SISTEM INFORMASI MANAJEMEN RISIKO DENGAN MENGGUNAKAN METODE OCTAVE-S DAN STANDAR PENGENDALIAN ISO/EIC 27001 PADA LEMBAGA PENDIDIKAN
PROPOSAL TESIS
Oleh : KUKUH HARSANTO 1411600149
PROGRAM STUDI MAGISTER ILMU KOMPUTER ( MKOM ) PROGRAM PASCASARJANA UNIVERSITAS BUDI LUHUR JAKARTA 2016
SISTEM INFORMASI MANAJEMEN RISIKO DENGAN MENGGUNAKAN METODE OCTAVE-S DAN STANDAR PENGENDALIAN ISO/EIC 27001 PADA LEMBAGA PENDIDIKAN PROPOSAL TESIS Diajukan untuk memenuhi salah satu Persyaratan memperoleh gelar Magister Ilmu Komputer (M.Kom)
Oleh : KUKUH HARSANTO 1411600149
PROGRAM STUDI MAGISTER ILMU KOMPUTER ( MKOM ) PROGRAM PASCASARJANA UNIVERSITAS BUDI LUHUR JAKARTA 2016
PROGRAM STUDI MAGISTER ILMU KOMPUTER PROGRAM PASCASARJANA UNIVERSITAS BUDI LUHUR
LEMBAR PERSETUJUAN PROPOSAL TESIS
Nama Mahasiswa Nomor Induk Mahasiswa Konsentrasi Jenjang Judul Proposal Tesis
: : : : :
Kukuh Harsanto 1411600149 Teknologi Sistem Informasi Strata 2 Sistem Informasi Manajemen Risiko Menggunakan Metode OCTAVE-S dan Standar Pengendalian ISO/EIC 27001 Pada Lembaga Pendidikan
Telah disetujui untuk Dipresentasikan pada Sidang Proposal Tesis Semester Gasal/Genap Tahun Ajaran 2015/2016
Jakarta,
April 2016
Pembimbing Utama,
TandaTangan
Dr. Jonathan Sofian Lusa, S.E, M.Kom
………………………………….
ABSTRAK Maraknya
penggunaan
teknologi
informasi
pada
lembaga
pendidikan
menempatkan IT kedalam posisi yang sangat diperhatikan, khususnya pada lembaga pendidikan, apalagi bila IT menjadi bagian strategic lembaga pendidikan. Penerapan Manajemen Risiko di lembaga pendidikan dengan basis Teknologi Informasi diwujudkan dengan membuat suatu Sistem Informasi Manajemen risiko. Metode pembentukan menggunakan metode OCTAVE-S dan Standar Pegendalian ISO/EIC 27001. Teknik pengujian sistem menggunakan Blackbox Testing. Hasil dari penelitian ini adalah Sistem Informasi Manajemen Risiko yang diterapkan untuk membantu memberikan solusi dalam melindungi aset-aset informasi dalam bentuk rekomendasi-rekomendasi.
Kata Kunci
: Sistem Informasi, Manajemen Risiko, OCTAVE-S, ISO/EIC
27001
1
KATA PENGANTAR Puji syukur peneliti panjatkan kepada Tuhan Yang Maha Esa yang masih memberikan kepercayaan dan kesempatan kepada peneliti untuk selalu mengembangkan akal dan kreatifitas untuk dapat menyelesaikan naskah proposal tesis yang berjudul “Sistem Informasi Manajemen Risiko Menggunakan Metode OCTAVE-S dan Standar Pengendalian ISO/EIC 27001 Pada Lembaga Pendidikan”. Selama proses penyusunan ini, tidak sedikit kesulitan dan hambatan yang dihadapi oleh peneliti, terutama karena terbatasnya kemampuan dan pengetahuan yang dimiliki oleh peneliti, namun berkat bantuan dan pengarahan dari berbagai pihak maupun sumber-sumber bacaan, maka segala kesulitan dan hambatan yang terjadi dapat teratasi dengan baik. Pada kesempatan ini peneliti ingin mengucapkan terima kasih yang atas bantuan yang diberikan selama penyusunan proposal tesis ini, kepada : 1
Tuhan Yang Maha Esa yang telah memberikan petunjuk dan karunia-Nya
2 3
sehingga peneliti dapat menyelesaikan penyusunan naskah proposal tesis. Kedua orang tua yang telah memberikan doa dan dukungan. Bapak Prof. Ir. Suryo Hapsoro Tri Utomo, Ph.D, selaku Rektor Universitas
4
Budi Luhur. Bapak Prof. Dr. Moedjiono, M.Sc, selaku Direktur Progam Pascasarjana
5
Universitas Budi Luhur. Bapak Prof. Ir. Nazori AZ, M.T, selaku Ketua Progam Studi Magister Ilmu
6
Komputer Universitas Budi Luhur. Bapak Dr. Jonathan Sofian Lusa, S.E, M.Kom selaku Dosen Pembimbing yang berperan besar dalam memberikan dukungan, nasihat dan saran dalam
7
penyusunan proposal ini. Seluruh Dosen Program Studi Magister Ilmu Komputer Universitas Budi
8
Luhur yang telah memberikan ilmu selama perkuliahaan. Seluruh teman-teman yang telah memberikan dukungan kepada peneliti sehingga dapat menyelesaikan penyusunan proposal ini.
2
9
Semua pihak di lingkungan Universitas Budi Luhur yang tidak peneliti sebutkan satu persatu baik terlibat secara maupun tidak langsung yang ikut serta dalam memberikan bantuan dan motivasi serta pengetahuan dalam menyelesaikan penyusunan proposal ini. Peneliti menyadari dalam penyusunan proposal ini masih banyak hal-hal
yang kurang sempurna. Oleh karena itu, saran dan kritik yang bersifat konstruktif dari semua pihak. Semoga proposal tesis ini memberikan kontribusi positif serta bermanfaat bagi kita semua.
Jakarta, 22 Maret 2016
Peneliti
3
DAFTAR ISI Halaman ABSTRAK................................................................................................................i KATA PENGANTAR..............................................................................................ii DAFTAR ISI...........................................................................................................iv DAFTAR GAMBAR.............................................................................................vii DAFTAR TABEL...................................................................................................ix DAFTAR LAMPIRAN............................................................................................x BAB I PENDAHULUAN......................................................................................11 1.1.
Latar Belakang..................................................................................11
1.2.
Masalah Penelitian............................................................................13 1.2.1. Identifikasi Masalah................................................................13 1.2.2. Batasan Masalah.....................................................................14 1.2.3. Rumusan Masalah...................................................................14
1.3.
Tujuan dan Manfaat Penelitian.........................................................15 1.3.1. Tujuan Penelitian.....................................................................15 1.3.2. Manfaat Penelitian..................................................................15
1.4.
Tata Urut Penelitian..........................................................................15
1.5.
Daftar Pengertian..............................................................................17
BAB II LANDASAN TEORI DAN KERANGKA KONSEP...............................19 2.1.
Tinjauan Pustaka...............................................................................19 2.1.1. Informasi.................................................................................19 2.1.2. Sistem......................................................................................20 2.1.3. Sistem Informasi.....................................................................22 2.1.4. Risiko......................................................................................23 2.1.5. Manajemen..............................................................................24 2.1.6. Manajemen Risiko..................................................................25 2.1.7. Penilaian Risiko......................................................................26 2.1.8. Pengendalian Risiko................................................................28 2.1.9. Pengurangan ( Mitigasi ) Risiko.............................................29
4
2.1.10. Sistem Informasi Manajemen...............................................30 2.1.11. Sistem Informasi Manajemen Risiko....................................31 2.1.12. OCTAVE................................................................................32 2.1.13. Perbandingan antara OCTAVE, NIST, COBRA, Risk Watch dan FRAP..........................................................................................46 2.1.14. ISO/EIC 27001:2005.............................................................47 2.1.15. Aplikasi Berbasis Web..........................................................60 2.1.16. Pengujian Perangkat Lunak..................................................61 2.1.17. Unified Modeling Language (UML).....................................62 2.2.
Tinjauan Studi...................................................................................71
2.3.
Tinjauan Obyek Penelitian................................................................75
2.3.1. Profil Singkat Lembaga Pendidikan.................................................75 2.3.2. Visi Misi Lembaga pendidikan.........................................................76 2.3.3. Struktur Lembaga pendidikan...........................................................77 2.3.4. Tugas dan Uraian Kerja....................................................................77 2.3.5. Aspek Sistem.....................................................................................78 2.4.
Kerangka Konsep..............................................................................82
2.5.
Hipotesa............................................................................................85
BAB III METODOLOGI PENELITIAN..............................................................86 3.1.
Metodologi Penelitian.......................................................................86
3.2.
Metode Sampling..............................................................................86
3.3.
Metode Pengumpulan Data...............................................................86
3.4.
Instrumentasi.....................................................................................87
3.5.
Teknik Analisa, Perancangan dan Pengujian....................................88 3.5.1. Teknik Analisa.........................................................................88 3.5.2. Teknik Perancangan Sistem....................................................88 3.5.3. Teknik Pengujian Sistem.........................................................88 3.5.3.A. Pengujian Validasi...............................................................88
3.6.
Langkah-langkah Penelitian..............................................................89
3.7.
Jadwal Penelitian...............................................................................91
BAB IV PENUTUP...............................................................................................93
5
4.1.
Kesimpulan.......................................................................................93
DAFTAR PUSTAKA.............................................................................................94 LAMPIRAN...........................................................................................................99
6
DAFTAR GAMBAR Gambar
Halaman
Gambar II-1. Langkah-langkah OCTAVE..............................................................33 Gambar II-2. OCTAVE-S Menekankan Risiko Operasional dan Praktek Keamanan...............................................................................................................34 Gambar II-3. Form Kriteria Dampak Evaluasi......................................................36 Gambar II-4. Form Mengidentifikasi aset-aset yang dimiliki oleh........................37 Gambar II-5. Kuesioner Evaluasi Praktek Keamanan...........................................37 Gambar II-6. Form aset-aset penti ng....................................................................38 Gambar II-7. Mengidentifikasi pengamanan aset..................................................39 Gambar II-8. Form mengidentifikasi ancaman-ancaman......................................39 Gambar II-9. Form Memeriksa Jalur Akses...........................................................40 Gambar II-10. Form Menganalisa Teknologi.........................................................41 Gambar II-11. Mengevaluasi dampak dari ancaman.............................................43 Gambar II-12. Membuat kriteria evaluasi..............................................................43 Gambar II-13. Membuat Rencana Mitigasi Risiko................................................44 Gambar II-14. Langkah-langkah OCTAVE Allegro...............................................46 Gambar II-15. Hubungan antar standar keluarga SMKI........................................48 Tabel II-8. Klausul ISO/EIC 27001.......................................................................53 Gambar II-15. Use Case.........................................................................................63 Gambar II-16. Actor...............................................................................................63 Gambar II-17. Association antara Actor dengan Use Case....................................64 Gambar II-18. Start Point......................................................................................65 Gambar II-19. End Point........................................................................................65 Gambar II-20. Activities.........................................................................................65 Gambar II-21. Black Hole Activities.....................................................................66 Gambar II-22. Miracle Activities...........................................................................66 Gambar II-23. Decision Points...............................................................................66 Gambar II-24. Swimlane........................................................................................66 Gambar II-25. Boundary Class..............................................................................67 7
Gambar II-26. Control Class..................................................................................67 Gambar II-27. Entity Class....................................................................................67 Gambar II-28. Message..........................................................................................67 Gambar II-29. Message to Self...............................................................................68 Gambar II-30. Class Diagram...............................................................................68 Gambar II-31.Struktur Lembaga pendidikan.........................................................77 Gambar II-32. Skema Jaringan Laboratorium Komputer......................................81 Gambar II-33. Skema Jaringan Ruang Kepala Sekolah, Ruang Guru, Ruang Kurikulum dan Ruang Tata Usaha.........................................................................82 Gambar II-34. Kerangka Konsep...........................................................................83 Gambar III-1. Langkah-langkah Penelitian...........................................................90
8
DAFTAR TABEL Tabel II-1. Perbedaan OCTAVE dengan pendekatan lain (Alberts, et al., 2005)...34 Tabel II-3. Tahap 1 : Membuat profil aset beserta ancaman..................................36 Tabel II-4. Tahap 2 : Mengidentifikasi kelemahan infrastruktur...........................40 Tabel II-5. Tahap 3 : Membuat rancangan strategi keamanan...............................42 Table II-6. Model PLAN-DO-CHECK-ACT (PDCA)............................................49 Tabel II-7. Perbedaan ITIL, COBIT dan ISO/EIC 27001 dan 27002....................52 Tabel II-9. Simbol Multiplicity...............................................................................69 Tabel II-10. Ringkasan Tinjauan Studi..................................................................73 Tabel II-11. Spesifikasi Hardware.........................................................................79 Tabel II-12. Software..............................................................................................80 Tabel III-1. Jadwal Penelitian................................................................................91
9
DAFTAR LAMPIRAN Lampiran-I. Daftar Guru dan Karyawan SMP Nusantara 1.................................100 Lampiran-II. Daftar Guru dan Karyawan SMA Nusantara 1...............................101 Lampiran-III. Daftar Guru dan Karyawan SMK Nusantara 1.............................102 Lampiran-IV. Hasil Wawancara...........................................................................104
10
BAB I PENDAHULUAN 1.1. Latar Belakang Saat ini, perkembangan ilmu pengetahuan dan teknologi terjadi dengan sangat pesat. Setiap lembaga pendidikan pasti berharap memiliki kualitas pendidikan yang baik dan semakin hari semakin meningkat terutama diera globalisasi saat ini. Dijaman era sekarang ini memiliki banyak persaingan dalam dunia pendidikan yang terus berkembang. Perkembangan yang terjadi saat ini sangatlah dinamis dan untuk mencapai hal tersebut, setiap lambaga pendidikan mempunyai cara masing-masing dalam mengembangkan kualitas pendidikan yang dimiliki. Pendidikan sangat dibutuhkan oleh siapa pun, sejak manusia dilahirkan ke muka bumi sampai akhir hayatnya (Susanto, 2015). Dinas Pendidikan Nasional membuat suatu standarisasi pendidikan yang tertulis pada Peraturan Pemerintah Nomor 19 Tahun 2005 mengenai Standar Nasional Pendidikan meliputi : Standar isi, Standar Proses, Standar Pengelolaan, Standar Pembiayaan, Standar Penilaian Pendidikan, Standar Sarana dan Prasarana, Standar Kompetensi Lulusan, serta Standar Tenaga Pendidik dan Tenaga Kependidikan. Sistem informasi yang ada pada suatu lembaga pendidikan sangat membantu dalam menjalakan proses bisnis yang berjalan, sistem informasi akan berubah menjadi aset yang penting, apabila sistem informasi terganggu maka akan memberikan dampak buruk bagi suatu lembaga pendidikan. Jika ancaman terhadap aset informasi tidak diperhatikan maka akan membuat ancaman tersebut berubah menjadi risiko yang harus dihadapi oleh lembaga pendidikan, disisi lain IT tidak memiliki pengendalian yang dapat membantu dalam menganggulangi kemungkinan ancaman-ancaman yang mungkin muncul dalam proses bisnis perusahan dengan sistem informasi yang ada pada lembaga pendidikan.
