BAB 4 HASIL DAN PEMBAHASAN

BAB 4 HASIL DAN PEMBAHASAN 4.1 Analisa Temuan Audit Pada hari Senin tanggal 23 Desember 2013, penulis telah melakukan audit pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT. Audit dilakukan dengan menggunakan standar internasional untuk SMKI yaitu ISO/IEC 27001:2005 yang terdiri dari 11 klausal, 39 objektif, dan 133 kontrol keamanan. Berikut merupakan analisa penulis terhadap hasil temuan audit yang diperoleh: • A.5 Kebijakan Keamanan A.5.1 Kebijakan Keamanan Informasi A.5.1.1 Dokumen Kebijakan Keamanan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee

: Agung Sukmono (Manajer Operasional) Tabel 4.1 Analisa Temuan Audit Pada A.5.1.1 Persyaratan

Analisa Hasil Audit:

Kategori Temuan:

Berdasarkan audit yang dilakukan, PT. AGIT ISO/IEC memiliki kebijakan Data Integrity Test untuk 27001:2005 : penyimpanan hasil data rekaman CCTV. Berdasarkan kebijakan tersebut, maka akan menghasilkan laporan Video Monitoring Monthly untuk memastikan kondisi rekaman setiap bulannya. Dalam pengaksesan hasil data rekaman CCTV tersebut hanya Bagian EOS dan Manajer Operasional yang dapat mengakses data rekamannya. Selain itu, seluruh jaringan menggunakan jaringan VPN 54

Not Comply A.5.1.1

(Major)

55 IP sehingga keamanan data dapat terjaga, tetapi belum ada dokumen kebijakan secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV yang terdokumentasi. Hasil temuan audit pada annex ini termasuk kategori temuan major karena dapat terjadi penyalahgunaan wewenang dalam melakukan pemantauan rekaman CCTV. Analisa Penyebab: PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat ketentuan secara tertulis mengenai kebijakan keamanan informasi pada saat melakukan pemantauan rekaman CCTV. Saran Tindakan Perbaikan :

Target Selesai :

Membuat ketentuan atau pedoman secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV agar prosedur yang sudah ada dapat berjalan

Minggu ke 3, bulan

lebih efektif dan tertulis pada pedoman yang ada, sehingga

Maret 2014

keamanan informasi rekaman CCTV dapat lebih terjaga.

A.5.1.2 Tinjauan Ulang Kebijakan Keamanan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee

: Agung Sukmono (Manajer Operasional) Tabel 4.2 Analisa Temuan Audit Pada A.5.1.2

Analisa Hasil Audit :

Persyaratan

Berdasarkan audit yang telah dilakukan, ISO/IEC dapat disimpulkan bahwa PT. AGIT tidak 27001:2005 : melakukan tinjauan secara rutin terhadap

Kategori Temuan:

56 pedoman kebijakan mengenai keamanan

A.5.1.2

Not Comply

informasi pada saat melakukan pemantauan

(Minor)

rekaman CCTV karena mengacu pada hasil temuan audit A.5.1.1. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat pedoman secara tertulis mengenai kebijakan keamanan informasi pada saat melakukan pemantauan rekaman CCTV. Saran Tindakan Perbaikan :

Target Selesai :

Membuat ketentuan atau pedoman secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV agar prosedur yang sudah ada dapat berjalan lebih efektif dan tertulis pada pedoman yang ada sehingga keamanan informasi rekaman CCTV dapat lebih terjaga.

Minggu ke 3, bulan

Setelah pedoman tersebut tertulis dan disetujui oleh pihak

Maret 2014

manajemen maka pedoman tersebut harus ditinjau secara rutin agar apabila terjadi perubahan terhadap pedoman tersebut seluruh karyawan yang terkait dapat memahaminya dan menerapkannya.

• A.6 Organisasi Keamanan Informasi A.6.1 Organisasi Internal Keamanan Informasi A.6.1.1 Komitmen Manajemen Terhadap Keamanan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee

: Agung Sukmono (Manajer Operasional)

57 Tabel 4.3 Analisa Temuan Audit Pada A.6.1.1 Persyaratan

Analisa Hasil Audit : Berdasarkan

audit

yang

Kategori Temuan :

dilakukan, ISO/IEC

manajemen dari PT. AGIT sudah melakukan 27001:2005 : meeting

untuk

mendukung

pemberian

tanggung jawab mengenai keamanan data

A.6.1.1

Comply

rekaman CCTV kepada setiap karyawan. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional

-

Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.6.1.1

A.6.1.2 Koordinasi Keamanan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan :

Berdasarkan audit yang dilakukan, bahwa ISO/IEC setiap karyawan sudah diberikan informasi- 27001:2005 : informasi mengenai tugas dan tanggung jawabnya terhadap keamanan data rekaman

A.6.1.2

CCTV sehingga karyawan dapat menjalankan tugas dan tanggung jawabnya tersebut. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini.

Comply

58 Saran Tindakan Perbaikan :

Target Selesai :


-

Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.6.1.2

A.6.1.3 Alokasi Tanggung Jawab Keamanan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan :

Berdasarkan hasil audit yang dilakukan, ISO/IEC A.6.1.3 ini berkaitan dengan A.6.1.2 bahwa 27001:2005 : selain karyawan sudah diberikan informasi mengenai tugas dan tanggung jawabnya masing-masing, karyawan sudah memahami tugas dan tanggung jawab mereka masing-

A.6.1.3

Comply

masing terhadap keamanan data rekaman CCTV. Manajemen juga sudah membuat dokumen

yang

menyatakan

tugas

dan

tanggung jawab masing-masing karyawan tersebut Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.6.1.3.

-

59 A.6.1.4 Proses Otorisasi Terhadap Fasilitas Pengolahan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan :

Berdasarkan hasil audit, Proyek CCTV Pada ISO/IEC Bank XYZ ini baru berjalan selama 1 tahun 27001:2005 : lebih

sejak

Agustus

tahun

2012

dan

penyusunan configuration item masih belum Comply

tuntas sehingga belum ada otorisasi yang dilakukan terhadap penggunaan perangkat lunak.

Akan

tetapi,

untuk

A.6.1.4

(Observation)

otorisasi

penggunaan perangkat keras, jaringan, dan pengguna sudah ada, yaitu pada CMDB mapping. Analisa Penyebab : Karena Proyek CCTV Pada Bank XYZ ini baru berjalan selama 1 tahun lebih dan semua peralatan yang mendukung proyek tersebut masih baru dan belum dibutuhkannya peralatan baru untuk mengganti peralatan yang sedang digunakan tersebut. Saran Tindakan Perbaikan : Configuration item harus di tuntaskan agar dapat memenuhi

Target Selesai : -

persyaratan standar keamanan informasi pada A.6.1.4

A.6.1.5 Perjanjian Kerahasiaan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

60

Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan:

Berdasarkan hasil audit yang dilakukan, ISO/IEC semua karyawan yang menangani proyek ini 27001:2005 : sudah terikat dengan NDA (Non - Disclosure Agreement) yang tertuai dalam surat kontrak kerja yang dikelola oleh HRD. Kemudian untuk

vendor

manager.

Pada

dikelola bagian

oleh

A.6.1.5

Comply

supplier

operation

juga

terdapat NDA. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Target Selesai :

Saran Tindakan Perbaikan : Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional

-

Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.6.1.5.

A.6.1.6 Hubungan Dengan Pihak Yang Terotorisasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Berdasarkan analisa yang dilakukan, untuk ISO/IEC

Kategori Temuan:

61 menindaklanjuti keamanan

data

suatu

fraud/incident 27001:2005 :

rekaman

CCTV

akan

dilakukan oleh pihak yang sudah diberikan otoritas,

yaitu

CSC

(Customer

Service

Center) / Helpdesk yang memiliki Document

A.6.1.6

Comply

Service Catalouge dan juga Bagian EOS untuk insiden di lapangan. Contoh insiden yang ditangani adalah kamera mati, kabel putus,

VPN

putus,

perangkat

server

crash/mati. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada

-

Bank XYZ sudah memenuhi persyaratan pada A.6.1.6.

A.6.1.7 Hubungan Dengan Lembaga Khusus Terkait Departemen/Fungsi/Proses yang diaudit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee

: Agung Sukmono (Manajer Operasional) Tabel 4.9 Analisa Temuan Audit PadaA.6.1.7 Persyaratan


hasil

audit

yang

Kategori Temuan :

sudah ISO/IEC

dilakukan, PT. AGIT sudah mengikuti forum 27001:2005 : internal perusahaan yang hanya melakukan sharing saja, tetapi pihak PT. AGIT belum pernah ada yang bergabung untuk forum profesional/asosiasi secara internasional.

A.6.1.7

Comply

62

Analisa Penyebab : PT. AGIT belum memiliki kesadaran bahwa bergabung dengan forum profesional/asosiasi

secara

internasional

dapat

meningkatkan

pengetahuan

mengenai perlindungan dalam keamanan informasi perusahaan Saran Tindakan Perbaikan :

Target Selesai :

PT. AGIT seharusnya mengikuti forum profesional/asosiasi internasional untuk mengetahui lebih banyak mengenai -

pemahaman tentang lingkungan keamanan informasi terkini dan secara lengkap, untuk menjaga keamanan informasi CCTV tersebut.

A.6.1.8 Pembahasan Keamanan Informasi Secara Independen Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang sudah dilakukan, PT. ISO/IEC AGIT sudah melakukan internal audit pada 27001:2005 : Proyek CCTV Pada Bank XYZ. Namun, internal audit ini dilakukan oleh Manajer Operasional pada proyek ini. Internal audit

Not Comply A.6.1.8

(Minor)

tersebut dilakukan setiap 6 bulan terhubung dengan Data Integrity Test. Analisa Penyebab : Karena belum adanya bagian internal auditor pada PT. AGIT. Saran Tindakan Perbaikan :

Target Selesai :

Seharusnya audit terhadap data rekaman dilakukan secara resmi oleh internal auditor pada bagian IT setiap periode

Minggu ke 3, bulan

63 tertentu sehingga kemungkinan terjadinya fraud sangat kecil

Maret 2014

dan mungkin tidak akan terjadi. A.6.2 Pihak Luar A.6.2.1 Identifikasi Risiko Yang Terkait Dengan Pihak Luar Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee


Analisa HasilAudit :

Persyaratan

Kategori Temuan:

Berdasarkan analisa yang sudah dilakukan, ISO/IEC pihak luar tidak terlibat dalam pengolahan 27001:2005 : data rekaman sehingga pihak PT. AGIT tidak mengidentifikasi kemungkinan risiko yang akan terjadi. Apabila terkait kemungkinan

A.6.2.1

Comply

risiko pasti ada, namun risiko itu telah dikunci di dalam NDA (Non – Disclosure Agreement). Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.6.2.2 Menjelaskan Keamanan Saat Berhubungan Dengan Pelanggan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

64 Auditor

: Dessy Liana

Auditee



Kategori Temuan:

Berdasarkan analisa yang sudah dilakukan, ISO/IEC Proyek CCTV Pada Bank XYZ yang 27001:2005 : dijalankan oleh PT. AGIT termasuk jenis BPO

(Business

Process

Outsourcing)

sehingga pihak Bank XYZ tidak memiliki

A.6.2.2

Comply

hak akses untuk mengolah data rekaman CCTV, tetapi hanya menerima hasil data rekaman CCTV yang telah diolah oleh PT. AGIT. Analisa Penyebab : Tidak ada analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.6.2.3 Menjelaskan Keamanan Dalam Kesepakatan Dengan Pihak Ketiga Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Berdasarkan analisa yang sudah dilakukan, ISO/IEC teknisi tidak memiliki akses ke data, tetapi 27001:2005 :

Kategori Temuan:

65 pada saat link mati dan teknisi harus datang mengambil SD card maka kemungkinan pengambilan data tersebut bisa terjadi. Ruang

Comply A.6.2.3

(Observation)

lingkup pekerjaan sudah ada, namun Rencana Penyusunan Layanan belum terlalu detail, hanya

menangani

implementasi

dan

pemeliharaan saja tidak untuk keamanan data. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat ketentuan secara spesifik mengenai keamanan data CCTV di lingkungan kerja. Saran Tindakan Perbaikan :

Target Selesai :

Manajemen dari PT. AGIT seharusnya melengkapi ruang lingkup pekerjaan yang akan dilakukan oleh teknisi beserta tanggung jawab yang harus dilakukan oleh teknisi tersebut

Minggu ke 3, bulan

terkait dengan keamanan data rekaman CCTV agar teknisi

Maret 2014

dapat lebih bertanggung jawab dan keamanan data dapat lebih terjamin kerahasiannya.

• A.7 Manajemen Aset A.7.1 Tanggung Jawab Terhadap Aset A.7.1.1 Inventarisasi Terhadap Aset Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Berdasarkan analisa yang sudah dilakukan, ISO/IEC

Kategori Temuan:

66 semua peralatan sudah disediakan dahulu 27001:2005 : sebelum

dilakukan

pemasangan.

Setiap

perangkat telah diberikan kode unik dengan serial number yang diberikan oleh PT.AGIT saat

pemetaan

ke

CMDB

dan

sudah

dilengkapi dengan detail dari peralatan itu sendiri.

Belum

dilakukan

A.7.1.1

Comply

pemeliharaan

secara rutin, karena perangkat masih dalam kondisi baru. Selain itu, terdapat preventive maintenance

yang

dapat

mendeteksi

peralatan yang akan rusak dan akan segera dicegah oleh PT. AGIT. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.7.1.2 Kepemilikan Aset Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



audit

yang

dilakukan, ISO/IEC

penanggung jawab dari setiap peralatan yang 27001:2005 : digunakan di dalam Proyek CCTV Pada

Kategori Temuan :

67 Bank XYZ adalah Manajer Operasional dan Manajer Konfigurasi. Manajer Operasional

A.7.1.2

Comply

bertanggung jawab pada CMDB, sedangkan Manajer Konfigurasi bertanggung jawab untuk keseluruhan dari CMDB. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.7.1.3 Penggunaan Aset Yang Sesuai Dengan Aturan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, peraturan ISO/IEC mengenai

penggunaan

aset

teknologi 27001:2005 :

informasi di dalam perusahaan terdapat pada dokumen

roles

and

responsibility

yg

A.7.1.3

Comply

merupakan bagian dari dokumen rencana penyusunan

layanan

serta

SOP

untuk

panduan cara pernggunaan. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan : Tidak terdapat saran yang ditujukan untuk tindakan

Target Selesai :

68 perbaikan karena proses implementasi dan operasional

-

Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.7.1.3. A.7.2 Klasifikasi Informasi A.7.2.1 Pedoman Klasifikasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan :

Berdasarkan audit yang dilakukan, tidak ada ISO/IEC klasifikasi pada tingkat kerahasiaan untuk 27001:2005 : setiap data rekaman CCTV karena semua

A.7.2.1

NA

letak CCTV adalah di lingkungan publik. Analisa Penyebab : Pihak Bank XYZ menyatakan bahwa setiap hasil data rekaman CCTV tersebut memiliki tingkat kerahasiaan yang sama, sehingga PT. AGIT tidak mengklasifikasi tingkat kerahasiaan pada hasil data rekaman CCTV tersebut. Saran Tindakan Perbaikan :

Target Selesai :

Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A.7.2.1 tidak

-

berlaku pada Proyek CCTV Pada Bank XYZ.

A.7.2.2 Pemberian Label Dan Penanganan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee


69

Tabel 4.18 Analisa Temuan Audit Pada A.7.2.2 Analisa Hasil Audit :

Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, karena ISO/IEC tidak adanya tingkat kerahasiaan untuk setiap 27001:2005 : data rekaman CCTV, maka penanganan data

A.7.2.2

NA

rekaman CCTV tidak dibedakan. Analisa Penyebab : Pihak Bank XYZ menyatakan bahwa setiap hasil data rekaman CCTV tersebut memiliki tingkat kerahasiaan yang sama, sehingga PT. AGIT tidak mengklasifikasi tingkat kerahasiaan pada hasil data rekaman CCTV tersebut. Saran Tindakan Perbaikan :

Target Selesai :


-


• A.8 Keamanan Sumber Daya Manusia A.8.1 Sebelum Masa Kerja A.8.1.1 Peran Dan Tanggung Jawab Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita dan Dessy Liana

Auditee



Persyaratan

Berdasarkan audit yang dilakukan, hasil audit ISO/IEC pada annex ini berkaitan dengan A.6.1.2 dan 27001:2005 :

Kategori Temuan:

70 A.6.1.3 yang telah menjelaskan bahwa setiap karyawan sudah diberikan informasi mengenai peran dan tanggung jawabnya masing-masing. Karyawan juga sudah memahami peran dan tanggung

jawab

mereka

masing-masing

A.8.1.1

Comply

terhadap keamanan data rekaman CCTV. Pihak Manajemen PT. AGIT sudah membuat dokumen

yang

menyatakan

tugas

dan

tanggung jawab masing-masing karyawan tersebut. Analisa Penyebab: Tidak ada analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV

-

Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.8.1.1.

