BAB 2 LANDASAN TEORI 2.1 Sistem Informasi 2.1.1 Sistem Menurut Hall (2011:5), “a system is a group of two or more interrelated components or subsystems that serve a common purpose.” Sedangkan menurut Considine, dkk. (2012:10), “System can be defined as something that takes input, applies a set of rules or processes to the inputs and generates output.” Berdasarkan definisi diatas, dapat dikatakan bahwa sebuah sistem terdiri dari sekumpulan elemen yang berjalan bersama-sama, saling berkaitan dan mempengaruhi satu sama lain untuk menghasilkan suatu hasil atau tujuan tertentu. 2.1.2 Informasi Menurut Rainer & Cegielski (2014:14), informasi merupakan data yang dikelola sehingga memiliki arti dan nilai bagi penerima. Considine, dkk. (2012:103)mengatakan bahwa informasi adalah “data or facts that are processed in a meaningful form.” Dari kedua definisi diatas dapat disimpulkan bahwa informasi adalah aset yang penting dalam bentuk apapun dan memiliki nilai yang berharga. 2.1.3 Sistem Informasi Menurut Hall (2011:7), sistem informasi adalah sekumpulan prosedur formal dimana data dikumpulkan, diproses menjadi informasi, dan didistribusikan ke user.
8
9 Sedangkan menurutSatzinger, dkk.(2012:4), “information system is a set of interrelated computer components that collects, processes, stores (usually in a database), and provides as output the information needed to complete business tasks.“ Dapat disimpulkan dari dua definisi tersebut, bahwa sistem informasi
adalah
komponen
yang
saling
berhubungan
untuk
mengumpulkan, memproses, menyimpan, dan menghasilkan informasi guna untuk kebutuhan bisnis. 2.1.4 Analisis Sistem Analisis sistem adalah aktivitas yang memungkinkan seseorang untuk memahami dan menetapkan spesifikasi apa yang harus dicapai oleh sistem baru. Analisis sistem mendeskripsikan secara detail apa yang harus dilakukan
sistem
untuk
memenuhi
kebutuhan
atau
memecahkan
masalah.(Satzinger, dkk., 2012:5) Menurut Hall (2011:583-586) analisis sistem terdiri dari dua proses yaitu : 1.
Survei. Adapun kegiatan pada langkah ini adalah mengumpulkan fakta-fakta yang berhubungan situasi dan kondisi sistem.
2.
Analisis. Langkah ini adalah persiapan pembuatan laporan, dimana laporan tersebut berisi hasil dari survei seperti masalah yang teridentifikasi dengan sistem sekarang, kebutuhan user, dan lain-lain.
2.1.5 Proses Bisnis Menurut Rainer & Cegielski (2014:39), proses bisnis adalah “a collection of related activities that produce a product or a service of value to the organization, its business partners, and/or its customers.” Considine, dkk. (2012:49) mengatakan bahwa proses bisnis adalah serangkaian kegiatan yang saling terkait dan bekerja bersama-sama, antar organisasi, untuk mencapai tujuan organisasi yang telah ditetapkan sebelumnya.
10 Proses
bisnis
dapat
disimpulkan
sebagai
aktivitas
yang
berhubungan untuk menghasilkan produk atau jasa yang bertujuan untuk memenuhi tujuan organisasi. 2.2 Sistem Informasi Akuntansi Menurut Wheeler (2012:14), sistem informasi akuntansi adalah bagian khusus dari sistem informasi yang bertujuan untuk mengumpulkan, memproses, dan melaporkan informasi yang berhubungan dengan aspek finansial dari suatu peristiwa bisnis. Sedangkan
Considine, dkk. (2012:12) mengatakan bahwa sistem
informasi akuntasi adalah aplikasi dari teknologi untuk menangkap, memeriksa, menyimpan, mengurutkan, dan melaporkan data-data yang berkaitan dengan kegiatan dari sebuah organisasi. Jadi, dari kedua definisi diatas dapat penulis simpulkan bahwa sebuah sistem informasi akuntansi merupakan teknologi dari sebuah sistem informasi yang digunakan untuk mencatat, memproses, dan menghasilkan laporan dari kegiatan organisasi yang bersifat finansial. 2.2.1 Siklus Pendapatan Menurut Hall (2011:153),“In its simplest form, the revenue cycle is the direct exchange of finished goods or services for cash in a single transaction between a seller and a buyer.” Lebih lanjut, Romney & Steinbart (2012:352) menambahkan bahwa “the revenue cycle is a recurring set of business activities and related information processing operations associated with providing goods and services to customers and collecting cash in payment for those sales.” Menurut Romney & Steinbart (2012:357-373), terdapat empat aktivitas bisnis dasar yang dilakukan dalam siklus pendapatan, yaitu : 1) Menginput pesanan penjualan, 2) Pengiriman, 3) Penagihan, 4) Penerimaan kas.
11 1. Menginput pesanan penjualan Siklus pendapatan dimulai dengan menerima pesanan dari pelanggan. Proses ini membawa tiga langkah : a) Menerima pesanan pelanggan Pesanan pelangaan dicatat dalam bentuk dokumen Sales Order.Sales Order berisi informasi tentang kode barang, jumlah, harga, dan kebijakan lain yang berkaitan dengan penjualan. b) Mengecek dan menyetujui kredit pelanggan Penerima pesanan memiliki wewenang untuk menyetujui pesanan dari pelanggan berdasarkan sejarah hutang yang dimilikinya. Hal ini dilakukan dengan menerapkan Credit Limit( jumlah hutang maksimum yang diizinkan ) untuk setiap pelanggan berdasarkan sejarah hutang mereka dan kemampuan membayar mereka. c) Mengecek ketersediaan persediaan Tahap ini bertujuan untuk menentukan apakah barang cukup tersedia untuk memenuhi pesanan, sehingga dapat memberikan konfirmasi kepada pelanggan mengenai tanggal pengiriman yang diharapkan. 2. Pengiriman Aktivitas dasar kedua dalam siklus pendapatan adalah menyiapkan pesanan pelanggan dan mengirim barang yang diinginkan. Proses ini terdiri dari dua langkah : a) Mengambil dan mengemas pesanan Petugas gudang menggunakan tiket pengambilan barang untuk mengidentifikasi produk apa yang akan diambil dan jumlah untuk masing-masing produk. Petugas gudang mencatat jumlah setiap barang yang sesungguhnya diambil.Kemudian barang tersebut dikirim ke bagian pengiriman. b) Mengirim pesanan Bagian pengiriman membandingkan jumlah barang fisik dengan jumlah yang ada pada tiket pengambilan barang dan dengan
12 jumlah yang ada pada sales order yang telah dikirim secara langsung untuk pengiriman. Bagian pengiriman akan memperbarui stok persediaan yang ada dan sekaligus membuat packing slip dan bill of lading. Packing Slip berisi daftar jumlah dan deskripsi dari setiap item yang termasuk dalam pengiriman.Bill of Lading adalah kontrak legal yang mendefinisikan siapa yang bertanggung jawab, sumber barang, tujuan barang, dan instruksi pengiriman khusus, serta mengindikasikan siapa pelanggan atau vendor yang harus membayar biaya pengiriman tersebut. 3. Penagihan Aktivitas ini melibatkan penagihan terhadap pelanggan. Proses ini melibatkan dua tugas yang terpisah, namun saling terkait satu sama lain: membuat faktur dan memperbarui accounts receivable, yang dilakukan oleh dua unit yang terpisah dengan accounting department. a) Membuat faktur Kegiatan penagihan hanya kegiatan memproses informasi yang merangkum infromasi dari kegiatan sales orderentry dan shipping.Faktur membutuhkan informasi dari bagian pengiriman yang mengidentifikasi item dan jumlah item yang dikirim, harga, kebijakan khusus mengenai penjualan dari bagian penjualan. Dokumen yang dihasilkan dari kegiatan penagihan ini adalah sales invoice yang memberitahu pelanggan jumlah yang harus dibayar dan kemana pembayaran tersebut dituju. b) Memperbarui accounts receivable Bagian accounts receivable melakukan dua tugas dasar yaitu menggunakan informasi yang ada pada sales invoice untuk mendebit akun piutang pelanggan dan kemudian mengkredit akun tersebut ketika pembayaran yang diterima. 4. Pengumpulan Kas Langkah terakhir dalam siklus pendapatan adalah pengumpulan kas. Pemegang kas akan menangani pembayaran dari pelanggan dan kemudian menyetor hasil pembayaran tersebut ke bank.
