta dipertahankan, dan setidaknya telah membeli merek sekali dalam
jangka waktu yang ditetapkan.
1.1.11 Pengertian Management
Menurut Chuck Williams (2011:7) menyatakan bahwa, “Getting work done
through others”. Artinya adalah menyelesaikan pekerjaan melalui orang lain.
Menurut Dyck dan Neubert (2009:7) menyatakan bahwa, “The process of
planning, organizing, leading, and controlling human and other organizational resources
with the aim of the effective achievement of organizational goals”. Artinya adalah proses
perencanaan, pengorganisasian, memimpin, dan mengendalikan sumber daya organisasi
manusia dan lainnya dengan tujuan mencapai tujuan organisasi yang efektif.
Jadi, menurut dua pendapat yang dikemukakan oleh Chuck Williams serta Bruno
Dyck dan Mitchell J. Neubert, penulis dapat menyimpulkan bahwa management adalah
proses dimulainya suatu kegiatan untuk menyelesaikan pekerjaan melalui orang lain
untuk mencapai tujuan organisasi yang efektif.
1.1.12 Pengertian Customer Relationship
Menurut Kotler dan Armstrong (2013:506) menyatakan bahwa, “sales promotion
help to reinforce the product’s position and build long term”. Artinya adalah promosi
penjualan membantu memperkuat posisi produk dan membangun jangka panjang.
Jadi, menurut pendapat yang dikemukakan oleh Kotler dan Armstrong, penulis
dapat menyimpulkan bahwa customer relationship adalah interaksi antara pelanggan
untuk membantuk memperkuat posisi produk dan membangun jangka panjang.
1.1.13 Pengertian Customer Relationship Management
Menurut O’Brien dan Marakas (2013:266) menyatakan bahwa, Customer
Relationship Management didefinisikan “a cross-functional enterprise system that
integrates and automates many of the customer-serving processes in sales, marketing,
and customer services that interact with a company’s customers”. Artinya adalah sistem
lintas fungsi perusahaan yang mengintegrasikan dan mengotomatiskan melayani banyak
pelanggan dalam proses penjualan, pemasaran, dan pelayanan pelanggan yang
berinteraksi dengan pelanggan perusahaan.
Menurut C. Laudon dan P. Laudon (2008:279), menyatakan bahwa “Capture and
integrate customer data from all over the organization, consolidate the data, analyze the
data, and then distribute the result to various system and customer touch points across
the enterprise”. Artinya adalah menangkap dan mengintegrasikan data pelanggan dari
seluruh organisasi, konsolidasi data, menganalisis data, dan kemudian mendistribusikan
hasilnya kepada berbagai sistem dan titik sentuh pelanggan di seluruh perusahaan.
Jadi, dari dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta C.
Laudon dan P. Laudon, penulis dapat menyimpulkan bahwa suatu sistem yang
terintegrasi dari beberapa divisi dengan nama Customer Relationship Management yang
mengelola data pelanggan untuk menampung keluhan dan memberikan informasi tentang
promosi yang perusahaan sedang jalankan.
1.1.13.1 Pengertian Customer Service and Support
Menurut O’Brien dan Marakas (2013:267) menyatakan bahwa, “A CRM system
provides service representatives with software tools and real-time access to the common
customer database shared by sales and marketing professionals”. Artinya adalah sistem
CRM menyediakan petugas layanan dengan software dan akses real-time ke database
pelanggan umum yang dimiliki oleh sales dan marketing.
Menurut Rainer dan Cegielski (2012:312) menyatakan bahwa, “system that
automate service request, complaints, product return, and request for information”.
Artinya adalah sistem yang mengotomatisasikan permintaan layanan, keluhan,
pengembalian produk, dan permintaan untuk informasi.
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta
Rainer dan Cegielski, penulis dapat menyimpulkan bahwa customer service and support
adalah sistem yang menyediakan petugas layanan dengan tujuan melayani keluhan,
pengembalian produk dan permintaan untuk informasi.
1.1.13.2 Pengertian Call Center
Menurut O’Brien dan Marakas (2013:267) menyatakan bahwa, “Software routes
calls to customer support agent on the basis of their skills and authority to handle
specific kinds of service request“. Artinya software yang menyediakan rute untuk
memanggil agen pendukung pelanggan atas dasar keterampilan dan wewenang mereka
untuk menangani jenis – jenis tertentu dari layanan permintaan.