A.8.1.2 Seleksi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Kategori Temuan :

Berdasarkan audit yang dilakukan, sudah ada ISO/IEC penyaringan yang dilakukan untuk calon 27001:2005 : karyawan baru. Setiap divisi dapat mengajukan Form Personnel Requesition yaitu berisi kriteria yang dibutuhkan untuk merekrut karyawan baru. Selain itu, terdapat tiga tahap

A.8.1.2

Comply

71 penyaringan yang harus dilewati oleh calon karyawan baru, yaitu: 1. Tes tertulis; 2. Interview

oleh

user

(divisi

yang

bersangkutan); 3. Interview oleh HRD. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.8.1.3 Syarat Dan Kondisi Kerja Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, terdapat ISO/IEC suatu perjanjian ikatan kerja berupa dokumen 27001:2005 : NDA (Non - Disclosure Agreement) yang menyatakan bahwa karyawan harus menjaga dengan

baik

kerahasiaan

informasi

perusahaan dari pihak luar. NDA harus ditanda tangani oleh calon karyawan baru sebagai bukti bahwa perjanjian tersebut sudah disepakati oleh kedua belah pihak. Analisa Penyebab:

A.8.1.3

Comply

72 Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.8.2 Selama Masa Kerja A.8.2.1 Tanggung Jawab Manajemen Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, belum ada ISO/IEC kebijakan dan prosedur dalam mengatur setiap 27001:2005 : karyawan untuk memelihara keamanan data rekaman CCTV yang dibuat oleh pihak

Comply A.8.2.1

(Minor)

manajemen PT. AGIT. Akan tetapi, setiap karyawan sudah memelihara keamanan data rekaman CCTV. Analisa Penyebab: PT. AGIT belum berfokus pada SMKI sehingga tidak memiliki perencanaan untuk membuat kebijakan dalam mengatur karyawan untuk memelihara keamanan data rekaman CCTV. Saran Tindakan Perbaikan :

Target Selesai:

Membuat kebijakan dan prosedur yang dapat mengatur setip karyawan untuk memelihara keamanan data rekaman CCTV yang merupakan salah satu aset informasi perusahaan Minggu ke 3, bulan

73 sehingga kerahasiaan, keakuratan, dan ketersediaan data

Maret 2014

rekaman CCTV tetap terjaga agar dapat bermanfaat bagi pihak yang membutuhkannya.

A.8.2.2 Pengetahuan Tentang Keamanan Informasi, Pendidikan, Dan Pelatihan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, tidak ada ISO/IEC kebijakan dan prosedur yang menyatakan 27001:2005 : tentang pengetahuan, pendidikan, dan pelatihan Not Comply

terhadap keamanan data rekaman CCTV. Namun, Manajer Operasional secara teknis sudah

memberikan

pengetahuan

A.8.2.2

(Minor)

mengenai

keamanan data rekaman CCTV pada saat project meeting dilaksanakan. Analisa Penyebab: PT. AGIT belum memiliki fokus terhadap SMKI pada Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum adanya kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV. Saran Tindakan Perbaikan :

Target Selesai:

Membuat sebuah kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV yang dapat dipatuhi oleh setiap karyawan agar

Minggu ke 3,

kerahasiaan, keakuratan, dan ketersediaan data rekaman CCTV

bulan Maret 2014

tetap terjaga dengan baik dan mencegah modifikasi kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan

74 tersebut.

A.8.2.3 Proses Kedisiplinan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, HRD sudah ISO/IEC memberitahukan secara

lisan

sanksi-sanksi pada

menandatangani

pelanggaran 27001:2005 :

saat

calon

karyawan

dokumen

NDA

(Non

–

Disclosure Agreement). Terdapat proses dalam pemberian

sanksi

bagi

karyawan

yang

A.8.2.3

Comply

melakukan pelanggaran yaitu SP 1, SP 2, dan SP 3

(pemecatan).

Sudah

tertulis

di

Human

Resources dan terdapat buku pedoman untuk setiap karyawan PT. AGIT. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.8.2.3.

A.8.3 Pemutusnn Atau Perubahan Hubungan Kerja A.8.3.1 Tanggung Jawab Pemutusan

-

75 Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee


Analisa Hasil Audit: Berdasarkan

audit

yang

dilakukan,

Kategori Temuan :

sudah ISO/IEC

terdapat prosedur pemutusan atau perubahan 27001:2005 : hubungan kerja. Prosedur yang dilakukan yaitu Manajer

Operasional

mengajukan

Form

Perubahan Status Kerja kepada HRD untuk ditindaklanjuti terkait dengan karyawan yang ingin melakukan pemutusan hubungan kerja.

A.8.3.1

Comply

HRD akan memberikan FEC (Form Exit Clearance) kepada karyawan yang bersangkutan untuk mengisinya. Setelah form diisi, karyawan akan mengembalikannya kepada HRD dan HRD akan menindaklanjuti pemutusan hubungan kerja karywan tersebut. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank

-

XYZ yang dilakukan sudah memenuhi persyaratan pada A.8.3.1.

A.8.3.2 Pengembalian Aset Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

76 Auditor

: Tria Yulita

Auditee


Tabel 4.26 Analisa Temuan Audit Pada A.8.3.2 Persyaratan


Kategori Temuan:

Berdasarkan audit yang dilakukan, perusahaan ISO/IEC sudah melakukan pendataan pada semua aset 27001:2005 : perusahaan

yang

digunakan

oleh

setiap

karyawan. Dimana Tim Aset telah membuat database CAR (Company Asset Request) yang mendata semua aset perusahaan yang digunakan

A.8.3.2

Comply

oleh setiap karyawan. Apabila terjadi pemutusan hubungan kerja, HRD akan memberikan FEC yang telah diisi oleh karyawan kepada Tim Aset untuk

disesuaikan

dengan

database

CAR

sehingga dapat dilakukan pembaharuan data pada database CAR. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasi audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.8.3.3 Penghapusan Hak Akses Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

77 Auditee


Analisa Hasil Audit: Berdasarkan terdapat

audit

prosedur

terhadap

yang

dilakukan,

penghapusan

karyawan

yang

sudah ISO/IEC

hak

tidak

Kategori Temuan :

akses 27001:2005 :

memiliki

hubungan kerja dengan perusahaan. Prosedur

A.8.3.3

Comply

tersebut tercantum dalam FEC (Form Exit Clearance)

yang

diberikan

HRD

kepada

karyawan yang akan melakukan pemutusan hubungan kerja. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


• A.9 Keamanan Fisik Dan Lingkungan A.9.1 Wilayah Aman A.9.1.1 Pembatas Keamanan Fisik Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Berdasarkan audit yang dilakukan, sudah ada ISO/IEC perlindungan secara fisik yang dilakukan untuk 27001:2005 :

Kategori Temuan:

78 melindungi ruang pemantauan CCTV, ruang server, ruang helpdesk. Adanya pemisahan area antara ruang-ruang tersebut. Pada setiap pintu telah terpasang proximity access cards, terdapat

A.9.1.1

Comply

kamera CCTV, alat perlindungan bencana (i.e.fire extinguisher, fire alarm, dsb.), satpam, security organic pada ruang server, dan rak-rak server yang dapat dikunci. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ yang

-

dilakukan sudah memenuhi persyaratan pada A.9.1.1.

A.9.1.2 Pengendalian Masuk Fisik Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee


Analisa Temuan Audit: Berdasarkan

audit

yang

dilakukan,

Kategori Temuan:

sudah ISO/IEC

terpasang alat proximity access cards pada setiap 27001:2005 : pintu di ruang pemantauan CCTV, ruang server, dan ruang helpdesk serta terdapat kamera CCTV

A.9.1.2

Comply

yang dapat memantau siapa saja yang memasuki area-area tersebut. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:

79 Tidak ada saran yang diajukan untuk tindakan perbaikan karena

-

proses operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.9.1.2.

A.9.1.3 Pengamanan Kantor, Ruangan, Dan Fasilitas Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, sudah ada ISO/IEC perlindungan secara fisik terhadap keamanan area 27001:2005 : kerja para karyawan yang diterapkan oleh perusahaan. Perlindungan fisik yang diterapkan sudah memenuhi kebutuhan keamanan yang

A.9.1.3

Comply

diperlukan sehingga karyawan merasa aman dan nyaman selama bekerja. Mengacu pada A.9.1.1 yang telah menjelaskan perlindungan secara fisik yang dilakukan oleh PT. AGIT. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.9.1.3.

A.9.1.4 Perlindungan Terhadap Ancaman Eksternal Dan Lingkungan

-


: 23 Desember 2013

Auditor

: Tria Yulita

Auditee




Kategori Temuan :

Berdasarkan audit yang dilakukan, perlindungan ISO/IEC terhadap bencana alam sudah dilakukan oleh 27001:2005 : perusahaan

dengan

menyediakan

alat

perlindungan

bencana

alam

fire

seperti

extinguisher, fire alarm, smoke detector, dan hydran

di

pemantauan

setiap CCTV

area-area dan

A.9.1.4

Comply

operasional

penyimpanan

data

rekaman CCTV (i.e ruang pemantauan, server, helpdesk). Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ yang dilakukan

-

sudah memenuhi persyaratan pada A.9.1.4.

A.9.1.5 Bekerja Di Area Aman Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee




Kategori Temuan :

Berdasarkan audit yang dilakukan, sudah ada ISO/IEC pelatihan

perlindungan

secara

mandiri

yang 27001:2005 :

diberikan kepada setiap karyawan. Setiap tiga bulan sekali, pihak gedung akan melakukan fire drill untuk seluruh orang yang berada di dalam

A.9.1.5

Comply

gedung agar dapat melindungi diri dari bencana alam secara mandiri. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.9.1.6 Area Akses Publik, Pengiriman, Dan Penurunan Barang Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, hasil audit pada ISO/IEC annex ini mengacu pada A.9.1.1 yang telah 27001:2005 : menyebutkan

perlindungan

pada

area-area

operasional pemantauan CCTV dan penyimpanan data rekaman CCTV dari akses ilegal yang mungkin terjadi. Analisa Penyebab:

A.9.1.6

Comply

82 Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.9.2 Keamanan Peralatan A.9.2.1 Penempatan Dan Perlindungan Terhadap Peralatan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, penempatan ISO/IEC peralatan

yang

digunakan

dalam

proses 27001:2005 :

operasional Proyek CCTV Pada Bank XYZ sudah diletakkan

dengan

aman.

Salah

satunya

penempatan server di dalam rak-rak khusus. Satu

A.9.2.1

Comply

rak dapat memuat lima server dan memiliki jarak 3cm pada setiap server yang diletakkan pada rak. Rak-rak

tersebut

dapat

dikunci

sehingga

meminimalisir kemungkinan ancaman dan risiko yang terjadi. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan : Tidak ada saran yang diajukan untuk tindakan perbaikan karena

Target Selesai:

83 proses operasional Proyek CCTV Pada Bank XYZ yang dilakukan

-


A.9.2.2 Keperluan Pendukung Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, sudah ada ISO/IEC perlindungan terhadap peralatan yang digunakan 27001:2005 : pada proses operasional Proyek CCTV Pada Bank XYZ

dari

penyalahgunaan

wewenang

oleh

karyawan untuk keperluan pendukung. Dimana terdapat database CAR (Company Asset Return) yang

memuat

keterangan

siapa

A.9.2.2

Comply

yang

menggunakan dan aset apa saja yang digunakan oleh setiap karyawan selama masa kerja serta dokumen Rencana Penyusunan Layanan yang memuat keterangan peran dan tanggung jawab, dan SOP untuk penggunaan aset TI perusahaan. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


A.9.2.3 Keamanan Perkabelan

-


: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, penempatan ISO/IEC kabel-kabel

yang

digunakan

pada

proses 27001:2005 :

operasional Proyek CCTV Pada Bank XYZ sudah diletakkan dan ditata dengan rapih. Dimana penempatan kabel pada server sudah dibuatkan jalurnya

dan

pada

ruang

Comply A.9.2.3

pemantauan

menggunakan cable duct untuk menata kabelkabel agar terlihat rapih. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.9.2.4 Pemeliharaan Peralatan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Berdasarkan audit yang dilakukan, pemeliharaan ISO/IEC perangkat CCTV dilakukan dengan incidental 27001:2005 :

Kategori Temuan :

85 yaitu hanya pada saat gangguan atau kerusakan terjadi. Setiap gangguan atau kerusakan akan

A.9.2.4

Comply

terdokumentasi pada sistem Helpdesk secara otomatis. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-

sudah memenuhi persyaratan pada A.9.2.4. A.9.2.5 Keamanan Peralatan Di Luar Tempat Yang Tidak Di Syaratkan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Kategori Temuan :

Berdasarkan audit yang dilakukan, tidak ada ISO/IEC kebijakan keamanan mengenai peralatan yang 27001:2005 : berada atau digunakan diluar area kerja. Semua peralatan terkait dengan keberadaan data rekaman

A.9.2.5

NA

CCTV berada di dalam area kerja. Analisa Penyebab: Memang tidak ada peralatan yang tekait dengan keberadan data rekaman CCTV berada atau digunakan diluar area kerja. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A.9.2.5 tidak berlaku pada Proyek CCTV Pada Bank XYZ.

A.9.2.6 Pengamanan Pembuangan Atau Penggunaan Ulang Peralatan

-


: 23 Desember 2013

Auditor

: Tria Yulita

Auditee




audit

yang

dilakukan,

Kategori Temuan :

sudah ISO/IEC

dilakukan pengamanan terhadap data rekaman 27001:2005 : CCTV yang berada pada perangkat CCTV yang akan ditarik atau diganti oleh teknisi karena masa jatuh tempo kontrak, atau adanya gangguan atau kerusakan yang terjadi. Dimana data rekaman

A.9.2.6

Comply

sebelumnya disimpan dan dilakukan back-up serta data rekaman yang ada pada SD Card kamera CCTV di enkripsi ke format khusus H.264 sehingga tidak dapat diakses oleh pihak yang tidak berwenang. Analisa Penyebab: Tidak terdapar analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.9.2.7 Hak Penghapusan Properti Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

87 Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, setiap teknisi ISO/IEC yang

ingin

melakukan

penarikan

atau 27001:2005 :

penggantian perangkat CCTV akan membawa surat tugas yang diberikan kepada kantor cabang untuk

menjelaskan

bahwa

Teknisi

tersebut

diperintahkan dan ditugaskan untuk melakukan penarikan atau penggatian perangkat CCTV

A.9.2.7

Comply

sehingga mengurangi terjadinya penyalahgunaan wewenang

oleh

pihak-pihak

yang

tidak

diinginkan dan melindungi keamanan perangkat CCTV. Kemudian Teknisi akan mengisi BAKT (Berita Acara Kunjungan Teknisi) setelah selesai melakukan penarikan atau penggantian perangkat CCTV. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTVPada Bank XYZ yang dilakukan

-


• A.10 Manajemen Komunikasi Dan Operasi A.10.1 Prosedur Dan Tanggung Jawab Operasional A.10.1.1 Pendokumentasian Prosedur Operasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

88 Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



audit

yang

dilakukan,

Kategori Temuan :

proses ISO/IEC

operasional Proyek CCTV Pada Bank XYZ 27001:2005 : sudah terdokumentasi dengan baik. Setiap hasil rekaman CCTV tersimpan pada NVR server yang merupakan storage untuk data rekaman CCTV. Hasil rekaman CCTV dienkripsi ke dalam format khusus H.264 yang tidak dapat

A.10.1.1

Comply

diketahui dan digunakan oleh pihak yang tidak berwenang. Manajer Operasional tidak memiliki video rekaman CCTV, tetapi hanya memiliki detail dari data rekaman CCTV. Sedangkan video rekaman CCTV hanya dimiliki oleh pihak Bank XYZ selaku customer pada Proyek CCTV ini. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.1.2 Perubahan Manajemen Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee




Kategori Temuan :

Berdasarkan audit yang dilakukan, sudah ada ISO/IEC prosedur mengenai perubahan manajemen di 27001:2005 : dalam perusahaan. Terdapat prosedur Change Request,

dimana

prosedur

tersebut

harus

dilakukan pada setiap perubahan manajemen A.10.1.2

yang terjadi baik di dalam proyek maupun di

Comply

luar proyek. Apabila di dalam Proyek CCTV terjadi perubahan sistem atau yang lainnya harus mengikuti prosedur Change Request yang dibuat oleh perusahaan. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.1.3 Pembagian Tugas Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Analisa Temuan Audit: Berdasarkan

audit

yang

dilakukan,

sudah ISO/IEC

dilakukannya pembagian tugas di dalam Proyek 27001:2005 : CCTV Pada Bank XYZ. Hasil audit ini mengacu pada A.8.1.1 yang telah menjelaskan bahwa

Kategori Temuan:

90 sudah adanya dokumen secara tertulis yang memuat tentang peran dan tanggung jawab

A.10.1.3

Comply

masing-masing karyawan terhadap pekerjaannya. Selain itu, pada saat pengrekrutan calon karyawan baru, HRD sudah memberitahukan secara lisan mengenai peran dan tanggung jawab. Analisa Penyebab: Tidak ada analisa penyebab pada hasil audit ini.

Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.1.4 Pemisahan Pengembangan, Pengujian dan Operasional Fasilitas Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



audit

yang

dilakukan,

Kategori Temuan :

sudah ISO/IEC

dilakukan pemisahan lingkungan antara area 27001:2005 : pengembangan,

pengujian,

dan

operasional

fasilitas Proyek CCTV Pada Bank XYZ. R&D (Research and Development) berada di gedung ANZ terpisah dengan area produksi. Pemantauan CCTV dan penyimpanan server berada di kantor pusat monitoring yang terletak di Bandung. Pemantauan sistem Helpdesk berada di kantor

A.10.1.4

Comply

91 PT. AGIT yang terletak di Kramat Raya. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.2 Manajemen Layanan Pengiriman Oleh Pihak Ketiga A.10.2.1 Layanan Pengiriman Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, teknisi yang ISO/IEC menjadi pihak ketiga dalam Proyek CCTV Pada 27001:2005 : Bank XYZ sudah memberikan pelayanan sesuai dengan kesepakatan yang telah dibuat. Dimana terdapat

dokumen

scope

of

work

A.10.2.1

Comply

yang

menjelaskan lingkup kerja dari masing-masing divisi di dalam proyek ini. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-

92 XYZ yang dilakukan sudah memenuhi persyaratan pada A.10.2.1.

A.10.2.2 Pengawasan Dan Pembahasan Terhadap Layanan Pihak Ketiga Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee




Kategori Temuan:

Berdasarkan audit yang dilakukan, setiap 3 bulan ISO/IEC akan

dilaksanakan

Review

Meeting

untuk 27001:2005 :

mengetahui kemajuan dari Proyek CCTV Pada Bank XYZ yang dijalankan. Review Meeting dilaksanakan berdasarkan agenda yang dibuat oleh Manajer

Operasional.

Namun,

A.10.2.2

Comply

terkadang

dilaksanakan incidental meeting apabila terjadi insiden di dalam proses operasional proyek ini. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.2.3 Mengatur Perubahan Pada Layanan Pihak Ketiga Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

93 Auditor

: Tria Yulita

Auditee


Analisa Hasil Audit: Berdasarkan audit

yang dilakukan,

Kategori Temuan:

terdapat ISO/IEC

ketentuan yang harus diikuti oleh pihak ketiga 27001:2005 : apabila ingin melakukan perubahan. Pihak ketiga menghubungi

bagian

OMC

(Operation

Monitoring Center) untuk melaporkan perubahan

A.10.2.3

Comply

yang terjadi, kemudian membuat tiket ke sistem Helpdesk, dan mengisi laporan di dalam BAKT (Berita Acara Kunjungan Teknisi). Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.3 Perencanaan Dan Penerimaan Sistem A.10.3.1 Manajemen Kapasitas Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Berdasarkan audit yang dilakukan, di dalam ISO/IEC proyek terdapat Capacity Management yang di 27001:2005 :

Kategori Temuan:

94 dalamnya terdapat Capacity Planning yang direncanakan sebelum proyek dimulai yang menghasilkan dokumen Capacity Plan dan Capacity Monitoring yang dilakukan setiap

A.10.3.1

Comply

minggu. Laporan akan dibuat oleh System Specialist untuk dikirim ke Manajer Operasional sebagai informasi dalam pengambilan keputusan mengenai kapasitas infrastruktur CCTV yang digunakan. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.3.2 Penerimaan Sistem Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, sampai saat ini ISO/IEC belum ada perencanaan mengenai mekanisme 27001:2005 : penerimaan sistem baru karena OS (Operating System) yang digunakan masih tergolong baru dan

A.10.3.2

Comply

telah sesuai dengan tujuan proyek. Analisa Penyebab: OS yang digunakan pada operasional Proyek CCTV Pada Bank XYZ telah sesuai

95 dengan tujuan proyek. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.4 Perlindungan Terhadap Kode Berbahaya Dan Dapat Ditransmisikan A.10.4.1 Pengendalian Terhadap Kode Berbahaya Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



audit

yang

dilakukan,

Kategori Temuan:

sudah ISO/IEC

diterapkan perlindungan terhadap kode berbahaya 27001:2005 : seperti malicious code / virus yang dapat menyerang sistem pada Proyek CCTV Pada Bank XYZ. Pendeteksian dan pencegahan dilakukan dengan menggunakan anti virus. Selain itu, server tidak

terhubung

dengan

internet

A.10.4.1

Comply

sehingga

mengurangi timbulnya malicious code / virus. Metode penghapusan yang dilakukan tergantung pada malicious code / virus yang dihadapi sehingga berbeda pula cara untuk pemulihannya. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-

96 dilakukan sudah memenuhi persyaratan pada A.10.4.1.

A.10.4.2 Pengendalian Terhadap Kode Yang Dapat Ditransmisikan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee


Tabel 4.51 Analisa Temuan Audit Pada A.10.4.2 Analisa Hasil Audit:

Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, tidak ada ISO/IEC kontrol atau aturan mengenai penggunaan mobile 27001:2005 : code. Pihak Bank XYZ selaku customer pada Proyek CCTV ini harus menghubungi bagian OMC (Operation Monitoring Center) untuk meminta video hasil rekaman CCTV, tidak dapat

A.10.4.2

NA

secara langsung mengakses hasil rekaman CCTV. Bagian OMC akan mengirimkan video hasil rekaman CCTV melalui media Flash Disk kepada pihak Bank XYZ. Analisa Penyebab: PT. Astra Graphia Information Technology tidak menerapkan kontrol atau aturan mengenai penggunaan mobile code karena pengiriman hasil data trekaman CCTV tidak melalui jaringan tertentu, melainkan dengan menggunakan media Flash Disk yang kemudian diberikan kepada pihak Bank XYZ. Saran Tindakan Perbaikan :

Target Selesai:


-

97 A.10.5 Back-Up A.10.5.1 Back-Up Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee




Kategori Temuan:

Berdasarkan audit yang dilakukan, pada proses ISO/IEC operasional Proyek CCTV Pada Bank XYZ telah 27001:2005 : dilakukan back-up data rekaman CCTV yang tersimpan di dalam NVR (Network Video Recorder) yang dilakukan setiap 6 bulan sekali. Kemudian data rekaman tersebut dipindahkan ke NAS

(Network

Attached

Storage)

A.10.5.1

Comply

untuk

disimpan selama 1-2 bulan. Setelah bulan ke-8, akan dilakukan penghapusan data rekaman CCTV. Mengacu pada peraturan Bank Indonesia yaitu

untuk

menyimpan

data

rekaman

CCTVselama 3 bulan. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


A.10.6 ManajemenKeamanan Jaringan

-

98 A.10.6.1 Pengendalian Jaringan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee


Tabel 4.53 Analisa Temuan Audit Pada A.10.6.1 Analisa Hasil Audit:

Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, pada Proyek ISO/IEC CCTV Pada Bank XYZ telah menerapkan 27001:2005 : perlindugan terhadap jaringan yang digunakan. VPN IP (Virtual Private Network Internal Protocol) digunakan untuk mentransmisikan data. Data yang melalui VPN IP akan dienkripsi

A.10.6.1

Comply

ke dalam format khusus H.264 (.ava). VPN IP juga menjaga keutuhan dari data dan melakukan otentikasi sumber data untuk menghindari masuknya data ilegal. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.6.2 Keamanan Layanan Jaringan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

99 Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, jaringan ISO/IEC komunikasi

telah

disediakan

oleh

penyedia 27001:2005 :

layanan jaringan sehingga kebijakan mengenai keamanan jaringan bukan menjadi ruang lingkup dari PT. AGIT. Namun, ketentuan jaringan yang digunakan selama ini yaitu VPN IP sudah cukup

A.10.6.2

NA

aman digunakan untuk melindungi keamanan data rekaman CCTV yang sudah dijelaskan pada A.10.6.1. Analisa Penyebab: Kebijakan keamanan jaringan hanya dimiliki oleh penyedia layanan jaringan, sedangkan PT. AGIT hanya memiliki ketentuan jaringan yang dibutuhkan dan ketentuan tersebut dipenuhi oleh penyedia layanan jaringan. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A.10.6.2 tidak berlaku pada

-

Proyek CCTV Pada Bank XYZ.

A.10.7 Penanganan Media A.10.7.1 Manajemen Media Yang Dapat Dipindahkan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee


100 Persyaratan


Kategori Temuan:

Berdasarkan audit yang dilakukan, pada Proyek ISO/IEC CCTV Pada Bank XYZ yang dijalankan belum ada 27001:2005 : prosedur dalam menggunakan media penyimpanan yang dapat berpindah tempat. Hasil audit ini termasuk

kategori

temuan

major

karena

Not Comply A.10.7.1

(Major)

memungkinkan modifikasi data oleh pihak yang tidak berwenang atau adanya penyebaran virus akibat dari penggunaan media penyimpanan yang tidak tepat. Analisa Penyebab: PT. AGIT belum membuat prosedur mengenai penggunaan media penyimpanan yang dapat berpindah tempat. Saran Tindakan Perbaikan :

Target Selesai:

Membuat prosedur secara tertulis mengenai penarikan dan penggantian perangkat CCTV agar tahap-tahap yang dilakukan dalam penarikan dan penggantian perangkat CCTV menjadi lebih

Minggu ke 3,

jelas, dapat terlaksana dengan baik, mencegah tindakan ilegal, dan

bulan Maret 2014

agar teknisi melakukan penarikan dan penggatian perangkat CCTV sesuai dengan prosedur yang ada.

A.10.7.2 Pembuangan Media Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee

:Agung Sukmono (Manajer Operasional) Tabel 4.56 Analisa Temuan Audit Pada A.10.7.2 Persyaratan


audit

yang

dilakukan,

sudah ISO/IEC

dilakukannya pemeriksaan terhadap perangkat 27001:2005 :

Kategori Temuan:

101 CCTV yang akan ditarik atau diganti untuk memastikan bahwa sudah tidak adanya data rekaman CCTV yang tersimpan dan tidak dapat

A.10.7.2

Comply

diakses oleh orang lain. Hasil audit ini mengacu pada A.9.2.6 yang telah menjelaskan kemanan data rekaman pada saat dilakukannya penarikan atau penggantian perangkat CCTV oleh teknisi. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini.

Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.7.3 Prosedur Penanganan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee

:Agung Sukmono (Manajer Operasional) Tabel 4.57 Analisa Temuan Audit Pada A.10.7.3


Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, belum ada ISO/IEC prosedur secara tertulis yang dibuat untuk 27001:2005 : melakukan pengolahan data rekaman CCTV yang dibuat. Namun, secara teknis pengolahan data rekaman CCTV sudah dilakukan dan kemudian hasilnya diberikan kepada pihak Bank XYZ selaku customer pada Proyek CCTV. Hasil audit ini termasuk kategori temuan major karena pada

Not Comply A.10.7.3

(Major)

102 annex ini dibutuhkan prosedur secara tertulis tentang pengolahan data agar keamanan data dapat terlindungi dan mencegah terjadinya modifikasi pada data rekaman CCTV. Analisa Penyebab: PT. AGIT belum membuat prosedur secara tertulis mengenai pengolahan data rekaman CCTV, tetapi secara teknis sudah dilakukan. Saran Tindakan Perbaikan :

Target Selesai:

Membuat prosedur secara tertulis mengenai pengolahan data rekaman CCTV agar tahap-tahap yang dilakukan dalam

Minggu ke 3, bulan

pengolahan data rekaman CCTV menjadi lebih jelas sehingga

Maret 2014

mengurangi

kesalahan

yang

mungkin

terjadi

dan

dapat

mengetahui pada tahap mana kesalahan terjadi.

A.10.7.4 Keamanan Dokumentasi Sistem Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee

:Agung Sukmono (Manajer Operasional) Tabel 4.58 Analisa Temuan Audit Pada A.10.7.4 Persyaratan


Kategori Temuan:

Berdasarkan audit yang dilakukan, sudah ada tools ISO/IEC yang digunakan untuk mendokumentasikan sistem 27001:2005 : pada saat digunakan oleh pengguna. Dimana terdapat

Event

menggunakan

Viewer Windows

pada untuk

server

yang

menangani

dokumentasi terhadap sistem. Sedangkan pada kamera terdapat Firmware yang dapat melakukan Log untuk dokumentasi akses pada kamera. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini.

A.10.7.4

Comply


Target Selesai:


-


A.10.8 Pertukaran Informasi A.10.8.1 Kebijakan Dan Prosedur Pertukaran Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, belum ada ISO/IEC kebijakan dan prosedur yang dibuat untuk 27001:2005 : melakukan pertukaran data rekaman CCTV. Pertukaran data rekaman CCTV berdasarkan pada kesepakatan yang dibuat oleh kedua belah pihak.

Comply A.10.8.1

(Minor)

Pertukaran video hasil rekaman CCTV dikirimkan menggunakan Flash Disk kepada pihak Bank XYZ. Analisa Penyebab: PT. AGIT dan pihak Bank XYZ tidak membuat kebijakan dan prosedur mengenai pertukaran data rekaman CCTV, namun hanya berdasarkan kesepakatan saja. Saran Tindakan Perbaikan :

Target Selesai:

Membuat kebijakan dan prosedur yang memuat tentang pertukaran data rekaman kamera CCTV agar kesepakatan yang Minggu ke 3, bulan sudah dibuat oleh kedua belah pihak dapat lebih diperjelas dengan adanya kebijakan dan prosedur yang dibuat.

Maret 2014

104 A.10.8.2 Kesepakatan Pertukaran Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee




Kategori Temuan:

Berdasarkan audit yang dilakukan, sudah ada ISO/IEC kesepakatan dan kontrak yang dibuat oleh kedua 27001:2005 : belah pihak mengenai pertukaran data rekaman CCTV. Dimana pertukaran video hasil rekaman CCTV dilakukan menggunakan Flash

Disk.

A.10.8.2

Comply

Setelah Flash Disk diberikan kepada pihak Bank XYZ, video rekaman CCTV yang berada di dalam Flash Disk harus dihapus sebelum dikembalikan kepada bagian OMC (Operation Monitoring Center). Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.8.3 Transportasi Media Fisik Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

105 Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, Flash Disk ISO/IEC yang digunakan sebagai media pertukaran data 27001:2005 : rekaman CCTV belum cukup aman. Hasil audit pada

annex

majorkarena

ini

termasuk

dapat

penyalahgunaan

kategori

temuan

akses

ilegal,

terjadi

atau

perubahan

Not Comply A.10.8.3

(Major)

selama

pertukaran berlangsung. Analisa Penyebab: PT. AGIT dan pihak Bank XYZ tidak membuat prosedur secara tertulis mengenai keamanan media yang digunakan pada pertukaran informasi, namun hanya berdasarkan kesepakatan saja. Saran Tindakan Perbaikan :

Target Selesai:

− Membuat password di dalam Flash Disk yang digunakan untuk membatasi akses penggunan media tersebut. − Memastikan komputer yang digunakan telah aman dari

Minggu ke 3, bulan Maret 2014

virus dan terdapat anti virus di dalamnya.

A.10.8.4 Pesan Elektornik Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee

: Agung Sukmono (Manajer Operasional) Tabel 4.62Analisa Temuan Audit Pada A.10.8.4


Persyaratan

Kategori Temuan:

106 Berdasarkan audit yang dilakukan, pada Proyek ISO/IEC CCTV

Pada

Bank

XYZ

tidak

terdapat 27001:2005 :

kesepakatan untuk melakukan pertukaran data rekaman CCTV melalui e-mail atau instant messenger, melainkan menggunakan Flash Disk.

A.10.8.4

NA

Hal tersebut untuk mengurangi risiko data ilegal, kode berbahaya, dan akses ilegal yang mungkin timbul pada saat pertukaran data terjadi. Analisa Penyebab: Kapasitas yang ada pada e-mail atau instant messenger tidak menunjang kapasitas data rekaman CCTV yang akan dikirimkan. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan pada

-

hasil audit ini karena persyaratan pada A.10.8.4 tidak berlaku pada Proyek CCTV Pada Bank XYZ.

A.10.8.5 Sistem Informasi Bisnis Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, belum ada ISO/IEC kebijakan dan prosedur yang dibuat untuk 27001:2005 : pertukaran data rekaman CCTV antara bagian OMC dengan Bagian Hepldesk. Hasil audit pada annex ini termasuk kategori temuan major karena integritas dan keakuratan data rekaman CCTV selama pertukaran berlangsung belum terjamin keamanannya.

