Buku ini berisi penjelasan untuk semua pihak yang bertanggung jawab terhadap sebuah Sistem Informasi yang dikomputerisasikan di dalam perusahaan misalnya pemilik sistem, manager, pemakai akhir, pengembang sistem, advisor atau auditor. Dengan kata lain buku ini dimaksud untuk menerangkan kepada semua tingkat pemakai bahwa bekerja dengan sistem informasi berbasis komputer di satu sisi akan mempermudah pekerjaan, namun di lain sisi juga memiliki risiko yang harus diperhatikan. Disamping itu, dalam buku ini juga diberikan masukkan atau gambaran (hints) apa saja yang harus diperhatikan apabila bermaksud untuk membuat atau me-review kebijakan sekuriti sistem informasi. Adapun langkah-langkah yang dapat dipertimbangkan pada saat penyusunan kebijakan sekuriti sistem informasi yang dibahas dalam buku ini, meliputi: - Mengidentifikasi semua aset dan resources yang penting di organisasi. Tujuan tahap ini adalah untuk memahami kebutuhan network dan bisnis perusahaan, mengindentifikasikan risiko ICT yang harus dikurangi dan dieliminasi. -Menentukan vulnerability. Menganalisa dan menentukan semua area vulnerability, seperti kelemahan sistem, masalah dengan peralatan penunjang sistem, kelemahan sekuriti yang dapat dimanfaatkan oleh penyusup. - Assess risk. Apabila terjadi pelanggaran apa yang akan terjadi dan apa akibatnya? Pelanggaran yang bagaimana yang akan mengakibatkan kerusakan fatal? Pertimbangan lain termasuk kehilangan data potensial, melanggar hukum, diekspose di media secara tidak diingini, biaya terkait dengan pelanggaran dan seterusnya. - Menentukan tanggung jawab. Setiap departemen harus menunjuk seorang staf sebagai wakil departemennya untuk mengidentifikasikan ancaman potensial terhadap korporasi. Jangan tanggung jawab ini hanya dibebankan kepada bagian ICT. Menyusun kebijakan sekuriti sistem informasi. Membuat suatu kebijakan yang mengacu kepada guidelines, prosedur, standarisasi dan kontrak kerja. Dokumen-dokumen tersebut harus berisikan informasi yang berkaitan dengan computing platforms, technology platforms, tanggung jawab pemakai, dan struktur organisasi. Apabila terjadi perubahan maka yang dirubah adalah dokumen terkait dan bukan kebijakan sistem informasinya. - Implementasi kebijakan sekuriti sistem informasi di organisasi. Kebijakan apapun juga yang dipilih harus secara jelas dikemukan tanggung jawab masing-masih terhadap sekuriti yang diterapkan dan menyebutkan pemilik sistem tertentu bersama datanya. - Audit sekuriti sistem informasi. Pengauditan terhadap sekuriti sistem informasi harus secara kontinu dilaksanakan. Pengauditan in bukan merupakan suatu kejadian namun suatu proses. Auditor akan memantau kemajuan dari rekomendasi dan memonitor apakah kebijakan sekuriti sistem informasi masih tetap di jalur yang benar.