Risiko adalah variasi dalam hal-hal yang mungkin terjadi secara alami atau kemungkinan terjadinya peristiwa diluar yang diharapkan yang merupakan ancaman terhadap property dan keuntungan finansial akibat bahaya yang terjadi (Labombang, 2011). Sumber-sumber penyebab risiko dapat dibedakan sebagai berikut : a. risiko internal, yaitu risiko yang berasal dari lembaga pendidikan itu sendiri, b. risiko eksternal, yaitu risiko yang berasal dari luar lembaga pendidikan atau lingkungan luar lembaga pendidikan, b. risiko keuangan, adalah risiko yang disebabkan oleh fakto-faktor ekonomi dan keuangan, seperti perubahan harga, tingkat bunga dan mata uang, d. risiko operasional adalah semua risiko yang tidak termasuk risiko keuangan. Risiko operasional disebabkan oleh faktor-faktor manusia,alam dan teknologi (Lokobal, et al., 2014). Untuk mengelola risiko tersebut dibutuhkan suatu manajemen. Manajemen
merupakan
suatu
seni
dalam
ilmu
dan
proses
pengorganisasian, pergerakan dan pengendalian atau pengawasan (Nugroho, 2012), dimana didalam manajemen tersebut mempunyai tujuan melindungi dari suatu risiko yang signifikan yang dapat menghambat pencapaian tujuan, memberikan kerangka kerja manajemen yang konsisten atas proses bisnis dan fungsi masing-masing yang ada pada lembaga pendidikan dan meningkat kinerja melalui penyediaan informasi tingkat risiko yang dituangkan dalam peta yang beguna bagi manajemen dalam pengembangan strategi dan perbaikan proses manajemen yang secara terus menerus dan berkesinambungan (PTPN XII, 2014) . Untuk mencapai tujuan tersebut maka dibutuhkan suatu metode yang mendukung untuk membantu dalam pemecahan masalah. Metode OCTAVE merupakan salah satu metode yang banyak digunakan untuk melakukan penelitian risiko. Metode OCTAVE sendiri memiliki tiga varian, yaitu OCTAVE, OCTAVE-S dan OCTAVE ALLEGRO, metode yang digunakan dalam penelitian ini adalah metode OCTAVE-S, dimana metode ini merupakan hasil dari modifikasi dari metode OCTAVE yang disesuaikan dengan kapasitas lembaga pendidikan. Penggunaan OCTAVE-S lebih umum ditunjukan untuk menganalisa risiko pada lembaga pendidikan yang memiliki skala kecil dengan
jumlah staf kurang dari 300 dan memungkinkan aktifitas analisis risko dilakukan oleh tim dalam jumlah kecil. Adapun dipersiapkan
ISO/EIC
27001
untuk
memberikan
mengimplementasikan,
merupakan
mengoperasikan,
standar
model memonitor,
internasional
untuk serta
yang
membangun, merawat
dan
mengembangkan Sistem Manajemen Keamanan Informasi ( SMKI ), metode ini akan digunakan sebagai acuan dalam menentukan dalam pengendalian, setelah penilaian risiko dilakukan dengan menggunakan OCTAVE-S. Didasari dari latar belakang yang dipaparkan dan didukung dengan belum pernahnya dilakukan penilaian risiko teknologi informasi, khususnya dengan menggunakan metode OCTAVE-S, ditambah dengan kesesuaian spesifikasi organisai dengan metode dipilih maka peneliti memutuskan membuat sistem informasi manajemen risiko menggunakan metode OCTAVE-S dengan judul “Sistem Informasi Manajemen Risiko Menggunakan Metode OCTAVE-S dan Standar Pengendalian ISO/EIC 27001 Pada Lembaga Pendidikan”. 1.2. Masalah Penelitian 1.2.1.
Identifikasi Masalah
Berdasarkan uraian diatas, maka identifikasi masalah penelitiannya sebagai berikut : 1. Belum adanya pengelolaan manajemen risiko. 2. Belum adanya dokumentasi yang berkenaan penilaian akan pentingnya nilai dari aset informasi yang dimiliki oleh Lembaga Pendidikan. 3. Belum adanya Standard Operational Procedure (SOP) yang mengacu kepada tindakan dalam menjaga keamanan teknologi informasi yang ada pada Lembaga Pendidikan sehingga pengaruh yang ditimbulkan ketidaksigapannya dalam menanggulangi risiko-risiko serta ancaman yang muncul dan harus
ditangani secara cepat dan tepat sehingga mengakibatkan terganggunya operasional lembaga pendidikan. 4. Tidak adanya pengamanan infrastruktur yang berkaitan dengan aset informasi yang ada pada lembaga pendidikan. 1.2.2.
Batasan Masalah
Agar permasalahan yang dibahas tidak melebar ke topik lain, maka Peneliti memberikan batasan masalah yang akan dibahas pasa penelitian kali ini dengan batasan masalah sebagai berikut : 1. Pelaksanaan proses manajemen risiko dilakukan pada SMP Nusantara 1, SMA Nusantara 1, SMK Nusantara 1. 2. Pelaksanaan proses manajemen risiko dilakukan pada divisi teknologi infomasi,SMP Nusantara 1, SMA Nusantara 1 dan SMK Nusantara 1. 3. Metode yang digunakan adalah metode OCTAVE-S dan Metode pengendalian yang digunakan adalah ISO/EIC 27001. 4. Menghasilkan dokumen-dokumen yang berisikan rekomendasi atas risiko yang telah didefiniskan sebelumnya. 5. Sistem ini hanya berupa prototipe. 1.2.3.
Rumusan Masalah
Berdasarkan identifikasi permasalahan diatas, maka permasalahan yang akan dijawab, yaitu : 1. Bagaimana tahapan metode OCTAVE-S diterapkan pada lembaga pendidikan? 2. Bagaimana cara menggunakan standar pengendalian ISO/EIC 27001? 3. Bagaimana perancangan Sistem Informasi Manajemen Risiko? 4. Bagaimana cara pengujian dengan menggunakan blackbox testing?
1.3. Tujuan dan Manfaat Penelitian 1.3.1.
Tujuan Penelitian
Tujuan penelitian ini adalah : 1. Memberikan pemahaman akan pentingnya analisis risiko. 2. Membantu memberikan informasi mengenai risiko-risiko, ancaman, serta kelemahan teknologi informasi yang ditemukan. 3. Membantu memberikan solusi dalam melindungi aset-aset informasi lembaga pendidikan, dalam bentuk rekomendasi-rekomendasi. 1.3.2.
Manfaat Penelitian
Manfaat yang ingin dicapai dalam penelitian ini adalah : 1. Manfaat Teoritis Manfaat teoritis yang diharapkan dari penyusunan penelitian ini adalah sebagai sarana pengembangan teori dan ilmu pengetahuan yang secara teoritis berhubungan dengang pembahasan penelitian ini sendiri, yakni sistem informasi manajemen risiko. 2. Manfaat Praktis Manfaat praktis yang diharapakan adalah penelitian ini dapat berguna sebagai sarana untuk memberika informasi baik Lembaga Pendidikan mengenai manajemen risiko. 1.4. Tata Urut Penelitian Penelitian laporan penelitian ini disusun dengan tata urut penelitian sebagai berikut :
BAB I
PENDAHULUAN Bab ini menjelaskan tentang latar belakang penelitian, masalah penelitian yang terperinci dalam identifikasi masalah, batasan masalah dan rumusan masalah, tujuan penelitian dan manfaat penelitian, tata urut penelitian dan daftar istilah.
BAB II
LANDASAN PEMIKIRAN Bab ini menjelaskan tentang tinjauan pustaka yang berisikan teoriteori yang digunakan, tinjauan studi yang merupakan hasil dari penelitian sebelumnya, tinjauan objek penelitian yang berisikan pemaparan orgnaisasi yang diteliti, pola pikir dan hipotesis dalam menyelesaikan suatu masalah.
BAB III
METODOLOGI PENELITIAN Bab ini menjelaskan tentang bagaimana perumusan suatu masalah yang dapat dipecahkan. Seperti bagaimana data dikumpulkan dana dianalisa, serta metode atau teknik apa saja yang digunakan dalam perumusan
suatu
masalah
dan
bagaimana
mengimplementasikannya. BAB IV
ANALISA DAN PERANCANGAN Bab ini menjelaskan tentang bagaimana data dan informasi yang dikumpulkan untuk dapat mengetahui kondisi eksisting dan harapan terhadap terbentuknya manajemen risiko. Kemudian Peneliti membuatkan suatu perancangan jaringan model aplikasi berikut dengan alur sistem yang akan berjalan, memperkirakan implikasi penelitian terhadpa aspek sistem, aspek manajerial, aspek penelitian lanjutan dan bagaimana rencana implementasi agar manajemen risiko dapat implementasikan.
BAB V
PENUTUP Bab ini menjelaskan tentang kesimpulan dari Peneliti selama melakukan penelitian dan harapan-harapan dari Peneliti dapat menjawab permasalahan dan memberikan manfaat bagi Lembaga Pendidikan sebagai objek penelitian dan pihak lain yang sedang melakukan pembangunan Manajemen Risiko. Peneliti juga memikirkan saran-saran akan pentingnya implementasi, sosialisasi dan rencana pengembangan sistem.
1.5. Daftar Pengertian Sistem
:
Susunan dari kegiatan yang saling bergantung dan berhubungan untuk
Informasi
:
mempermudah kegiatan. Hasil pemrosesan data ( fakta ) menjadi sesuatu
yang bermakna
dan bernilai untuk pengambilan Sistem Informasi
:
keputusan. Serangkaian komponen yang saling berhubungan untuk mengumpulkan, memproses dan menyebarkan
informasi
untuk
mendukung pengambilan Manajemen
:
keputusan. Suatu ilmu pengetahuan tentang seni memimpin lembaga pendidikan yang terdiri atas kegiatan perencanaan, penglembaga pelaksanaan
pendidikanan, dan
pengendalian
terhadap sumber daya yang terbatas dalam usaha mencapai tujuan dan Risiko
:
sasaran yang efektif dan efisien. Sesuatu yang mengarah pada
ketidakpastian atas terjadinya suatu peristiwa Manajemen Risiko
:
selama
selang
waktu
tertentu. Suatu pendekatan yang mengadopsi sistem
yang
mengelola
konsisten
semua
risiko
untuk yang
dihadapi oleh lembaga pendidikan Sistem Informasi Manajemen
:
disebut manajemen risiko. Sistem yang terpadu menyajikan
Sistem Informasi Manajemen Risiko :
informasi
untuk guna
mendukung operasi manajemen. Sistem yang terpadu untuk menyajikan informasi hal-hal yang tidak pasti untuk mendukun operasi manajemen.
BAB II LANDASAN TEORI DAN KERANGKA KONSEP
2.1. Tinjauan Pustaka 2.1.1. Informasi Informasi merupakan rangkaian data (fakta) yang bersifat sementara, kemudian diproses sehingga menjadi sesuatu yang mempunyai nilai dan bermakna sehingga memudahkan untuk pengambilan keputusan (Sugiyanto, 2014). Informasi dapat diatur dan diproses untuk memberikan arti dimana data tersebut digunakan untuk pengambilan keputusan (Fahlevi, et al., 2014). Jadi, informasi dapat diartikan rangkaian data (fakta) yang telah diproses dan diatur sehingga memberikan arti dan nilai yang bermakna sehingga dapat memudahkan dalam pengambilan keputusan. Suatu informasi mempunyai suatu kualitas, dimana kualitas informasi tersebut dapat digunakan untuk mengukur kualitas dari keluaran sistem (Setyo & Rahmawati, 2015). Kualitas informasi ditentukan oleh tiga hal pokok, yaitu akurasi (accuracy), relevansi (relevancy), dan tepat waktu (timeless) (Fendini, et al., 2013) 1. Akurasi (accuracy) Informasi harus bebas dari kesalahan – kesalahan dan tidak bias atau menyesatkan. Informasi harus memiliki keakuratan tertentu agar tidak diragukan kebenarannya.
2. Relevansi (relevancy) Informasi yang ada memiliki nilai kemanfaatan sesuai dengan yang dibutuhkan oleh pemakainya. Informasi memiliki tingkat relavitas yang berbeda, tergantung pada tingkat pemakai.
19
3. Tepat waktu (timeless) Informasi yang datang pada penerima tidak boleh datang terlambat, karena informasi yang data tidak tepat waktu, tidak bernilai lagi, sebab informasi digunakan dalam proses pembuatan keputusan Jadi, dapat disimpulkan bahwa informasi merupakan hal yang penting bagi pengambilan keputusan, dimana informasi yang berkualitas harus memiliki akurasi (accuracy), relevansi (relevancy), dan tepat waktu (timeless), maka dibutuhkan suatu sistem untuk mengolah data tersebut. 2.1.2.
Sistem
Suatu sistem memiliki maksud tertentu, ada yang menyebutkan maksud dari suatu sistem tersebut adalah untuk mencapai suatu tujuan dan ada juga yang menyebutkan untuk mencapai suatu sasaran, dalam bidang sistem infromasi, sistem dalam diartikan sebagai sekelompok komponen yang saling berhubungan, bekerja sama untuk mencapai tujuan dengan menerima input serta menghasilkan output dalam proses kontribusi terhadap sistem untuk mencapai tujuan yang diinginkan, maka komponen tersebut dapat dikatakan bukan bagian dari sistem (Sugiyanto, 2014). Sistem merupakan suatu susunan yang mengatur kegiatan dan prosedur yang saling berhubungan yang mempermudah suatu kegiatan. Setiap unsur sistem mempunyai tujuan tertentu dimana bagian-bagian tersebut mempunyai kaitan yang
berhubungan satu dengan
yang lain
(Sugiyanto,
2014). Sistem
diklasifikasikan menjadi lima bagian (Abby, 2015), yaitu : 1. Sistem Abtrak dan Sistem Fisik a. Sistem Abstrak
: sistem yang berisi gagasan atau konsep.
b. Sistem Fisik
: sistem yang secara fisik dapat dilihat.
20
2. Sistem Deterministik dan Probabilistik a. Sistem Deterministik
: sistem yang operasi dapat diprediksi secara
tepat. b. Sistem Probabilistik
: sistem yang tidak dapat diprediksi dengan
pasti karena mengandung unsur probabilitas. 3. Sistem Tertutup dan Sistem Terbuka a. Sistem Tertutup : sistem yang tidak berhubungan dengan lingkungan dan tidak dipengaruhi oleh lingkungan. b. Sistem Terbuka
: sistem yang berhubungan dengan lingkungan dan
dipengaruhi oleh lingkungan. 4. Sistem Alamiah dan Sistem Buatan Manusia a. Sistem Alamiah : sistem yang terjadi secara alamiah tanpa tangan manusia. b. Sistem Buatan Manusia : sistem yang dibuat oleh manusia. 5. Sistem Sederhana dan Sistem Kompleks a. Sistem Sederhana
: sistem yang tidak rumit atau sistem dengan
tingkat kerumitan rendah. b. Sistem Kompleks
: sistem yang rumit.
Maka untuk menghasilkan suatu sistem yang baik, dibutuhkan suatu informasi yang akurasi, relevansi dan tepat waktu, sehingga perlu dibuat suatu sistem informasi untuk proses pengambilan keputusan.
21
2.1.3. Sistem Informasi Sistem informasi merupakan serangkaian komponen yang saling berhubungan untuk mengumpulkan, memproses dan menyebarkan informasi yang membentuk satu kesatuan yang dapat diintegrasikan, dan disimpan informasi tersebut (Fahlevi, et al., 2014). Untuk membuat suatu sistem informasi dibutuhkan komponen-komponen yang mendukung suatu sistem informasi (Dewi, 2016), yaitu : 1. Komponen Masukan (Input) Input merupakan data yang masuk kedalam sistem informasi. Komponen ini perlu ada karena merupakan bahan dasar dalam pengolahan informasi. 2. Komponen Model Informasi yang dihasilkan oleh sistem informasi berasal dari data yang diambil dari basis data yang diolah lewat suatu model-model tertentu. 3. Komponen Keluaran (Output) Produk dari sistem informasi adalah output
berupa informasi yang
berguna bagi para pemakainya. Output merupakan komponen yang harus ada di sistem informasi. 4. Komponen Teknologi Teknologi merupakan komponen sistem yang penting di sistem informasi. Tanpa adanya teknologi yang mendukung, maka sistem informasi tidak akan dapat menjelaskan informasi tepat pada waktunya. 5. Komponen Basis Data Basis data (database) merupakan kumpulan dari data yang saling berhubungan satu dengan lainnya, tersimpan diperangkat keras komputer dan 22
digunakan perangkat lunak untuk memanipulasinya. Data perlu disimpan didalam basis data untuk keperluan penyediaan informasi. 6. Komponen Kontrol atau Pengendalian Komponen kontrol merupakan komponen yang penting dan harus ada di sistem informasi. Komponen kontrol ini digunakan untuk menjamin bahwa informasi yang dihasilkan oleh sistem informasi merupakan informasi yang kuat. Maka dalam membuat suatu sistem infromasi, dimana keenam komponen tersebut masing-masing saling berinteraksi satu dengan yang lainnya membentuk satu kesatuan untuk mencapai sasarannnya. 2.1.4. Risiko Risiko berhubungan dengan ketidakpastian, ini terjadi karena kurang atau tidak tersedianya cukup informasi tentang apa yang akan terjadi. Sesuatu yang tidak pasti akan berakibat menguntungkan atau merugikan (Wati & Darda, 2012). Risiko mempunyai dua karakteristik (Yasa, et al., 2013), yaitu : 1. Merupakan ketidakpastian atas terjadinya suatu peristwa. 2. Merupakan ketidakpastian yang bila terjadi akan menimbulkan kerugian. Ada beberapa sumber yang dapat menyebabkan terjadinya suatu risiko (Lokobal, et al., 2014), yaitu : 1. Risiko Internal, yaitu risiko yang berasal dari dalam lembaga pendidikan itu sendiri. 2. Risiko Eksternal, yaitu risiko yang berasal dari luar lembaga pendidikan atau lingkungan luar lembaga pendidikan. 3. Risiko Keuangan, risiko yang disebabkan oleh faktor-faktor ekonomi dan keuangan, seperti perubahan harga, tingkat bunga dan mata uang.