Not Comply A.10.8.5

(Major)

107 Analisa Penyebab: PT. AGIT belum memiliki fokus terhadap SMKI pada proyek CCTV yang dijalankan sehingga belum adanya kebijakan dan prosedur tentang pertukaran data rekaman CCTV antara bagian OMC dengan bagian Helpdesk. Saran Tindakan Perbaikan :

Target Selesai:

Membuat kebijakan dan prosedur yang memuat tentang pertukaran data rekaman CCTV agar kesepakatan yang sudah

Minggu ke 3, bulan

dibuat oleh kedua belah pihak dapat lebih diperjelas dengan

Maret 2014

adanya kebijakan dan prosedur yang dibuat dan kemanan data rekaman CCTV menjadi terjamin. A.10.9 Layanan E-Commerce A.10.9.1 E-Commerce Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, pada proyek ISO/IEC CCTV yang dijalankan oleh PT. AGIT tidak 27001:2005 : menerapkan E-Commerce.

A.10.9.1

NA

Analisa Penyebab: PT. AGIT ingin meminimalisir kerentanan akses ilegal dan data ilegal yang mungkin timbul dari penerapan E-Commerce. Saran Tindakan Perbaikan :

Target Selesai:


A.10.9.2 Transaksi Online

-


: 23 Desember 2013

Auditor

: Tria Yulita

Auditee




Kategori Temuan:

Berdasarkan audit yang dilakukan, hasil audit ini ISO/IEC mengacu pada A.10.9.1 yang telah menjelaskan 27001:2005 : bahwa pada Proyek CCTV Pada Bank XYZ tidak diterapkan

E-Commerce

sehingga

tidak

ada

A.10.9.2

NA

transaksi online yang dilakukan terkait dengan pertukaran data rekaman CCTV. Analisa Penyebab: PT. AGIT tidak menerapkan E-Commerce sehingga tidak ada transaksi online yang dilakukan terkait dengan pertukaran data rekaman CCTV. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.9.3 Informasi Yang Tersedia Di Publik Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee




Kategori Temuan:

Berdasarkan audit yang dilakukan, tidak ada ISO/IEC publikasi data rekaman CCTV secara umum, 27001:2005 : melainkan hanya dilakukan pada internal Proyek PemasanganCCTV saja. Dimana hasil audit ini

A.10.9.3

NA

mengacu pada A.10.9.1 yang telah menjelaskan bahwa Proyek CCTV tidak menerapkan ECommerce. Analisa Penyebab: PT. AGIT tidak menerapkan E-Commerce sehingga tidak ada publikasi data rekaman CCTV kepada khalayak umum, hanya dilakukan pada internal proyek saja. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.10 Pengawasan A.10.10.1 Pembukuan Audit Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee

: Agung Sukmono (Manajer Operasional) Tabel 4.67Analisa Temuan Audit Pada A.10.10.1


Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, pada Proyek ISO/IEC CCTV Pada Bank XYZ telah dilakukan audit 27001:2005 : operasional dengan menggunakan suatu standar internasional yaitu ISO 20000. Hasil temuan audit ISO 20000 pada bulan Juli sudah ditutup dan disimpan oleh Business Planning and Quality Management (divisi diluar dari bagian proyek

A.10.10.1

Comply

110 CCTV) dan hasil temuan audit tersebut dilaporkan kepada Direktur. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.10.2 Pengawasan Terhadap Kegunaan Sistem Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, sudah ada ISO/IEC peninjauan yang dilakukan terhadap sistem yang 27001:2005 : digunakan pada Proyek CCTV Pada Bank XYZ oleh Manajer Operasional melalui NMS (Network

A.10.10.2

Comply

Monitoring System) untuk kegiatan operasional pemantauan CCTV. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


A.10.10.3 Perlindungan Pembukuan Informasi

-


: 23 Desember 2013

Auditor

: Tria Yulita

Auditee




Kategori Temuan:

Berdasarkan audit yang dilakukan, hasil temuan ISO/IEC audit disimpan dan di dokumentasi oleh Business 27001:2005 : Planning and Quality Management (divisi diluar dari bagian Proyek CCTV) sehingga hal tersebut

A.10.10.3

NA

berada di ruang lingkup operasional Proyek CCTV Pada Bank XYZ. Analisa Penyebab: Back-up dan dokumentasi hasil temuan audit berada di luar ruang lingkup operasional Proyek CCTV Pada Bank XYZ. Saran Tindakan Perbaikan :

Target Selesai:

Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A.10.10.3 tidak berlaku

-

dalam Proyek CCTV Pada Bank XYZ.

A.10.10.4 Pembukuan Administrator Dan Operator Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee


112 Tabel 4.70 Analisa Temuan Audit Pada A.10.10.4 Analisa Temuan Audit:

Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, kegiatan ISO/IEC pada sistem administator dan sistem operator 27001:2005 : pada operasional Proyek CCTV Pada Bank XYZ telah tercatat di dalam sistem secara

A.10.10.4

Comply

otomatis. Log yang mencatat segala kegiatan yang dilakukan dapat dilihat pada Event Viewer yang telah tersedia pada Windows. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


-


A.10.10.5 Pembukuan Kesalahan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, sudah ada ISO/IEC pencatatan kesalahan yang terjadi pada 27001:2005 : sistem. Semua kesalahan akan tercatat di Log

A.10.10.5

Comply

yang ada pada Event Viewer. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:

113 Tidak ada saran yang diajukan untuk tindakan perbaikan -

karena proses operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.10.10.5.

A.10.10.6 Penyelarasan Waktu Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Tria Yulita

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, sudah ada ISO/IEC penyelarasan

waktu

pada

sistem

yang 27001:2005 :

digunakan untuk proses operasional Proyek CCTV Pada Bank XYZ. NTP (Network Time

A.10.10.6

Comply

Protocol) digunakan untuk menyelaraskan waktu pada semua sistem yang mengacu pada satu server. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai:


dilakukan

sudah

memenuhi

persyaratan

A.10.10.6.

• A.11 Pengendalian Akses A.11.1 Kebutuhan Bisnis Pada Pengendalian Akses A.11.1.1 Kebijakan Pengendalian Akses

pada

-


: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, PT. AGIT ISO/IEC tidak

memiliki

mengendalikan

kebijakan

akses

pada

untuk 27001:2005 :

operasional

CCTV. Namun, pengendalian akses pada Proyek CCTV Pada Bank XYZ sudah

Not Comply A.11.1.1

(Major)

dilakukan secara teknis. Hasil audit pada annex ini termasuk kategori temuan major karena dapat terjadi akses ilegal yang dilakukan oleh pihak yang tidak berwenang. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat ketentuan secara tertulis mengenai kebijakan terhadap pengendalian akses pada sistem informasi pemantauan CCTV. Saran Tindakan Perbaikan : PT.

AGIT

seharusnya

membuat

Target Selesai : kebijakan

untuk

pengendalian akses yang dilakukan oleh karyawan dalam

Minggu ke 3, bulan Maret 2014

mengakses sistem informasi pemantauan CCTV.

A.11.2 Manajemen Akses Pengguna A.11.2.1 Registrasi Pengguna Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee


115 Tabel 4.74 Analisa Temuan Audit Pada A.11.2.1 Analisa Hasil Audit :

Persyaratan

Kategori Temuan :

Berdasarkan audit yang dilakukan, tidak ada ISO/IEC prosedur dan administrasi secara formal yang 27001:2005 : terkait dengan registrasi pengguna untuk mengakses sistem informasi pemantauan CCTV karena tidak ada pihak luar yang

Not Comply A.11.2.1

(Minor)

diberikan akses ke sistem informasi CCTV, tetapi hanya pihak internal proyek saja. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat ketentuan secara tertulis mengenai prosedur dan registrasi pengguna pada sistem informasi pemantauan CCTV. Saran Tindakan Perbaikan :

Target Selesai :

PT. AGIT seharusnya membuat prosedur yang menyatakan bahwa setiap karyawan harus melakukan registrasi secara formal untuk mengakses sistem informasi pemantauan Minggu ke 3, bulan CCTV, yang kemudian akan disetujui oleh pihak manajemen

Maret 2014

bahwa karyawan yang sudah melakukan registrasi dapat mengakses sistem informasi pemantauan CCTV tersebut.

A.11.2.2 Manajemen Hak Istimewa Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Berdasarkan audit yang dilakukan, tidak ada ISO/IEC hak istimewa yang diberikan secara formal 27001:2005 :

Kategori Temuan:

116 oleh

manajemen

PT.

AGIT

kepada

A.11.2.2

NA

karyawan dan customer. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat ketentuan hak istimewa. Saran Tindakan Perbaikan :

Target Selesai :


-


A.11.2.3 Manajemen Kata Sandi Pengguna Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan hasil audit yang dilakukan,sudah ISO/IEC terdapat ketentuan terhadap penggunaan kata 27001:2005 : sandi. Dimana sudah terdapat kriteria dalam penggunaan kata sandi yaitu terdiri dari8

A.11.2.3

Comply

digit yang mengandunghuruf A-a, angka, dan tanda baca. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-

117

A.11.2.4 Tinjauan Hak Akses Pengguna Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang telah dilakukan, ISO/IEC belum ada peninjauan yang dilakukan secara 27001:2005 : rutin terhadap penggunaan kata sandi yang digunakan oleh setiap karyawan pada Proyek

Comply A.11.2.4

(Observation)

CCTV Pada Bank XYZ. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum dilakukannya peninjauan terhadap penggunaan kata sandi untuk mengakses sistem informasi pemantauan CCTV. Saran Tindakan Perbaikan :

Target Selesai :

Manajemen PT. AGIT harus melakukan peninjauan terhadap penggunaan kata sandi tersebut apakah sudah sesuai dengan

Minggu ke 3, bulan

kriteria kata sandi yang sudah diberikan perusahaan kepada

Maret 2014

karyawan.

A.11.3 Tanggung Jawab Pengguna A.11.3.1 Penggunaan Kata Sandi


: 23 Desember 2013

Auditor

: Dessy Liana

Auditee


Analisa Temuan Audit :

Kategori Temuan:

Berdasarkan hasil audit yang telah dilakukan, ISO/IEC sudah

terdapat

sistem

yanngmemantau 27001:2005 :

kesesuaian kata sandi terhadap kriteria yang sudah ada.

A.11.3.1

Comply

Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ

-

yang dilakukan sudah memenuhi persyaratan pada A.11.3.1.

A.11.3.2 Peralatan Pengguna Yang Tidak Dalam Pengawasan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Berdasarkan hasil audit yang telah dilakukan, ISO/IEC PT. AGIT sudah melakukan pencegahan 27001:2005 : terhadap karyawan yang tidak berhak dalam pengaksesan sistem informasi tertentu dengan

Kategori Temuan:

119 cara pengamanan fisik (ruangan yang terpisah, A.11.3.2

harus tapping dan memasukkan kata sandi

Comply

karyawan pada saat ingin memasuki ruangan tertentu) dan juga pemakaian jaringan V-LAN yang

dapat

menjaga

kerahasiaan

sistem

informasi PT. AGIT tersebut. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank

-

XYZ sudah memenuhi persyaratan pada A.11.3.2.

A.11.3.3 Kebijakan Clear Desk Dan Clear Screen Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, PT. AGIT ISO/IEC belum membuat dan mengimplementasikan 27001:2005 : kebijakan mengenai clear screen dan desk policy. Hasil audit pada annex ini termasuk kategori temuan major karena tidak ada

Not Comply A.11.3.3

(Major)

dokumen secara tertulis maupun aktivitas yang dilaksanakan mengenai clear screen dan desk policy. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang

120 dijalankan sehingga belum terdapat kebijakan mengenai clear screen dan desk policy pada setiap karyawannya. Saran Tindakan Perbaikan :

Target Selesai :

Manajemen PT. AGIT seharusnya membuat kebijakan yang tertulis mengenai clear screen dan desk policy. Setelah itu, setiap

karyawan

harus

mengimplementasikan

kebijakan Minggu ke 3, bulan

tersebut agar dokumen-dokumen penting yang ada pada

Maret 2014

computer / desktop dan juga meja kerja tidak disalah gunakan oleh orang lain yang tidak berkepentingan.

A.11.4 Pengendalian Akses Jaringan A.11.4.1 Kebijakan Pada Penggunaan Layanan Jaringan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, tidak ISO/IEC terdapat kebijakan mengenai penggunaan 27001:2005 : layanan jaringan walaupun layanan jaringan yang digunakan tidak diperuntukkan untuk Not Comply

organisasi lain dan orang lain, hanya di dalam organisasi saja. Hasil audit ini pada annex ini

A.11.4.1

(Major)

termasuk kategori temuan major karena diharuskan adanya prosedur secara tertulis untuk melindungi jaringan yang digunakan. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat kebijakan mengenai penggunaan layanan

121 jaringan. Saran Tindakan Perbaikan :

Target Selesai :

Manajemen PT. AGIT seharusnya membuat kebijakan mengenai penggunaan layanan jaringan, supaya dapat mengetahui siapa saja yang dapat menggunakan layanan

Minggu ke 3, bulan

jaringan dan untuk keperluan apa saja mereka menggunakan

Maret 2014

layanan jaringan tersebut.

A.11.4.2 Pembuktian Pengguna Pada Hubungan Eksternal Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, hubungan ISO/IEC ekternal

dan

jaringan

perusahaan

sudah 27001:2005 :

terotentikasi dengan jaringan VPN IP karena dengan

VPN

IP

maka

jaringan

sudah

A.11.4.2

Comply

terotentikasi siapa saja pihak yang dapat mengakses data tersebut. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.11.4.2

A.11.4.3 Identifikasi Peralatan Dalam Jaringan

-


: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, equipment ISO/IEC identification tidak termasuk dalam ruang 27001:2005 : lingkup operasional CCTV, ruang lingkup ini

A.11.4.3

NA

untuk penyedia layanan jaringan. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat kebijakan mengenai equipment identification dalam jaringan yang digunakan. Saran Tindakan Perbaikan :

Target Selesai :


-

pada Proyek CCTV Pada Bank XYZ.

A.11.4.4 Perlindungan Diagnostik Jarak Jauhdan Pusat Konfigurasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



audit

yang

dilakukan, ISO/IEC

pengendalian terhadap port atau jaringan 27001:2005 : yang dapat menghubungkan kamera CCTV

Kategori Temuan:

123 dengan pusat monitoring sudah ada, tetapi karena jaringan tersebut menggunakan V-

A.11.4.4

Comply

LAN yang merupakan jaringan khusus, maka port nya tidak ditetapkan karena tidak memakai internet sehingga tidak ada IP address dan port. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada

-

Bank XYZ sudah memenuhi persyaratan pada A.11.4.4

A.11.4.5 Pembagian Jaringan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, PT. AGIT ISO/IEC telah melakukan pembagian jaringan yang 27001:2005 : akan

digunakan

pada

setiap

karyawan,

walaupun terdapat pada satu switch tetapi beda

V-LAN.

Sehingga

karyawan yang

terdapat pada V-LAN yang berbeda tidak bisa saling mengakses.

A.11.4.5

Comply

124 Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank

-

XYZ sudah memenuhi persyaratan pada A.11.4.5

A.11.4.6 Pengendalian Koneksi Jaringan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee


Tabel 4.86 Analisa Temuan Audit Pada A.11.4.6 Analisa Temuan Audit :

Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, PT. AGIT ISO/IEC sudah

melakukan

pengendalian

terhadap 27001:2005 :

koneksi jaringan menggunakan managable switch (layer 3) yang digunakan untuk

A.11.4.6

Comply

mengelola koneksi jaringan yang digunakan perusahaan agar keamanan jaringan lebih terjamin Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-

125 A.11.4.7 Pengendalian Pengiriman Jaringan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



audit

yang

Kategori Temuan:

dilakukan, ISO/IEC

pengendalian terhadap penggunaan router 27001:2005 : tersebut bukan ruang lingkup dari operasional tetapi ruang lingkup dari penyedia layanan

A.11.4.7

NA

jaringan. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat kebijakan mengenai pengendalian terhadap penggunaan router. Saran Tindakan Perbaikan :

Target Selesai :


-


A.11.5 Pengendalian Akses Sistem Operasi A.11.5.1 Prosedur Masuk Yang Aman Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan:

126 Berdasarkan audit yang dilakukan, prosedur ISO/IEC Secure Log-on telah diterapkan untuk masuk 27001:2005 : ke OS di dalam fasilitas pengolahan data rekaman CCTV. Secure Log-on terdapat pada

Comply A.11.5.1

(Minor)

setiap OS server dan aplikasi yang digunakan, tetapi untuk prosedur tersebut tidak tertulis dan hanya dilakukan saja. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat prosedur secara tertulis mengenai Secure Log-on pada OS server dan aplikasi yang digunakan. Saran Tindakan Perbaikan :

Target Selesai :

Manajemen PT. AGIT seharusnya mendokumentasikan atau membuat prosedur tersebut secara tertulis dan disetujui oleh pihak manajemen agar penggunaan Secure Log-on pada setiap

Minggu ke 3, bulan

OS server dan aplikasi dapat tercegah dari akses ilegal

Maret 2014

terhadap OS server dan aplikasi yang sedang digunakan dalam fasilitas pengolahan informasi di dalam perusahaan.