Menurut Hamtini dan Rababah (2011) menyatakan bahwa, “A call center is a
physical place where customer and other telephone calls are handled by an organization,
usually with some amount of computer automation”. Artinya adalah call center adalah
sebuah tempat fisik dimana pelanggan dan panggilan telepon lain ditangani oleh sebuah
organisasi, biasanya dengan beberapa komputer yang otomatis.
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta
Hamtini dan Rababah, penulis dapat menyimpulkan bahwa call center adalah agen
pendukung pelanggan yang menangani panggilan dari pelanggan untuk menangani
permintaan dari pelanggan.
1.1.13.3 Pengertian Help desk
Menurut O’Brien dan Marakas (2013:267) menyatakan bahwa, “Software
provides relevant service data and suggestions for resolving problem for customer
service reps who assist customers with problem with a product or service”. Artinya
adalah software yang menyediakan layanan data yang relevan dan saran untuk
menyelesaikan masalah bagi perwakilan layanan pelanggan yang membantu pelanggan
dengan masalah dengan produk atau jasa.
Menurut Rainer dan Cegielski (2012, p313), “assist customers with their
questions concerning products or services an also process customer complaints”. Artinya
adalah membantu pelanggan dengan pertanyaan-pertanyaan mereka mengenai produk
atau jasa proses juga keluhan pelanggan.
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta
Rainer dan Cegielski, penulis dapat menyimpulkan bahwa help desk adalah perusahaan
menyediakan layanan data yang relevan untuk membantu pelanggan seputar produk atau
jasa.
2.2 Teori Khusus
2.2.1 Penilaian Risiko
Menurut Peltier (2005:8) menyatakan bahwa, “The computation of risk. Risk is a
threat that exploits some vulnerability that could cause harm to an asset. The risk
algorithm computes the risk as a function of the assets, threats, and vulnerabilities. One
instance of a risk within a system is represented by the formula (asset * threat *
vulnerability). The total risk for a network equates to the sum of all the risk instances”.
Artinya adalah perhitungan risiko. Risiko merupakan ancaman yang mengeksploitasi
beberapa kerentanan yang dapat menyebabkan kerugian bagi aset. Algoritma menghitung
risiko – risiko sebagai fungsi dari aset, ancaman, dan kerentanan. salah satu contoh dari
risiko dalam sistem diwakili oleh rumus (asset * ancaman * kerentanan). Total risiko
untuk jaringan setara dengan jumlah dari semua kasus risiko.
Menurut Peltier (2005:16) menyatakan bahwa “we examine the risk assessment
portion of the risk management process, we will discuss six steps that will provide us with
the three deliverables we need. Risk is a function of the probability that an identified
threat will occur, and then the impact that the threat will have on the business process or
mission of the asset under review. Each of the six steps will require the risk assessment
team to explore their requirements and be as thorough as possible”. Artinya adalah kita
meneliti penelitian risiko bagian dari proses pengelolaan risiko, kita akan membahas
enam langkah yang akan memberikan tiga penyampaian yang kita butuhkan.
2.2.1.1 Langkah – Langkah Penilaian Risiko
2.2.1.1.1 Step 1 : Asset Definition
“Asset definition step is to reach agreement with the owner on what the
assessment is to review and all relevant parameters”. Artinya adalah langkah asset
definition adalah untuk mencapai kesepakatan dengan pemilik pada apa yang penilaian
untuk meninjau dan semua parameter yang relevan.
2.2.1.1.2 Step 2 : Threat Identification
“An undesirable event that could impact the business objectives or mission of the
business unit or enterprise”. Artinya adalah suatu peristiwa yang tidak diinginkan yang
dapat mempengaruhi tujuan atau misi dari unit bisnis atau perusahaan bisnis.
2.2.1.1.3 Step 3 : Determine Probability of Occurrence
“Once a list of threats has been finalized and the team has agreed on the
definitions of each threat, then it will be necessary to determine how likely that threat is
to occur”. Artinya adalah Setelah daftar ancaman telah selesai dan tim telah menyepakati
definisi dari setiap ancaman, maka akan diperlukan untuk menentukan seberapa besar
kemungkinan ancaman yang terjadi.
2.2.1.1.4 Step 4 : Determine the Impact of the Threat
“During the initial review or an assessment of infrastructure, the threats are
examined as if there are no controls in place”. Artinya adalah selama pemeriksaan awal
atau penilaian infrastruktur, ancaman diperiksa seolah-olah tidak ada kontrol di tempat.