23
4. Risiko Operasional, adalah semua risiko yang tidak termasik operasional disebabkan oleh faktor-faktor manusia, alam dan teknologi. Untuk menangulangi semua risiko yang terjadi, maka diperlukan sebuah manajemen untuk mengidentifikasi risiko tersebut. 2.1.5.
Manajemen
Manajemen merupakan ilmu pengetahuan yang terdiri dari kegiatan perencanaan, pelaksanaan dan pengendalian terhadap sumber daya yang terbatas dalam mencapai tujuan tertentu dan sasaran yang efektif dan efisien (Nugroho, 2012). Manajemen dibutuhkan oleh semua lembaga pendidikan karena tanpa manajemen, semua usaha akan sia-sia dan pencapaian tujuan akan lebih sulit. Tujuan dari manajemen adalah mendapatkan metode atau cara teknik yang paling baik agar sumber daya yang terbatas diperoleh hasil yang maksimal dalam hal ketepatan, kecepatan, penghematan dan keselamatan kerja komprehensif. Manajemen mempunyai empat fungsi utama (Salsabila, 2016), yaitu : 1. Perencanaan Proses penentuan tujuan atau sasaran yang hendak dicapai dan menetapkan jalan dan sumber yang diperlukan untuk mecapai tujuan dan seefisien mungkin. 2. Pengorganisasian Tindakan mengusahakan hubungan–hubungan kelakuan yang efektif antara orang-orang, sehingga mereka dapat bekerja sama secara efisien dan memperoleh kepuasan pribadi dalam melaksanakan tugas-tugas tertentu, dalam kondisi lingkungan tertentu guna mencapai tujuan atau sasaran tertentu. 3. Pelaksanaan Usaha menggerakkan anggota-anggota kelompok sedemikian rupa hingga mereka berkeinginan dan berusaha untuk mencapai sasaran lembaga pendidikan dan sasaran anggota lembaga pendidikan tersebut. Oleh karena itu para anggota juga ingin mencapai sasaran-sasaran tersebut. 24
4. Evaluasi Proses pengumpulan dan analisis data secara sistematis yang diperlukan dalam rangka pengambilan keputusan. Untuk mengontrol risiko tersebut dibutuhkan suatu pengendalian risiko untuk mencegah terjadinya risiko. 2.1.6. Manajemen Risiko Manajemen risiko merupakan suatu pendekatan yang mengadopsi sistem yang konsisten untuk mengelola semua risiko yang dihadapi oleh lembaga pendidikan (Pradana & Rikumahu, 2014). Dalam hal ini manajemen risiko akan melibatkan proses-proses, metode dan teknik yang membantu memaksimumkan probabilitas dari event positif dan meminimasi probabilitas dari konsekuensi event negatif (Lokobal, et al., 2014). Ada lima konsep dasar dalam manajemen risiko yang harus dipahami oleh para pejabat lembaga pendidikan yang terlibat pada proses manajemen risiko (Wati & Darda, 2012), yaitu : 1. Manajemen risiko hanyalah sebuah pendekatan. 2. Sifat dari instrument yang digunakan akan menentukan parameter dari sebuah strategi manjemen risiko. Secara relatif tidak ada satu strategi manajemen risiko yang dapat diterpakan pada semua instrument. 3. Manajemen risiko haruslah sistematis dan diikuti secara konsisten tetatip tidak kaku dan fleksibel. 4. Manajemen risiko buka merupakan alat sulap yang secara ajaib akan meningkatkan return dan sekaligus mengurangi risiko. 5. Lingkungan usaha lembaga pendidikan saat ini telah menyebabkan kompleksitas manajemen risiko menjadi sangat tinggi dan merupakan proses yang semakin sulit. 25
Maka
dengan
diterapkannya
manajemen
risiko
disuatu
lembaga
pendidikan, akan menghasilkan manfaat yang diperoleh (Badan Pengawasan Keuangan dan Pembangunan, 2016), yaitu: 1. Meningkatkan kemungkinan yang lebih besar untuk mencapai tujuan bisnis. 2. Memberikan dasar yang lebih baik dalam penyusunan arah stratejik. 3. Fokus pada praktek standar bisnis terbaik. 4. Meningkatkan hubungan dengan stakeholder. 5. Meningkatkan pencapaian keunggulan kompetitif. 6. Menyajikan respon terpadu terhadap berbagai risiko. Dengan penjelasan diatas, maka dibutuhkan sistem informasi manajemen untuk mencatat daftar risiko sebagai bank data dan untuk pembelajaran. 2.1.7. Penilaian Risiko Penilaian risiko ( risk assessment ) dilakukan untuk menentukan tingkat potensi ancaman dan risiko yang terkait dengan sistem. Output dari proses ini membantu mengidentifikasi pengendalian yang tepat untuk mengurangi atau menghilangkan risiko selama proses mitigasi. (Putri, 2012).
Terdapat Sembilan tahapan dalam penilaian risiko (Putri, 2012), yaitu : 1. Karakteristik sisem
26
Mengetahui karakteristik dari sistem teknologi informasi berupa hardware, software, sistem, data dan informasi, orang yang mendukung atau menggunakan sistem dan topologi jaringan sistem. 2. Identifikasi ancaman Identifikasi ancaman yang mungkin menyerang kelemahan sistem teknologi informasi. 3. Identifikasi kerentanan : Identifikasi kerentanan atau kelemahan ( vulnerability ). 4. Analisis pengendalian Menganalisa kontrol-kontrol yang sudah diimplementasikan oleh lembaga pendidikan untuk mengurangi atau menghilangkan kemungkinan dari suatu ancaman menyerang sistem yang rentan. 5. Penentuan kemungkinan Menentukan
penilaian
terhadap
keseluruhan
kecenderungan
yang
mengidentifikasikan kemungkinan potensi kerentanan yang diserang oleh ancaman yang ada. 6. Analisis dampak Menentukan dampak buruk yang mungkin terjadi dari sebuah ancaman yang timbul adanya kerentanan. 7. Penentuan risiko Menentukan tingkat risiko kedalam sistem TI.
8. Rekomendasi kontrol
27
Mengurangi tingkat risiko bagi sistem TI ke tingkat yang dapat diterima oleh lembaga pendidikan dengan memberikan masukan untuk proses mitigasi selanjutnnya. 9. Dokumentasi dalam bentuk laporan Membuat dokumentasi dari setiap kejadian yang telah terjadi untuk pengambilan keputusan, sehingga tujuan dari lembaga pendidikan tercapai. 2.1.8. Pengendalian Risiko Pengendalian risiko dilakukan untuk mencegah atau menurunkan probabilitas terjadinya risiko atau kejadian yang tidak kita inginkan, untuk risiko yang tidak bisa dihindari, maka lembaga pendidikan perlu melakukan pengendalian risiko dengan menggunakan dua dimensi yaitu probabilitas dan severity. Pengendalian risiko bertujuan untuk mengurangi kejadian, mengurangi tingkat keseriusan (severity), atau keduanya (Yasa, et al., 2013). Pengendalian dibagi menjadi tiga kelompok (Siswanto & Luther, 2011), yaitu: 1. Preventif Control Pengendalian ini digunakan untuk mencegah masalah sebelum masalah tersebut muncul. 2. Detective Control Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian segera setelah masalah tersebut muncul. 3. Corrective Control Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada pengendalian detective. Pengendalian ini mencangkup prosedur untuk menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi sistem proses, dengan demikian dapat mencegah kejadian yang sama dimasa mendatang. 28
Jadi pengendalian risiko sangat dibutuhkan untuk memperbaiki masalahmasalah yang muncul. 2.1.9. Pengurangan ( Mitigasi ) Risiko Mitigasi risiko merupakan tindakan yang dilakukan untuk mengurangi risiko yang muncul. Dalam proses ini dilakukan memprioritaskan, mengevaluasi dan mengurangi risiko. Menghilangkan semua risiko secara keseluruhan merupakan hal yang tidak mungkin (Putri, 2012). Beberapa tindakan yang perlu dilakukan dalam menangani risiko (Yasa, et al., 2013), yaitu : 1. Menahan Risiko ( Risk Retention ) Tindakan ini dilakukan karena dampak dari suatu kejadian yang merugikan masih dapat diterima ( acceptable ). 2. Mengurangi Risiko ( Risk Reduction ) Mengurangi risiko dilakukan dengan mempelajari secara mendalam risiko tersebut dan melakukan usaha-usaha pencegahan pada sumber risiko atau mengkombinasikan usaha agar risiko yang diterima tidak terjadi secara simultan. 3. Memindahkan Risiko ( Risk Transfer ) Dilakukan dengan cara mengasuransikan risiko baik sebagian atau seluruhnya kepada pihak lain. 4. Menghindari Risiko ( Risk Avoldance ) Dilakukan dengan menghindari aktivitas yang tingkat kerugiannya tinggi. Jadi, dalam proses mitigasi risiko diperlukan sebuah prioritas penting untuk mengurangi risiko sehingga dapat mengambil suatu tindakan.untuk proses selanjutnya. 2.1.10.
Sistem Informasi Manajemen
29
Sistem Informasi Manajemen merupakan kumpulan dari interaksi sistemsistem informasi yang bertanggung jawab mengumpulkan dan mengolah data untuk menyediakan informasi yang berguna untuk semua tingkatan manajemen didalam kegiatan perencanaan dan pengendalian (Rahmayanti & Afrinando, 2013). Tujuan dari sistem informasi manajemen adalah menyediakan informasi yang
dipergunakan
didalam
perhitungan,
menyediakan
informasi
yang
dipergunakan dalam perencanaan, pengendalian, pengevaluasian dan perbaikan untuk pengambilan keputusan (Anggadini, 2014). Sistem informasi manajemen mempunyai elemen-elemen fisik yang dibutuhkan untuk kelancaran sistem yang digunakan, yaitu perangkat keras komputer, perangkat lunak dan program aplikasi. Sistem informasi manejemen mempunyai fungsi utama (Rinaldi, 2016), yaitu : 1. Mempermudah
pihak
manajemen
untuk
melakukan
perencanaan,
pengawasan, pengarahan dan pendelegasian. 2. Meningkatkan efisiensi dan efektifitas data tersaji akurat dan tepat waktu. 3. Meningkatkan produktifitas dan penghematan biaya dalam suatu lembaga pendidikan. 4. Meningkatkan kualitas sumber daya manusia karena unit sistem kerja yang terkoordinir dan sistematis. Sistem informasi manajemen merupakan kumpulan dari sistem-sistem informasi. Sistem informasi manajemen tergantung dari besar kecilnya kebutuhan, sistem informasi terdiri dari (Rahmayanti & Afrinando, 2013), yaitu : 1. Sistem informasi akuntansi, menyediakan informasi dari transaksi keuangan 2. Sistem informasi distribusi. 3. Sistem informasi pembelian.
30
4. Sistem informasi manajemen penyediaan. Dengan demikian dapat dibuat sistem informasi manajemen risiko untuk mengurangi risiko-risiko yang terjadi pada suatu lembaga pendidikan. 2.1.11. Sistem Informasi Manajemen Risiko Sistem informasi manajemen
risiko merupakan bagian dari sistem
informasi manajemen yang harus dimiliki dan dikembangkan sesuai dengan kebutuhan, dalam rangka penerapan manajemen risiko yang efektif. Sebagai bagian dari proses manajemen risiko, harus memiliki sistem informasi manajemen risiko yang dapat memastikan (Ikatan Bankir Indonesia, 2015) : 1. Data yang diperlukan tersedia secara akurat dan tepat waktu. 2. Risiko terukur secara akurat, relevansi dan tepat waktu, baik. 3. Mematuhi penerapan manajemen risiko terhadap kebijakan, prosedur dan penetapan limit risiko. 4. Hasil penerapan manajemen risiko ditetapkan oleh lembaga pendidikan sesuai dengan kebijakan dan strategi penerapan manajemen risiko. Sistem informasi manajemen risiko harus dapat menerjemahkan risiko yang diukur dengan format kuantitatif sehingga menjadi format kuantitatif yang mudah dipahami. Sistem informasi manajemen risiko digunakan untuk mendukung pelaksanaan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko, maka diperlukan dukungan sistem informasi manajemen yang dapat mendukung pembuatan laporan yang akurat, informasi, relevan, lengkap, konsisten dan tepat waktu (Ikatan Bankir Indonesia, 2015).
2.1.12.
OCTAVE
31
OCTAVE
merupakan metodologi yang dikembangkan oleh institusi
rekayasa perangkat lunak universitas Caranagie Mellon, digunakan untuk melakukan penilaian risiko yang menggabungkan anatara perilaku lembaga pendidikan dan kelemahan-kelemahan teknologi. Komponen penting OCTAVE adalah tim penganalisa dapat dibangun dari internal lembaga pendidikan itu sendiri yang memiliki keterampilan teknis serta keterampilan lembaga pendidikan yang terkait dengan praktek-praktek bisnis (Abdurrasyid, 2012) Metode OCTAVE merupakan pendekatan yang digunakan untuk menilai kebutuhan keamanan informasi lembaga pendidikan (CERT, 2016).
Jadi
OCTAVE dapat diartikan sebagai suatu pendekatan metodologi yang digunakan untuk melakukan penilaian risiko yang menggabungkan antara perilaku lembaga pendidikan dan kelemahan-kelemahan teknologi yang dibangun dari internal lembaga pendidikan itu sendiri untuk menilai keutuhan keamanan informasi lembaga pendidikan. Pendekatan OCTAVE didasari pada dua aspek : 1. Risiko operasional. 2. Praktek-praktek keamanan. Metode OCTAVE terdapat tiga varian yang dapat digunakan. Ketiga varian tersebut adalah (Abdurrasyid, 2012) : 1. OCTAVE Metode OCTAVE merupakan versi OCTAVE yang pertama kali dikembangkan.
Metode
OCTAVE
merupakan
sebuah
pendekatan
untuk
mengevaluasi risiko keamanan informasi secara komprehensif, sistematis, context-driven and self-directed. Metode ini ditujukan untuk analisis risiko terhadap sumber daya manusia besar yang memiliki 300 atau lebih karyawan. Untuk mengelola risiko keamanan informasi adalah mengenali apakah risiko lembaga pendidikan yang menerapkannya. Setelah risiko diidentifikasi, lembaga pendidikan dapat membuat rencana penangulangan dan mengurangi/ mitigasi risiko terhadap masing-masing risiko yang telah diketahui. 32
Gambar II-1. Langkah-langkah OCTAVE Gambar diatas menjelaskan tentang langkah-langkah OCTAVE. Tahap 1 : Organizational View, yang terdiri dari assets, threats, currenct practice, organization vulnerabilities, security requirements. Tahap 2 : Technological View terdiri dari key components, technical vulnerability. Tahap 3 : Strategy and Plan Development terdiri dari risks, protection strategy mitigation risk. 2. OCTAVE-S OCTAVE-S adalah variasi dari pendekatan OCTAVE yang dikembangkan untuk memenuhi kebutuhan kecil.. Hal ini disesuaikan dengan cara yang lebih terbatas dan kendala yang unik biasanya ditemukan di organisasi yang lebih kecil (Alberts, et al., 2005). OCTAVE-S digunakan untuk mengevaluasi terhadap sumber daya manusia kecil dimana sumber daya kurang dari 300 orang.