A.11.5.2 Identifikasi Dan Pembuktian Pengguna Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang telah dilakukan, dalam ISO/IEC mengakses OS server dan aplikasi setiap 27001:2005 : karyawan atau pengguna tidakmemiliki ID masing-masing. Karena hanya satu orang yang bisa mengakses yaitu sistem spesialis. CCTV

Comply A.11.5.2

(Observation)

127 tidak dilakukan pemantauan selama 24 jam tetapi 8 jam sehari dalam seminggu. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat kebijakan mengenai penggunaan ID untuk setiap masing-masing karyawan dalam mengakses sistem informasi pemantauan CCTV. Saran Tindakan Perbaikan : Manajemen

PT.

AGIT

seharusnya

Target Selesai : telah

menetapkan

penggunaan masing-masing ID karyawan pada saat mengakses sistem informasi pemantauan CCTV agar manajemen PT.

Minggu ke 3,

AGIT dapat mengidentifikasi setiap karyawan atau pengguna

bulan Maret 2014

dalam pengaksesan yang akan dilakukan pada sistem informasi pemantauan CCTV.

A.11.5.3 Manajamen Kata Sandi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan hasil audit yang telah dilakukan, ISO/IEC A.11.5.3 ini mengacu pada A.11.3.1 yang 27001:2005 : menyatakan bahwa sudah terdapat sistem manajemen yang memantau kesesuaian kata sandi terhadap kriteria yang sudah ada. Analisa Penyebab : Tidak ada analisa penyebab pada hasil audit ini.

A.11.5.3

Comply


Target Selesai :

Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ

-

sudah memenuhi persyaratan pada A.11.5.3

A.11.5.4 Kegunaan Utilitas Sistem Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan :

Berdasarkan audit yang dilakukan, penggunaan ISO/IEC program yang dapat menghapus file-file sistem 27001:2005 : terhadap aplikasi dapat dikendalikan dengan mengatur setting pada aplikasi NAS. Aplikasi NAS merupakan sebuah aplikasi yang dapat menampung data yang sudah berjangka waktu 6

bulan

pada

aplikasi

NVR.

A.11.5.4

Comply

Masa

penampungan data pada aplikasi NAS tersebut memiliki jangka waktu 1-2 bulan yang kemudian data hasil rekaman akan terhapus dengan sendirinya. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-

129 A.11.5.5 Sesi Time-Out Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



audit

yang

telah

Kategori Temuan:

dilakukan, ISO/IEC

Session - time out pada aplikasi operasional 27001:2005 : CCTV yang digunakan dalam pemantauan CCTV telah diterapkan yaitu selama 5 menit untuk semua komputer dan server apabila komputer dalam keadaan idle. Setelah session -

A.11.5.5

Comply

time out pada komputer dan server tersebut sudah terjadi, maka karyawan harus melakukan log in ulang pada komputer dan server tersebut. Tidak berlaku untuk aplikasi monitoring. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.11.5.6 Pembatasan Waktu Koneksi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee




Kategori Temuan:

Berdasarkan audit yang telah dilakukan, tidak ISO/IEC ada batas waktu pengaksesan pada aplikasi 27001:2005 : pemantauan CCTV karena aplikasi yang digunakan tidak memerlukan remote yang digunakan untuk mengakses remote host agar dapat

login

pada

sebuah

aplikasi

A.11.5.6

NA

yang

menggunakan layanan internet. Aplikasi untuk pemantauan CCTV ini terus menerus diakses sehingga tidak ada batasan pengaksesannya. Analisa Penyebab : Aplikasi pemantaun CCTV tidak menggunakan layanan internet sehingga tidak ada batas waktu dalam pengaksesan aplikasi tersebut. Saran Tindakan Perbaikan :

Target Selesai :


-


A.11.6 Pengendalian Akses Aplikasi Dan Informasi A.11.6.1 Pembatasan Akses Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, PT. AGIT ISO/IEC telah

melakukan

pembatasan

/

proteksi 27001:2005 :

terhadap pengaksesan data rekaman CCTV,

Comply

131 tetapi tidak ada kebijakan pengendalian akses

A.11.6.1

(Minor)

secara tertulis. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV yang dijalankan sehingga belum terdapat kebijakan mengenai pengendalian akses secara tertulis. Saran Tindakan Perbaikan :

Target Selesai :

Walaupun PT. AGIT sudah melakukan pembatasan/proteksi terhadap pengaksesan data rekaman CCTV, namun akan lebih

Minggu ke 3, bulan

baik apabila terdapat kebijakan secara tertulis mengenai

Maret 2014

pengaksesan data rekaman CCTV tersebut. Agar data rekaman dapat terjaga dari akses yang tidak sah.

A.11.6.2 Isolasi Sistem Yang Sensitif Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, PT. AGIT ISO/IEC sudah melakukan isolasi terhadap sistem yang 27001:2005 : digunakan yaitudengan menggunakan V-LAN yang tidak terkoneksi dengan jaringan lainnya. Agar keamanan data rekaman CCTV dapat terjaga. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini.

A.11.6.2

Comply


Target Selesai :


-


A.11.7.1 Mobile Computing Dan Komunikasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, PT. AGIT ISO/IEC tidak ada kebijakan formal yang ditetapkan 27001:2005 : untuk melakukan pekerjaan dengan melakukan fasilitas komunikasi di luar perusahaan. Karena aplikasi

memang

tidak

di

desain

A.11.7.1

NA

untuk

terhubung ke jaringan internet. Analisa Penyebab : Dalam menggunakan aplikasi pemantauan CCTV tersebut PT. AGIT tidak terhubung dengan jaringan internet sehingga karyawan tidak dapat melakukan pekerjaan dengan melakukan fasilitas komunikasi di luar perusahaan. Saran Tindakan Perbaikan :

Target Selesai :


-


A.11.7.2 Teleworking Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

133 Tanggal Audit

: 23 Desember 2013

Auditor

: Dessy Liana

Auditee



Kategori Temuan:

Berdasarkan audit yang telah dilakukan, PT. ISO/IEC AGIT

tidak

menentukan

kebijakan

dan 27001:2005 :

prosedur mengenai teleworking. Karena PT. AGIT tidak memberikan kebijakan untuk setiap

karyawan

melakukan

A.11.7.2

NA

pekerjaan

menggunakan teleworking. Analisa Penyebab : PT. AGIT tidak memberikan kebijakan kepada karyawan untuk melakukan pekerjaan diluar perusahaan/teleworking. Saran Tindakan Perbaikan :

Target Selesai :


-


• A.12 Perolehan, Pengembangan, dan Pemeliharaan Sistem Informasi A.12.1 Persyaratan Keamanan Pada Sistem Informasi A.12.1.1 Analisis dan Spesifikasi Persyaratan Keamanan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Berdasarkan audit yang dilakukan, persyaratan ISO/IEC keamanan sudah dijalankan secara teknis di 27001:2005 :

Kategori Temuan:

134 lingkungan

kerja.

Setiap

karyawan

mendapatkan pengarahan dan bimbingan awal

A.12.1.1

Comply

mengenai ketentuan persyaratan keamanan pada saat proyek akan dimulai. Analisa Penyebab : Tidak ada analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.12.2 Pemrosesan Yang Benar Di Dalam Aplikasi A.12.2.1 Validasi Data Input Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



audit

yang

dilakukan,

Kategori Temuan:

telah ISO/IEC

terdapat dokumen CCTV Configuration Design 27001:2005 : Checklist untuk melakukan instalasi pada kamera CCTV sehingga proses memasukkan data pada saat melakukan instalasi kamera CCTV dapat dilakukan dengan baik sesuai dengan prosedur yang berlaku. Namun, instalasi jaringan merupakan di luar ruang lingkup

A.12.2.1

Comply

135 Proyek CCTV karena dilakukan oleh pihak penyedia layanan jaringan. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses implementasi Proyek CCTV Pada Bank XYZ

-


A.12.2.2 Pengendalian Pengolahan Internal Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, setiap data ISO/IEC rekaman CCTV yang sudah ada telah dilengkapi 27001:2005 : dengan Time Stamp untuk memastikan bahwa

A.12.2.2

Comply

data yang ada sesuai dengan waktu rekaman. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ sudah

-

memenuhi persyaratan pada A.12.2.2.

A.12.2.3 Integritas Pesan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

136 Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee


Analisa Hasil Audit : Berdasarkan dilakukan

audit

yang

random

dilakukan,

sampling

test

Kategori Temuan:

telah ISO/IEC untuk 27001:2005 :

memastikan bahwa seluruh data yang tersimpan

A.12.2.3

Comply

di NVR dapat dipertanggung jawabkan di dalam laporan bulanan. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.12.2.4

Validasi Data Output

Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee


Analisa Hasil Audit : Berdasarkan terdapat

audit

proses

yang yang

dilakukan, dapat

Kategori Temuan:

tidak ISO/IEC

memastikan 27001:2005 :

keakuratan data. Namun, karena teknologi streaming maka data yang dikirimkan adalah data real time yang sama dengan kondisi di lapangan (sudut pandang kamera).

12.2.4

Comply

137 Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.12.3 Pengendalian Kriptografi A.12.3.1 Kebijakan Dalam Penggunaan Pengendalian Kriptografi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



audit

yang

dilakukan,

Kategori Temuan :

belum ISO/IEC

terdapat kebijakan secara tertulis yang mengatur 27001:2005 : penggunaan kriptografi di dalam Proyek CCTV Pada Bank XYZ. Namun, penggunaan kriptografi telah dilaksanakan secara teknis oleh setiap

Not Comply 12.3.1

(Minor)

karyawan untuk melindungi informasi pada data rekaman CCTV. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat kebijakan secara tertulis yang mengatur penggunaan kriptografi dalam melindungi informasi yang terdapat pada data rekaman CCTV.


Target Selesai :

Membuat kebijakan secara tertulis yang mengatur penggunaan kriptografi untuk melindungi segala informasi yang terkait pada detail data rekaman CCTV sehingga setiap karyawan dapat menggunakan kebijakan tersebut sebagai pedoman dalam

Minggu ke 3, bulan

memahami ketentuan apa saja yang berlaku untuk melindungi

Maret 2014

informasi pada data rekaman CCTV dan memastikan bahwa data rekaman CCTV terjaga kerahasiaannya dari pihak-pihak yang tidak berkepentingan untuk mengakses data rekaman CCTV.

A.12.3.2 Manajemen Kunci Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, penggunaan ISO/IEC kriptografi telah mendapatkan dukungan dari 27001:2005 : manajamen

perusahaan.

Dukungan

dalam

penggunaan kriptografi tidak hanya spesifik pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ namun juga berlaku untuk seluruh kegiatan bisnis di perusahaan sehingga setiap karyawan telah menggunakan teknik ini untuk melindungi segala informasi penting perusahaan termasuk pada informasi data rekaman CCTV. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini.

12.3.2

Comply


Target Selesai :


-


A.12.4 Keamanan Dokumen Sistem A.12.4.1 Pengendalian Pada Perangkat Lunak Operasional Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee

: Agung Sukmono Tabel 4.105 Analisa Temuan Audit Pada A.12.4.1 Persyaratan

Analisa Hasil Audit : Berdasarkan audit yang dilakukan,

belum ISO/IEC

terdapat

untuk 27001:2005 :

prosedur

secara

tertulis

Kategori Temuan:

menginstalasi perangkat lunak yang digunakan pada Proyek CCTV Pada Bank XYZ. Namun, Not Comply

instalasi perangkat lunak telah dilakukan secara teknis sesuai dengan kebutuhan dan tujuan

A.12.4.1

(Major)

proyek ini. Hasil audit pada annex ini termasuk kategori

temuan

major

karena

dapat

menimbulkan risiko melakukan kesalahan yang dilakukan

oleh

Teknisi

dalam

melakukan

instalasi perangkat lunak CCTV baik disengaja maupun tidak disengaja. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat prosedur yang mengatur dalam melakukan instalasi perangkat lunak yang digunakan.


Target Selesai :

Membuat prosedur secara tertulis mengenai aturan dalam melakukan instalasi perangkat lunak yang digunakan di dalam Proyek CCTV Pada Bank XYZ sehingga Teknisi dapat

Minggu ke 3, bulan

menjadikan prosedur tersebut sebagai pedoman dalam melakukan

Maret 2014

instalasi perangkat lunak yang butuhkan dan dapat mencegah tindakan ilegal yang dapat dilakukan oleh Teknisi dalam melakukan instalasi tersebut.

A.12.4.2 Perlindungan Data Pengujian Sistem Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, pengujian ISO/IEC rekaman CCTV telah dilakukan setiap 6 bulan 27001:2005 : sekali pada lokasi tertentu secara acak. Pengujian rekaman CCTV ini dilakukan untuk memastikan bahwa kamera dapat merekam kejadian dengan baik dan benar sehingga dapat menghasilkan rekaman yang akurat dan terjamin keamanannya. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini.

A.12.4.2

Comply


Target Selesai :


-


A.12.4.3 Pengendalian Akses Pada Kode Sumber Program Departemen/Fungsi/Proses yang diaudit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, pembatasan ISO/IEC akses pada data rekaman CCTV telah dilakukan 27001:2005 : yaitu hanya Bagian OMC yang dapat mengakses data rekaman CCTV. Jika pihak Bank XYZ memerlukan data rekaman CCTV, maka pihak Bank XYZ tidak dapat mengakses data rekaman CCTV

secara

langsung

namun

A.12.4.3

Comply

harus

menghubungi Bagian OMC untuk meminta data rekaman

CCTV

yang

diperlukan

tersebut.

Kemudian Bagian OMC akan mengirimkan data rekaman CCTV kepada pihak Bank XYZ sesuai dengan permintaan. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.12.4.3.

-

142 A.12.5 Keamanan Pada Proses Pengembangan Dan Proses Pendukung A.12.5.1 Perubahan Prosedur Pengendalian Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, perubahan ISO/IEC yang terjadi pada sistem, aplikasi dan perangkat 27001:2005 : lunak termasuk pada perubahan manajemen perusahaan. Telah terdapat prosedur khusus untuk mengontrol jika terjadi perubahan pada sistem, aplikasi dan perangkat lunak operasional pemantauan CCTV yaitu dokumen Change

A.12.5.1

Comply

Request. Prosedur ini tidak hanya berlaku pada perubahan manajemen yang terjadi di dalam Proyek CCTV Pada Bank XYZ namun juga berlaku untuk setiap perubahan manajemen yang terjadi di perusahaan. Annex ini mempunyai tujuan pengendalian yang sama dengan annex A.10.1.2. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.12.5.2 Tinjauan Teknis Pada Aplikasi Setelah Perubahan Sistem Operasi


: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



audit

Persyaratan yang

dilakukan,

Kategori Temuan:

belum ISO/IEC

dilakukan tinjauan pada aplikasi yang digunakan 27001:2005 : dalam Proyek CCTV Pada Bank XYZ setelah perubahan OS (Operating System) karena belum pernah melakukan perubahan pada OS yang digunakan. Proyek ini masih baru dijalankan selama 18 bulan yaitu sejak Agustus 2012. OS

Not Comply A.12.5.2

(Minor)

yang digunakan saat ini adalah Windows XP. Windows XP dinilai masih memenuhi kriteria OS yang dibutuhkan dalam proyek ini sehingga belum ada pertimbangan untuk merubah OS yang digunakan.

Namun,

prosedur

UAT

(User

Acceptent Test) sudah dilakukan pada saat reconfiguration kamera. Analisa Penyebab : Proyek CCTV yang dijalankan oleh PT. AGIT merupakan proyek jangka menengah yaitu dijalankan selama 3 tahun sehingga belum dipertimbangkan untuk melakukan perubahan OS yang digunakan. Selain itu, perubahan atau pembaharuan OS memerlukan waktu yang cukup lama untuk mengimplementasikannya kembali serta biaya yang cukup besar jika dilakukan selama Proyek CCTV Pada Bank XYZ sedang berjalan. Saran Tindakan Perbaikan : Membuat perencanaan untuk melakukan pembaharuan pada OS yang digunakan untuk proyek selanjutnya karena dengan menggunakan OS dengan versi terbaru (misalnya Windows 7 atau Windows 8) maka aplikasi yang digunakan untuk proses

Target Selesai :

144 implementasi dan operasional CCTV dapat berjalan lebih modern

Minggu ke 3, bulan

dan sekaligus dapat mengetahui apakah versi terbaru tersebut

Maret 2014

mempunyai keunggulan dalam menyediakan layanan untuk perlindungan sistem dan informasi serta meningkatkan efisiensi dan efektivitas dalam pekerjaan. Selain itu, perlu juga dibuat prosedur yang dapat meninjau secara teknis mengenai aplikasi setelah perubahan atau pembaharuan OS yang nantinya akan dilakukan agar setiap karyawan dapat lebih memahami dan dapat menggunakan aplikasi dengan cara yang benar dan tertib.

