Dalam suatu organisasi, daur hidup sistem informasi yang selayaknya – menurut berst practice –adalah : perencanaan, pembangunan/pengadaan, operasionalisasi dan penyediaan/dukungan layanan terhadap organisasi, dan disposal (pemusnahan). Maka perlindungan asset informasi ini selaknya dilakukan/mencakup dalam tiap tahap dalam daur hidup tersebut.


Aset Sistem Informasi harus dilindungi melalui sistem keamanan yang baik. Aset SI tersebut dapat diklasifikasikan menjadi dua, yaitu :

1. Aset Fisik, meliputi personel, hardware, fasilitas, dokumentasi, dan supplies.

2. Aset Logika, meliputi data/informasi dan software.

Perlindungan terhadap asset – asset informasi dilakukan untuk memastikan bahwa Confidentiality, Integrity dan Availability  dari asset informasi selalu terjaga. Bagian ini menjelaskan bagaimana mengevaluasi perencanaan, implementasi dan pemantauan alat kendali untuk mengakses asset informasi baik secara lojik maupun fisik. Bagian ini juga menjelaskan bagaimana mengevaluasi control environment (alat kendali lingkungan yang terkait), pengamanan infrastruktur jaringan, proses dan prosedur yang digunakan dalam penyimpanan, pengambilan kembali (retrieval), pemindahan, maupun pemusnahan asset informasi yang bersifat rahasia.

Dengan demikian pada bagian ini pembahasan menyangkut sangat banyak elemen dan unsur yang terkait dengan perlindungan asset. Di antara elemen – elemen tersebut yang harus dipahami antara lain :

  • Metoda dan teknik untuk perencanaan, implementasi dan pemantauan kemanan (security). Termasuk di dalamnya adalah pengetahuan mengenai assessment terhadap ancaman dan risiko, analias sensifitas, assessment terhadap dampak privasi
  • Alat kendali akses secara lojik untuk melakukan identifikasi, autentifikasi dan pembatasan pengguna atas fungsi – fungsi dan data. Pengetahuan mengenai ini di antaranya adalah dynamic password, change/response, struktur menu yang diijinkan, profile pengguna, dll.
  • Pengetahuan akan arsitektur keamanan akses lojik seperti single sign on, strategi identifikasi pengguna, pengelolaan identitas pengguna
  • Pengetahuan akan berbagai metoda dan teknik serangan terhadap asset informasi. Beberapa di antaranya antara lain hacking, spoofing, trojan horse, DoS, Spamming, Social Engineering, War Driving, War Chalking, Masquariding, Piggybacking, phishing, dll.
  • Pemahaman akan proses yang terkait dengan pemantauan dan respon terhadap security incident. Termasuk pembahasan dalam bagian ini adalah prosedur eskalasi jika ada kejadian yang membahayakan, pengelolaan response atas kejadian seperti pembentukan emergency response team, prosedur serta tanggung jawab masing – masing anggota dalam team
  • Aditor juga dituntut untuk mengetahui dan memahami keamanan peralatan jaringan dan internet, protocol komunikasi data, teknik – teknik pengamanan seperti SSK, SET, VPN maupun NAT.
  • Pengetahuan dan pemahaman akan pencegahan kejadian membahayakan, pendeteksian kejadian yang membahayakan, dan perbaikan  setelah ada kejadian yang membahayakan. Auditor dalam hal ini perlu memahami fungsi dan peran peralatan – peralatan seperti firewall, intrusion detection system, intrusion prevention system. Tidak hanya pemahaman terhadap fungsi, pemahaman terhadap konfigurasi, operasi dan pemeliharaan juga diperlukan.
  • Pemahaman akan metoda dan teknik – teknik untuk menjaga kerahasiaan (confidentiality), keaslian (integrity), keabsahan (non repudiation) informasi maupun data baik pada saat disimpan, dipindahkan maupun dimusnahkan. Maka metoda dan teknik mengenai enkripsi, dekripsi, PKI (sertifikasi, registrasi ) maupun digital signature harus pula dipahami.