13 2.3 Risiko 2.3.1 Pengertian Risiko Menurut Kouns & Minoli (2010:4), risiko adalah sebuah ukuran kuantitatif dari kerusakan yang potensial yang disebabkan oleh suatu ancaman, oleh suatu kerentanan, atau oleh suatu peristiwa (karena niat jahat atau tidak) yang mempengaruhi kumpulan aset – aset TI yang dimiliki oleh organisasi.
Raval (2012) mengatakan bahwa, secara sederhana, kita memahami konsep risiko sebagai sebuah konsekuensi, kombinasi efek dari kemungkinan terjadinya sesuatu, sebuah peristiwa yang tidak diinginkan, dan kemungkinan dampaknya.
Knight yang merupakan ketua dari team ISO yang mengerjakan pengembangan
pengelolaan
manajemen
baru
yaitu
ISO
31000,
menambahkan bahwa risiko adalah suatu ketidakpastian yang dapat mempengaruhi pencapaian tujuan. (Knight, 2010)
Berdasarkan definisi di atas, penulis menyimpulkan bahwa risiko merupakan gabungan antara kemungkinan terjadinya suatu peristiwa dengan
konsekuensinya,
yang
disebabkan
oleh
suatu
ancaman,
kerentanan, dan/atau tindakan kejahatan atau peristiwa alam yang dapat mempengaruhi pencapaian tujuan perusahaan. 2.3.2 Jenis – Jenis Risiko
Gambar 2.1 IT Risk pada Hirarki Risiko Sumber : The Risk IT Framework (ISACA, 2009:11)
14 Menurut ISACA (2009:11) IT risk adalah komponen dari keseluruhan risiko di perusahaan. Sedangkan risiko lain yang dihadapi perusahaan yaitu termasuk ke dalam enterprise risk diamana risiko tersebut terdiri dari strategic risk, environmental risk, market risk, credit risk, operational risk dan compliance risk Menurut ISACA (2009:11) enterprise risk adalah situasi yang memungkinkan seringnya keterjadian yang tidak pasti dan besarnya kehilangan. Sedangkan IT risk menurut ISACA (2009:11) adalah risiko bisnis yang berhubungan dengan penggunan, kepemilikan, operasional, keterlibatan, pengaruh, dan adopsi dari TI dikeseluruhan perusahaan. MenurutISACA (2009:11) IT risk terdiri dari : 1.
IT benefit/value enablement risk Berhubungan dengan kesempatan menggunakan teknologi untuk meningkatkan efisiensi atau keefetivitasan dari proses bisnis, atau sebagai penggerak dari awal bisnis baru.
2.
IT programme and project delivery risk Berhubungan dengan kontribusi TI ke solusi bisnis baru atau yang telah ditingkatkan, biasanya dalam bentuk proses bisnis dan program. Hal ini berkaitan dengan manajemen portofolio investasi.
3.
IT operations and service delivery risk Berhubungan dengan semua aspek dari performa pelayanan dan sistem TI, dimana dapat membawa kerusakan atau pengurangan nilai pada perusahaan.
2.4 Manajemen Risiko 2.4.1 Pengertian Manajemen Risiko Menurut Coleman (2011:57) dalam bukunya yang berjudul A Practical Guide To Risk Management, menyatakan bahwa mengelola risiko adalah tentang membuat keputusan taktis dan strategis untuk mengendalikan
risiko-risiko
yang
harus
dikendalikan
memanfaatkan peluang-peluang yang dapat dieksploitasi.
dan
untuk
15 FERMA
(2010:6)
menyatakan
bahwa,
manajemen
risiko
merupakan bagian utama dari manajemen strategi setiap organisasi. Manajemen risiko adalah proses dimana organisasi secara sistematis menangani risiko yang melekat pada kegiatan mereka dengan tujuan mencapai keuntungan yang berkelanjutan dalam setiap kegiatan dan seluruh portofolio dari semua kegiatan. Sedangkan dalam kaitan antara manajemen risiko dengan keamanan informasi, Kouns & Minoli (2010:3)dalam buku yang berjudul Information Technology Risk Management In Enterprise Environments mengatakan bahwa, manajemen risiko teknologi informasi berfokus pada kemungkinan penerobosan dan/atau kehilangan hak milik atas informasi yang bersifat kritikal. Dari beberapa definisi diatas, dapat penulis simpulkan bahwa manajemen risiko yang berkaitan dengan keamanan informasi merupakan suatu keputusan yang harus diambil untuk mengendalikan risiko atas adanya
kemungkinan
kejadian
yang
tidak
terduga
yang
dapat
menyebabkan informasi tersebut tidak dapat diakses, disalahgunakan, atau diambil oleh pihak yang tidak memiliki wewenang atas informasi tersebut. 2.4.2 Tujuan Manajemen Risiko Kouns & Minoli (2010:3)mengatakan bahwa keamanan informasi didefinisikan sebagai seperangkat mekanisme, teknik, tindakan, dan proses administrasi yang digunakan untuk melindungi aset TI dari akses yang tidak sah, kehilangan hak milik atas informasi, manipulasi, modifikasi, kehilangan, atau penyalahgunaan dan dari pengungkapan yang tidak disengaja terhadap data dan informasi yang tertanam dalam aset-aset ini. Kouns & Minoli (2010:6) juga mengatakan bahwa manajemen risiko berfokus pada keamanan sistem informasi yang bertujuan untuk meminimalisir kemungkinan risiko terkait dengan informasi dengan memperhatikan ketiga aspek berikut ini :
16 1. Confidentiality, sebuah pelanggaran kerahasiaan terjadi ketika seseorang sengaja mengakses komputer tanpa otorisasi atau melebihi hak akses. Keamanan harus mampu melindungi informasi dari akses yang tidak sah, kehilangan hak kepemilikan atas informasi, dan penyalahgunaan atas informasi. 2. Integrity, pelanggaran terhadap kesatuan data terjadi apabila sebuah sistem atau data secara sengaja maupun tidak sengaja diubah, dimodifikasi, atau dihancurkan tanpa adanya wewenang. Keamanan harus mampu melindungi informasi dari manipulasi, modifikasi, dan kehilangan informasi. 3. Availability, pelanggaran terhadap ketersediaan data terjadi apabila pengguna yang memiliki wewenang tidak dapat mengakses atau menggunakan sebuah sistem atau data.keamanan harus mampu melindungi informasi dari pembatasan akses, dan menjaga agar manfaat dari informasi yang dimiliki tidak berkurang. 2.4.3 Proses Manajemen Risiko Menurut Kouns & Minoli (2010:7), proses manajemen risiko terdiri dari beberapa tahapan, yaitu : 1. Identifikasi risiko Merupakan proses identifikasi ancaman, kerentanan, atau kejadian yang berpengaruh terhadap aset teknologi informasi yang dimiliki oleh organisasi. 2. Penilaian risiko Merupakan proses penghitungan kuantitatif kerusakan potensial dan/atau biaya moneter yang disebabkan oleh ancaman, kerentanan, dan kejadian yang mempengaruhi aset TI dalam organisasi. Identifikasi kerusakan potensial terhadap aset teknologi informasi dan/atau proses bisnis didasarkan pada kejadian internal maupun eksternal yang terjadi sebelumnya, masukan dari subyek ahli, dan audit. Secara khusus, hal ini memerlukan : a. Pengukuran potensi kerusakan, dan b. Pengukuran kemungkinan bahwa kerusakan akan terjadi.
