helmi-upb/sim-manajement-book
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
sim-manajement-book/worksheets/worksheet-A15.md
hb_alim 9652061f1c feat: complete manuscript — 18 chapters, 18 worksheets, back matter, audit, and PDF build scripts 
- foundation/: MASTER-ANCHOR, BOOK-SPEC, BLUEPRINT, WRITING-TEMPLATE, REFERENCE-BANK
- chapters/: 18 bab (bab-01 s.d. bab-18) + 18 outlines
- worksheets/: 18 worksheet pendamping (A01-A18)
- backmatter/: references, glosarium, indeks, kata-pengantar, tentang-penulis
- scripts/: build-book.ps1, build-worksheets.ps1 (Pandoc + XeLaTeX)
- templates/: book-template.tex (B5, Times New Roman, margin sesuai BOOK-SPEC)
- AUDIT-REPORT.md: Phase 6 consistency audit — all gates passed
- PRINT-GUIDE.md: instruksi lengkap cetak PDF

RTI-20252 methodology Phase 1-6 complete. Publication-ready.
2026-04-06 05:05:17 +07:00

143 lines
7.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# WORKSHEET A.15 — Risk Register SI
> **Bab 15 — Risiko, Keamanan, dan Tata Kelola SI**
> Dokumen ini bersifat *standalone* — dapat dikerjakan tanpa membuka buku teks.
---
## Ringkasan Materi
### Pipeline Konsep Bab 15
```
Identifikasi Risiko (Teknis, Operasional, Keamanan, Strategis, Reputasional)
→ Penilaian (Probabilitas × Dampak = Skor)
→ Pengendalian (Preventif, Detektif, Korektif)
→ Governance (Board menentukan arah, CIO mengeksekusi)
→ Monitoring & Review Berkala
```
### Tabel Komparasi: Tipologi Risiko SI — 8 Skenario
| Skenario | Probabilitas | Dampak | Mitigasi |
|----------|-------------|--------|---------|
| *Ransomware attack* | Tinggi | Kritis — operasi lumpuh | *Backup* 3-2-1, *patch management* |
| *Data breach* (*insider*) | Menengah | Tinggi — reputasi + legal | *Access control*, UU PDP *compliance* |
| *Server failure* | Menengah | Tinggi — *downtime* | Redundansi, *failover* |
| *Key person dependency* | Tinggi | Menengah — *knowledge loss* | Dokumentasi, *cross-training* |
| Vendor *discontinue* produk | Rendah | Tinggi — migrasi paksa | *Multi-vendor*, *data portability* |
| Pelanggaran *compliance* | Menengah | Tinggi — sanksi hukum | Audit berkala, *compliance officer* |
| *Shadow IT* | Tinggi | Menengah — *data silos* | Kebijakan *governance*, daftar *tool* terotorisasi |
### Definisi Kunci
1. **Model CIA** (*Confidentiality, Integrity, Availability*) — tiga pilar keamanan informasi: hanya yang berhak mengakses, data tidak diubah tanpa otorisasi, informasi tersedia saat dibutuhkan.
2. **IT *Governance*** — kerangka tanggung jawab yang memastikan investasi TI menghasilkan nilai bisnis dan mengelola risiko. *Governance**management*: *governance* menentukan "apa", *management* menentukan "bagaimana."
3. **UU PDP** — UU No. 27/2022 tentang Pelindungan Data Pribadi. Kewajiban: *consent*, minimisasi data, notifikasi *breach* 72 jam. Sanksi: hingga Rp 70 miliar.
### Prinsip Utama
1. Risiko SI bukan hanya soal *hacker* — meliputi teknis, operasional, keamanan, strategis, dan reputasional.
2. CIA adalah lensa evaluasi keamanan: setiap keputusan dilihat dari *confidentiality*, *integrity*, *availability*.
3. *Governance* (board + C-suite) menentukan arah; *management* (CIO + tim IT) mengeksekusi.
4. *Shadow IT*, bias AI, dan halusinasi GenAI adalah risiko baru yang harus dikelola dalam *governance*.