33
Gambar II-2. OCTAVE-S Menekankan Risiko Operasional dan Praktek Keamanan Pada gambar diatas menerangkan bahwa metode OCTAVE-S lebih menekankan kepada Risiko Operational dan Praktek Keamanan dibandingkan dengan Teknologi. Tabel II-1. Perbedaan OCTAVE dengan pendekatan lain (Alberts, et al., 2005)
Sebelum menggunakan OCTAVE-S, perlu memahami dua aspek berikut ini (Alberts, et al., 2005), yaitu : a. Anggota tim terdiri dari tiga sampai lima orang, anggota tim analisis harus memiliki wawasan yang luas dalam bisnis dan proses keamanan, hal 34
tersebut cukup untuk melakukan semua kegiatan OCTAVE-S, sehingga tidak memerlukan pengumpulan data formal. b. OCTAVE-S mengeksplorasi infrastruktur komputasi yang dibagi menjadi dua tahap. Dalam organisasi kecil biasanya belum mengembangkan kemampuan untuk menjalankan dan menafsirkan hasil alat kerentanan evaluasi. Namun, karena kurangnya kemampuan untuk menjalankan alatalat seperti menghalangi untuk membangun startegi perlindungan. Daripada menggunakan kerentanan data untuk memperbaiki tentang keamanan praktek. OCTAVE-S digunakan untuk konfigurasi dan pemeliharaan infrastruktur komputasi. OCTAVE-S adalah evaluasi risiko keamanan mandiri. Dalam hal ini membutuhkan analisis untuk memeriksa risiko keamanan untuk mengkritisi aset yang kaitannya dengan tujuan usahanya, hasil dari OCATVE-S ini adalah menghasilkan strategi perlindungan dan rencana mitigasi risiko. Dengan menerapkan OCTAVE-S,sebuah organisasi berdiri untuk lebih baik untuk melindungi semua aset informasi yang berhubungan dan meningkatkan keamanan secara keseluruhan (Alberts, et al., 2005). OCTAVE-S didasarkan pada tiga fase yang dijelaskan dalam kriteria OCTAVE, meskipun urutan kegiatan berbeda dari metode OCTAVE. OCTAVE-S memberikan gambaran singkat dari fase, proses dan kegiatan. a. Membuat profil aset beserta ancaman-ancamannya. Pada fase ini dilakukan evaluasi dari segi aspek lembaga pendidikan, pada fase ini didefinisikan kriteria evaluasi yang kemudian akan digunakan dalam melakukan evaluasi risiko. Dalam fase ini terdapat dua proses :
Tabel II-3. Tahap 1 : Membuat profil aset beserta ancaman
35
1) Identifikasi informasi lembaga pendidikan Adapun aktifitas yang dilakukan pada proses ini ada tiga: a) Membuat kriteria dampak evaluasi Dalam penelitian ini akan digunakan tiga tabel risiko : tabel low impact, medium impact dan high impact. Untuk masukan untuk tahap ini adalah form yang telah diidentifikasi dari dampak aset sebelumnya :
Gambar II-3. Form Kriteria Dampak Evaluasi
b) Mengidentifikasi aset-aset yang dimiliki lembaga pendidikan.
36
Identifikasi aset dilakukan dengan mengumpulkan informasi aset, berupa informasi, aplikasi dan layanan dari masing-masing aset. Untuk masukan tahap ini merupakan aset yang telah diidentifikasi sebelumnya.
Gambar II-4. Form Mengidentifikasi aset-aset yang dimiliki oleh c) Melakukan evaluasi terhadap praktek-praktek keamanan lembaga pendidikan yang sudah berjalan. Untuk masukan tahap ini berupa form kuesioner yang telah diisi oleh responden.
Gambar II-5. Kuesioner Evaluasi Praktek Keamanan 2) Membuat profil ancaman terhadap aset-aset : 37
Pada proses ini terdapat empat aktifitas yang harus dilakukan a) Menentukan aset-aset yang paling penting Pada tahap ini, untuk hasil masukan berupa form aset-aset penting yang ada pada lembaga pendidikan, berdasarkan hasil dari wawancara yang telah dilakukan.
Gambar II-6. Form aset-aset penti ng b) Mengidentifikasi pengamanan yang dilakukan terhadap aset-aset penting tersebut. Untuk masukan tahap ini merupakan form pengamanan aset yang telah diisi oleh responden, berdasarkan kriteria dampak sebelumnya.
Gambar II-7. Mengidentifikasi pengamanan aset 38
c) Mengidentifikasi ancaman-ancaman yang dapat menggangu aset penting lembaga pendidikan. Untuk masukan tahap ini berupa form yang diisi oleh responden.
Gambar II-8. Form mengidentifikasi ancaman-ancaman d) Menganalisa teknologi terkait dengan proses yang berjalan selama ini. b. Mengidentifikasi kelemahan-kelemahan infrastruktur Pada tahap ini terdapat satu proses yang harus dilakukan, yaitu meneliti infrastruktur komputasi yang berhubungan dengan aset-aset penting lembaga pendidikan.
39
Tabel II-4. Tahap 2 : Mengidentifikasi kelemahan infrastruktur
Proses tersebut memiliki dua aktifitas, yakni : 1) Memeriksa jalur akses yang menuju kepada aset-aset penting lembaga pendidikan. Untuk masukan tahap ini menggunakan form yang diisi oleh responden.
Gambar II-9. Form Memeriksa Jalur Akses 2) Menganalisa teknologi yang berperan untuk mengakses aset-aset penting lembaga pendidikan tersebut. Untuk hasil ini mengisi form kuesioner yang diisi oleh responden.
40
Gambar II-10. Form Menganalisa Teknologi
c. Membuat rancangan strategi keamanan Pada fase ini yang merupakan fase terakhir,fase ini melakukan identifikasi risiko-risiko yang mungkin terjadi muncul dan dapat membahayakan aset-aset
41
penting lembaga pendidikan, serta memustukan hal-hal yang harus dilakukan untuk melindungi aset tersebut. Dari hasil informasi yang sebelumnya telah dilakukan makan dapat dibuat strategi perlindungan terhadap aset-aset. Tabel II-5. Tahap 3 : Membuat rancangan strategi keamanan
Dalam fase ini terdapat dua proses : 1) Identifikasi dan analisis risiko, dalam proses ini terdapat tiga aktifitas yang harus dilakukan a) Mengevaluasi dampak dari ancaman. Tahap ini didapat dari dampak ancaman pada aset penting yang melalui akses jaringan dan akses fisik.
42
Gambar II-11. Mengevaluasi dampak dari ancaman b) Membuat kriteria evaluasi kemungkinan-kemungkinan Masukan pada tahap ini adalah mengisi form kuesioner.
Gambar II-12. Membuat kriteria evaluasi c) Mengevaluasi kemungkinan-kemungkinan dari setiap ancamanancaman yang dapat muncul.
43
2) Membuat pengendalian dan rencana mitigasi, pada proses ini terdapat lima proses aktifitas yang harus dilakukan, yakni : a) Menggambarkan strategi pengendalian risiko yang telah berjalan sebelumnya. b) Menentukan pendekatan mitigasi risiko yang hendak digunakan. c) Membangun perencanaan mitigasi risiko. d) Mengidentifikasi perubahan terhadap strategi pengendalian. e) Mengidentifikasi langkah-langkah pengembangan selanjutnya.
Gambar II-13. Membuat Rencana Mitigasi Risiko Pada tahap pembuatan mitigasi risiko mengambil kontrol-kontrol pengendalian yang terdapat pada ISO/EIC 27001. Hasil utama dari OCTAVE-S (Alberts, et al., 2005), yaitu: a. Strategi perlindungan lembaga pendidikan yang luas, perlindungan strategi menguraikan secara singkat arah lembaga pendidikan dengan mematuhi praktek keamanan informasi. 44
b. Rencana mitigasi risiko, rencana ini dimaksudkan untuk mengurangi risiko aset kritis untuk meningkatkan praktek keamanan yang dipilih. c. Daftar tindakan, termasuk tindakan jangka pendek yang dibutuhkan untuk menunjukkan kelemahan yang spesifik Adapun output lain yang berguna dari OCTAVE-S (Alberts, et al., 2005) adalah : a. Daftar aset informasi yang penting tekait dengan hal-hal yang mendukung tujuan dan sasaran bisnis. b. Hasil survey yang menunjukkan sejauh mana lembaga pendidikan mengikuti keamanan praktek yang baik. c. Profil risiko untuk setiap aset kritis menggambarkan risiko untuk aset tersebut. Setiap fase OCTAVE-S menghasilkan sesuatu yang bermanfaat, sehingga informasi yang dihasilkan berguna untuk meningkatkan keamanan organisasi. 3. OCTAVE Allegro Tujuan dari metode OCTAVE Allegro adalah penilaian yang luas terhadap lingkungan risiko operasional lembaga pendidikan dengan tujuan menghasilkan penilaian tanpa perlu perngetahuan yang luas dalam hal penilaian risiko. OCTAVE Allegro lebih berfokus terhadap aset informasi yang diiddentifikasikan dan dinilai berdasarkan aset informasi yang terhubung (Abdurrasyid, 2012). Proses ini menghilangkan ruang lingkup dan mengurangi pengumpulan data yang luas dan melakukan analisa untuk aset yang mempunyai dampak buruk diluar ruang lingkup penilaian (CERT, 2016). OCTAVE Allegro dapat dilakukan dengan metoda workshop-style dan kolaboratif.
45
Gambar II-14. Langkah-langkah OCTAVE Allegro Gambar diatas menjelaskan langkah-langkah OCTAVE Allegro. tahap pertama Establish drivers, terdiri establish risk measurement criteria. Tahap kedua Profile Assets terdiri dari develop information asset profile dan identify information asset containers. Tahap ketiga Identify threats terdiri dari identify areas of concern dan identify threat scenarios. Tahap keempat Identify and mitigate risks terdiri dari analyze risks dan select mitigation approach. Jadi, sesuai dengan pendapat diatas maka peneliti menggunakan pendekatan menggunakan OCTAVE-S karena pada lembaga pendidikan hanya memiliki sumber daya manusia berjumlah 126 orang. 2.1.13. Perbandingan antara OCTAVE, NIST, COBRA, Risk Watch dan FRAP Terdapat beberapa metode yang digunaka dalam penilai manajemen risiko, antara lain OCTAVE, NIST, COBRA, Risk Watch dan FRAP (Anon., 2012). OCTAVE merupakan metode yang cukup terstruktur akan tetapi metode ini merupakan metode yang cocok dalam berskala kecil.
46
NIST sebagai metode pengukuran risiko dapat digunakan dalam waktu cukup lama hingga berbulan-bulan minimal dua bulan, tergantung dengan kebutuhan lembaga pendidikan dan NIST digunakan pada skala yang besar. COBRA metode sesuai ISO akan tetapi lebih fokus ke dalam bisnis misalnya seperti menganalisis bagaimana anggaran lembaga pendidikan apakah sedang berkembang atau merugi. Risk Watch lebih mengarah pada risiko invetasi, yang berhubungan dengan keuangan dimana bank-bank besar mengadopsi metode ini untuk menilai kerentanan risiko. Maka peneliti menggunakan pendekatan menggunakan OCTAVE-S karena metode ini digunakan untuk skala yang jumlahnya kecil. 2.1.14.
ISO/EIC 27001:2005 Sejak tahun 2005, International Organiation for Standardization (ISO) atau Organisasi Internasional untuk Standarisasi telah mengembangkan sejumlah standar tentang Information Security Management Syatems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan (Tim Direktorat Keamanan Informasi, 2011). ISO/IEC 27001 merupakan dokumen sistem manajemen keamanan informasi atau Information Security Management System, biasa disebut ISMS, yang memberikan gambaran secara umum mengenai apa yang harus dilakukan oleh sebuah lembaga pendidikan dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di lembaga pendidikan berdasarkan ”best practice” dalam pengamanan informasi (DC Konsultan, 2014). Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari (Tim Direktorat Keamanan Informasi, 2011) :
1. ISO/EIC 27000 : 2009 - ISMS Overvie and Vocabulary 47
Standar ini dirilis tahun 2009, memuat prinsip-prinsip dasar Information. Security Management Systems (Sistem Manajemen Keamanan Informasi – SMKI), definisi sejumlah istilah penting dan hubungan antar standar dalam keluarga SMKI, baik yang telah diterbitkan maupun sedang dalam tahap pengembangan. Hubungan antar standar keluarga 27000 dapat digambarkan sebagai berikut (Tim Direktorat Keamanan Informasi, 2011):
Gambar II-15. Hubungan antar standar keluarga SMKI ISO/EIC 27002 sampai dengan ISO/EIC 27007 semua mengacu kepada ISO 27001, di mana ISO/EIC 27001 merupakan gambaran dari semua proses yang ada dari masing-masing ISMS.