17 3. Perencanaan mitigasi risiko Merupakan proses mengendalikan dan mitigasi risiko. Proses ini pada umumnya
mencakup
analisa
biaya
dan
manfaat,
pilihan,
implementasi, pengujian, dan evaluasi keamanan dari upaya perlindungan. Tinjauan sistem keamanan secara keseluruhan ini mempertimbangkan efektifitas dan efisiensi, termasuk dampak pada misi dan kendala akibat kebijakan, peraturan , dan hukum. 4. Implementasi mitigasi risiko Mengerahkan dan menempatkan solusi yang diidentifikasi selama fase perencanaan mitigasi risiko, atau pada saat menjalankan proses perbaikan yang baru. 5. Evaluasi efektifitas mitigasi risiko Memantau
lingkungan
untuk
mengetahui
efektifitas
terhadap
ancaman, kerentanan, dan kejadian, serta menentukan apakah ada ancaman, kerentanan, dan kejadian baru yang berbeda dari bentuk sebelumnya sebagai hasil dari modifikasi terhadap lingkungan.
Gambar 2.2 Proses Manajemen Risiko Sumber :Information Technology Risk Management in Enterprise Environment (Kouns & Minoli, 2010:8)
18 2.4.4 Fungsi Manajemen Risiko Setiap organisasi perlu memahami risiko yang ada dalam kegiatan mereka untuk menentukan risiko mana yang berdampak besar bagi perusahaan untuk diprioritaskan dan menentukan tingkat pengendalian yang cocok untuk setiap risiko yang diidentifikasi. Menurut FERMA (2010:2),
pemahaman
akan
risiko
ditujukan
untuk
membantu
mempermudah pencapaian tujuan perusahaan dengan pengelolaan risiko secara efektif dan mengeksploitasi keuntungan yang didapat dari adanya risiko. Pengelolaan risiko yang efektif akan bermanfaat bagi perusahaan dari segi efektifitas operasional, taktik, dan tentunya strategi organisasi. Menurut Wijantini (2013) dalam artikel yang berjudul Nilai Strategis Manajemen Risiko dalam majalah Kontan, manajemen risiko yang efektif akan memberikan beberapa keuntungan bagi perusahaan, diantaranya : 1.
Perusahaan dapat mengantisipasi kejadian tak terduga yang mungkin terjadi. Dengan melakukan manajemen risiko, perusahaan akan dapat membuat perencanaan terkait penanganan risiko atau kejadian
tak
terduga.
Hal
ini
ditujukan
untuk
menjaga
keberlangsungan operasional perusahaan. 2.
Penurunan biaya, dengan adanya perencanaan penanganan risiko yang baik, maka dampak dari risiko dapat diminimalisir, sehingga biaya yang diakibatkan dari adanya risiko tersebut juga akan berkurang.
2.5 Penilaian Risiko 2.5.1 Pengertian Penilaian Risiko Menurut Lazarte & Tranchard (2010), penilaian risiko merupakan bagian integral dari manajemen risiko yang menyediakan sebuah proses terstruktur untuk organisasi dalam mengidentifikasi bagaimana tujuan mungkin akan terpengaruh. Hal ini digunakan untuk menganalisis kemungkinan
dan
konsekuensi
dari
risiko,
sebelum
memutuskan penanganan lebih lanjut, jika diperlukan.
organisasi
19 Peltier (2014:50)mengatakan bahwa “the risk assessment process assists management in meeting its obligations to protect the assets of the organization.” Coleman (2011:2) mengatakan, pengukuran risiko sangat penting untuk menunjang manajemen risiko.Pengukuran risiko adalah tugas yang dikhususkan untuk menghitung kuantitas risiko dan mengkomunikasikan risiko. Menurut Coleman (2011:2), ada tiga tujuan utama dari pengukuran risiko, yaitu : 1. Mengungkap risiko yang "dikenal" yang dihadapi perusahaan. Risiko dapat diidentifikasi dan dipahami dengan melakukan studi dan analisis risiko serupa yang telah dialami di masa lalu oleh perusahaan tertentu atau orang lain. 2. Membuat risiko yang dikenal mudah untuk dilihat, dipahami, dan dibandingkan atau dengan kata lain, menampilkan dan melaporkan risiko secara efektif, sederhana, dan transparan. Salah satu alatyang dapat digunakan Value at Risk. 3. Mencoba untuk memahami dan mengungkap risiko-risiko yang tidak diketahui atau risiko-risiko yang mungkin tidak mudah untuk dipahami atau diantisipasi, misalnya karena organisasi atau industri tidak pernah mengalami kejadian seperti itu sebelumnya. 2.6 UML Diagram 2.6.1 Pengertian UML Diagram Menurut Satzinger, dkk. (2012:46)Unified Model Language (UML) adalah sekumpulan standar dari perancangan model dan notasi yang memudahkan analis dan end user untuk menggambarkan dan memahami variasi dari diagram yang spesifik pada proyek pengembangan sistem. Menurut Dennis, dkk. (2009:501), tujuan dari UML adalah menyediakan bahasa umum dari teknik penggambaran diagram yang
20 berbasis obyek untuk merancang proyek pengembangan sistem baik dari analisis ke perancangan Sehingga dapat disimpulkan bahwa UML adalah unsur – unsur yang membantu dalam perancangan proyek pengembangan sistem secara rinci. 2.6.2 Macam – Macam UML Diagram 2.6.2.1 Activity Diagram Menurut Satzinger, dkk. (2012:57), ”An activity diagram describes the various user (or system) activities, the person who does each activity, and the sequential flow of these activities.” Notasi – notasi dalam activity diagram, antara lain sebagi berikut : 1. Swimlane heading : Menunjukan agen yang mengerjakan aktivitas. 2. Starting activity : Menunjukan permulaan alur proses. 3. Transition arrow : Menunjukan tahapan diantara aktivitas. 4. Activity : Menunjukan aktivitas individual pada alur proses. 5. Ending activity : Menunjukan akhir dari alur proses. 6. Decision activity : Notasi yang menentukan alur dari proses apakah mengikuti arah yang satu atau yang lain. 7. Synchronization bar : Menunjukan apakah alur proses terpecah menjadi beberapa arah atau menyatukan arah – arah tersebut. 2.6.2.2 Use Case Diagram Menurut Satzinger, dkk. (2012:78) “The use case diagram is the UML model used to graphically show the use cases and their relationship to users.” Notasi – notasi dalam use case diagram : a. Actor, mewakili orang atau peran yang berinteraksi dengan sistem.