2.2.1.1.5 Step 5 : Controls Recommended
“Identify controls or safeguards that could possibly eliminate the risk, or at least
reduce the risk to an accepTabel level. That is, all of the elements and methodology that
make up the risk analysis process should be standard and all business units trained in its
use. The output from the risk analysis will lead the organization to identify controls that
should reduce the level of threat occurrence (Tabel 2.1)”. Artinya adalah
mengidentifikasi kontrol atau perlindungan yang mungkin bisa menghilangkan risiko,
atau setidaknya mengurangi risiko ke tingkat yang dapat diterima. Agar efektif, proses
analisis risiko harus diterapkan di seluruh organisasi. Artinya, semua elemen dan
metodologi yang membentuk proses analisis risiko harus standar dan semua unit bisnis
dilatih dalam penggunaannya. Output dari analisis resiko akan memimpin organisasi
untuk mengidentifikasi kontrol yang harus mengurangi tingkat terjadinya ancaman.
2.2.1.1.6 Step 6 : Documentation
“The results need to be documented in a standard format and a report issued to
the asset owner”. Artinya adalah hasil yang harus didokumentasikan dalam format
standar dan laporan yang dikeluarkan kepada pemilik aset.
2.2.2 Pengukuran Risiko Teknologi Informasi
Berdasarkan penelitian yang kami lakukan, maka ditemukan metode pengukuran
risiko teknologi informasi, yaitu dengan pendekatan FRAAP.
2.2.2.1 Pengertian FRAAP (Facilitated Risk Analysis and Assessment Process)
Menurut Peltier (2005:134) menyatakan bahwa, “The FRAAP is a formal
methodology for risk assessment that is driven by the owner. Each FRAAP session is
called by the owner and the team members are invited by the owner. The concept of what
constitutes an owner is normally established in the organization’s information
classification policy”. Artinya FRAAP adalah metodologi formal untuk pengukuran
risiko yang dijalankan oleh pemilik. Setiap sesi FRAAP dijalankan oleh pemilik dan
anggota tim di undang oleh pemilik. Konsep tentang konstitusi pemilik normalnya
didirikan di kebijakan klasifikasi informasi organisasi.
2.2.2.2 Komponen Utama dalam FRAAP
Menurut Peltier (2005, p130), “The FRAAP is devided into three phases : pre-
FRAAP, FRAAP session, and post-FRAAP”. Artinya adalah FRAAP dibagi menjadi 3
fase : pre-FRAAP, sesi FRAAP, dan post-FRAAP.
Menurut Peltier(2005, p159) adalah sebagai berikut :
1. Pre-FRAP Meeting Process
“The pre-FRAAP meeting is the key to the success of the project. The meeting is
normally scheduled for an hour and a half and is usually conducted at the client
office. The meeting should have the business manager (or representative), the
project development leader, the facilitator, and the scribe. There will be six key
deliverables to come out of this one hour session :”. Artinya adalah Pertemuan
pra-FRAAP adalah kunci bagi keberhasilan proyek. Pertemuan biasanya
dijadwalkan selama satu jam setengah dan biasanya dilakukan di kantor klien.
Pertemuan harus memiliki manajer bisnis (atau perwakilan), pemimpin
pengembangan proyek, fasilitator, dan panitera. Akan ada enam penyampaian
kunci yang dihasilkan dari sesi satu jam ini:
Ada 6 komponen utama yang muncul dari sesi ini :
A. Prescreening results
“As we have just discussed, the results of the prescreening may alter the
need to conduct a risk assessment”. Artinya adalah sebagaimana telah kita
bahas, hasil penyaringan yang dapat mengubah kebutuhan untuk
melakukan penilaian risiko.
B. Scope statement
“The project leader and business manager will have to create a statement
of opportunity for review. They are to develop in words what exactly is
going to be reviewed”. Artinya adalah pemimpin proyek dan manajer
bisnis harus membuat pernyataan kesempatan untuk diperiksa. Mereka
mengembangkan apa yang sebenarnya akan ditinjau.