2. SNI ISO/EIC 27001 : 2005 - ISMS Requirements
48
SNI ISO/EIC 27001 yang diterbitkan tahun 2009 dan merupakan versi indonesia dari ISO/EIC 27001 : 2005, yang berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membagnun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan terhadap produk berbasis risiko dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset infomasi dari berbagai risiko dan memberikan keyakinan tingkat keamanan bagi pihak yang berkepentingan. SNI ISO/EIC 27001 menerapkan model PLAN – DO – CHECK – ACT (PDCA) pada keseluruhan proses SMKI. Table II-6. Model PLAN-DO-CHECK-ACT (PDCA) PLAN (Menetapkan SMKI)
Menetapkan kebijakan SMKI, sasaran, proses dam prosedur yang relevan untuk mengelola risiko dan meningkakan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dan sasaran. DO (Menerapkan dan mengoperasikan Menerapkan dan mengoperasikan SMKI) kebijakan SMKI, Kontrol, proses dan prosedur-prosedur. CHECK (Memantau dan melakukan Mengkaji dan mengukur kinerja proses tinjauan ulang SMKI) terhadap kebijakan, sasaran, praktekpraktek dalam menjalankan SMKI dan meporkan hasilnya kepada manajemen untuk ditinjau efektivitasnya. ACT (Memelhara dan meningkatkan Melakukan tindakan perbaikan dan SMKI) pencegahan, berdasarkan hasil evaluasi, aufit internal dan tinjauan manajamen tentang SMKI atau kegiatan pemantauan lainnya untuk mencapai peningkatan yang berkelanjutan. 3. ISO/EIC 27002 : 2005 - Code of Practice for ISMS ISO/IEC 27002 berisi panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar 49
mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut sebelas area pengamanan sebagaimana ditetapkan dalam ISO/IEC 27001. ISO/IEC27002 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang tepat sesuai kebutuhannya, dengan mempertimbangkan hasil kajian risiko yang telah dilakukannya. Pengguna juga dapat memilih kontrol di luar daftar kontrol yang dimuat standar ini sepanjang sasaran kontrolnya dipenuhi. 4. ISO/EIC 27003 : 2010 - ISMS Implementation Guidance Tujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagi perancangan dan penerapan SMKI agar memenuhi persyaratan ISO 27001. Standar ini menjelaskan proses pembangunan SMKI meliputi persiapan, perancangan dan penyusunan / pengembangan SMKI yang digambarkan sebagai suatu kegiatan proyek. Sebagai kegiatan proyek, tahapan utama yang dijelaskan dalam standar ini meliputi: a. Mendapatkan persetujuan manajemen untuk memulai proyek SMKI. b. Mendefinisikan ruang lingkup, batasan dan kebijakan SMKI. c. Melakukan analisis persyaratan SMKI. d. Melakukan kajian risiko dan rencana penanggulangan risiko. e. Merancang SMKI. f. Merencanakan penerapan SMKI. Standar ini diterbitkan pada bulan Januari 2010. 5. ISO/EIC 27004 : 2009 - ISMS Measurements Standar ini menyediakan panduan penyusunan dan penggunaan teknik pengukuran untuk mengkaji efektivitas penerapan SMKI dan kontrol sebagaimana dipersyaratkan ISO/IEC 27001. Standar ini juga membantu lembaga pendidikan
50
dalam mengukur ketercapaian sasaran keamanan yang ditetapkan. Standar ini mencakup bagian utama sebagai berikut: a. Penjelasan tentang pengukuran keamanan informasi. b. Tanggung jawab manajemen. c. Pengembangan metode pengukuran. d. Pengukuran operasi. e. Analisis data dan pelaporan hasil pengukuran. f. Evaluasi dan perbaikan program pengukuran keamanan informasi. Standar ini diterbitkan bulan Desember 2009. 6. ISO/EIC 27005 : 2008 - Information Security Risk Management Standar ini menyediakan panduan bagi kegiatan manajemen risiko keamanan informasi dalam suatu lembaga pendidikan, khususnya dalam rangka mendukung persyaratan-persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001. Standar ini diterbitkan pada bulan Juni 2008. 7. ISO/EIC 27006 : 2007 - ISMS Certification Body Requirements Standar ini menetapkan persyaratan dan memberikan panduan bagi lembaga pendidikan yang memiliki kewenangan untuk melakukan audit dan sertifikasi sistem manajemen keamanan informasi (SMKI). Standar ini utamanya dimaksudkan untuk mendukung proses akreditasi Badan Sertifikasi ISO/IEC 27001 oleh Komite Akreditasi dari negara masing-masing. 8. ISO/EIC 27007- Guidelines for ISMS Auditing Standar ini merupakan panduan untuk mengaudit sistem manajemen keamanan inforamsi (SMKI)
51
Berdasarkan aturan yang telah diterbitkan oleh Kominfo pada tahun 2011, maka peneliti menggunakan ISO/EIC 27001:2005 untuk keamanan informasi. Perbedaan ITIL, COBIT dan ISO/EIC 27001 dan 27002 (Gehrmaan, 2012) Tabel II-7. Perbedaan ITIL, COBIT dan ISO/EIC 27001 dan 27002 ITIL Concepts/processes Activity Cost/ benefits Planning for deployment
COBIT Critical success factors (CSF,KPI) Metrics Good practice (CMM) Auditing
ISO/EIC 27001 dan 27002 Information security
52
Berikut ini merupakan klausul yang dipakai pada ISO/EIC 27001 : Tabel II-8. Klausul ISO/EIC 27001 Klausul
Kontrol
A5. SECURITY POLICY A5.1 Information Security Policy A.5.1.1
Information Security Policy Document
A.5.1.2
Review of the Information security Policy
A.6 ORGANIZATION OF INFOTMATION SECURITY A.6.1 Internal Organization A.6.1.1 A.6.1.2
Management commitment to information security
A.6.1.3
Allocation of information security responsibilities
A.6.1.4
Authorization process for information processing facilities control
A.6.1.5
confidentiality agreements
Information security coordination control
A.6.1.6 Contact with authorities Klausul Control Klausul Kontrol A.7.1.2 Ownership of assets A.7.1.3 Acceptable use of assets A.6.1.7 Contact with special interest groups A.7.2 Information Classification A.6.1.8 Independent review of information security A.7.2.1 Classification guidelines A.7.2.2 Information labeling and handling A.6.2.1 Identification of risks related to external parties A.8 HUMAN RESOPURCES SECURITY A.6.2.2 Addressing security when dealing with customers A.8.1 Prior to Employment A.6.2.3 Addressing security in third party agreements A.8.1.1 Roles and responsibilities A.7 ASSET MANAGEMENT
T id a T id T id I m pT id T id a Y a Y a Y a
A.7.1Screening Responsibilies for Assets A.8.1.2 A.7.1.1 Inventory of asset A.8.1.3 Terms and conditions of employment A.8.2 During Employment A.8.2.1 Management responsibilities A.8.2.2 Information security awareness, education and training
53
Klausul
Kontrol
A.9.2.4 Equipment maintenance A.9.2.5 Security of equipment off premises A.9.2.6 Secure disposal or re-use of equipment A.9.2.7 Removal of property A.10 COMMUNICATION AND OPERATIONS MANAGEMENT A.10.1 Operational Procedures and Responsibilities A.10.1.1 Documented operating procedures A.10.1.2 Change management A.10.1.3 Segregation of duties A.10.1.4
Klausul
Separation of development, test and operational facilies
Kontrol
A.10.2 Third Party Service Delivery Management A.10.2.1
Services delivery
A.10.2.2
Monitoring and review of third party services
A.10.2.3
Managing changes to third party services A.10.3 System Planning and Acceptance A.10.3.1 Capacity management 54
A.10.3.2 System acceptance A.10.4 Protection Against Malicious and Mobile Code A.10.4.1 Control against malicious code A.10.4.2
Control against mobile code
Klausul
Kontrol
A.10.5 Backup A.10.5.1
Information back-up
A.10.6 Network Security Management A.10.6.1 Network controls A.10.6.2 Security of network services A.10.7 Media Handling A.10.7.1 Managements of removable media A.10.7.2 Disposal of media A.10.7.3
Information handling procedures A.10.7.4 Security of system documentation A.10.8 Exchange of Information A.10.8.1 Information exchange policies and procedures A.10.8.2
Exchange agreements
Klausul
Kontrol
A.10.8.3 A.10.8.4
Physical media in transit Electronic messaging
A.10.8.5 Business information systems A.10.9 Electronic Commerce Services A.10.9.1
Electronic commerce
A.10.9.2 A.10.9.3 A.10.10 Monitoring
On-line transaction Publicly available information
55
Klausul
Kontrol
A.10.10. 1 A.10.10. 2 A.10.10. 3
Audit logging Monitoring system use Protection of log information
A.10.10. 4 A.10.10. 5
Administrator and operator logs Fault logging
A.10.10. 6 A.11 ACCESS CONTROL
Clock synchronization
A.11.1 Business Control for Access Control A.11.1.1 Access control policy Klausul Kontrol A.11.2 User Access Management A.11.2.1 User registration A.11.2.2
Privilege management
A.11.2.3
User password management
A.11.2.4
Review of user access rights
A.11.3 User Responsibilities A.11.3.1 Password use A.11.3.2 A.11.3.3 Klausul
Unattended user equipment Clear desk and clear screen Kontrol
Policy A.11.4 Network Access Control A.11.4.1 Policy on use of network services A.11.4.2 A.11.4.3
User authentication for external connections Equipment identification in networks
A.11.4.4 A.11.4.5
Remote diagnostics and configuration port protection Segreration in networks
Klausul A.11.4.6
Kontrol Network connection control
A.11.4.7 Network routing control A.11.5 Operating System Access Control 56
A.11.5.1
Secure log-on procedures
A.11.5.2 A.11.5.3
User identification and authentication Password management systems
A.11.5.4 A.11.5.5
Use of system utilities Session time-out
A.11.5.6 Limitation of connection time A.11.6 Application and Information Access Control Klausul
Kontrol
A.11.6.1 A.11.6.2
Information access restriction Sensitive system isolation
A.11.7 Mobile Computing and Teleworking A.11.7.1 Mobile computing and communication A.11.7.2 Teleworking A.12 INFORMATION SYSTEM ACQUISITION, DEVELOPMENT AND MAINTENANCE A.12.1 Security Requirements of Information Systems A.12.1.1 Security requirement analysis and specification A.12.2 Correct Processing in Applications A.12.2.1 Input data validation A.12.2.2 Control of internal processing
Klausul
Kontrol
A.12.2.3 A.12.2.4
Message integrity Output data validation
A.12.3 Cryptographic Controls A.12.3.1 Policy on the use of cryptographic controls A.12.3.2
Key management
A.12.4 Security of System Files A.12.4.1 Control of operational software A.12.4.2 A.12.4.3
Protection of system test data Access control to program source code
A.12.5 Security Indevelopment and Support Services 57
A.12.5.1
Change control procedures
A.12.5.2
Technical review of applications ofter operating system changes Restrictions on changes to software packages
A.12.5.3 Klausul
Kontrol
A.12.5.4 A.12.5.5
Information leakage Outsourced software development
A.12.6 Technical Vulnerability Management A.12.6.1 Control of technical vulnerabilities A.13 INFORMATION SECURITY MANAGEMENT A.13.1 Reporting Information Security Events and Weakness A.13.1.1 Reporting information security events A.13.1.2 Reporting security weakness A.13.2 Management of Information Security Incidents And Improvements A.13.2.1 Responcibilities and procedures A.13.2.2
Learning from information security incidents A.13.2.3 Collection of evidence A.14 BUSINESS CONTINUITY MANAGEMENT A.14.1 Information Security Aspects of Business Continuity Management
Klausul
Kontrol
A.14.1.1 A.14.1.2 A.14.1.3
Including information security in the business continuity management processand risk assessment Business continuity Developing and implementing continuity plans including information securityplanning framework Business continuity
A.14.1.4 A.14.1.5
Testing, maintaining and reassessing business continuity plans
A.15 COMPLIANCE A.15.1 Compliance With Legal Requirements A.15.1.1 Identification of applicable legislation A.15.1.2 Intellectual property rights A.15.1.3 Protection of organizational records
58
Klausul
Kontrol
A.15.1.4
Data protection and privacy of personal information
A.15.1.5 A.15.1.6
Prevention of misuse of information processing facilities
Regulation of cryptographic controls A.15.2 Compliance With Technical Policies and Standard and Technical Compliance A.15.2.1 Compliance with security policies and standards A.15.2.2 Technical compliance checking A.15.3 Information System Audit Considerations A.15.3.1 Information systems audit controls A.15.3.2
Protection of information systems audit tools
2.1.15. Aplikasi Berbasis Web Aplikasi merupakan program yang ditulis untuk melaksanakan tugas khusus dari pengguna. Jenis program ini mempunyai sifat pasti tentang pemrosesan yang harus dilakukan file data yang diproses guna menyelesaikan suatu pekerjaan (Jubilate, et al., 2010). Web merupakan dokumen visual di internet dengan fasilitas hiperteks untuk menampilkan data berupa teks, gambar, bunyi, animasi dan data multimedia lainnya (Effendy & Suswanto, 2014). Untuk menampilkan halaman web digunakan program aplikasi web browser yang pada umumnya terdapat pada sistem operasi komputer yang berbasis visual. Aplikasi web adalah suatu aplikasi yang diakses menggunakan penjelajah web mlalui suatu jaringan seperti internet atau intranet.melihat perkembangan aplikasi web yang sedang berkembang saat ini, dapat diklasifikasikan menjadi bentuk atau kelompok (Yusa, 2016). Berikut adalah penjelasan beberapa kelompok aplikasi web dan contohnya (Yusa, 2016): 1. Web Bisnis yaitu aplikasi web yang di dalamnya terdapat proses bisnis seperti jual beli, sewa menyewa, penggunaan jasa, lelang, dan sebagainya. Contoh situs yang menggunakan aplikasi web bisnis seperti bhineka.com, ebay.com, dan lain-lain.
59
2. Web Berita dan Informasi yaitu aplikasi web yang menyediakan konten informasi berbayar maupun gratis. Contoh situs yang menggunakan aplikasi web berita dan informasi:
kompas.com,
detik.com,
kaskus.com,
yellowpages.co.id,
tokobagus.co.id, tokobagus.com. 3. Web Profil yaitu aplikasi web yang mendeskripsikan tentang profil suatu perusahaan, lembaga ataupun orang personal. Aplikasi web ini biasanya digunakan untuk memperkenalkan profil perusahaan, lembaga atau orang personal kepada umum. Contoh aplikasi web profil seperti jogjakota.go.id, blogspot.com, dan lain-lain. 4. Web Services yaitu aplikasi web yang menyediakan layanan pengolahan data dan sebagainya. Perbedaan umum aplikasi web service dan aplikasi web lain pada umunya adalah aplikasi web service tidak memilki antarmuka, namun dapat diakses melalui internet. Contoh aplikasi web services seperti aws.amazon.com, konakart.com, dan lain-lain. 5. Web Social Networking yaitu aplikasi web yang memberikan fasilitas pertemanan tempat berkumpul dan dapat juga menjadi tempat/wadah suatu kelompok. Aplikasi web social networking seperti facebook.com, twitter.com, myspace.com. dan lain-lain. 6. Web Banking yaitu aplikasi web yang di dalamnya terdapat proses transaksi keuangan pada perbankan secara umum, seperti transfer dana, pembayaran, pembelian, dan lainnya. Contoh aplikasi web banking seperti klikbca.com, bankmandiri.co.id, bni.co.id, dan lain-lainnya. 7. Web Search Engine Optimize (SEO) yaitu aplikasi web yang didalamnya terdapat proses pencarian pada internet. contoh aplikasi web SEO seperti google.com, yahoo.com, bing.com, dan lain-lain. Dalam penelitian ini, peneliti menggunakan PHP untuk membuat aplikasi berbasis web yang nantinya dapat dibuka melalui browser baik itu menggunakan komputer maupun secara mobile. 60
2.1.16.
Pengujian Perangkat Lunak
Pengujian perangkat lunak sangat diperlukan dalam suatu sistem informasi dimana dengan melakukan pengujian akan ditemukan kesalahan atau eror yang muncul dari sistem pernagkat lunak tersebut. Tujuan dalam pengujian dari sebuah perangkat lunak ada lah sebagai berikut (Rouf, 2016): 1. Proses menjalankan program dengan maksud mencari kesalahan (eror). 2. Kasus uji yang baik adalah kasus yang memiliki peluang untuk mendapatkan kesalahan yang belum diketahui. 3. Pengujian dikatakan berhasil bila dapat memunculkan kesalahan yang belum diketahui. 4. Memastikan tidak ada kesalahan tetapi untuk mencari sebanyak mungkin kesalahan yang ada pada program. Prinsip pengujian perangkat lunak (T.Saputro, 2014): 1. Semua pengujian harus dapat ditelusuri sesuai dengan permintaan user. 2. Pengujian harus direncanakan lama sebelum pengujian dimulai. 3. Pengujian harus dimulai dari “hal kecil” dan berkembang ke “hal besar”. 4. Penujian yang mendalam tidak mungkin dilakukan. 5. Agar efektif, pengujian dilakukan pihak ketiga yang independen. Perangkat lunak dapat diuji dengan dua cara (T.Saputro, 2014): 1. Pengujian dilakukan secara bersamaan untuk memperlihatkan bahwa setiap fungsi beroperasi sepenuhnya dan mencari kesalahan setiap fungsi ( black-box ). 2. Pengujian dilakukan untuk memastikan bahwa “semua modul program” berhubungan sesuai jalur logika ( white-box ). 61
2.1.17.
Unified Modeling Language (UML)
UML (Unified Modelling Language) adalah ‘bahasa’ permodelan untuk sistem atau perangkat lunak berparadigma ‘berorientasi objek’ (Nugroho, 2010) Konsep dasar UML terdiri dari beberapa diagram, diantaranya : 1. Use Case Diagram Use Case adalah teknik untuk merekam persyaratan fungsional sebuah sistem. Use Case mendeskripsikan interaksi tipikal antara para pengguna sistem dengan sistem itu sendiri. Dengan memberikan sebuah narasi tentang bagaimana sistem tersebut digunakan (Fowler, 2005). Use Case Diagram menunjukkan 3 aspek dari sistem yaitu : a. Use Case Use Case dibuat berdasarkan keperluan Actor, merupakan “apa” yang dikerjakan sistem, bukan “bagaimana” sistem mengerjakannya. Use Case diberi nama yang menyatakan apa hal yang dicapai dari hasil interaksinya dengan actor dan dinotasikan dengan gambar (Horizontal ellipse).
Gambar II-15. Use Case Use Case biasanya menggunakan kata kerja dan sebuah nama Use Case boleh terdiri dari beberapa kata dan tidak boleh ada dua Use Case yang memiliki nama yang sama. Use Case diagram tidak terpengaruh urutan waktu, meskipun demikian supaya mudah dibaca perlu penyusunan Use Case. b. Actor Actor menggambarkan orang, sistem atau eksternal entitas / stakeholder yang menyediakan atau menerima informasi dari sistem. Actor adalah entity 62
eksternal yang berhubungan dengan sistem yang berpartisipasi dalam Use Case. Seorang Actor secara khusus membangkitkan sistem dengan input atau masukkan kejadian-kejadian, atau menerima sesuatu dari sistem. Tidak boleh ada komunikasi langsung antar Actor dan sebuah Actor jangan digambarkan ditengahtengah Use Case. Dan letakan Actor utama pada pojok kiri atas dari diagram.
Gambar II-16. Actor Biasanya, Actor merupakan peranan yang dibawakan oleh manusia, tetapi tidak menutup kemungkinan bahwa Actor itu adalah semua hal dari sebuah sistem, seperti halnya sebuah sistem perbankan terkomputerisasi eksternal. Adanya Actor bernama “Time” yang mengidentifikasikan scheduled events (sesuatu kejadian yang terjadi secara periodik/bulanan). Jenis-jenis Actor meliputi : 1) Peranan-peranan yang dimainkan oleh orang-orang yang berhubungan dengan sistem, 2) Sistem-sistem komputer, dan 3) Alat-alat listrik dan mekanik. Ada dua metode yang digunakan dalam mengidentifikasikan UseCase, yaitu metode yang berbasis Actor dan metode yang berbasis event atau kejadian. 2. Relantionship Relasi-relasi yang terjadi pada UseCase Diagram bisa antara Actor dengan UseCase atau antara UseCase dengan UseCase. Adapun jenis-jenis relasi yang bisa timbul pada UseCase Diagram yaitu: a) Association antara Actor dan UseCase, digambarkan dengan garis tanpa panah yang mengindikasikan siapa atau apa yang meminta 63
interaksi dan bukannya mengindikasikan aliran data. Association antara Actor dan UseCase yang menggunakan panah terbuka untuk mengindikasikan bila Actor berinteraksi secara pasif dengan sistem.