21 b. Connecting line, menghubungkan actor dengan use case. c. System boundary, mendefinisikan batasan diantara aplikasi yang terkomputerisasi dengan orang yang mengoperasikan aplikasi. d. Use case, adalah kegiatan yang dilakukan oleh sistem berdasarkan permintaan user. 2.6.2.3 Event Decomposition Technique Menurut Satzinger, dkk. (2012:70), event decomposition technique adalah teknik untuk mengidentifikasi use case dengan menentukan peristiwa bisnis eksternal dimana sistem harus merespon. Menurut Satzinger, dkk. (2012:72 - 73), event terbagi menjadi tiga tipe : a. External event adalah event yang terjadi di luar sistem, biasanya berasal dari external agent. b. Temporal event adalah event yang terjadi sebagai hasil dari pencapaian pada suatu waktu. c. State event adalah event yang terjadi ketika sesuatu terjadi didalam sistem yang memicu suatu proses. 2.6.2.4 Domain Model Class Diagram Menurut Satzinger, dkk. (2012:101), “One type of UML class diagram that shows the things in the users’ problemdomain is called the domain model class diagram.” Hubungan dalam class diagram ada tiga, diantaranya : 1. Association Menurut Satzinger, dkk. (2012:102), Association class adalah domain class yang merepresentasikan asosiasi antara class satu dengan class lainnya. 2. Generalization / Specialization Relationship Menurut
Satzinger,
“generalization/specialization
dkk. relationship
(2012:104), a
type
of
22 hierarchical relationship in which subordinate classes are subsets of objects of the superior classes; an inheritance hierarchy.” 3. Whole – Part Relationships Menurut Satzinger, Jackson, & Burd (2012:106), “Whole-part relationships are used to show an association between one class and other classes that are parts of that class.” Ada dua tipe dari whole – part relationships, yaitu: a. Aggregation “Aggregation is a type of whole-part relationship in which the component parts also exist as individual objects apart from the aggregate.” (Satzinger, dkk., 2012:106) b. Composition “Composition is a type of whole-part relationship in which the component parts cannot exist as individual objects apart from the total composition.” (Satzinger, dkk., 2012:107) 2.6.2.5 Storyboard Menurut Satzinger, dkk.(2012:200), “Sequence of sketches of the display screen during a dialog”. Perancang dapat menerapkan storyboard dengan menggunakan sketsa sederhana yang digambarkan dengan sekumpulan grafik yang dapat membantu untuk fokus pada ide dasar rancangan. 2.6.3 Manfaat UML Diagram Menurut Satzinger, dkk. (2012:46) dengan penggunaan diagram UML, analis dan end user dapat menggambarkan dan memahami variasi dari diagram spesifik yang digunakan untuk proyek pengembangan sistem.
23 2.7 ISO/IEC27001:2005 2.7.1 Pengertian ISO/IEC27001 : 2005 ISO/IEC 27001:2005 secara resmi dipublikasikan pada Oktober 2005.
Menurut
ISO/IEC
(2005:1),
ISO
27001:2005
menetapkan
persyaratan untuk menetapkan, menerapkan, menjalankan, meninjau, memelihara, dan mengembangkan sistem manajemen keamanan informasi dalam konteks risiko bisnis perusahaan secara keseluruhan. Standar ini menetapkan persyaratan untuk implementasi pengendalian keamanan yang disesuaikan dengan kebutuhan masing-masing organisasi. Standar internasional ini juga dapat digunakan untuk pihak internal maupun eksternal dalam rangka menilai kemampuan perusahaan untuk memenuhi permintaan keamanan informasi mereka sendiri. ISO 27001 dapat digunakan untuk semua tipe organisasi, baik itu perusahaan komersial, organisasi pemerintah, maupun organisasi nonprofit. Beberapa perusahaan menerapkan standar ISO 27001 dalam rangka mendapatkan keuntungan dari praktik terbaik serta menjadi nilai tambah untuk meyakinkan rekan bisnis, para pemangku kepentingan, serta klien bahwa mereka menggunakan standar manajemen keamanan informasi perusahaan yang telah diakui secara internasional. 2.7.2 Penerapan ISO/IEC27001:2005 Berikut ini merupakan langkah-langkah yang harus dijalankan untuk menerapkan sistem manajemen keamanan informasi berdasarkan ISO/IEC 27001 : 2005 (2005:4-7) : 1. Menetapkan Sistem Manajemen Keamanan Informasi (Plan) Hal-hal yang perlu dilakukan adalah : a. Mendefinisikan
ruang
lingkup
dan
batasan
berdasarkan
karakteristik bisnis dan organisasi, lokasi, aset dan teknologi yang dimiliki, termasuk detail penyesuaian atas pengecualian lingkup. b. Mendefinisikan kebijakan sistem manajemen keamanan informasi berdasarkan karakteristik bisnis, organisasi, lokasi, aset dan teknologi yang dimiliki, yang :
24 i. Termasuk kerangka kerja untuk mengatur objektif dan menetapkan keseluruhan arahan dan prinsip-prinsip untuk tindakan yang berkaitan dengan keamanan informasi. ii. Mempertimbangkan persyaratan bisnis, hukum atau peraturan, dan kewajiban kontrak keamanan. iii. Menyesuaikan dengan konteks manajemen risiko organisasi dimana penetapan dan pemeliharaan sistem manajemen keamanan informasi akan berlangsung. iv. Menyediakan kriteria risiko yang akan dievaluasi. v. Disetujui oleh manajemen c. Mendefinisikan pendekatan penilaian risiko organisasi i. Mengidentifikasi metodologi penilaian risiko yang cocok dengan sistem manajemen keamanan informasi, keamanan informasi bisnis yang teridentifikasi, persyaratan hukum dan peraturan. ii. Mengembangkan
kriteria
untuk
menerima
risiko
dan
mengidentifikasi tingkat risiko yang dapat diterima. d. Mengidentifikasi risiko i. Mengidentifikasi
aset
didalam
ruang
lingkup
sistem
manajemen keamanan informasi dan pemilik aset. ii. Mengidentifikasi ancaman terhadap aset. iii. Mengidentifikasi celah yang mungkin dapat dieksploitasi oleh ancaman. iv. Mengidentifikasi
dampak
dari
kehilangan
kerahasian,
integritas, dan ketersediaan aset. e. Menganalisa dan mengevaluasi risiko i. Menilai dampak bisnis terhadap organisasi yang mungkin dihasilkan dari kegagalan keamanan, mempertimbangkan konsekuensi
kehilangan
kerahasiaan,
integritas,
atau
ketersediaan aset. ii. Menilai kemungkinan terjadinya kegagalan keamanan yang nyata dengan mengingat ancaman dan celah yang ada, dampak yang berhubungan dengan aset, dan pengendalian yang sekarang diimplementasi.