A.12.5.3 Pembatasan Perubahan Paket Perangkat Lunak Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



audit

yang

Kategori Temuan :

dilakukan,sudah ISO/IEC

melakukan proses UAT (User Acceptence Test) 27001:2005 : pada perangkat lunak yang digunakan saat fase implementasi. dilakukan

jika

Perubahan diperlukan

perangkat sesuai

lunak

A.12.5.3

Comply

dengan

kebutuhan dan tujuan Proyek CCTV Pada Bank XYZ. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-

145 A.12.5.4 Kebocoran Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, pencegahan ISO/IEC terhadap kebocoran informasi dilakukan dengan 27001:2005 : pengamanan aset dan fasilitas secara fisik yaitu dengan menyediakan ruangan khusus untuk Server dan ruangan khusus untuk pemantauan CCTV yang hanya dapat diakses oleh Bagian OMC. Selain itu juga dengan penggunaan VLAN dan VPN IP sebagai jaringan komunikasi

A.12.5.4

Comply

pribadi antar karyawan yang tidak terhubung dengan internet sehingga hanya karyawan yang dapat memiliki akses ke dalam jaringan. Serta penggunaan NDA sebagai kontrak kerja antara karyawan dengan PT. AGIT yang memuat peraturan, ketentuan tertentu dan sanksi secara tertulis sesuai dengan Undang - Undang Negara Republik Indonesia. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


A.12.5.5 Pengembangan Perangkat Lunak Yang Di Outsource-kan

-


: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, belum terdapat ISO/IEC ketentuan (i.e. NDA, kontrak, perjanjian) yang 27001:2005 : membatasi pengembangan perangkat lunak oleh pihak luar karena pengembangan perangkat lunak

Not Comply A.12.5.5

(Major)

dilakukan oleh pihak principal perangkat (i.e. GPD, Vivotek). Hasil audit ini termasuk kategori temuan major karena dapat terjadi tindakan ilegal. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat ketentuan (i.e. NDA, kontrak, perjanjian) yang membatasi pengembangan perangkat lunak oleh pihak luar dan pengembangan perangkat lunak dilakukan oleh pihak principal perangkat. Saran Tindakan Perbaikan :

Target Selesai :

Membuat prosedur secara tertulis mengenai pengembangan perangkat lunak yang dilakukan oleh pihak luar untuk membatasi

Minggu ke 3, bulan

tindakan ilegal dan mengurangi kemungkinan kesalahan dalam

Maret 2014

melakukan pengembangan terhadap perangkat lunak yang digunakan.

A.12.6 Manajemen Teknis Kerentanan A.12.6.1 Pengendalian Terhadap Kerentanan Secara Teknis Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

147 Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, belum pernah ISO/IEC dilakukan pengujian dan penilaian terhadap 27001:2005 : kerentanan pada OS, jaringan dan aplikasi yang digunakan karena belum terdapat pengetahuan yang

memadai

mengenai

pengujian

dan

A.12.6.1

NA

penilaian tersebut. Tujuan annex ini juga memiliki tujuan pengendalian yang sama pada A.15.2.2 dan A.15.3.1. Analisa Penyebab : Belum terdapat pengetahuan atau aplikasi yang digunakan untuk menguji dan menilai kerentanan pada OS, jaringan dan aplikasi yang digunakan sehingga hal ini belum dilakukan oleh pihak perusahaan baik untuk Proyek CCTV Pada Bank XYZ atau untuk kegiatan lain di luar proyek ini. Saran Tindakan Perbaikan :

Target Selesai :


-


• A.13 Manajemen Insiden Keamanan Informasi A.13.1 Pelaporan Peristiwa dan Kelemahan Keamanan Informasi A.13.1.1 Pelaporan Peristiwa Keamanan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee


148 Analisa Temuan Audit :

Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, terdapat jalur ISO/IEC manajemen yang tepat dalam penyampaian 27001:2005 : laporan dan penanganan pada saat terjadi gangguan pada kamera CCTV di lapangan. Bagian OMC akan melaporkan gangguan kepada Bagian Helpdesk maksimal 5 menit setelah kejadian terjadi yaitu berdasarkan KPI (Key Performance

Indicator) yang dimiliki oleh

Bagian OMC. Kemudian Bagian Helpdesk juga

A.13.1.1

Comply

akan langsung menghubungi Teknisi untuk segera memeriksa memerlukan

gangguan

yang

pengaturan

terjadi

ulang

atau

apakah harus

dilakukan pergantian perangkat CCTV. Setelah gangguan selesai diperbaiki maka Teknisi akan mengkonfirmasi kepada Bagian Helpdesk dan Bagian OMC. Jalur manajemen ini telah tepat dilakukan untuk menangani gangguan dengan benar dan tepat waktu. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.13.1.2 Pelaporan Kelemahan Keamanan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee




Kategori Temuan:

Berdasarkan audit yang dilakukan, terdapat ISO/IEC ketentuan secara teknis untuk pelaporan dan 27001:2005 : penanganan terhadap gangguan pada sistem Helpdesk. Gangguan yang dapat terjadi pada sistem Helpdesk yaitu ketika sistem Helpdesk mengalami error dan tidak dapat mencatat setiap gangguan yang terjadi pada kamera maupun

A.13.1.2

Comply

jaringan CCTV. Bagian Helpdesk akan segera melaporkan kepada Teknisi melalui telepon, email atau BBM terhadap error yang terjadi pada

sistem

Helpdesk

tersebut

sekaligus

memberikan informasi kepada Bagian OMC bahwa sedang terjadi gangguan

pada sistem

Helpdesk.

Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.13.2 Manajemen Kejadian Keamanan Informasi Dan Pengembangannya A.13.2.1 Tanggung Jawab Dan Prosedur Kejadian Keamanan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee


150 Persyaratan


Kategori Temuan:

Berdasarkan audit yang dilakukan, telah terdapat ISO/IEC prosedur AG World untuk penanganan gangguan 27001:2005 : yang telah ditetapkan dengan efektif oleh setiap karyawan jika terjadi gangguan baik pada sistem Helpdesk maupun gangguan pada kamera CCTV.

A.13.2.1

Comply

Prosedur AG World berlaku untuk setiap anggota Proyek CCTV Pada Bank XYZ yaitu salah satu ketentuannya

agar

melaporkan

gangguan

maksimal 5 menit setelah kejadian terjadi. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.13.2.2 Belajar Dari Kejadian Keamanan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Berdasarkan audit yang dilakukan, evaluasi secara ISO/IEC rutin terhadap setiap kejadian pada Proyek CCTV 27001:2005 : Pada

Bank

XYZ

telah

dilakukan

dengan

pembuatan LBOP (Laporan Bulanan Operasional Proyek) oleh Manajer Operasional yang akan diberikan kepada pihak Bank XYZ. LBOP memuat detail data rekaman serta detail gangguan yang

Kategori Temuan:

151 pernah terjadi pada perangkat CCTV selama operasional

CCTV

berlangsung.

Manajer

Operasional juga mengadakan rapat bulanan

A.13.2.2

Comply

bersama pihak Bank XYZ untuk mengevaluasi kinerja Proyek CCTV mengenai jenis gangguan apa yang terjadi, seberapa sering gangguan terjadi, cara penanggulangannya serta biaya yang mungkin dibutuhkan untuk memperbaiki gangguan. Rapat bulanan

menghasilkan

MOM

(Minutes

of

Meeting). Rekaman MOM telah diperlihatkan kepada auditor. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.13.2.3 Pengumpulan Barang Bukti Pada Kejadian Keamanan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, pengumpulan ISO/IEC barang bukti dari setiap kejadian yang terjadi pada 27001:2005 : sistem akan tercatat di dalam Log yang ada pada Menu Event Viewer di Windows dan System Log yang ada pada perangkat kamera. Dari Menu Event Viewer dan System Log tersebut dapat

A.13.2.3

Comply

152 ditinjaun kegiatan apa saja yang telah dilakukan oleh pengguna secara detail sehingga jejak audit dapat dilakukan dengan benar ketika terjadi suatu gangguan atau tindakan ilegal yang mungkin dilakukan oleh karyawan. Detail Event Viewer dan System Log tersebut akan disimpan oleh Manajer Operasional sebagai barang bukti. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


• A.14 Manajemen Kelangsungan Bisnis (Business Continuity Management) A.14.1 Aspek Keamanan Informasi Pada Manajemen Kelangsungan Bisnis A.14.1.1 Memasukkan Keamanan Informasi Ke Dalam Proses Manajemen Kelangsungan Bisnis Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Berdasarkan audit yang dilakukan, Terdapat ISO/IEC dokumen SCP (Service Continuity Plan) yang 27001:2005 : dibuat untuk mengembangkan perlindungan pada

Kategori Temuan:

153 keamanan data rekaman CCTV dan merencanakan penanggulangan terhadap risiko yang mungkin terjadi selama Proyek CCTV Pada Bank XYZ berlangsung. SCP ini diharapkan dapat ditetapkan dan dikembangkan secara berkelanjutan untuk melindungi keamanan informasi terkait proyek ini. Dengan

dibuatnya

SCP

ini

juga

dapat

meminimalkan dampak yang mungkin terjadi

A.14.1.1

Comply

akibat gangguan yang muncul pada sistem operasional CCTV sehingga dapat meningkatkan kualitas pelayanan yang semakin baik kepada pihak Bank XYZ. Dengan adanya SCP maka kegiatan operasional proyek ini dipastikan dapat terus berjalan dengan efektif meskipun terdapat gangguan yang terkadang muncul pada sistem operasional Proyek CCTV Pada Bank XYZ. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.14.1.2 Kelangsungan Bisnis Dan Penilaian Risiko Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Berdasarkan audit yang dilakukan, penilaian ISO/IEC

Kategori Temuan:

154 risiko dilakukan dengan menggunakan Probability 27001:2005 : - Impact Matrix sehingga dapat mengetahui tingkat risiko yang mungkin

dihadapi. Pada

dokumen SCP (Service Continuity Plan) telah mencakup

definisi

perencanaan

risiko

tersebut

penanggulangan

sehingga

risiko

A.14.1.2

Comply

dapat

dijelaskan di dalam SCP. Hasil penilaian risiko pada

Probability

-

Impact

Matrix

telah

diperlihatkan kepada auditor. Annex ini mangacu pada A.14.1.1. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.14.1.3 Pengembangan Dan Pengimplementasian Rencana Kelangsungan Yang Meliputi Keamanan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, dokumen SCP ISO/IEC (Security Continuity Plan) sudah di sah kan 27001:2005 : berdasarkan pada standar ISO 20000 dimana semua

dokumen

sudah

diberi

nomor

dan

ditandatangani oleh pejabat PT. AGIT. Dokumen SCP juga sudah diimplementasikan di dalam

A.14.1.3

Comply

155 Proyek CCTV pada bulan Mei 2013 sehingga ketika

terjadi

situasi

abnormal,

kegiatan

operasional CCTV dapat terus berjalan. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.14.1.4 Kerangka Kerja Rencana Kelangsungan Bisnis Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee




audit

yang

dilakukan,

Kategori Temuan:

SCP ISO/IEC

Framework telah bersifat konsisten dan terpelihara 27001:2005 : dengan baik dengan memprioritaskan keamanan data rekaman CCTV sehingga SCP Framework

A.14.1.4

Comply

dapat dijadikan sebagai kerangka dan pedoman dalam pembuatan dokumen SCP selanjutnya. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-

156 A.14.1.5 Pengujian, Pemeliharaan, dan Pengkajian Ulang Pada Rencana Kelangsungan Bisnis Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Kategori Temuan :

Berdasarkan audit yang dilakukan, SCP untuk ISO/IEC Proyek CCTV Pada Bank XYZ dibuat pada bulan 27001:2005 : Mei 2013 dan baru akan dilakukan pengujiannya pada bulan Januari 2014 sehingga belum dapat dipastikan bahwa SCP dapat berjalan efektif di

Comply A.14.1.5

(Observation)

dalam proyek ini. SCP yang dibuat berdasarkan kemungkinan kelemahan pada sistem operasional, gangguan dan risiko yang terjadi. Analisa Penyebab : Proyek CCTV Pada Bank XYZ baru dimulai pada bulan Agustus 2012 sehingga pembuatan SCP dilakukan setelah proyek berjalan ketika kemungkinan kelemahan, gangguan dan risiko telah diidentifikasi. Saran Tindakan Perbaikan :

Target Selesai :

Segera dilakukan pengujian pada SCP agar dapat diketahui manfaat dari SCP yang telah dibuat bagi Proyek CCTV Pada Bank

Minggu ke 3, bulan

XYZ karena risiko bisa saja muncul secara tiba-tiba dan

Maret 2014

mengganggu proses berjalannya operasional CCTV.

• A.15 Kepatuhan A.15.1 Kepatuhan Terhadap Persyaratan Legal Hukum A.15.1.1 Identifikasi Undang-Undang Yang Dapat Di Aplikasikan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ

157 Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, tidak terdapat ISO/IEC hukum Undang - Undang Hak Cipta yang 27001:2005 : melindungi setiap data rekaman CCTV.

A.15.1.1

NA

Analisa Penyebab : Karena data rekaman hanya disimpan selama 6 bulan di dalam NVR dan kemudian ditransfer ke NAS selama 2 bulan setelah itu data rekaman tersebut akan dihapus dari database rekaman CCTV. Saran Tindakan Perbaikan :

Target Selesai :


-

Proyek CCTV Pada Bank XYZ. A.15.1.2 Hak Atas Kekayaan Intelektual Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, sudah terdapat ISO/IEC prosedur

mengenai

perangkat

lunak

yang 27001:2005 :

digunakan harus didapatkan secara legal. Dimana terdapat dokumen Security Compliance yang menyatakan

bahwa

seluruh

perangkat

kerjamaupun sistem yang diimplementasikan pada

A.15.1.2

Comply

158 proyek harus menggunakan perangkat lunak yang didapatkan secara legal. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.15.1.3 Perlindungan Dokumen Organisasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, hasil data ISO/IEC rekaman CCTV telah tersimpan pada Data 27001:2005 : Center. Dimana Data Center tersebut sudah terlindungi baik secara fisik maupun secara

A.15.1.3

Comply

sistem. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-

159 A.15.1.4 Perlindungan Data Dan Kerahasiaan Informasi Personal Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, Customer ISO/IEC Privacy Policy telah dilakukan pada Proyek CCTV 27001:2005 : Pada Bank XYZ yaitu dengan adanya NDA yang telah disetujui oleh tim proyek CCTV pada PT. AGIT, pihak Bank XYZ, dan penyedia layanan jaringan

sehingga

data

pelanggan

A.15.1.4

Comply

terjamin

keamanannya. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.15.1.5 Pencegahan Penyalahgunaan Fasilitas Pengolahan Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee


Analisa Temuan Audit : Berdasarkan

audit

yang

dilakukan,

sudah ISO/IEC

Kategori Temuan:

160 terpasang alat Proximity Access Card pada setiap 27001:2005 : pintu di area-area operasional pemantuan CCTV yaitu ruangan monitoring CCTV. Selain itu, Proximity Access Card juga terdapat pada ruangan

A.15.1.5

Comply

server untuk penyimpanan data rekaman CCTV serta

terdapat

kamera

CCTV

yang

dapat

memantau siapa saja yang memasuki area-area tersebut. Annex ini mengacu pada A.9.1.2 Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.15.1.6 Peraturan Pengendalian Kriptografi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, penggunaan ISO/IEC kriptografi pada data rekaman CCTV telah sesuai 27001:2005 : dengan peraturan perusahaan dan didukung oleh manajemen perusahaan sehingga setiap karyawan telah

menerapkan

teknik

kriptografi

untuk

melindungi kerahasiaan data rekaman CCTV. Annex ini mengacu pada tujuan pengendalian pada

A.15.1.6

Comply

161 A.12.3.2. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :


-


A.15.2 Kepatuhan Terhadap Kebijakan dan Standar Keamanan Dan Kepatuhan Teknis A.15.2.1 Kepatuhan Terhadap Kebijakan Dan Standar Keamanan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, belum terdapat ISO/IEC prosedur

secara

tertulis

mengenai

standar 27001:2005 :

keamananuntuk sistem informasi yang digunakan Not Comply

pada CCTV. Namun, perlindungan terhadap keamanan

sistem

dilaksanakan

secara

informasi teknis

CCTV yaitu

telah

A.15.2.1

(Major)

dengan

pengamanan aset dan fasilitas secara fisik dan penggunaan VPN IP sebagai jaringan komunikasi antar karyawan. Analisa Penyebab : PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat kebijakan secara tertulis yang menyediakan standar kemananan untuk sistem informasi yang digunakan pada CCTV. Saran Tindakan Perbaikan :

Target Selesai :

162 Membuat prosedur secara tertulis mengenai standar keamanan untuk melindungi sistem informasi pada CCTV agar setiap

Minggu ke 3, bulan

karyawan dapat menjadikan prosedur tersebut sebagai pedoman

Maret 2014

dalam melindungi sistem informasi.