Gambar II-17. Association antara Actor dengan Use Case UseCase Diagram dapat sangat membantu bila jika kita sedang menyusun requirement sebuah sistem, mengkomunikasikan rancangan dengan klien, dan merancang test case untuk semua fitur yang ada pada sistem. UseCase diagram mengilustrasikan beberapa UseCase untuk sebuah sistem, actor-actornya, dan relasi diantara Actor dan Usecase tersebut. UseCase digambarkan dalam bentuk oval dan Actor
digambarkan seperti tongkat
penopang. Terdapat jalur-jalur komunikasi diantara UseCase dan Actor-nya, panah-panah menunjukkan aliran informasi atau rangsangan. 2. Activity Diagram Activity Diagram adalah teknik untuk mendeskripsikan logika procedural, proses bisnis, aliran kerja dalam banyak kasus. Perbedaan activity diagram dengan flowchart adalah activity diagram bisa mendukung perilaku paralel, sedangkan flowchart tidak bisa (Munawar, 2005). Sebuah Activity Diagram mempunyai: a. Start Point, diletakkan pada pojok kiri atas dan merupakan awal aktifitas.
Gambar II-18. Start Point b. End Point, akhir aktifitas.
64
Gambar II-19. End Point c. Activities, menggambarkan proses bisnis dan dikenal sebagai Activity state.
Gambar II-20. Activities Jenis-jenis activities : a. Black Hole Activities, ada masukkan dan tidak ada keluaran.
Gambar II-21. Black Hole Activities b. Miracle Activities, tidak ada masukkan dan ada keluaran dan dipakai pada waktu start point.
Gambar II-22. Miracle Activities c. Decision Points, tidak ada keterangan (pertanyaan) pada tengan belah ketupat seperti pada flowchart dan harus mempuyai Guards (kunci).
Gambar II-23. Decision Points d. Swimlane, sebuah cara untuk mengelompokkan Activity.
65
Gambar II-24. Swimlane 3. Sequence Diagram Sequence Diagram digunakan untuk menggambarkan perilaku pada sebuah scenario. Diagram ini menunjukkan sejumlah contoh obyek dan pesan (message) yang diletakkan diantara obyek-obyek di dalam usecase (Munawar, 2005). Simbol-simbol yang digunakan pada Sequence Diagram, yaitu: a. Boundary Class
Gambar II-25. Boundary Class b. Control Class
Gambar II-26. Control Class c. Entity Class
Gambar II-27. Entity Class
66
d. Message 1) Message digambarkan dengan garis berpanah, yang menunjukkan arah message.
Gambar II-28. Message 2) Message yang dikirim untuk dirinya sendiri (message to self) digambarkan dengan bentuk :
Gambar II-29. Message to Self 4. Class Diagram Class adalah sebuah spesifikasi yang jika di instansi akan menghasilkan sebuah obyek dan merupakan inti dari pengembangan dan desain berorientasi obyek (Munawar, 2005). Class menggambarkan keadaan (atribut atau properti) suatu sistem, sekaligus menawarkan layanan untuk memanipulasi keadaan tersebut (metode atau fungsi). Class diagram menggambarkan struktur dan deskripsi class, package dan obyek beserta hubungan satu sama lain seperti containment, pewarisan, asosiasi, dan lain-lain. Class memiliki tiga area pokok, yaitu : a. Nama (dan stereotype), b. Atribut, dan c. Metode.
67
Gambar II-30. Class Diagram Atribut adalah sebuah nilai data yang dimiliki oleh obyek sebuah kelas, nama, umur, berat badan, adalah atribut dari obyek manusia atau orang. Setiap atribut memiliki nilai untuk obyek instance. Metode adalah implementasi dari sebuah operasi ke dalam sebuah kelas. Walaupun semua metode disajikan dalam bentuk yang sama akan tetapi setiap metode mungkin saja diimplementasikan dalam kode pemrograman yang berbeda. Atribut dan metode dapat memiliki salah satu sifat berikut : a. Private, tidak dapat dipanggil dari luar class yang bersangkutan. b. Potected, hanya dapat dipanggil oleh class yang bersangutan dan anakanak yang mewarisinya. c. Public, dapat dipanggil oleh siapa saja. Sesuai dengan perkembangan class model, class dapat dikelompokkan menjadi package. Kita juga dapat membuat diagram yang terdiri atas package. Hubungan antar Class antara lain : a. Assosiasi, yaitu hubungan statis antar class. Umumnya menggambarkan class yang memiliki atribut berupa class lain, atau class yang harus mengetahui eksistensi class lain. Panah navigability menunjukkan arah query antar class. Berikut ini adalah multipicity yang digunakan dalam object oriented adalah sebagai berikut : Tabel II-9. Simbol Multiplicity 68
Indicato r
dari model ke adalah
0..1 0..* 0..n 1 1..* 1..n * N n..* n..m
a.
Meaning Zero or one Zero or more Zero to n n>1) One only One or more One to n n>1) Many Only one n>1) n or more, n>1 where n & m 1
(where
(where (where
Example 0..1 0..* 0..3 1 1..* 1..5 * 9 7..* 3..10
Langkah transformasi conceptual data tabel
relasi
sebagai berikut :
where
Jika
both >
yang
terjadi
antar
class
hubungan
adaah 1 to 1 (one to one) maka atribute dari relationship set diambil dan dimasukkan ke entitas yang telah membutuhkan. b. Jika hubungan yang terjadi antar class adalah 1 to 0..1 (one to zero one) maka atribute dari relationship set digabung ke entitas yang memiliki multiplicity 0..1 c. Jika hubungan yang terjadi antar class adalah 1 to * (one to many) maka atribut dari relationship set digabung dengan set entitas yang memiliki multiplicity banyak (many). d. Agregasi, yaitu hubungan yang menyatakan bagian (“terdiri atas...”). e. Pewarisan, yaitu hubungan hirarkis antar class. Class dapat diturunkan dari class lain dan mewarisi semua atribut dan metode class asalnya dan menambahkan fungsionalitas baru, sehingga disebut anak dari class yang diwarisinya. Kebalikan dari pewarisan adalah generalisasi. f. Hubungan dinamis, yaitu rangkaian pesan (message) yang ditinggalkan dari satu class kepada class lain. Hubungan dinamis dapat digambarkan dengan menggunakan Sequence Diagram. 5. Package Diagram 69
Merupakan kumpulan atau pengelompokan class-class yang memiliki sifat sama. Package diagram mampu digunakan pada komponen lainnya. Package diagram digambarkan sebagai sebuah direktori ( file folders ) yang berisi modelmodel elemen (Power Lecture, 2012). 2.2. Tinjauan Studi Berikut ini beberapa penelitian terdahulu yang berhubungan dengan Manjemen Risiko : 1. Jurnal : Manajemen Risiko Teknologi Informasi Untuk Keberlangsungan
Layanan
Publik
Menggunakan
Framework Information Technology Infrastructure Library ( ITIL VERSI 3 ) dilakukan oleh Irfan Maliki (Irfan Maliki, 2010) Penelitian dilakukan oleh Irfan Maliki membahas tentang bagaimana dapat meningkatkan layanan TI berkualitas tinggi yangdapat meningkatkan efisiensi dan efektivitas
penggunaan
TI
untuk
memenuhi
kebutuhan
lembaga
pendidikan,dimana setiap instansi pemerintah daerah diharapkan dapat menyusun langkah-langkah terpadu untuk menjamin keberlangsungan layanan agar tetap dapat berfungsi dengan baik terutama dalam penggunaan layanan TI. Hasil penelitian ini dilakukan pada Kominfo. 2. Jurnal : Manajemen Risiko Sistem Informasi Akademik Perguruan Tinggi Menggunakan Octave Allegro penelitian dilakukan oleh Deni Ahmad Jakaria, R. Teduh Dirgahayu dan Hendrik(Deni Ahmad Jakaria ,et al, 2013) Penelitian dilakukan oleh Deni Ahmad Jakaria, R. Teduh Dirgahayu dan Hendrik, membahas tentang sistem akademik, dimana dengan sistem tersebut dapat meningkatkan dan memperbaiki proses layanan TI, untuk itu dibutuhkan perencanaan strategis untuk menjaga aset informasi kritikal secara tepat serta langkah-langkah pemulihan jika skenario ancaman benar-benar terjadi. Hasil penelitian ini dilakukan pada Perguruan Tinggi. 70
3. Jurnal : Manajemen Risiko Pada Lembaga pendidikan Jasa Pelaksana Kontruksi di Provinsi Papua (Studi Kasus di Kabupaten Sarmi) penelitian dilakukan oleh Arif Lokobal, Marthin D.J Sumajouw dan Bonny F. Sompie(Arif Lokobal, 2014) Penelitian ini dilakukan oleh Arif Lokobal, Marthin D.J dan Bonny F. Sompie, membahas tentang faktor-faktor yang dihadapi oleh lembaga pendidikan jass konstruksi di Provinsi Papua khususnya di Kabupaten Sarmi, untuk itu dibutuhkan strategi penanganan risiko yang dapat memunculkan tingkatan risiko dari tiap-tiap aspek risiko utama. Hasil penelitian ini dilakukan pada Lembaga pendidikan Jasa Kontruksi Provisi Papua Kabupaten Sarmi. 4. Jurnal : Manajemen Risiko Keamanan Informasi Dengan Menggunakan Metode OCTAVE (Operationallu, Critical Threat,
Aset
and
Vulnerability
Evaluation)
penelitian
dilakukan oleh Bambang Supradono (Bambang Supradono, 2009) Penelitian ini dilakukan oleh Bambang Supradono, dimana dalam jurnal ini membahas tentang cara untuk melindungi dan menentukan secara tepat solusi yang dapat menangani kebutuhan informasi yang dapat menekankan pengelolaan risiko berbasis ancaman (threat) dan kelemahan (vulnerability) terhadap aset-aset informasi meliputi perangkat keras, lunak sistem informasi dan manusia. 5. Jurnal : A Risk Management Model For Service-Oriented Architecture penelitian dilakukan oleh Erasmo L.Monteiro dan Paulo Caetano da Silva (Erasmo dan Paulo) Penelitian dilakukan oleh Erasmo L.Monteiro dan Paulo Caetano da Silva, dimana dalam jurnal ini membahas tentang menciptakan lingkungan yang aman untuk diadopsi ke dalam service oriented architecture,yaitu dengan cara meningkatkan probabilitas dan dampak dari peristiwa positif dan menurunkan orang-orang yang merugikan proyek dalam penerapan SOA. Hasil penelitian dilakukan pada web services. 71
Tabel II-10. Ringkasan Tinjauan Studi Judul penelitian
Metode yang
Hasil penelitian
digunakan Risiko ITIL V3
Manajemen Teknologi
Meningkatkan
Informasi
dan
memperbaiki
Untuk
prose
layanan TI
Keberlangsungan Layanan
Publik
Menggunakan Framework Information Technology Infrastructure
Library
( ITIL VERSI 3 ) Manajemen Risiko OCTAVE
Membuat perencanaan
Sistem
strategis
untuk
menjaga
asset
Informasi (Operationallu, Critical
Akademik
Threat,
Asset,
and
Perguruan
Tinggi Vulnerability
informasi
Menggunakan
Octave Evaluation)
secara
Allegro
penelitian Allegro
dilakukan Ahmad
oleh Jakaria,
Deni R.
kritikal tepat
serta
langkah-langkah pemulihan
jika
scenario
ancaman
Teduh Dirgahayu dan
benar-benar terjadi
Hendrik Manajemen Risiko Pada Metode deskriptif
Memunculkan
Lembaga
tingkatan risiko dan
pendidikan
Jasa
strategi
Pelaksana Kontruksi di
dari
Provinsi Papua (Studi
risiko utama
Kasus
di
penanganan
tiap-tiap
aspek
Kabupaten 72
Sarmi)
penelitian
dilakukan
oleh
Arif
Lokobal, Marthin D.J Sumajouw dan Bonny F. Sompie Manajemen
Risiko Metode OCTAVE
Keamanan
Menekankan
Informasi
pengelolaan
Dengan Menggunakan
Metode
risiko
berbasis
ancama
(threat)
dan
OCTAVE
kelemahan
(Operationallu, Critical
(vulnerability)
Threat,
terhadap
asset-aset
informasi
lembaga
pendidikan
meliputi
Aset
and
Vulnerability Evaluation) dilakukan
penelitian oleh
perangkat
Bambang Supradono
keras,
lunak,
sistem,
informasi A
Risk
Model
manusia. Meningkatkan
Management OCTAVE Allegro For
dan
Service-
probabilitas
Oriented
dan
dampak dari peristiwa positif
dan
menurunkan orang
orang-
yang
merugikan Sistem Manajemen Menggunakan
Risiko Operationallu, Critical Asset,
and
memberikan dalam
OCTAVE-S dan Standar Vulnerability
aset-aset
Pengendalian
dalam
27001
ISO/EIC Evaluation)Small
proyek
SOA Membantu
Informasi OCTAVE-S Metode Threat,
dapat
solusi
melindungi informasi, bentuk
rekomendasi73
rekomendasi.
Perbedaan penelitian terdahulu dengan penelitian yang peneliti lakukan antara lain obyek peneltian, yaitu Lembaga Pendidikan. Metode penelitian menggunakan OCTAVE-S dan standar pengendalian menggunakan ISO/EIC 27001 dan pengujian menggunakan blackbox testing. 2.3. Tinjauan Obyek Penelitian 2.3.1.
Profil Singkat Lembaga Pendidikan
Pendidikan merupakan hal yang sangat penting bagi kehidupan manusia, kualitas, polapikir dan kesuksesan seseorang banyak ditentukan oleh faktor pendidikan. Pendidikan merupakan kebutuhan bagi setiap manusia untuk memperoleh
kehidupan
yang
lebih
baik.
Melalui
pendidikan
manusia
mendapatkan ilmu pengetahuan yang berguna untuk masa depannya pendidikan merupakan kunci kesuksesan bagi kehidupan manusia, kehidupan berbangsa dan Negara, itu sebabnya kenapa pendidikan itu selalu di nomor satukan dalam kehidupan umat manusia dan negara. Dimasyarakat kita tidak sedikit orang tua rela bekerja keras banting tulang demi memperjuangkan anak-anaknya untuk mendapatkan pendidikan yang setinggi-tingginya, karena pendidikan merupakan investasi yang abadi dan sumber ilmu yang tidak akan habis ditelan jaman. Kualitas (mutu) pendidikan ditentukan oleh lembaga, ketika lembaga pendidikannya mempunyai kualitas (mutu) yang baik maka akan menghasilkan SDM yang berkualitas pula. Pendidikan merupakan sebuah proses, proses yang memiliki arah dan tujuan. Sebuah proses yamg memiliki arah dan tujuan tentunya harus memiliki tolak ukur yang jelas untuk mengetahui sudah sejauh mana dalam mencapainya. Proses dan hasil saling berkaitan, oleh karena itu proses dan hasil dari pendidikan itulah yang menentukan apakah lembaga pendidikan itu bermutu atau tidak. Untuk memastikan agar proses berjalan sesuai yang diharapkan, lembaga pendidikan harus mempunyai tolak ukur serta merumuskan mutu terlebih dahulu, agar lebih jelas pencapaian target dan sasaran yang telah ditetapkan 74
lembaga pendidikan tersebut. Di era seperti sekarang ini persaingan lembaga pendidikan sangat ketat, ketika lembaga pendidikan tidak mempunyai sistem manajemen dan tatakelola yang baik tentu akan sangat sulit untuk berkompetisi dan tentunya lama kelamaan lembaga pendidikan seperti ini tidak akan diminati oleh masyarakat. 2.3.2.
Visi Misi Lembaga pendidikan
Berikut merupakan visi dan misi dari Lembaga Pemdidikan: 1. Visi Menjadi sekolah yang bermutu tinggi dengan menghasilkan lulusan yang berkompeten. 2. Misi a. Menerapkan sistmen manajemen mutu. b. Mempersiapkan peserta didik yang beriman dan bertaqwa kepada Tuhan Yang Maha Esa, sehat jasmani dan rohani. c. Mempersiapkan peserta didik yang terampil jujur, disiplin, inovaif dan kompetitif. d. Mempersiapkan peserta didik yang siap menerima perubahan kearah kemajuan. e. Menghasilkan tenaga administrasi yang kompeten.