25 iii. Mengestimasi tingkat risiko. iv. Menetapkan apakah risiko dapat diterima atau membutuhkan perlakuan dengan menggunakan kriteria penerimaan risiko. f. Mengidentifikasi dan mengevaluasi pilihan dalam memperlakukan risiko. Tindakan yang memungkinkan diantaranya : i. Menerapkan pengendalian yang tepat. ii. Memahami dan secara objektif menerima risiko sesuai dengan kebijakan organisasi dan kriteria penerimaan risiko. iii. Menghindari risiko. iv. Membagi risiko bisnis kepada pihak lain, misalnya dengan menggunakan jasa asuransi. g. Memilih
tujuan
pengendalian
dan
pengendalian
untuk
memperlakukan risiko. h. Memperoleh persetujuan manajemen atas risiko residual yang diajukan. i. Memperoleh otorisasi manajemen untuk mengimplementasi dan menjalankan sistem manajemen keamanan informasi. j. Menyediakan pernyataan terkait penerapan yang mencakup : i. tujuan pengendalian dan pengendalian yang dipilih dan alasan atas pilihan mereka. ii. Tujuan pengendalian dan pengendalian yang saat ini dilaksanakan. iii. Pengecualian
terhadap
tujuan
pengendalian
dan
pengendaliannya serta penyesuaian untuk pengecualian tersebut.
26
Gambar 2.3 Tahapan Sistem Manajemen Keamanan Informasi Berdasarkan ISO/IEC27001:2005 Sumber :Pelnekar (2011:2)
2. Menerapkan dan Mengoperasikan Sistem Manajemen Keamanan Informasi (Do) a. Merumuskan
rencana
perlakuan
terhadap
risiko
yang
mengidentifikasi tindakan manajemen, sumberdaya, tanggung jawab, dan prioritas dalam mengelola risiko keamanan informasi yang tepat. b. Menerapkan rencana perlakuan terhadap risiko untuk mencapai tujuan
pengendalian
yang
diidentifikasi,
termasuk
mempertimbangkan dana dan alokasi peran serta tanggung jawab. c. Menerapkan pengendalian yang dipilih untuk memenuhi tujuan pengendalian. d. Mendefinisikan bagaimana mengukur efektifitas pengendalian atau sekelompok pengendalian yang telah dipilih dan menetapkan bagaimana pengukuran ini digunakan untuk menilai efektifitas pengendalian untuk menghasilkan hasil yang dapat dibandingkan dan dilakukan ulang.
27 e. Menerapkan pelatihan dan program kesadaran. f. Mengelola operasi sistem manajemen keamanan informasi. g. Mengeola sumberdaya untuk sistem manajemen keamanan informasi. h. Menerapkan prosedur dan pengendalian lainnya yang mampu untuk
memungkinkan
deteksi
terhadap
kejadian
yang
membahayakan keamanan dan meresponnya dengan cepat. 3. Memantau dan Meninjau Sistem Manajemen Keamanan Informasi (Check) a. Melakukan pemantauan dan peninjauan terhadap prosedur dan pengendalian lainnya. b. Melakukan
peninauan
biasa
terhadap
keefektifan
sistem
manajemen keamanan informasi, mempertimbangkan hasil dari audit keamanan, insiden, hasil dari pengukuran keefektifitasan, saran, dan timbal balik dari pihak yang berkepentingan. c. Mengukur efektifitas pengendalian untuk memastikan bahwa persyaratan keamanan telah dipenuhi. d. Meninjau penilaian risiko dalam jarak waktu yang direncanakan dan meninjau risiko yang tersisa serta mengidentifikasi tingkat risiko yang dapat diterima. 4. Memelihara dan Mengembangkan Sistem Manajemen Keamanan Informasi (Act) Kegiatan didalam tahapan ini termasuk : a. Menerapkan pengembangan yang diidentifikasi dalam sistem manajemen keamanan informasi. b. Mengambil tindakan perbaikan dan pencegahan yang tepat. c. Mengkomunikasikan tindakan dan pengembangan terhadap pihakpihak yang berkepentingan dengan tingkat rincian yang tepat dengan keadaan dan relevan. d. Memastikan pengembangan mencapai tujuan yang dimaksudkan. e. Mengembangkan audit sistem manajemen keamanan informasi internal pada jarak waktu yang direncanakan. f. Mempertimbangkan tinjauan manajemen atas sistem manajemen keamanan informasi berdasarkan basis yang reguler untuk
28 memastikan ruang lingkup tetap memadai dan pengembangan proses sistem manajemen keamanan informasi diidentifikasi. g. Memperbarui rencana keamanan dengan mempertimbangkan penemuan dari kegiatan pemantauan dan peninjauan. h. Mencatat tindakan dan kejadian yang dapat berdampak pada efektifitas kinerja sistem manajemen keamanan informasi.
2.7.3 Manfaat Penerapan ISO 27001:2005 Menurut Pelnekar (2011:1) ada beragam manfaat potensial yang dapat diperoleh dari penerapan ISO 27001:2005, diantaranya adalah : 1. Memungkinkan perusahaan untuk melakukan benchmark terhadap pesaing. 2. Menyediakan informasi yang relevan mengenai keamanan teknologi informasi kepada vendor dan pelanggan. 3. Memungkinkan manajemen untuk membuktikan kelayakan mereka dalam hal keamanan informasi. 4. Membantu menjaga efisiensi manajemen biaya keamanan, kesesuaian dengan
hukum
dan
peraturan,
serta
tingkat
kenyamanan
interoperabilitas berdasarkan seperangkat panduan yang diikuti oleh mitra organisasi . 5. Meningkatkan jaminan kualitas sistem keamanan informasi dan meningkatkan kesadaran keamanan diantara karyawan, pelanggan, vendor, dan lain sebagainya. 6. Meningkatkan keselarasan teknologi informasi dengan bisnis. 7. Menyediakan kerangka kerja untuk penerapan keamanan teknologi informasi dan juga membantu penetapan status keamanan informasi serta kepatuhan terhadap kebijakan, arahan, dan standar keamanan. 2.7.4
Domain Pengendalian ISO/IEC 27001:2005 Berikut ini merupakan tujuan pengendalian untuk masing-masing domain yang ada pada ISO/IEC (2005:13-29) :
29 Klausul 5 : Kebijakan Keamanan A.5.1 Kebijakan Keamanan Informasi Tujuan : Menyediakan pedoman dan dukungan bagi manajemen mengenai keamanan informasi yang berkaitan dengan persyaratan bisnis, hukum, dan peraturan yang terkait. A.5.1.1 Dokumen kebijakan keamanan informasi. A.5.1.2 Peninjauan ulang kebijakan keamanan informasi. Klausul 6 : Pengaturan Keamanan Informasi A.6.1 Pengaturan Internal Keamanan Informasi Tujuan : Mengatur keamanan informasi dalam organisasi. A.6.1.1
Komitmen
manajemen
terhadap
keamanan
informasi. A.6.1.2 Koordinasi keamanan informasi. A.6.1.3 Alokasi tanggung jawab keamanan informasi. A.6.1.4 Proses otorisasi terhadap fasilitas pengolahan informasi. A.6.1.5 Perjanjian terkait kerahasiaan. A.6.1.6 Hubungan dengan pihak yang terotorisasi. A.6.1.7 Hubungan dengan lembaga khusus terkait. A.6.1.8 Peninjauan keamanan informasi secara independen. A.6.2 Pihak Luar Tujuan : Memelihara keamanan informasi organisasi dan fasilitas pengolahan
informasi
yang
diakses,
diolah,
dikomunikasikan kepada, atau diatur oleh pihak luar. A.6.2.1 Identifikasi risiko yang terkait dengan pihak luar.