A.15.2.2 Pemeriksaan Kepatuhan Teknis Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Kategori Temuan:

Berdasarkan audit yang dilakukan, belum pernah ISO/IEC dilakukan

pengujian

dan

penilaian

terhadap 27001:2005 :

kerentanan pada OS, jaringan dan aplikasi yang digunakan karena belum terdapat pengetahuan yang memadai

mengenai

pengujian

dan

penilaian

tersebut sehingga belum dapat dipastikan bahwa

A.15.2.2

NA

Proyek CCTV Pada Bank XYZ sudah memenuhi standar implementasi keamanan. Tujuan Annex ini juga memiliki tujuan pengendalian yang sama pada A.12.6.1 dan A.15.3.1. Analisa Penyebab : Belum pernah dilakukan pengujian dan penilaian terhadap kerentanan pada OS, jaringan dan aplikasi yang digunakan sehingga belum dapat dipastikan bahwa Proyek CCTV Pada Bank XYZ sudah memenuhi standar implementasi keamanan. Saran Tindakan Perbaikan :

Target Selesai :


-

163 A.15.3 Pertimbangan Audit Sistem Informasi A.15.3.1 Pengendalian Audit Sistem Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee



Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, belum pernah ISO/IEC dilakukan pengujian dan penilaian terhadap pada OS 27001:2005 : yang digunakan sehingga belum direncanakan mengenai syarat dan aktivitas audit yang diperlukan untuk memeriksa OS yang digunakan pada Proyek

A.15.3.1

NA

CCTV. Tujuan annex ini juga untuk pengendalian yang sama pada A.12.5.2 dan A.15.3.1. Analisa Penyebab : Belum pernah dilakukan pengujian dan penilaian terhadap pada OS yang digunakan selama Proyek CCTV Pada Bank XYZ berlangsung. Saran Tindakan Perbaikan :

Target Selesai :


-

Proyek CCTV.

A.15.3.2 Perlindungan Terhadap Peralatan Audit Sistem Informasi Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ Tanggal Audit

: 23 Desember 2013

Auditor

: Lusy Adesiany

Auditee


164 Analisa Hasil Audit :

Persyaratan

Kategori Temuan:

Berdasarkan audit yang dilakukan, peralatan yang ISO/IEC digunakan untuk mengaudit Proyek CCTV seperti 27001:2005 : laptop dan desktop telah disimpan dan di lindungi di secara aman di ruang terkunci. Dekstop yang digunakan oleh Bagian Helpdesk untuk memantau sistem Helpdesk telah disimpan dengan aman di ruangan khusus dan hanya Bagian Helpdesk yang

A.15.3.2

Comply

dapat menjangkau ruangan tersebut. Desktop yang digunakan oleh Bagian OMC untuk memantau berjalannya rekaman CCTV juga telah diletakkan di ruangan khusus monitoring dan hanya Bagian OMC yang dapat mengakses ke dalam ruangan tersebut. Analisa Penyebab : Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :

Target Selesai :

Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ sudah memenuhi

-

persyaratan pada A.15.3.2.

Berikut adalah hasil perhitungan presentase penilaian manajemen keamanan informasi terkait dengan 133 kontrol keamanan berdasarkan hasil temuan audit pada Proyek CCTV Pada Bank XYZ dengan menggunakan ISO/IEC 27001:2005 dan ditampilkan dengan menggunakan grafik pie chart :

Kategori Temuan =

Comply =

Not Comply =

x 100% = 72,18%

x 100% = 12,78%

x 100 %

165 Non Applicable =

x 100% = 15,04%

15.04% 12.78%

72.18%

Gambar 4.1 Hasil Penilaian Manajemen Keamanan Informasi Pada Proyek CCTV Pada Bank XYZ 4.2 Penilaian Risiko Penilaian risiko yang dilakukan oleh tim penulis merupakan proses penilaiantingkat risiko terkait dengan ancaman yang muncul pada proses implementasi dan operasional Proyek CCTV yang dijalankan oleh PT. AGIT. Dalam melakukan penilaian risiko, tim penulis melakukan enam langkah penilaian risiko. Langkah-langkah penilaian risiko yang harus dilakukan adalah sebagai berikut : 1. Definisi Aset; 2. Identifikasi Ancaman; 3. Menentukan Probabilitas Kejadian; 4. Menentukan Dampak Dari Ancaman; 5. Kontrol Yang Direkomendasikan; 6. Dokumentasi. Dari ke enam langkah tersebut akan menghasilkan sebuah dokumentasi mengenai ancaman apa saja yang ada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ, seberapa besar tingkat risiko yang membawa dampak terhadap Proyek CCTV Pada Bank XYZ, dan pengendalian apa yang

166 harus dilakukan dalam mengatasi dan mengurangi tingkat risiko yang diakibatkan oleh ancaman yang ada pada Proyek CCTV Pada Bank XYZ. 4.2.1 Definisi Aset Terdapat beberapa aset terkait teknologi informasi yang digunakan untuk mendukung proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT. Berikut merupakan jenis aset yang digunakan beserta fungsinya : Tabel 4.134 Aset Yang Digunakan Pada Proyek CCTVPada Bank XYZ Jenis Aset

Fungsi Aset

Hardware Network Video Recorder (NVR)

Untuk

merekam

kejadian

yang

ditangkap oleh kamera CCTV di lokasi pemasangan. Network Video Recorder (NVR) Fail

Sebagai

NVR

cadangan

yang

Over

mengambil alih fungsi NVR yang rusak/mengalami kegagalan dalam merekam

kejadian

pada

kamera

CCTV. Control Management System (CMS)

Untuk memantau operasional seluruh kamera CCTV yang terdaftar pada NVR.

Network Attached Storage (NAS)

Untuk

menyimpan

hasil

data

rekaman CCTV dari sistem OMC dan sistem Helpdesk. Network Switch

Untuk

menghubungkan

jaringan

VPN IP yang digunakan pada CCTV Bank. Kamera CCTV

Untuk

mentransmisikan

gambar

video dan suara pada Bank dan ATM ke

sistem

OMC

dan

sistem

Helpdesk. Power Over Ethernet (POE) Injector

Untuk

mentransmisikan tegangan

167 listrik untuk jaringan LAN yang dipasang pada kamera CCTV di lokasi Bank dan ATM dengan menggunakan kabel LAN . Power Over Ethernet (POE) Switch

Untuk

menghubungkan

jaringan

LAN yang dipasang pada kamera CCTV di Bank. PC (Personal Computer) Desktop

Untuk membantu para karyawan Proyek CCTV dalam menyelesaikan pekerjaan mereka.

Software Microsoft Windows XP

OS

(Operating

System)

pada

komputer yang dipergunakan sebagai sistem

dasar

untuk

implementasi

dan

proses

operasional

perangkat CCTV. Microsoft Windows 7

OS

(Operating

System)

pada

komputer yang dipergunakan sebagai sistem

dasar

implementasi

dan

operasional untuk PC Desktop. CMS Monitoring

Dipergunakan oleh Bagian Helpdesk untuk melakukan pengaturan dan pengawasan terhadap kamera CCTV yang terdaftar pada NVR.

LANDesk Service Desk

Untuk merekam gangguan secara

(Sistem Helpdesk)

otomatis yang terjadi pada kamera CCTV pada saat operasional CCTV berlangsung.

Manage Enggine-Operation Manager

Untuk memantau kegunaan jaringan dan juga tingkat ketersediaan pada jaringan, kamera CCTV dan NVR di Server.

168 4.2.2 Identifikasi Ancaman Berdasarkan Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT terdapat beberapa ancaman yang mungkin menjadi faktor risiko selama proses implementasi dan operasional Proyek CCTV Pada Bank XYZ berlangsung. Berikut beberapa ancaman yang dikelompokkan berdasarkan sumber ancamannya, yaitu : Tabel 4.135 Ancaman Pada Proyek CCTVPada Bank XYZ Sumber Ancaman Natural Threat

Ancaman Tanah longsor Tsunami Angin Topan Angin kencang (70 + mph) Badai tropis Banjir pasang Banjir musiman Banjir lokal Badai pasir Aktivitas gunung merapi Gempa bumi (2-4 skala Richter) Gempa bumi (5 skala Richter atau lebih) Petir Wabah penyakit

Human Threat

Tindakan Disengaja : Pencurian data Pencurian perangkat Penyadapan sistem jaringan Penggandaan data Perusakan sistem operasional Perubahan / modifikasi data Sabotase terhadap perangkat, karyawan dan aktivitas Bom

169 Ancaman bom Pembakaran area kerja Penyanderaan karyawan Perusakan area kerja Perselisihan antar karyawan Kerusuhan / kekacauan sipil Penyebaran data secara ilegal Penginstalan perangkat lunak secara ilegal Penjualan perangkat secara ilegal Penyalahgunaan hak akses

Tindakan Tidak Disengaja : Kesalahan input data Kesalahan penghapusan data Kesalahan pergantian perangkat Kelalaian peninjauan rekaman CCTV Kelalaian menghilangkan kunci ruangan Kelalaian menghilangkan data Kelalaian menghilangkan perangkat Keterlambatan penanggulangan masalah Kelalaian mengubah format data Kegagalan Sistem Serangan Virus komputer Environmental Threat

Pemadaman Listrik Kelebihan Voltase Listrik Kekurangan Voltase Listrik Kebocoran Air Binatang :

170 Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Rayap : mengerat, sarang, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai

4.2.3 Menentukan Probabilitas Kejadian Pada tahap ini, setiap ancaman yang telah diidentifikasi akan dihitung tingkat

kemungkinan

terjadinya

kejadian

selama

Proyek

CCTV

berlangsung. Berikut adalah tingkat probabilitas pada masing-masing ancaman, yaitu: Tabel 4.136 Probabilitas Kejadian Ancaman Pada Proyek CCTV Pada Bank XYZ Applicable No.

Probability 1 = Low

Threat Yes / No

2 = Medium 3 = High

Natural Threat 1.

Tanah longsor

No

-

2.

Tsunami

No

-

3.

Angin topan

Yes

1

4.

Angin kencang (70 + mph)

Yes

2

5.

Badai tropis

Yes

1

6.

Banjir pasang

No

-

171 7.

Banjir musiman

Yes

1

8.

Banjir local

Yes

1

9.

Badai pasir

No

-

10.

Aktivitas gunung merapi

Yes

1

11.

Gempa bumi (2-4 skala Richter)

Yes

2

12.

Gempa bumi (5 skala Richter atau lebih)

Yes

1

13.

Petir

Yes

3

14.

Wabah penyakit

No

-

Human Threat Tindakan Disengaja : 15.

Pencurian data

Yes

1

16.

Pencurian perangkat

Yes

1

17.

Penyadapan sistem jaringan

Yes

1

18.

Penggandaan data

Yes

2

19.

Perusakan sistem operasional

Yes

3

20.

Perubahan / modifikasi data

No

-

Yes

2

21.

Sabotase terhadap perangkat, karyawan dan aktivitas

22.

Bom

No

-

23.

Ancaman bom

Yes

2

24.

Pembakaran area kerja

Yes

3

25.

Penyanderaan karyawan

Yes

1

26.

Perusakan area kerja

Yes

1

27.

Perselisihan antar karyawan

Yes

2

28.

Kerusuhan / kekacauan sipil

Yes

2

29.

Penyebaran data secara ilegal

Yes

2

30.

Penginstalan perangkat lunak secara ilegal

Yes

3

31.

Penjualan perangkat secara ilegal

Yes

1

172 32.

Penyalahgunaan hak akses

Yes

2

Tindakan Tidak Disengaja : 33.

Kesalahan input data

Yes

1

34.

Kesalahan penghapusan data

Yes

2

35.

Kesalahan pergantian perangkat

Yes

1

36.

Kelalaian peninjauan rekaman CCTV

Yes

3

37.

Kelalaian menghilangkan kunci ruangan

Yes

2

38.

Kelalaian menghilangkan data

Yes

1

39.

Kelalaian menghilangkan perangkat

Yes

1

40.

Keterlambatan penanggulangan masalah

Yes

2

41.

Kelalaian mengubah format data

Yes

2

42.

Kegagalan sistem

Yes

3

43.

Serangan virus komputer

Yes

2

Environmental Threat 44.

Pemadaman Listrik

Yes

3

45.

Kelebihan Voltase Listrik

Yes

1

46.

Kekurangan Voltase Listrik

Yes

1

47.

Kebocoran Air

Yes

2

Yes

2

Yes

2

Yes

2

Yes

2

No

-

Yes

2

Binatang : 48. 49. 50.

51.

52. 53.

Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Rayap : mengerat, sarang, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai

173 4.2.4 Menentukan Dampak Dari Ancaman Pada tahap ini, setiap ancaman yang telah dihitung tingkat probabilitas kejadiannya maka akan dihitung pula tingkat dari dampak yang mungkin dihasilkan selama Proyek CCTV Pada Bank XYZ berlangsung. Berikut adalah tingkat dari dampak pada masing-masing ancaman, yaitu: Tabel 4.137 Dampak Ancaman Terhadap Proyek CCTV Bank XYZ Applicable No.

Threat Yes / No

Impact 1 = Low 2 = Medium 3 = High

Natural Threat 1.

Tanah longsor

No

-

2.

Tsunami

No

-

3.

Angin topan

Yes

1

4.


Yes

1

5.

Badai tropis

Yes

2

6.

Banjir pasang

No

-

7.

Banjir musiman

Yes

1

8.

Banjir local

Yes

1

9.

Badai pasir

No

-

10.


Yes

2

11.

Gempa bumi (2-4 skala Richter)

Yes

3

12.

Gempa bumi (5 skala Richter atau lebih)

Yes

3

13.

Petir

Yes

1

14.

Wabah penyakit

No

-

Yes

3

Human Threat Tindakan Disengaja : 15.

Pencurian data

174 16.

Pencurian perangkat

Yes

3

17.


Yes

3

18.

Penggandaan data

Yes

2

19.


Yes

3

20.

Perubahan / modifikasi data

No

-

Yes

3

21.

Sabotase terhadap perangkat, karyawan dan aktivitas

22.

Bom

No

-

23.

Ancaman bom

Yes

1

24.


Yes

3

25.

Penyanderaan karyawan

Yes

1

26.


Yes

3

27.

Perselisihan antar karyawan

Yes

2

28.

Kerusuhan / kekacauan sipil

Yes

3

29.


Yes

3

30.


Yes

3

31.


Yes

2

32.


Yes

3

Tindakan Tidak Disengaja : 33.


Yes

3

34.


Yes

3

35.


Yes

3

36.


Yes

2

37.

Kelalaian menghilangkan kunci ruangan

Yes

2

38.


Yes

3

39.


Yes

3

40.


Yes

3

175 41.


Yes

3

42.

Kegagalan Sistem

Yes

3

43.

Serangan Virus computer

Yes

3

Environmental Threat 44.

Pemadaman Listrik

Yes

1

45.

Kelebihan Voltase Listrik

Yes

1

46.

Kekurangan Voltase Listrik

Yes

1

47.

Kebocoran Air

Yes

3

Yes

2

Yes

1

Yes

1

Yes

1

No

-

Yes

1

Binatang : 48. 49. 50.

51.

52. 53.

Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Rayap : mengerat, sarang, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai

176

4.2.5 Kontrol Yang Direkomendasikan Tabel 4.138 Kontrol Menggunakan Klausul 5 Klausul

Kontrol Objektif

Kontrol

Klausul 5 :

A.5.1 :

A.5.1.1 :

Kebijakan Keamanan

Kebijakan Keamanan

Dokumen

Informasi

informasi.

Ancaman Yang Dikontrol Pencurian data

kebijakan

keamanan

Pencurian perangkat Penyadapan sistem jaringan Penggandaan data Perusakan sistem operasional Sabotase

Deskripsi Kontrol :

terhadap

perangkat,

karyawan dan aktivitas Dokumen informasi

kebijakan harus

keamanan

disetujui

dan

Penyebaran data secara ilegal Penginstalan perangkat lunak secara

dipublikasikan oleh manajemen serta

ilegal

dikomunikasikan


kepada

seluruh

karyawan dan pihak luar yang terkait.

Kesalahan input data Kesalahan penghapusan data Kesalahan pergantian perangkat Kelalaian peninjauan rekaman CCTV

177

Kelalaian

menghilangkan

kunci

ruangan Kelalaian menghilangkan data Kelalaian menghilangkan perangkat Keterlambatan

penanggulangan

masalah Kelalaian mengubah format data Kegagalan Sistem Serangan Virus komputer A.5.1.2 : Tinjauan ulang kebijakan keamanan informasi.

Deskripsi Kontrol : Kebijakan keamanan informasi harus dibahas dalam interval yang terencana atau jika perubahan signifikan muncul

Keterlambatan masalah Kegagalan Sistem

penanggulangan

178

untuk

memastikan

berlanjutnya

keselarasan, kesamaan, dan efektivitas.

179

Tabel 4.139 Kontrol Menggunakan Klausul 6 Klausul

Kontrol Objektif

Klausul 6 :

A.6.1 :

Organisasi Keamanan Informasi

Organisasi Internal Keamanan Informasi

Kontrol

Ancaman Yang Dikontrol

A.6.1.8 :


Pembahasan keamanan informasi secara independen. Deskripsi Kontrol : Pendekatan yang dilakukan oleh organisasi

untuk

keamanan

mengatur

informasi

implementasinya. pengendalian,

dan Tujuan

pengendalian,

kebijakan, proses, dan prosedur keamanan

informasi

harus

dibahas secara independen dalam jarak waktu yang terencana atau saat

terjadi

signifikan

perubahan

pada

yang

implementasi

180

keamanan.