2.3.3.
Struktur Lembaga pendidikan
75
Gambar II-31.Struktur Lembaga pendidikan 2.3.4.
Tugas dan Uraian Kerja
Berikut merupakan tugas dan uraian kerja masing-masing bagian dari Lembaga Pendidikan : 1. Kepala sekolah a. Melakukan pengambilan keputusan. b. Mengorganisir mengontrol aktivitas kegiatan belajar mengajar. c. Menjalin hubungan dengan sekolah-sekolah lain. 2. Wakil Kepala Sekolah a. Membantu tugas Kepala Sekolah sesuai dengan tugas dan bidangnya. b. Mewakili Kepala Sekolah jika berhalangan. 76
3. Wali Kelas a. Mengelola kelas. b. Membina siswa binaan didiknya dengan sebaik-baiknya. c. Mengetahui, memahami dan mengambil tindakan-tindakan yang berkaitan dengan masalah yang timbul dikelasnya. d. Melakukan home visit terhadap siswa yang bermasalah. e. Bekerja sama dengan guru bimbingan konseling dalam memecahkan masalah yang dihadapi siswa dan apabila perlu memanggil orang tua atau wali murid dalam membina siswa kelasnya. 4. Guru a. Membuat program pengajaran. b. Melaksanakan kegiatan pembelajaran. c. Melaksanakan KBM. d. Menganalisa hasil evaluasi KBM. e. Mengisi daftar hadir siswa sebelum memulai pelajaran. 2.3.5.
Aspek Sistem
Berikut merupakan aspek sistem yang digunakan pada Lembaga Pendidikan: 1. Hardware Berikut merupakan tabel spesifikasi hardware yang digunakan pada lembaga pendidikan.
77
Tabel II-11. Spesifikasi Hardware Jenis hardware PC Komputer Ruang Kepala
Jumlah 7
Sekolah,
spesifikasi Processor AMD Liano
A6-3500
Ruang Guru, Ruang
(Radeon HD6530D)
Kurikulum,
AMD FMI, Motherboard
Ruang
Tata Usaha
BIOStar
A5553, RAM 2GB SUN, Harddisk 500GB
WD Caviar Blue, LCD Philips 19 inch, DVD-ROM
Samsung, Keyboard
dan
Mouse. Processor
AMD
PC laboratorium
Hi-Fi
Liano
A6-3500
(Radeon HD6530D)
AMD FMI, Motherboard BIOStar
Hi-Fi
A5553, RAM 2GB SUN, Harddisk 500GB WD Caviar Blue, LCD Philips 19 inch, DVD-ROM Samsung,
Modem Switch Printer
6
Keyboard dan Mouse. TP-Link Modem
11 3
Wireless TP-Link Switch 8 Port HP LaserJet 4500 78
Kabel Jaringan
-
G510g-m UTP
2. Software Berikut merupakan tabel software yang digunakan pada Lembaga Pendidikan : Tabel II-12. Software No
Nama Software
. 1 2 3 4 5 6 7 8 9 10
Adobe CS 5 Adobe Premier Adobe After Effect Corel Draw Myob Ms. Office 2013 Mozilla Firefox Winrar Camtasia 3d Max 2013
3. Jaringan Jaringan pada Lembaga Pendidikan menggunakan layanan internet dengan menggunakan Firstmedia yang memiliki bandwidth masing-masing sekitar 512 Mbps. Berikut adalah skema jaringan yang ada:
79
Gambar II-32. Skema Jaringan Laboratorium Komputer
80
Gambar II-33. Skema Jaringan Ruang Kepala Sekolah, Ruang Guru, Ruang Kurikulum dan Ruang Tata Usaha 2.4. Kerangka Konsep Berdasarkan penjabaran masalah, tujuan penelitian, kajian teori dan studi penelitian sebelumnya maka dibangun kerangka konsep penelitian. Kerangka konsep yang dimaksud adalah sebagai berikut :
81
82
Gambar II-34. Kerangka Konsep Penjelasan : 1. Menjelaskan mengenai permasalahan yang terjadi pada saat ini. 2. Setelah itu peneliti melakukan analisis dengan menggunakan metode OCTAVE-S. 3. Pada tahap 1 peneliti melakukan analisa untuk mengidentifikasi profil aset beserta ancaman, dimana terjadi dua tahap. Tahap satu membuat profil aset, pada tahap ini peneliti membuat kriteria dampak,mengidentifikasi aset dan mengevaluasi keamanan teknologi pada saat ini. Pada tahap dua membuat profil ancaman, pada tahap ini membuat aset penting, mengidentifikasi ancaman, mengidentifikasi pengamanan, mengevaluasi teknologi . 4. Pada tahap 2 peneliti melakukan analisa untuk mengidentifikasi kelemahan-kelemahan infrastruktur, yaitu dengan cara mengidentifikasi jalur akses yang melewati aset-aset tersebut dan menganalisis teknologi yang berperan dalam mengakses aset penting. 5. Pada tahap 3 peneliti melakukan rancangan strategi dan keamanan, dimana pada tahap ini dilakukan dengan dua cara, mengidentifikasi dan analisis risiko,
yaitu
mengevaluasi
dampak
risiko,kriteria
kemungkinan,
mengevaluasi kriteria ancaman. Selanjutnya membuat pengendalian dan rencana mitigasi risiko, yaitu dengan cara menggambarkan strategi pengendalian risiko, menentukan pendekatan mitigasi risiko, membangun perencanaan mitigasi risiko, mengidentifikasi perencanaan mitigasi risiko, mengidentifikasi
perubahan
terhadap
strategi
pengendalian.
Mengidentifikasi langkah-langkah masalah pengembangan. 6. Selanjutnya melakukan pengendalian dan memberikan rekomendasi dengan menggunakan ISO/EIC 27001.
83
7. Pada tahap perancangan sistem menggunakan Unified Modelling Language. 8.
Output yang dihasilkan adalah Sistem informasi Manajemen Risiko. 9. Pengujian dilakukan dengan cara blackbox testing. 10. Hasil yang diharapkan adalah membantu memberikan solusi dalam melindungi aset-aset informasi, dalam bentuk rekomendasi-rekomendasi. 2.5. Hipotesa Berdasarkan kerangka konsep yang sudah digambarkan dan dikemukakan, maka penyataan penelitian ini dapat menggunakan metode OCTAVE-S untuk memenuhi kebutuhan Lembaga Pendidikan.
84
2.6.
BAB III
METODOLOGI PENELITIAN 3.1.
Metodologi Penelitian Dalam penelitian ini menerapkan teori pengembangan sistem informasi
menggunakan metode analisa dan perancangan sisem dengan pendekatan berorientasi obyek. Implementasi hasil analisa dan perancangan menggunakan pemrograman web berbasis PHP. Pengujian validasi menggunakan ISO 27001. Pengujian perangkat lunak menggunakan metode BlackBox Testing. Nantinya, hasil dari penelitian ini berupa Manajemen Risiko berbasis web di Lembaga Pendidikan yang dapat diimplementasikan untuk memecahkan masalah yang dihadapi. 3.2.
Metode Sampling Metode yang digunakan dalam pengambilan sampel penelitian ini adalah
menggunakan
purposive
sampling.
Purposive
sampling
adalah
teknik
pengambilan sampel sumber data yang dianggap paling tahu tentang apa yang kita harapkan atau mungkin dia sebagai penguasa sehingga akan memudahkan peneliti menjelajahi obyek atau situasi social yang diteliti (Sugiyono, 2009) . Ciri-ciri pemilihan responden dalam penelitian ini adalah : 1. Tim data center pada Lembaga Pendidikan. 2. Menggunakan dan mengoperasikan aplikasi berbasis web. 3.3.
Metode Pengumpulan Data Pengumpulan data bertujuan untuk mendapatkan informasi yang
dibutuhkan dalam rangka mencapai tujuan dari suatu penelitian. Metode pengumpulan data yang dilakukan dalam penelitian ini adalah :
85
1. Wawancara Wawancara merupakan teknik pengumpulan data yang merupakan langkah paling strategis dalam penelitian, karena tujuan utama dari penelitian adalah mendapatkan data (Sugiyono, 2009). Dalam wawancara peneliti telah menyiapkan daftar pertanyaan yang berkaitan dengan sistem informasi manajemen risiko. Pertanyaan–pertanyaan untuk mendapatkan data yang berkaitan dengan manajemen risiko yang sedang berjalan saat ini untuk sistem informasi manajemen risiko yang akan dikembangkan. 2. Kuisioner Kuisioner merupakan pertanyaan-pertanyaan yang dibuat oleh Peneliti untuk melakukan evaluasi terhadap manajemen risiko berdasarkan batasanbatasan pokok bahasan dan cerita yang ditentukan. Kuisioner disebarkan kepada Lembaga Pendidikan. 3. Studi Pustaka Pada metode ini pengumpulan data yang diperoleh dengan mempelajari, meneliti, dan membaca buku, jurnal, skripsi, tesis yang berhubungan dengan manajemen risiko pada suatu lembaga pendidikan. 4. Dokumentasi Pada metode ini pengumpulan data yang diperoleh dengan mengumpulkan dokumen-dokumen yang ada pada lembaga pendidikan. 3.4. Instrumentasi Dalam penelitian ini isntrumen yang digunakan dalam pengumpulan data antara lain : 1. Instrument wawancara (interview), yaitu teknik pengumpulan data yang digunakan untuk memperoleh informasi secara langsung dari sumbernya.
86
2. Instrumen kuesioner adalah suatu teknik atau cara pengumpulan data secara tidak langsung. 3. Dokumen, instrument ini digunakan dalam pengumpulan data dengan studi pustaka dan kuisioner. 3.5.
Teknik Analisa, Perancangan dan Pengujian
3.5.1. Teknik Analisa Pada proses analisa, teknik yang dilakukan adalah : 1. Analisa menggunakan metode OCTAVE-S. 2. Analisa Standar Pengendalian menggunakan ISO/EIC 27001. 3.5.2. Teknik Perancangan Sistem Pada proses perancangan, teknik yang digunakan adalah: 1. Perancangan infrastruktur manajemen risiko. Dari hasil analisis desain infrastruktur yang telah dilakukan, kemudian merancang infrastruktur yang akan digunakan untuk penerapan manajemen risiko. 2. Perancangan struktur program atau spesifikasi sistem dimodelkan dengan class diagram. 3. Perancangan antarmuka pengguan. Sesuai dengan kebutuhan fungsional dan non fungsional. 4. Perancangan database. Untuk memodelkan struktur data dan hubungan antar data. Dimodelkan dengan Entity Relantionship Diagram
3.5.3. Teknik Pengujian Sistem .5.3.A. Pengujian Validasi 87
Pengujian validasi betujuan untuk melakukan penilaian apakah spesifikasi kebutuhan yang telah diakomodasi di dalam sistem manajemen risiko. Selain itu juga menilai apakah sistem manajemen risiko sudah memenuhi kebutuhan fungsional yang dibuat. Teknik pengujian validasi sistem dalam penelitian ini dilakukan dengan pendekatan black-box testing. 3.6. Langkah-langkah Penelitian Dalam pengembangan manajemen risiko, keseluruhan proses yang dilalui harus melewati beberapa tahapan. Langkah-langkah pada tahapan pelaksanaan penelitian dapat dilihat dalam bentuk diagram alir pada gambar berikut :
88
Gambar III-1. Langkah-langkah Penelitian Penjelasan : 1. Peneliti melakukan tinjauan pustaka yang dilakukan dengan mencari beberapa jurnal sebagai bahan referensi sesuai dengan topik penelitian.
89
2. Kemudian peneliti melakukan perumusan masalah yang ada dan disesuaikan dengan referensi masalah sebelum yang cocok untuk dijadikan penelitian. 3. Peneliti melakukan tinjauan objek penelitian dengan mencari tahu struktur lembaga pendidikan pada lembaga pendidikan. 4. Peneliti melakukan penentuan sampel untuk pembagian kuesioner. 5. Peneliti melakukan studi pustaka dengan membaca jurnal, buku dan dokumen-dokumen lainnya. 6. Kemudian
peneliti
melakukan
pengumpulan
data
dengan
cara
dokumentasi, wawancara dan kuesioner. 7. Peneliti melakukan analisa menggunakan metode OCTAVE-S. 8. Peneliti membuat rekomendasi pengendalian yang mengacu pada ISO/EIC 27001. 3.7. Jadwal Penelitian Berikut ini merupakan jadwal penelitian berdasarkan kegiatan yang dilakukan dalam rentang waktu yang tersedia :
90
Tabel III-1. Jadwal Penelitian N o 1
2 3
4
5
6
7
Kegiatan
Bulan Februar i
Maret
April
Mei
Juni
Pemilihan Dosen Pembimbin g Penentuan Topik Penelitian Penentuan Judul Tesis Pengumpul an Bahan Literatur Penyusuna n Metodologi Penelitian Penyusuna n Naskah Proposal Persetujua n Seminar Proposal Tesis
91
BAB IV PENUTUP 4.1.
Kesimpulan Berdasarkan uraian pada bab-bab sebelumnya, maka dapat disimpulkan
bahwa proposal penelitian ini yang membahas tentang Manajemen Risiko menggunakan metode OCTAVE-S dan Standar Pengendalian ISO/EIC 27001.