30 A.6.2.2 Menjelaskan keamanan yang berhubungan dengan pelanggan. A.6.2.3Menjelaskan keamanan dalam kesepakatan dengan pihak ketiga. Klausul 7 : Manajemen Aset A.7.1 Tanggung Jawab Terhadap Aset Tujuan : Mencapai dan memelihara perlindungan yang tepat terhadap aset organisasi. A.7.1.1 Pencatatan aset. A.7.1.2 Kepemilikan aset. A.7.1.3 Penggunaan aset yang sesuai dengan aturan. A.7.2 Klasifikasi Informasi Tujuan : Memastikan bahwa informasi mendapatkan perlindungan yang tepat. A.7.2.1 Pedoman klasifikasi. A.7.2.2 Pemberian label dan penanganan informasi. Klausul 8 : Keamanan Sumber Daya Manusia A.8.1 Sebelum Masa Kerja Tujuan : Memastikan bahwa karyawan, kontraktor, dan pengguna pihak ketiga memahami tanggung jawab mereka, dan cocok dengan peran dimana mereka dipertimbangkan, dan untuk mengurangi risiko pencurian, penipuan atau penyalahgunaan fasilitas. A.8.1.1 Peran dan tanggung jawab. A.8.1.2 Seleksi. A.8.1.3 Syarat dan kondisi kerja.
31 A.8.2 Selama Masa Kerja Tujuan : Memastikan bahwa seluruh karyawan, kontraktor, dan pihak ketiga mempunyai pengetahuan dan perhatian terhadap keamanan informasi, tanggung jawab, dan siap untuk mendukung kebijakan keamanan informasi organisasi selama masa kerja mereka, dan untuk mengurangi risiko kesalahan manusia. A.8.2.1Tanggung jawab manajemen. A.8.2.2 Pengetahuan, pendidikan, dan pelatihan tentang keamanan informasi. A.8.2.3 Proses kedisiplinan. A.8.3 Pemutusan Atau Perubahan Hubungan Kerja Tujuan : Memastikan bahwa karyawan, kontraktor, dan pengguna pihak ketiga bersikap tertib. A.8.3.1 Tanggung jawab pemutusan. A.8.3.2 Pengembalian aset. A.8.3.3 Penghapusan hak akses. Klausul 9 : Keamanan Fisik dan Lingkungan A.9.1 Pengamanan Wilayah Tujuan : Mencegah akses yang tidak sah secara fisik, kerusakan, dan gangguan terhadap aset informasi organisasi. A.9.1.1 Pembatas keamanan secara fisik. A.9.1.2 Pengendalian masuk secara fisik. A.9.1.3 Pengamanan kantor, ruangan, dan fasilitas. A.9.1.4 Perlindungan terhadap ancaman eksternal dan lingkungan.
32 A.9.1.5 Bekerja di area aman. A.9.1.6 Area akses publik, pengiriman, dan penurunan barang. A.9.2 Keamanan Peralatan Tujuan : Mencegah kehilangan, bahaya, pencurian aset, dan gangguan terhadap aktivitas organisasi. A.9.2.1 Penempatan dan perlindungan terhadap peralatan. A.9.2.2 Keperluan pendukung. A.9.2.3 Keamanan perkabelan. A.9.2.4 Pemeliharaan peralatan. A.9.2.5 Keamanan peralatan di luar tempat yang tidak disyaratkan. A.9.2.6 Pengamanan pembuangan atau penggunaan ulang peralatan. A.9.2.7 Penghapusan properti. A.10 Manajemen Komunikasi dan Operasi A.10.1 Prosedur dan tanggung jawab operasional Tujuan : Memastikan operasi fasilitas pengolahan informasi berjalan dengan benar dan aman. A.10.1.1 Pendokumentasian prosedur operasi. A.10.1.2 Manajemen perubahan . A.10.1.3 Pembagian tugas. A.10.1.4 Pemisahan
pengembangan,
operasional fasilitas.
pengujian
dan
33 A.10.2 Manajemen Layanan Pihak Ketiga Tujuan : Menerapkan dan memelihara tingkat keamanan informasi dan layanan yang tepat sejalan dengan kesepakatan tentang layanan pihak ketiga. A.10.2.1 Pelayanan. A.10.2.2 Pengawasan dan pembahasan terhadap layanan pihak ketiga. A.10.2.3 Mengelola perubahan pada layanan pihak ketiga. A.10.3 Perencanaan Dan Penerimaan Sistem Tujuan : Meminimalisir risiko kegagalan sistem. A.10.3.1 Manajemen kapasitas. A.10.3.2 Penerimaan sistem. A.10.4 Perlindungan Terhadap Malicious Code Dan Mobile Code Tujuan : Melindungi integritas perangkat lunak dan informasi. A.10.4.1 Pengendalian terhadap kode berbahaya. A.10.4.2 Pengendalian
terhadap
kode
yang
dapat
ditransmisikan. A.10.5 Back-Up Tujuan : Untuk memelihara keutuhan dan ketersediaan informasi serta fasilitas pengolahan informasi. A.10.5.1 Back-Up Informasi. A.10.6 Manajemen Keamanan Jaringan Tujuan : Memastikan perlindungan informasi di dalam jaringan dan perlindungan terhadap infrastruktur pendukung. A.10.6.1 Pengendalian jaringan.
34 A.10.6.2 Keamanan layanan jaringan. A.10.7 Penanganan Media Tujuan : Mencegah penyingkapan ilegal, modifikasi, penghapusan atau penghancuran aset, dan gangguan terhadap aktivitas bisnis. A.10.7.1 Manajemen media yang dapat dipindahkan. A.10.7.2 Pembuangan media. A.10.7.3 Prosedur penanganan informasi. A.10.7.4 Keamanan dokumentasi sistem. A.10.8 Pertukaran Informasi Tujuan : Memelihara keamanan informasi dan pertukaran perangkat lunak di dalam organisasi maupun dengan pihak luar. A.10.8.1 Kebijakan dan prosedur pertukaran informasi. A.10.8.2 Kesepakatan pertukaran. A.10.8.3 Transportasi media fisik. A.10.8.4 Pesan elektronik. A.10.8.5 Sistem informasi bisnis. A.10.9 Layanan E-Commerce Tujuan : Memastikan keamanan layanan niaga elektronik dan penggunaan yang aman. A.10.9.1 E-Commerce. A.10.9.2 Transaksi online. A.10.9.3 Informasi yang tersedia untuk publik.