C. Visual diagram
“There will need to be a visual model. This is a one-page or foil diagram
depicting the process to be reviewed. The visual model will be used during
the FRAAP session to acquaint the team with where the process begins
and ends. There is good reason to require that a visual diagram or an
information flow model be part of the FRAAP. The neural-linguistic
programming isa study of how people learn. This process has identified
three basic ways in which people learn:”. Artinya adalah di sana akan
perlu menjadi model visual. Ini adalah satu-halaman atau foil diagram
yang menggambarkan proses untuk ditinjau. Model visual akan digunakan
selama sesi FRAAP untuk memperkenalkan tim dengan mana proses
dimulai dan berakhir. Ada alasan baik untuk mengharuskan diagram visual
atau model arus informasi menjadi bagian dari FRAAP tersebut.
Pemrograman studi ISA saraf-linguistik tentang bagaimana orang belajar.
Proses ini telah mengidentifikasi tiga cara dasar di mana orang belajar:
a. Auditory
“These people have to hear something to grasp it. During the
FRAAP the owner will present the project scope statement to the
team, and those that learn in this manner will be fulfilled”. Artinya
adalah orang-orang ini harus mendengar sesuatu untuk
memahaminya. Selama FRAAP pemilik akan menyajikan
pernyataan lingkup proyek untuk tim, dan mereka yang belajar
dengan cara ini akan dipenuhi.
b. Mechanical
“This learning type must write down the element to be learned.
Those taking notes during meetings are typically mechanical
learners”. Artinya adalah jenis pembelajaran ini harus menuliskan
elemen yang harus dipelajari. Mereka mencatat selama pertemuan
biasanya peserta didik mekanik.
c. Visual
“This type of learner, of which I am one, needs to see a picture or
diagram to understand what is being discussed. People that learn
via this method normally have white boards in their office and use
them often. So the visual diagram or model will help these people
understand what is being reviewed”. Artinya adalah jenis pelajar,
dimana saya salah satunya, perlu melihat gambar atau diagram
untuk memahami apa yang sedang dibahas. Orang-orang yang
belajar melalui metode ini biasanya memiliki papan putih di kantor
mereka dan sering menggunakannya. Jadi diagram visual atau
model akan membantu orang-orang memahami apa yang sedang
ditinjau.
D. Establish the FRAAP team
“A typical FRAAP has between 15 and 30 members. The team is made up
of representatives from a number of business and infrastructure and
business support areas.”. Artinya adalah Sebuah FRAAP biasanya
memiliki antara 15 dan 30 anggota. Tim ini terdiri dari wakil-wakil dari
sejumlah bisnis dan infrastruktur dan bidang pendukung bisnis.
E. Meeting mechanics
“This is the business unit manager’s meeting, and he or she is responsible
for scheduling the room, setting the risk assessment time, and having the
appropriate materials (overhead, flip charts, coffee and doughnuts) on
hand. This risk assessment meeting is the responsibility of the owner. As
the facilitator, you are assisting the owner in completing this task. It is not
an information security, project management, audit, or risk management
meeting. It is the owner’s meeting, and that person is responsible for
scheduling the place and inviting the team”. Artinya adalah ini adalah
pertemuan unit usaha manajer, dan ia bertanggung jawab untuk
penjadwalan ruang, pengaturan waktu penilaian risiko, dan memiliki
bahan yang tepat (biaya overhead, flip chart, kopi dan donat) di tangannya.
Pertemuan penilaian risiko ini adalah tanggung jawab pemilik. Sebagai
fasilitator, Anda membantu pemilik dalam menyelesaikan tugas. Ini bukan
keamanan informasi, manajemen proyek, audit, atau pertemuan
manajemen risiko. Ini adalah pertemuan pemilik, dan orang yang
bertanggung jawab untuk penjadwalan tempat dan mengundang tim.
F. Agreement on definitions
“The pre-FRAAP session is where the agreement on FRAAP definitions is
completed. You will want to agree on the definitions of the review
elements (integrity, confidentiality, availability). In addition to the review
elements, it will be necessary to agree on the items in Tabel 2.1”. Artinya
adalah sesi pre-FRAAP adalah di mana kesepakatan tentang definisi
FRAAP selesai. Anda akan ingin untuk menyepakati definisi dari elemen
review (integritas, kerahasiaan, ketersediaan). Selain unsur-unsur review,
maka akan diperlukan untuk menyepakati item dalam Tabel 2.1.