92
DAFTAR PUSTAKA
Abby, 2015. [Online] Available at: http://dokumen.tips/documents/pengertian-sistem-danklasifikasi-sistem.html [Accessed 4 April 2016]. Abdurrasyid, 2012. MANAJEMEN RISIKO SISTEM INFORMASI PADA PT ALDIRA BERKAH ABADI MAKMUR DENGAN MENGGUNAKAN METODE OCTAVE-S DAN STANDAR PENGENDALIAN ISO/EIC 27001. Jakarta: Binus University. Alberts, C., Dorotee, A., Stevens, J. & Woody, C., 2005. OCTAVE-S Implementation Guide, Version 1.0, Januari. Anggadini, S. D., 2014. ANALISI SISTEM INFORMASI MANAJEMEN BERBASIS KOMPUTER DALAM PROSES PENGAMBILAN KEPUTUSAN, Volume 11, p. 2. Anon., 2012. [Online] Available at: http://library.binus.ac.id/eColls/eThesisdoc/Bab2/2012-1-00724KA%20Bab2001.pdf [Accessed 11 April 2016]. Badan Pengawasan Keuangan dan Pembangunan, 2016. MANAJEMEN RISIKO SEKTOR KORPORASI. [Online] Available at: http://www.bpkp.go.id/konten/426/MR.bpkp [Accessed 4 April 2016]. CERT, 2016. OCTAVE. [Online] Available at: http://www.cert.org/resilience/productsservices/octave/index.cfm [Accessed 11 April 2016]. DC Konsultan, 2014. Sistem Manajemen Keamanan Informasi. [Online] Available at: http://www.dckonsultan.com/page/service/konsultan-iso-27001 [Accessed 4 April 2016]. Devianto, Y. & Adiyarta M, D., 2015. MODEL SISTEM INFORMASI INDEKS KEPUASAN MASYARAKAT DENGAN METODE
93
PERBANDINGAN EKPONENSOAL (MPE) DAN SKALA ORDINAL PADA UNIT PELAYANAN MASYARAKAT, 26 Agustus. Dewi, S., 2016. KONSEP DASAR SISTEM INFORMASI. [Online] Available at: http://santika.ilearning.me/2-1-teori-umum/2-1-3-konsep-dasarsistem-informasi/ [Accessed 4 April 2016]. Effendy, D. U. & Suswanto, B., 2014. MODEL PERANCANGAN APLIKASI PENELURUSAN ALUMNI BERBASIS WEBSTE, Volume 5, p. 1. Fahlevi, M. R., Effendi, R. & Pratiwi, R., 2014. ANALISIS SISTEM INFORMASI AKUNTANSI SIKLUS PENDAPATAN PADA INDUSTRI PERTELEVISIAN ( STUDI KASUS DI LPP TVRI STASIUN SUMSEL BABEL ). Fendini, D. S., Kertahadi & Riyadi, 2013. PENGARUH KUALITAS SISTEM DAN KUALITAS INFORMASI TERHADAP KEPUASANA PENGGUNA ( Survei Pada Karyawan Pengguna Aplikasi Pelayanan Pelanggan Terpusat ( AP2T ) di PT PLB ( Persero ) Area Malang ). Fowler, M., 2005. UML Distilled. 3 ed. Yogyakarta(Yogyakarta): Andi. Gehrmaan, M., 2012. Combining ITIL, COBIT and ISO/EIC 27002 for structuring comprehensive information technology for manahement in organizations, Juli, Volume 2, pp. 66-77. Ikatan Bankir Indonesia, 2015. Manajemen Risiko 1. s.l.:Gramedia Pustaka Utama. Ikatan Bankir Indonesia, 2015. Manajemen Risiko 2. s.l.:Gramedia Pustaka Utama. Iqbal, M., Akbar, M. & Santi, R., n.d. Evaluasi Resiko Keamanan Jaringan Komputer Pada Rumah Sakit Mohammad Hosein Palembang Dengan Menggunakan Metode OCTAVE. Jakaria, D. A., Dirgahayu, R. T. & H., 2013. Manajemen Risiko Sistem Informasi Akademik Pada Perguruan Tinggi Menggunakan Metoda Octave Allegro, 15 Juni. Jubilate, A., Choll, W. & Sobri, M., 2010. ANALISIS DAN PERANCANGAN APLIKASI PENGAJARAN BAHASA INGGRIS BERBASIS WEB. Labombang, M., 2011. Manajemen Risiko Dalam Proyek Konstruksi, Volume 9, pp. 39-46. Lokobal, A., Sumajouw, M. D. & F.Sompie, B., 2014. MANAJEMEN RISIKO PADA PERUSAHAAN JASA PELAKSANAAN KONSTRUKSI DI PROVINSI PAPUA ( Study Kasus di Kabupaten Sarmi ), Volume 4, pp. 109-118. 94
Machmud, R., 2013. HUBUNGAN SISTEM INFORMASI MANAJEMEN DAN PELAYANAN DENGAN KINERJA PEGAWAI PADA RUTAN MAKASSAR, 1 Maret.Volume 9. Machmud, R., 2013. PERANAN PENERAPAN SISTEM INFORMASI MANAJEMEN TERHADAP EFEKTIVITAS KERJA PEGAWAI LEMBAGA PEMASYARAKATAN NARKOTIKA (LAPASTIKA) BOLLANGI KABUPATEN GOA, September, Volume 9, p. 3. Maliki, I., 2010. MANAJEMEN RISIKO TEKNOLOGI INFORMASI UNTUK KEBERLANGSUNGAN LAYANAN PUBLIK MENGGUNAKAN FRAMEWORK INFORMATION TECJNOLOGY INFRASTRUCTURE LIBRARY (ITIL VERSI 3), 19 Juni. Maruao, M. M. J., 2010. ANALISIS DAN PERANCANGAN SISTEM MANAJEMEN RISIKO PADA PT SEMESTA INDOVEST. Munawar, 2005. Pemodelan Visual Menggunakan UML. Yogyakarta(Jawa Tengah): Graha Ilmu. Nainggolan, S., 2014. SlideShare. [Online] Available at: http://www.slideshare.net/StefanieNainggolan/jurnal-si [Accessed 10 April 2016]. N, S., 2015. Pengertian Manajemen Pendidikan Dan Fungsinya Serta Ruang Lingkupnya. [Online] Available at: http://www.pengertianku.net/2015/04/pengertian-manajemenpendidikan-dan-tujuannya-serta-ruang-lingkupnya.html [Accessed 20 April 2016]. Nugroho, A., 2010. Yogyakarta(Jawa Tengah): C.V ANDI OFSSET. Nugroho, Y. P., 2012. PENGEMBANGAN SISTEM INFORMASI MANAJEMEN PROYEK BERBASIS WEBSITE ( Studi Kasus : Pelaksanaan Proyek Konstruksi di Kampus UNDIP TEMBALANG ). Power Lecture, 2012. ub.ac.id. [Online] Available at: http://power.lecture.ub.ac.id/files/2014/11/class-diagram.pdf [Accessed 2013 April 2016]. Pradana, Y. A. & Rikumahu, B., 2014. Penerapan Manajemen Risiko terhadap Perwujudan Good Corporate Governance pada Perusahaan Asuransi, Desember, Volume 13, pp. 195-204. PTPN XII, 2014. Website GCG Online PTPN XII (Persero). [Online] Available at: http://www.gcg.ptpn12.com/index.php/manajemen-risiko95
2/tujuan-dan-sasaran-manajemen-risiko [Accessed 20 April 2016]. Putri, C. R., 2012. Penerapan Manajemen Risiko Untuk Meningkatkan Keamanan Informasi ( Studi Kasus : Divisi IT Security Pada PT. XYZ), September. Rahmayanti, D. & Afrinando, R., 2013. PERANCANGAN SISTEM INFORMASI PADA BAGIAN GUDANG PT. PN VI UNIT USAHA OPHIR, Oktober, Volume 12, p. 2. Rinaldi, F., 2016. Pengertian, Fungsi dan Contoh Sistem Informasi Manajemen. [Online] Available at: http://www.kembar.pro/2015/05/pengertian-dan-peranan-utamamanajemen.html [Accessed 4 April 2016]. Rouf, A., 2016. PENGUJIAN PERANGKAT LUNAK DENGAN MENGGUNAKAN METODE WHITE BOX DAN BLACK BOX, 4 April. Salsabila, H., 2016. FUNGSI-FUNGSI MANAJEMEN; PERENCANAAN, PENGORGANISASIAN, PELAKSANAAN, DAN EVALUASI. [Online] Available at: https://www.academia.edu/9851358/isi_makalah_FUNGSIFUNGSI_MANAJEMEN_PERENCANAAN_PENGORGANISASIAN_PEL AKSANAAN_DAN_EVALUASI [Accessed 18 April 2016]. Setiawan, W., S. & Maulana, Y. M., 2014. Perencanaan Information Technology Service Continuity Management Berdasarkan ITIL V-3 Pada PT. Telkom MSC Area V Jawa Timur, Volume 3, p. 1. Setyo, D. & Rahmawati, D. A., 2015. PENGARUH KUALITAS INFORMASI DAN KUALITAS SISTEM INFORMASI TERHADAP KEPUASA SETA KINERJA PENGGUNA SISTEM INFORMASI, Volume 6, pp. 47-59. Siswanto, R. & Luther, R., 2011. Pengukuran Manajemen Risiko Sistem Informasi Menggunakan Metode OCTAVE-S Studi Kasus Padat PT. XYZ, 3 Februari. Sugiyanto, 2014. SISTEM INFORMASI PENJUALAN PADA BUTIK LUWE FASHION KECAMATAN TULAKAN. Sugiyono, 2009. Metode Penelitian Kuantitatif Kualitatif dan R&D. Bandung: Alfabeta. Sulastri, 2014. [Online]
96
Available at: manajemen-risiko/
http://akuntansi.upi.edu/sia-1/manajemen-risiko/konsep-
Supradono, B., 2009. MANAJEMEN RISIKO KEAMANAN INFORMASI DENGAN MENGGUNAKAN METODE OCTAVE (OPERATIONALLY,CRITICAL THREAT, ASSET AND VULNERABILITY EVALUATION), Volume 2, pp. 4-8. Susanto, B., 2015. Seputar Pengetahuan. [Online] Available at: http://www.seputarpengetahuan.com/2015/03/pengertianlembaga-pendidikan-menurut-para-ahli.html [Accessed 20 4 2016]. T.Saputro, W., 2014. ACADEMIA. [Online] Available at: https://www.academia.edu/7189483/Testing_dan_Implementasi_Sistem [Accessed 12 April 2016]. Tim Direktorat Keamanan Informasi, 2011. Jakarta: Direktorat Keamanan Informasi Kementrian Komunikasi dan Informatika RI. Utomo, P. A., 2012. Pemilihan Framework Untuk Manajemen Aplikasi (ASL VS ITIL), Mei. Wati, L. N. & Darda, A., 2012. MANAJEMEN RISIKO BISNIS, September, Volume 1, p. 255. Yasa, W. W., Dharma, I. G. B. S. & Sudipta, I. G. K., 2013. MANAJEMEN RISIKO OPERASIONAL DAN PEMELIHARAN TEMPAT PEMBUANGAN AKHIR (TPA) REGIONAL BANGLI DIKABUPATEN BANGLI, Juli.Volume 1. Yudianto, O., Julianti, F. & Fredy, T., 2010. Manajemen Risiko Teknologi Informasi Pada PT Saga Machie. Yusa, M., 2016. www.academia.edu. [Online] Available at: https://www.academia.edu/2573145/Definisi_Aplikasi_Web_dalam_Rekayas a_Web?auto=download [Accessed 25 April 2016].
97
LAMPIRAN
98
Lampiran-I. Daftar Guru dan Karyawan SMP Nusantara 1 N o
Nama Bambang Adji 1 Sukarno, SH Reby Subrata 2 Diana,A.Md
SMP
Kepala Sekolah
-
Moch. Zarkhasih
SMP
Siti Khalimah Wawan Raswan,S.Pd Tiwi Kartiwi, S.Pd Drs. Edy Kusnanto, S.Pd
SMP SMP SMP
Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Pengajar Pengajar Pengajar
SMP
Pengajar
-
Guru
Guru
Iman Sutarman, S.Pd
SMP
Pengajar
-
Guru
Guru
Erna Herawaty, M.Pd
SMP
Pengajar
-
Guru
Guru
Rosmini Samad, S.Pd
SMP
Pengajar
-
Guru
Guru
Surono, S.Pt, S.Pd
SMP
Pengajar
-
Guru
Guru
Edy Legowo, M.Si, M.Pd
SMP
Pengajar
-
Guru
Guru
Putri Jayanti, S.Pd
SMP
Pengajar
-
Guru
Guru
Santi Rostianti, S.Sn
SMP
Pengajar
-
Guru
Guru
Teguh Sucianto, SS, M.Pd
SMP
Pengajar
-
Guru
Guru
Suryana, S.Kom
SMP
Pengajar
-
Guru
Guru
Risa Affiatun Soleha, S.Pd
SMP
Pengajar
-
Staf Tata Usaha
Staf Tata Usaha
Putra Dirgantara, A.Md
SMP
Pengajar
-
Guru
Guru
SMP
Pengajar
-
Guru
Guru
SMP
Pengajar
-
Guru
Guru
SMP
Pengajar
-
Guru
Guru
SMP
Erni Rosmini, S.Pd
SMP
Okta Bela Agustin 5 Samosir
SMP
6 7 8 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2
-
Status
SMP
4
Jabatan Fungsional Kepala Sekolah Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Guru Guru Guru
Departemen
Sumyanih
3
Jabatan Struktural Kepala Sekolah Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Guru Guru Guru
Divisi
Amir Hamzah Hanafiah, S.Pd Ratry Dwi Cahyani, S.Pd Amirudin ZA, S.Ag,
-
99
4 2 5 2 6 2 7 2 8 2 9 3 0 3 1 3 2
S.Pd Adrian Yanuar Nugraha, S.Pd M. Sofyan Octavin, S.Pd
SMP
Pengajar
-
Guru
Guru
SMP
Pengajar
-
Guru
Guru
Saripah, S.Pd.I
SMP
Pengajar
-
Guru
Guru
Mursahid
SMP
Satpam
Santoso
SMP
Satpam
Penjaga Sekolah Penjaga Sekolah
Penjaga Sekolah Penjaga Sekolah
Ojo Sutisna
SMP
Pramubakti
Pramubakti
Pramubakti
Husein
SMP
Pramubakti
Pramubakti
Pramubakti
Rohman
SMP
Pramubakti
Pramubakti
Pramubakti
100
Lampiran-II. Daftar Guru dan Karyawan SMA Nusantara 1
N o
Nama HESTI YUNIASIH, S.E, 1 M.Pd 2 Salbiah 3 Lukman Santoso Neneng Hudriyah, 4 S.Pd 5 Nita Rosita, SE 6 Ade Cesar Pradita Dra.Yayuk Muji 7 Rahayu, MA 8 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 2 0 2 1
Surono, S.Pt, S.Pd Agus Sugiyanto, S.Pd Wahyu Hidayat,ST, M.Pd Nunung Nur Komariah,S.Pd Farida Ermafianita,S.Pd Siti Chodijah,S.Pd Sugianto, S.Pd Ira Harmaini, S.Pd Teguh Wijaya, S.Si Atik Rahmawati, SH Gencar Marah Niagara, S.Pd Hermawan, S.Si Teguh Sucianto, S.S, M.Pd Drs. Slamet Purwidodo
Divi si SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A SM A
Pustakawati Staf Tata Usaha
Jabatan Fungsional Kepala Sekolah Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha
Pengajar
Guru
Guru
Pengajar
Guru
Guru
Departemen Kepala Sekolah Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha
Status -
Jabatan Struktural Kepala Sekolah Staf Tata Usaha TU Umum Staf Tata Usaha
Pembina Ekskul Wakasek Kurikulum
Pengajar
-
Guru
Pengajar
-
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
Guru
Guru
Pengajar
Guru
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
Guru
Guru
Pengajar
Guru
Guru
Guru
Guru
Pengajar
Guru
Guru
Pengajar
Guru
Guru
Pengajar
-
101
2 2 2 3 2 4 2 5 2 6 2 7 2 8 2 9 3 0
Desti Noviyanti, S.Pd Sus Setyaningsih, S.Pd Stia Graha, S.Pd Abdul Hojin, S.Th.I Ratna Indriani, S.Pd M. Gozali, S.Pd.I Makmur Muhammad Idris Amaludin
SM A SM A SM A SM A SM A SM A SM A SM A SM A
Pengajar
Guru
Guru
Pengajar
Guru
Guru
Pengajar
Guru
Guru
Pengajar
Guru
Guru
Pengajar
Guru
Guru
Pengajar
Guru
Guru
Penjaga Sekolah Penjaga Sekolah
Penjaga Sekolah Penjaga Sekolah
Pramubakti
Pramubakti
Satpam Satpam Pramubakti
-
102
Lampiran-III. Daftar Guru dan Karyawan SMK Nusantara 1 N o 1 2 3 4 5 6 7 8 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 2 0 2 1 2 2
Nama Syahrullah, SE Tati Suwarsih, S.Pd Agus Andri Cici Agustini Hani Bani Adam Erna Herawaty, M.Pd Siti Halimah, S.H Tiwik Supriyanti, M.Pd Drs.Badruddin Dedi Supriyadi,S.Pd Widya Sukaningtiyas, M.Pd Ika Rosika,S.Pd Nana Sutisna,S.Pd Muhammad,S.Pd Rokilah,S.Pd Miftahunni'mah, S.Ag. Tuti Alawiyah,S.Pd Susi Rahmawati, S.Pd Drs.Hasannudin Hanafi Sri Suwarni,S.Pd Andi Erwin R.A,Md Nita Faresnawati,S.Pd
Divi si SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K
Departemen
Status
Pengajar
-
Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha
-
Jabatan Struktural Kepala Sekolah Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha
Jabatan Fungsional Kepala Sekolah Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha Staf Tata Usaha
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Wakasek Kurikulum
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Kajur AK
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Wakasek Humas
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
103
2 3 2 4 2 5 2 6 2 7 2 8 2 9 3 0 3 1 3 2 3 3 3 4 3 5 3 6 3 7 3 8 3 9 4 0 4 1
Retno Wahyuni, SS Jelita Widaningsih, S.Kom Trianto Panji Purnomo, A.Md Feby Refandi, S.Pd Mudzakir, S.Pd.I Ida Rosyidah, S.Pd Yan Zulfiqar. A, S.Pd Iis Ayu Sobariyah, S.Pd Suci Aprianti Amini, S.Pd Teddy Aditya Kelana, S.Pd Kukuh Harsanto, S.Kom Karina Dwi Garini, S.Ds M. Gozali, S.Pd.I Riza Aulia Ramadani, S.Pd Ali Alfharisi Enan Nurrochmana Turmudi Asep Sulaeman Supardi
SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K SM K
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Pengajar
-
Guru
Guru
Satpam
-
Satpam
-
Penjaga Sekolah Penjaga Sekolah
Penjaga Sekolah Penjaga Sekolah
Pramubakti
-
Pramubakti
Pramubakti
Pramubakti
-
Pramubakti
Pramubakti
Pramubakti
-
Pramubakti
Pramubakti
104
Lampiran-IV. Hasil Wawancara
105