35 A.10.10 Pengawasan Tujuan : Mendeteksi adanya kegiatan pengolahan informasi ilegal. A.10.10.1 Pencatatan kegiatan audit. A.10.10.2 Pengawasan terhadap kegunaan sistem. A.10.10.3 Perlindungan terhadap informasi pencatatan. A.10.10.4 Pencatatan administrator dan operator. A.10.10.5 Pencatatan kesalahan. A.10.10.6 Penyelarasan waktu. Klausul 11 : Pengendalian Akses A.11.1 Persyaratan Bisnis Untuk Pengendalian Akses Tujuan : Mengendalikan akses terhadap informasi. A.11.1.1 Kebijakan pengendalian akses. A.11.2 Manajemen Akses Pengguna Tujuan : Memastikan akses pengguna legal dan untuk mencegah akses ilegal terhadap sistem informasi. A.11.2.1 Registrasi pengguna. A.11.2.2 Manajemen hak istimewa. A.11.2.3 Manajemen kata sandi pengguna. A.11.2.4 Pembahasan hak akses pengguna. A.11.3 Tanggung Jawab Pengguna Tujuan : Mencegah akses pengguna ilegal, dan bahaya atau pencurian atas informasi dan fasilitas pengolahan informasi. A.11.3.1 Penggunaan kata sandi. A.11.3.2 Peralatan pengguna yang tidak dalam pengawasan.
36 A.11.3.3 Kebijakan kebersihan meja dan layar monitor. A.11.4 Pengendalian Akses Jaringan Tujuan : Mencegah akses ilegal terhadap layanan jaringan. A.11.4.1 Kebijakan penggunaan layanan jaringan. A.11.4.2 Otentikasi pengguna pada koneksi eksternal. A.11.4.3 Identifikasi peralatan dalam jaringan. A.11.4.4 Perlindungan diagnostik jarak jauh dan pusat konfigurasi. A.11.4.5 Pembagian jaringan. A.11.4.6 Pengendalian koneksi jaringan. A.11.4.7 Pengendalian pengiriman jaringan. A.11.5 Pengendalian Akses Sistem Operasi Tujuan : Mencegah akses ilegal terhadap sistem operasi. A.11.5.1 Prosedur masuk yang aman. A.11.5.2 Identifikasi dan pembuktian pengguna. A.11.5.3 Manajemen kata sandi. A.11.5.4 Penggunaan utilitas sistem. A.11.5.5 Sesi time-out. A.11.5.6 Pembatasan waktu koneksi. A.11.6 Pengendalian Akses Aplikasi Dan Informasi Tujuan : Mencegah akses ilegal terhadap informasi pada sistem aplikasi. A.11.6.1 Pembatasan akses informasi. A.11.6.2 Isolasi sistem yang sensitif.
37 A.11.7 Mobile Computing dan Teleworking Tujuan : Memastikan keamanan informasi saat menggunakan fasilitas mobile computing and teleworking. A.11.7.1 Mobile computing dan komunikasi. A.11.7.2 Teleworking. Klausul 12 : Perolehan, Pengembangan, Dan Pemeliharaan Sistem Informasi A.12.1 Persyaratan Keamanan Pada Sistem Informasi Tujuan : Untuk memastikan bahwa keamanan merupakan bagian integral dalam sistem informasi. A.12.1.1 Analisis dan spesifikasi persyaratan keamanan A.12.2 Pemrosesan Yang Benar Di Dalam Aplikasi Tujuan : Untuk mencegah adanya kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi di dalam aplikasi. A.12.2.1 Validasi data input. A.12.2.2 Pengendalian pengolahan internal. A.12.2.3 Integritas pesan. A.12.2.4 Validasi data output. A.12.3 Pengendalian Kriptografi Tujuan : Melindungi kerahasiaan, keaslian atau keutuhan informasi dengan kriptografi. A.12.3.1 Kebijakan
dalam
kriptografi. A.12.3.2 Manajemen kunci.
penggunaan
pengendalian
38 A.12.4 Keamanan Dokumen Sistem Tujuan : Memastikan keamanan dokumen sistem. A.12.4.1 Pengendalian pada perangkat lunak operasional. A.12.4.2 Perlindungan data pengujian sistem. A.12.4.3 Pengendalian akses pada kode sumber program. A.12.5 Keamanan Pada Proses Pengembangan Dan Proses Pendukung Tujuan : Memelihara keamanan pada perangkat lunak sistem aplikasi dan informasi. A.12.5.1 Perubahan prosedur pengendalian. A.12.5.2 Tinjauan teknis pada aplikasi setelah perubahan sistem operasi. A.12.5.3 Pembatasan perubahan paket perangkat lunak. A.12.5.4 Kebocoran informasi. A.12.5.5 Pengembangan perangkat lunak outsource. A.12.6 Manajemen Kerentanan Teknis Tujuan : Untuk mengurangi risiko akibat pemanfaatan kerentanan secara teknis yang dipublikasikan. A.12.6.1 Pengendalian terhadap kerentanan secara teknis. Klausul 13 : Manajemen Insiden Keamanan Informasi A.13.1 Pelaporan kejadian dan kelemahan keamanan informasi Tujuan : Memastikan kejadian dan kelemahan keamanan informasi terkait dengan sistem informasi dikomunikasikan untuk memungkinkan tindakan perbaikan dilaksanakan tepat waktu. A.13.1.1 Pelaporan kejadian keamanan informasi.
39 A.13.1.2 Pelaporan kelemahan keamanan. A.13.2
Manajemen
Kejadian
Keamanan
Informasi
Dan
Perkembangannya Tujuan : Memastikan sebuah pendekatan yang konsisten dan efektif diaplikasikan pada manajemen insiden keamanan informasi. A.13.2.1 Tanggung jawab dan prosedur kejadian keamanan informasi. A.13.2.2 Pembelajaran dari kejadian keamanan informasi. A.13.2.3 Pengumpulan
barang
bukti
pada
kejadian
keamanan informasi. Klausul 14 : Manajemen Kelangsungan Bisnis A.14.1 Aspek Keamanan Informasi Pada Manajemen Kelangsungan Bisnis Tujuan : Untuk menghilangkan gangguan terhadap aktivitas bisnis dan untuk melindungi proses bisnis yang penting dari dampak kegagalan atau bencana terhadap sistem informasi dan untuk memastikan proses bisnis kembali normal tepat waktu. A.14.1.1 Memasukkan keamanan informasi ke dalam proses manajemen kelangsungan bisnis. A.14.1.2 Kelangsungan bisnis dan penilaian risiko. A.14.1.3 Pengembangan dan pengimplementasian rencana kelangsungan yang meliputi keamanan informasi. A.14.1.4 Kerangka kerja rencana kelangsungan bisnis. A.14.1.5 Pengujian, pemeliharaan, dan pengkajian ulang pada rencana kelangsungan bisnis.