Tabel 2.1 Pre – FRAAP Meeting Definition
Term Definition
Threat Potential events that have a negative impact on the business objectives or mission statement of the enterprise
Control Measures taken to prevent, detect, reduce, or eliminate risk to the business objectives or mission statement of the enterprise
Integrity Information is as intended, without unauthorized or undesirable modification or corruption
Confidentiality Information has not undergone unauthorized or undesirable disclosure
Availability Protection from unauthorized attempts to withhold information or computer resources
Probability Chance that an event will occur or that a specific loss value may be attained should the event occur
High Very likely that the threat will occur within the next year
Medium Possible that the threat may occur within the next year
Low Highly unlikely that the threat will occur within the next year
Impact A measure of the magnitude of loss or harm on the value of an asset
High Entire mission or business impacted
Medium Loss is limited to single business unit or objective
Low Business as usual
2. FRAAP Session
“The FRAAP session is divided into two stages; the first generally is scheduled
for four hours and normally has between 15 and 25 team members. Some
government agencies have expanded the session to last as long as three days, but
typically in the business sector and most government agencies, four hours is
about all that any group of people can devote to such a process. The deliverables
from the first stage are:”. Artinya adalah sesi FRAAP dibagi menjadi dua tahap,
yang pertama umumnya dijadwalkan selama empat jam dan biasanya memiliki
antara 15 dan 25 anggota tim. Beberapa lembaga pemerintah telah memperluas
sesi berlangsung selama tiga hari, tetapi biasanya di sektor bisnis dan sebagian
besar instansi pemerintah, empat jam adalah tentang semua yang setiap kelompok
orang dapat mengabdikan untuk proses tersebut. Penyampaian dari tahap pertama
adalah:
A. Threats identified
B. Priotized Risks
C. Suggested Controls
Komponen di dalam stage 1 :
a. The FRAAP Session Introduction
“The facilitator will explain the FRAAP to the team. This will include a
discussion on the deliverables expected from each stage of the process.
With the assistance of the facilitator, the team will identify threats to the
asset under review. Using a formula of probability and impact, the team
will then affix a risk level to each threat, and finally, the team will select
possible controls to reduce the risk intensity to an accepTabel level”.
Artinya adalah fasilitator akan menjelaskan FRAAP untuk tim. Ini akan
mencakup diskusi tentang kiriman yang diharapkan dari setiap tahap
proses. Dengan bantuan dari fasilitator, tim akan mengidentifikasi
ancaman terhadap aset yang dilaporkan. Menggunakan rumus
probabilitas dan dampak, tim kemudian akan membubuhkan tingkat
risiko untuk setiap ancaman, dan akhirnya, tim akan memilih
kemungkinan kontrol untuk mengurangi intensitas risiko ke tingkat yang
dapat diterima.
b. The FRAAP Threat Identification
“The team is given three to five minutes to write down threats that are of
a concern. The facilitator will then go around the room getting one
threat from each team member. Many will have more than one threat,
but the process is to get one threat and then move to the next person.
This way everyone gets a turn at participating. The process continues
until everyone passes (that is, there are no more threats that the team
can think of).”. Artinya adalah tim ini diberikan tiga sampai lima menit
untuk menuliskan ancaman yang merupakan perhatian. Fasilitator
kemudian akan pergi di sekitar ruangan mendapatkan satu ancaman dari
setiap anggota tim. Banyak orang akan memiliki lebih dari satu
ancaman, namun proses ini untuk mendapatkan satu ancaman dan
kemudian pindah ke orang berikutnya. Cara ini semua orang mendapat
giliran di berpartisipasi. Proses berlanjut sampai semua orang lewat
(yaitu, tidak ada lagi ancaman bahwa tim bisa memikirkan).
c. FRAAP Session Risk Level Established
“The team will consider each threat in turn and will examine the threat
based first on the likelihood that it will occur using definitions like those
in Tabel 2.2”. Artinya adalah tim akan mempertimbangkan setiap
ancaman pada gilirannya dan akan memeriksa ancaman pertama
berbasis pada kemungkinan bahwa hal itu akan terjadi dengan
menggunakan definisi seperti di Tabel 2.2.