---
## Template A.15 — Risk Register SI
```
TEMPLATE A.15 — RISK REGISTER SI
Tanggal : ________________________________________
Organisasi/Unit : ________________________________________
Risk Owner : ________________________________________
═══════════════════════════════════════════════════════════════
| No | Risiko | Kategori | Prob (15) | Dampak (15) | Skor | Pengendalian Saat Ini | Status | Rekomendasi |
|----|-------------|-------------|-----------|-------------|------|----------------------|----------|-------------|
| 1 | ___________ | [T/O/K/S/R] | ___ | ___ | ___ | ____________________ | [✅/⚠️/❌] | ___________ |
| 2 | ___________ | [T/O/K/S/R] | ___ | ___ | ___ | ____________________ | [✅/⚠️/❌] | ___________ |
| 3 | ___________ | [T/O/K/S/R] | ___ | ___ | ___ | ____________________ | [✅/⚠️/❌] | ___________ |
| 4 | ___________ | [T/O/K/S/R] | ___ | ___ | ___ | ____________________ | [✅/⚠️/❌] | ___________ |
| 5 | ___________ | [T/O/K/S/R] | ___ | ___ | ___ | ____________________ | [✅/⚠️/❌] | ___________ |
Keterangan Kategori:
T = Teknis | O = Operasional | K = Keamanan | S = Strategis | R = Reputasional
Status Pengendalian:
✅ Memadai | ⚠️ Partial | ❌ Tidak ada
═══════════════════════════════════════════════════════════════
PENILAIAN RISIKO (Prob × Dampak):
Skor 2025 : KRITIS — mitigasi segera, eskalasi ke board
Skor 1219 : TINGGI — action plan dalam 30 hari
Skor 611 : MENENGAH — monitoring rutin
Skor 15 : RENDAH — accepted dengan awareness
TOP 3 PRIORITAS MITIGASI:
1. ________________________________________________________
2. ________________________________________________________
3. ________________________________________________________
CATATAN:
________________________________________________________
________________________________________________________
```
---
## Latihan
### Latihan 1 — Identifikasi Risiko SI Organisasi
Identifikasi 5 risiko SI di organisasi Anda dan kategorikan.
| No | Risiko | Kategori | Prob (15) | Dampak (15) | Skor | Pengendalian? |
|----|--------|---------|-----------|-------------|------|-------------|
| *1* | *Password admin shared di WhatsApp group* | *K (Keamanan)* | *5* | *4* | *20* | *❌ Tidak ada kebijakan password management* |
| 2 | ________________________ | ________ | ___ | ___ | ___ | ________________________ |
| 3 | ________________________ | ________ | ___ | ___ | ___ | ________________________ |
| 4 | ________________________ | ________ | ___ | ___ | ___ | ________________________ |
| 5 | ________________________ | ________ | ___ | ___ | ___ | ________________________ |
### Latihan 2 — Evaluasi CIA
Untuk satu SI di organisasi Anda, evaluasi ketiga pilar CIA.
| Pilar CIA | Pertanyaan Evaluasi | Skor (15) | Temuan | Rekomendasi |
|----------|-------------------|-----------|--------|------------|
| *Confidentiality* | *Apakah hanya yang berhak yang bisa akses?* | *2 — semua staff bisa akses semua data pelanggan* | *Tidak ada role-based access control* | *Implementasi RBAC, minimal 3 level akses* |
| Integrity | Apakah data terlindungi dari perubahan tidak sah? | ___ | ________________________ | ________________________ |
| Availability | Apakah sistem tersedia saat dibutuhkan? | ___ | ________________________ | ________________________ |
### Latihan 3 — Checklist Kepatuhan UU PDP
Evaluasi kepatuhan organisasi terhadap UU PDP.
| Kewajiban UU PDP | Sudah Dipenuhi? | Evidensi | Tindakan |
|-----------------|----------------|---------|---------|
| *Persetujuan (consent) eksplisit dari subjek data* | *Sebagian — form pendaftaran ada consent, tetapi data lama tidak ada* | *Form baru sudah ada checkbox consent* | *Data lama: kirim email consent retroactive ke pelanggan aktif* |
| Minimisasi data | ________ | ________________________ | ________________________ |
| Notifikasi breach dalam 72 jam | ________ | ________________________ | ________________________ |
| Data retention policy | ________ | ________________________ | ________________________ |
---
## Refleksi
1. Berapa banyak risiko SI di organisasi Anda yang berstatus "❌ Tidak ada pengendalian" — dan mengapa manajemen cenderung mengabaikan risiko yang belum terjadi?
2. Apakah organisasi Anda sudah memiliki rencana respons untuk *data breach* — dan jika belum, apa konsekuensinya setelah UU PDP berlaku?
---
## Self-Check
```
[ ] Saya bisa mengidentifikasi, mengkategorikan, dan menilai risiko SI secara sistematis
[ ] Saya bisa mengevaluasi keamanan SI menggunakan model CIA
[ ] Template A.15 sudah terisi lengkap dengan minimal 5 risiko, penilaian, dan top 3 prioritas mitigasi
```
Reference in a new issue View git blame Copy permalink