40 Klausul 15 : Kepatuhan A.15.1 Kepatuhan Terhadap Persyaratan Hukum Tujuan : Menghindari pelanggaran hukum, undang-undang, peraturan atau obligasi kontrak, dan syarat keamanan dalam bentuk apa pun. A.15.1.1 dentifikasi
undang-undang
yang
dapat
diaplikasikan. A.15.1.2 Hak atas kekayaan intelektual. A.15.1.3 Perlindungan dokumen organisasi. A.15.1.4 Perlindungan data dan kerahasiaan informasi personal. A.15.1.5 Pencegahan penyalahgunaan fasilitas pengolahan informasi. A.15.1.6 Peraturan pengendalian kriptografi. A.15.2 Kepatuhan Terhadap Kebijakan Dan Standar Keamanan Dan Kepatuhan Teknis Tujuan : Memastikan pemenuhan sistem dengan kebijakan dan standar keamanan organisasi. A.15.2.1 Kepatuhan terhadap kebijakan dan standar keamanan. A.15.2.2 Pemeriksaan kepatuhan teknis. A.15.3 Pertimbangan Audit Sistem Informasi Tujuan : Memperbesar efektivitas dan memperkecil campur tangan terhadap/dari proses audit sistem informasi. A.15.3.1 Pengendalian audit sistem informasi. A.15.3.2 Perlindungan terhadap peralatan audit sistem informasi.
41 2.8 Penilaian Sebelumnya 2.8.1 Evaluasi Sistem Informasi Akuntansi Siklus Pendapatan pada PT. Dewata Freight International Penelitian yang dilakukan oleh Sugusta (2013:2) pada PT Dewata Freight International memiliki judul “Evaluasi Sistem Informasi Akutansi Siklus Pendapatan pada PT. Dewata Freight International “ dimana perusahaan ini bergerak dalam bidang jasa pengiriman barang alat berat. Menurut Sugusta (2013:1) salah satu bentuk informasi akuntansi yang dapat digunakan oleh perusahaan dalam pencapaian tujuan yang telah ditetapkan, yaitu dengan menerapkan sistem informasi akuntansi penjualan secara tepat. Berdasarkan
penelitian
yang
didukung
oleh
pengamatan
(observation) dan wawancara (interview) disusun berdasarkan standar ITGI – CobIT versi 4.1 maka dihasilkan beberapa temuan oleh Sugusta (2013:81-82) sebagai berikut : 1.
PT Dewata Freight International merupakan perusahaan yang bergerak dibidang jasa pengiriman barang, namun perusahaan belum dapat menyesuaikan penerapan strategi teknologi informasi dengan perkembangan situasi dan lingkungan dalam dunia bisnis yang semakin maju.
2.
Penetapan model arsitektur pada perusahaan kurang baik dimana dalam prosedur penjualan dan penerimaan kas pada proses bisnis yang berjalan belum terkomputerisasi dengan baik, masih adanya proses manual, sehingga keterlambatan informasi diantara masing – masing divisi.
3.
PT Dewata Freight International belum dapat mengelola lingkungan fisik secara efektif. Peralatan teknologi informasi yang sudah ada kurang mendukung sistem keamanan pada perusahaan, adanya kemungkinan resiko-resiko yang dapat
terjadi diakibatkan dari
barang-barang yang untuk dikirim dari customer aman atau tidak. 4.
PT Dewata Freight International belum memiliki prosedur perubahan pada sistem dan proses bisnis yang berjalan pada perusahaan.
42 5.
PT Dewata Freight International melakukan identifikasi setiap karyawan terhadap aturan tentang kebutuhan external hanya sebatas pelatihan dan perintah lisan sesuai dengan prosedur yang berlaku pada perusahaan.
6.
Dengan melakukan evaluasi sistem informasi akuntansi siklus pendapatan diharapkan PT. Dewata Freight International dapat mengatasi resiko – resiko kesalahan operasional yang terjadi dan menyediakan kebutuhan teknologi informasi yang cepat, tepat dan akurat untuk membantu manajemen perusahaan dalam pengambilan keputusan. Sugusta (2013:82-83) memberikan saran berdasarkan hasil evaluasi
sistem informasi akuntansi siklus pendapatan pada PT. Dewata Freight International sebagai berikut : 1.
PT. Dewata Freight International sebaiknya melakukan peninjauan kebutuhan dukungan teknologi informasi pada proses berjalan disesuaikan dengan perkembangan lingkungan dunia bisnis dalam melakukan persaingan dengan pengadaan perangkat keras yang menjadi pendukung dari sistem operasional pada siklus penjualan yang dapat meningkatkan kinerja perusahaan terutama proses pengiriman barang secara efektif.
2.
PT.
Dewata
Freight
International
sebaiknya
melakukan
pengembangan arsitektur teknologi informasi yang baru dari proses bisnis yang berjalan agar dapat mengintegrasikan data yang membantu penyampaian
informasi
satu
sama
lain
lebih
efektif
untuk
meningkatkan kinerja perusahaan dalam pengambilan keputusan. 3.
PT. Dewata Freight International perlu meningkatkan sumber daya teknologi informasi yang dapat mendukung keamanan sarana dan prasarana perusahaan. Perusahaan dapat membuat perencanaan anggaran teknologi informasi untuk membeli barcode sensor system yang dapat melacak barang yang dibawa customer apakah berbahaya atau tidak pada saat pintu utama masuk.
4.
PT. Dewata Freight International sebaiknya membuat prosedur yang dimiliki setiap divisi yang ditetapkan oleh manajemen untuk mengatur
43 standar perubahan pada sistem dan proses bisnis yang berjalan pada perusahaan. 5.
Sebaiknya PT. Dewata Freight International memberikan bentuk tertulis kepada setiap karyawan khususnya pada karyawan baru terhadap fungsi dan tanggung jawab yang diberikan oleh perusahaan.
2.8.2 Analisis User Acceptance dari Implementasi ISO/IEC 27001:2005 Pada Organisasi Publik Turki Mataracioglu & Ozkan (2013:1) mengatakan bahwa studi ini ditujukan untuk mengembangkan sebuah model user acceptance untuk penerapan standar keamanan informasi pada organisasi publik Turki. Mataracioglu & Ozkan (2013:10) menetapkan model user acceptance ISO 27001 terdiri dari empat komponen yang dapat dirasakan manfaatnya, sikap terhadap penggunaanya, normal sosial, dan ekspektasi kinerja. Selain itu, Mataracioglu & Ozkan (2013:10) menyimpulkan bahwa peraturan harus ditetapkan setelah mengadopsi ISO 27001 dalam organisasi. Dengan kata lain, organisasi akan menganggap sebagai pekerjaan tambahan adalah sesuatu yang menghambat. Sebagai hasilnya, adopsi user dalam sertifikasi ISO 27001 pada organisasi publik Turki secara signifikan yang berkaitan dengan peraturan dan
prioritas
harus
diberikan
untuk
user
acceptance
ketika
membandingkan peraturan yang ditetapkan dengan user acceptance. Dalam jurnal ini, Mataracioglu & Ozkan (2013:10) mencoba menganalisa user acceptance untuk penerapan ISO 27001:2005 pada organisasi publik Turki. Hasil survey yang dijalankan di Turki mengungkapkan bahwa peraturan pada keamanan informasi publik dimana organisasi harus mematuhi secara signifikan yang terkait dengan user acceptance selama proses implementasi ISO 27001.