181


Kontrol Objektif

Klausul 7 :

A.7.1 :

Manajemen Aset

Tanggung Jawab Terhadap Aset

Kontrol


A.7.1.2:

Pencurian data

Kepemilikan aset

Pencurian perangkat Sabotase

Deskripsi Kontrol :

terhadap

perangkat, karyawan dan

Seluruh informasi dan aset yang

aktivitas

berhubungan

dengan

Kesalahan

pengolahan

informasi

fasilitas harus

penghapusan

data

dimiliki oleh satu bagian khusus

Kelalaian menghilangkan

di dalam organisasi.

kunci ruangan Kelalaian menghilangkan data Kelalaian menghilangkan perangkat

A.7.1.3 : Penggunaan dengan aturan.

Pencurian data aset

yang sesuai

Pencurian perangkat Kesalahan

penghapusan

182

data

Deskripsi Kontrol : Peraturan

untuk

penggunaan

informasi dan aset yang sesuai dengan

aturan

terkait

dengan

fasilitas

pengolahan

informasi

harus

bisa

diidentifikasi,

didokumentasi,

dan

Kelalaian menghilangkan kunci ruangan Kelalaian menghilangkan data Kelalaian menghilangkan perangkat

diimplementasikan.


Kontrol Objektif

Klausul 8 :

A.8.2 :

Keamanan Sumber Daya Manusia

Selama Masa Kerja

Kontrol


A.8.2.2 :


Pengetahuan tentang keamanan informasi,

pendidikan,

pelatihan. Deskripsi Kontrol :

dan

Kesalahan

penghapusan

data Kesalahan

pergantian

perangkat Kesalahan

mengubah

183

Seluruh karyawan organisasi dan

format data

jika terkait yaitu kontraktor dan pihak ketiga harus mendapatkan pelatihan

dan

update

teratur

secara tepat mengenai kebijakan dan prosedur organisasi yang terkait

dengan

fungsi

kerja

mereka. A.8.2.3:

Pencurian data

Proses Kedisiplinan.

Pencurian perangkat Perselisihan antar karyawan

Deskripsi Kontrol :


Harus ada proses kedisiplinan

Penginstalan perangkat lunak

secara formal bagi karyawan yang

secara ilegal

telah

Penjualan perangkat secara

melakukan

keamanan.

pelanggaran

ilegal Penyalahgunaan hak akses Kerusuhan / kekacauan sipil

184

A.8.3 : Pemutusan Atau Perubahan Hubungan Kerja

A.8.3.2 :

Penjualan

Pengembalian aset.

secara ilegal

perangkat

Deskripsi Kontrol : Seluruh karyawan, kontraktor, dan pihak

ketiga

mengembalikan

seluruh

harus aset

organisasi yang mereka miliki pada saat pemutusan hubungan kerja, kontrak atau kesepakatan. − Penyalahgunaan hak akses

A.8.3.3: Penghapusan hak akses Deskripsi Kontrol : Hak akses seluruh karyawan, kontraktor,

dan

pihak

ketiga

terhadap informasi dan fasilitas pengolahan dihapus pada

informasi

harus

saat pemutusan

185

hubungan kerja, kontrak atau kesepakatan,

atau

disesuaikan

pada perubahan.


Kontrol Objektif

Klasul 9 :

A.9.1 :

Keamanan Fisik dan Lingkungan

Wilayah Aman

Kontrol


A.9.1.1:

Angin Topan Angin kencang (70 + mph)

Pembatas keamanan fisik.

Badai tropis

Deskripsi Kontrol :

Banjir musiman

Pembatasuntuk (pembatas

keamanan

seperti

tembok,

gerbang masuk berkartu akses atau

meja

digunakan daerah

resepsionis) untuk yang

harus

melindungi mengandung

informasi dan fasilitas pengolahan

Banjir lokal Aktivitas gunung merapi Gempa

bumi

(2-4

skala

Richter) Gempa bumi (5 skala Richter atau lebih) Petir

186

informasi. A.9.1.3 :

Angin Topan

Pengamanan kantor, ruangan, dan


fasilitas.

Badai tropis Banjir musiman

Deskripsi Kontrol :

Banjir lokal

Keamanan fisik untuk kantor,


ruangan,

Gempa

dan

fasilitas

harus

dirancang dan diaplikasikan.

bumi

(2-4

skala

Richter) Gempa bumi (5 skala Richter atau lebih) Petir

A.9.1.4 : Perlindungan terhadap ancaman eksternal dan lingkungan.

Angin Topan Angin kencang (70 + mph) Badai tropis Banjir musiman Banjir lokal

Deskripsi Kontrol :

Aktivitas gunung merapi Gempa

bumi

(2-4

skala

187

Perlindungan

fisik

terhadap

Richter)

bahaya kebakaran, banjir, gempa

Gempa bumi (5 skala Richter

bumi, ledakan, kerusuhan sipil,

atau lebih)

dan bentuk bencana alam atau

Petir

buatan manusia lainnya harus

Ancaman bom

dirancang dan diaplikasikan.

Pembakaran area kerja Perusakan area kerja Kerusuhan / kekacauan sipil

A.9.2 : Keamanan Peralatan

A.9.2.1: Penempatan

dan

perlindungan

terhadap peralatan. Deskripsi Kontrol : Peralatan harus ditempatkan atau dilindungi

untuk

mengurangi

risiko ancaman dan bahaya, dan kesempatan akses ilegal. A.9.2.3:

Kelebihan Voltase Listrik Kekurangan Voltase Listrik Kebocoran Air Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai Kelebihan Voltase Listrik

188

Keamanan perkabelan.

Kekurangan Voltase Listrik Kebocoran Air

Deskripsi Kontrol : Perkabelan

Tikus : mengerat, sarang,

listrik

dan

urine, kotoran, bangkai

telekomunikasi yang membawa

Cicak : telur, urine, kotoran,

data atau informasi pendukung

bangkai

harus dilindungi dari cegatan atau

Kecoa

bahaya.

urine, kotoran, bangkai

:

mengerat,

telur,

Laba-laba : sarang, telur, urine, kotoran, bangkai Semut

:

sarang,

urine,

kotoran, bangkai A.9.2.4: Pemeliharaan peralatan. Deskripsi Kontrol : Peralatan harus dipelihara secara benar

untuk

ketersediaan

dan

memastikan keutuhannya

Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai

189

berkelanjutannya. Pencurian data

A.9.2.6: Pengamanan pembuangan atau penggunaan ulang peralatan.

Pencurian perangkat Kelalaian

menghilangkan

data Deskripsi Kontrol :

Kelalaian

Seluruh peralatan yang berisi media diperiksa

penyimpanan untuk

harus

memastikan

bahwa data dan perangkat lunak apapun

sudah

dihapus

atau

diamankan sebelum pembuangan.

perangkat

menghilangkan

190


Kontrol Objektif

Klausul 10 :

A.10.7 :

Manajemen Komunikasi

Penanganan Media

dan Operasi

Kontrol A.10.7.1 : Manajemen media yang dapat dipindahkan

Ancaman Yang Dikontrol −

Pencurian data

−

Pencurian perangkat

−

Penggandaan data

−

Penyebaran

data

secara

ilegal Deskripsi kontrol : Harus ada prosedur tetap untuk manajemen media yang dapat dipindahkan. A.10.7.3 : Prosedur Penanganan Informasi

−


−


−


−

Pencurian data

−

Penggandaan data

−


−

Kesalahan data

penghapusan

191

−

Deskripsi kontrol : Prosedur

penanganan

dan

informasi

harus

penyimpanan ditetapkan

untuk

melindungi

penyingkapan atau penggunaan ilegal atas informasi tersebut. A.10.8 : Pertukaran Informasi

A.10.8.3 : Transportasi media fisik

perangkat − −

Kesalahan

mengubah

format data −


−

Pencurian data

−

Penggandaan data

−

Sabotase terhadap perangkat, karyawan, dan aktivitas

Media yang berisi informasi harus dari


Deskripsi kontrol :

dilindungi


akses

ilegal, −


penyalahgunaan atau perubahan selama perjalanan di luar batas −


fisik organisasi.

perangkat −


192

A.10.8.5 : Sistem informasi bisnis

−

Pencurian data

−

Penggandaan data

−


−

Deskripsi kontrol :


Kebijakan dan prosedur harus dikembangkan

dan

di

implementasikan terkait dengan interkoneksi

sistem

informasi

bisnis.

Tabel 4.144 Kontrol Menggunakan Klausul 11

−


−

Kegagalan sistem

−


193

Klausul

Kontrol Objektif

Klausul 11 :

A.11.1 :

Pengendalian Akses

Kebutuhan Bisnis Pada Pengendalian Akses

Kontrol


A.11.1.1 : Kebijakan pengendalian akses Deskripsi kontrol : Kebijakan

pengendalian

harus

ditetapkan,

dokumentasikan,

dan

−

Pencurian data

−

Pencurian perangkat

−

Penggandaan data

−


akses di −


dibahas

aktivitas

berdasarkan kebutuhan bisnis dan keamanan terhadap akses.

Sabotase terhadap

−


−

Penyadaraan karyawan

−


−


−


−


194

A.11.2 : Manajemen Akses Pengguna

A.11.2.1 : Registrasi pengguna

−

Pencurian data

−

Penggandaan data

−

Perusakan sistem

Deskripsi kontrol :

operasional

Harus ada penetapan prosedur −

Penyebaran data secara

registrasi

ilegal

dan

deregistrasi

pengguna secara formal untuk −

Penginstalan perangkat

menjamin dan mencabut kembali

lunak secara ilegal

akses trerhadap semua sistem dan −


layanan informasi. A.11.3 : Tanggung Jawab Pengguna

A.11.3.3 : Kebijakan clear desk dan clear screen

−

Pencurian data

−

Penggandaan data

−


Deskripsi kontrol :

−


Kebijakan clear desk dari kertas −

Kesalahan penghapusan

dan media pemindah data dan

data

kebijakan

clear

screen

dari −

Kesalahan menghilangkan

195

fasilitas

A.11.4 : Pengendalian Akses Jaringan

pengolahan

informasi

data

harus diadopsi.

−


A.11.4.1 :

−

Pencurian data

−

Penyadapan sistem

Kebijakan pada penggunaan

jaringan

layanan jaringan Deskripsi kontrol :

−

Penggandaan data

−

Penyebaran data secara

Pengguna hanya disediakan akses ke

dalam

pelayanan

mereka

secara

dimana − khusus −

mendapatkan

ilegal Penyalahgunaan hak akses Serangan virus komputer

hak

menggunakannya.


Kontrol Objektif

Kontrol


196

Klausul 12 :

A.12.3 :

A.12.3.1 :

Perolehan, Perkembangan,

Pengendalian Kriptografi

Kebijakan

Dan Pemeliharaan Sistem

dalam

penggunaan

pengendalian kriptografi

−

Pencurian data

−

Penggandaan data

−


Informasi

Deskripsi kontrol :

−

Kebiijakan

penggunaan

pengendalian

kriptografi

pada

perlindungan

informasi

harus

dikembangkan


dan

diimplementasikan. A.12.4 : Keamanan Dokumen Sistem

−

A.12.4.1 : Pengendalian

pada

perangkat

lunak operasional Deskripsi kontrol : Harus adanya prosedur untuk mengendalikan perangkat operasional.

lunak

pemasangan pada

sistem


−


−


197

A.12.5 : Keamanan Pada Proses Pengembangan Dan Proses Pendukung

−

A.12.5.2 : Tinjauan teknis pada aplikasi setelah perubahan sistem operasi Deskripsi kontrol : Ketika sistem operasi diubah, aplikasi bisnis yang kritis akan ditinjau

dan

di

uji

untuk

memastikan tidak adanya dampak yang

merugikan

operasional organisasi.

atau

dalam keamanan

Kegagalan Sistem

198

−

A.12.5.5 : Pengembangan perangkat lunak yang di outsource-kan


−


Deskripsi kontrol : Pengembangan perangkat lunak di luar akan dibatasi dan di monitor oleh organisasi.


Kontrol Objektif

Klausul 13 :

A.13.1 :

Manajemen Insiden

Pelaporkan Peristiwa dan

Keamanan Informasi

Kelemahan Keamanan Informasi

Kontrol


A.13.1.1 : Pelaporkan peristiwa keamanan informasi Deskripsi kontrol : Peristiwa

keamanan

informasi


−

Kegagalan sistem

199

harus dilaporkan melalui jalur manajemen yang tepat secepat mungkin.

−

A.13.1.2 : Pelaporkan kelemahan keamanan


−

Kegagalan sistem

−

Keterlambatan

Deskripsi kontrol : Seluruh karyawan, kontraktor, dan pengguna

pihak

ketiga

dari

informasi dan layanan diharuskan mencatat dan melaporkan segala bentuk temuan atau kecurigaan kelemahan

keamanan

dalam

sistem atau layanan. A.13.2 : Manajemen Kejadian

A.13.2.1 : Tanggung jawab dan prosedur

penanggulangan masalah −

Kegagalan sistem

200

Keamanan Informasi Dan Pengembangannya

kejadian keamanan informasi Deskripsi kontrol : Tanggung jawab dan prosedur manajeman

harus

ditetapkan

untuk memastikan respon yang cepat, efektif, dan tertib terhadap insiden keamanan informasi.


Kontrol Objektif

Klausul 14 :

A.14.1 :

Manajemen Kelangsungan

Aspek Keamanan Informasi

Bisnis

Pada Manajemen Kelangsungan Bisnis

Kontrol


A.14.1.1 : Memasukkan keamanan informasi ke

dalam

proses

kelangsungan bisnis Deskripsi kontrol :

manajemen


−

Kegagalan sistem

−

Pemadaman listrik

201

Proses

yang

teratur

kelangsungan

bisnis

dikembangkan

dan

melalui

pada harus

dipelihara

organisasi

mencantumkan keamanan

yang kebutuhan

informasi

pada

kontinuitas bisnis organisasi. −

A.14.1.2 : Kelangsungan bisnis dan penilaian risiko Deskripsi kontrol : Peristiwa

yang

dapat

menyebabkan

interupsi

pada

proses bisnis harus diidentifikasi, sejalan dengan kemungkinan dan dampak

dari

interupsi

konsekuensinya keamanan informasi.

dan

terhadap


−

Kegagalan sistem

−

Pedaman listrik

202

−

A.14.1.3 :

Keterlambatan

penanggulangan masalah

Pengembangan dan pengimplementasian rencana kelangsungan yang meliputi

−

Kegagalan sistem

−

Pedaman listrik

−

Keterlambatan

keamanan informasi Deskripsi kontrol : Rencana harus dikembangkan dan diimplementasikan memelihara operasi

atau

untuk memulihkan

dan

ketersediaan

memastikan

informasi

pada

tingkat dan skala waktu yang dibutuhkan

menurut

interupsi,

atau kegagalan pada proses bisnis yang penting. A.14.1.5 : Pengujian,

pemeliharaan,

dan penanggulangan masalah

203

pengkajian ulang pada rencana −

Kegagalan sistem

kelangsungan bisnis Deskripsi kontrol : Rencana

kelangsungan

bisnis

harus diuji dan di update secara teratur untuk memastikan bahwa mereka mutakhir dan efektif.


Kontrol Objektif

Klausul 15 :

A.15.2 :

Kepatuhan

Kepatuhan Terhadap Kebijakan Dan Standar Keamanan, Dan Kepatuhan Teknis

Kontrol


A.15.2.1 : Kepatuhan terhadap kebijakan dan standar keamanan

−

Pencurian data

−

Pencurian perangkat

−


Deskripsi kontrol :

−

Penggandaan data

Manajer harus memastikan bahwa −

Perusakan sistem

semua

operasional

prosedur

keamanan −

Sabotase terhadap

204

menjadi tanggung jawab mereka


dan dilaksanakan dengan benar

aktivitas

untuk

mencapai

kepatuhan −

kebijakan dan standar keamanan. .


−


−


−


−

Kesalahan penginputan data

−


−


−


−


205

−

Kegagalan sistem

−

Serangan virus computer

Berikut adalah hasil perhitungan presentase penilaian risikoberdasarkan tingkat risiko yang diakibatkan oleh ancaman-ancaman yang muncul pada Proyek Pemasangan CCTV Pada Bank XYZ dengan menggunakan Probability-Impact Matrix dan ditampilkan dengan menggunakan grafik pie chart : Tingkat Risiko =

High =

x 100% = 35,85 %

Medium = Low=

x 100% = 37,74%

x 100% = 11,32%

Non Applicable =

x 100% = 15,10%

x 100 %

206

15.10% 11.32%

35.85%

37.74%

Gambar 4.2 Hasil Penilaian Risiko Pada Proses Implementasi dan Operasional Proyek Pemasangan CCTV Pada Bank XYZ

BAB 4 HASIL DAN PEMBAHASAN

Recommend Documents