Tabel 2.2 FRAAP Probability Definitions
Term Definition
Probability Chance that an event will occur or that a specific loss value may be attained should the event occur
High Very likely that the threat may occur within the next year
Medium Possible that the threat may occur within the next year
Low Highly unlikely that the threat will occur within the next year
“Examining threats in this manner allows the organization to establish a
baseline of risk. Once this is calculated, the team can examine existing controls to
determine how effective those controls are in reducing risk.”. Artinya adalah
memeriksa ancaman dengan cara ini memungkinkan organisasi untuk menetapkan
data dasar risiko. Setelah ini dihitung, tim dapat memeriksa kontrol yang ada
untuk menentukan seberapa efektif mereka kontrol dalam mengurangi risiko.
“Having established the probability and impact level, the team will look at the
risk level matrix (Figure 6.5) and establish the risk level for that threat.”. Artinya
adalah Setelah menetapkan probabilitas dan tingkat dampak, tim akan melihat
matriks tingkat risiko (Gambar 2.1) dan menetapkan tingkat risiko ancaman itu.
Gambar 2.1 FRAAP Risk Level Matrix
d. FRAAP Control Selection
“Identify controls for those threats identified as having a high risk
level.”. Artinya adalah mengidentifikasi kontrol bagi mereka ancaman
yang diidentifikasi sebagai memiliki tingkat risiko tinggi.
Komponen dalam stage 2 :
a. Identify existing controls
b. Identify a control for any high-level threat with no existing control
c. Identify the department, group, or individual who will be
responsible for implementing the new control
e. FRAAP Session Summary
“The FRAAP session is complete. The team was given an overview of
the risk assessment process and what will be expected of its members.
The owner then discussed the scope of the risk assessment, and a
technical support person reviewed the information flow model. The
facilitator then walked the team through the review elements (integrity,
confidentiality, and availability).”. Artinya adalah sesi FRAAP selesai.
Tim ini diberi gambaran dari proses penilaian risiko dan apa yang
diharapkan dari para anggotanya. Pemilik kemudian membahas ruang
lingkup penilaian risiko, dan dukungan orang teknis terakhir model arus
informasi. Fasilitator kemudian berjalan tim melalui unsur-unsur review
(integritas, kerahasiaan, dan ketersediaan).
“When the deliverables are complete, the system users and some
business area infrastructure personal can be excused. The remaining
team members will complete the FRAAP session stage 2 by rendering
three deliverables:”. Artinya adalah ketika kiriman selesai, pengguna
sistem dan beberapa infrastruktur area pribadi bisnis dapat diterima. Para
anggota tim yang tersisa akan menyelesaikan tahap sesi FRAAP 2
dengan rendering tiga kiriman:
o “Wherever they are present, existing controls are to be
identified.”. Artinya adalah di mana pun mereka hadir,
kontrol yang ada harus diidentifikasi.
o “Where a high-level threat has no existing control, the
owner will select a control.” Artinya adalah dimana
ancaman tingkat tinggi tidak memiliki kontrol yang ada,
pemilik akan memilih kontrol.
o “For each new control selected, the team will identify
the group or individual responsible for implementation
of that control.”. Artinya adalah untuk setiap kontrol
baru terpilih, tim akan mengidentifikasi kelompok atau
individu yang bertanggung jawab untuk pelaksanaan
kontrol.
Definisi – definisi yang harus diapahami didalam sesi ini adalah :
a. Integrity
“Information is as intended, without unauthorized or undesirable
modification or corruption.”. Artinya adalah informasi sebagaimana
dimaksud, tanpa modifikasi yang tidak sah atau tidak diinginkan atau
korupsi.
b. Confidentiality
“information has not undergone unauthorized or undesirable disclosure.”.
Artinya adalah informasi tidak mengalami pengungkapan yang tidak sah
atau tidak diinginkan.
c. Availability
“protection from unauthorized attempts to withhold information or
computer resources”. Artinya adalah perlindungan dari upaya tidak sah
untuk menahan informasi atau sumber daya computer.
3. The Post-FRAAP
“This phase of the FRAAP generates the reports that will establish what the risk
assessment accomplished and how management performed its required due
diligence. During this phase the facilitator and the owner will work to assemble
the risk assessment action plan.”. Artinya adalah Fase ini FRAAP menghasilkan
laporan yang akan menetapkan apa penilaian risiko dicapai dan bagaimana
manajemen melakukan uji kelayakan yang diperlukan. Selama fase ini fasilitator
dan pemilik akan bekerja untuk merangkai rencana aksi penilaian risiko.
Post-FRAAP mempunyai tiga penyampaian :
o Time frames to implement controls established
o Management summary repor
o Controls cross-reference sheet
Related Documents
