PERANCANGAN DAN IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN INFORMASI BERBASIS: STANDAR ISO/IEC 17799, ISO/IEC 27001, DAN ANALISIS RISIKO METODE OCTAVE-S STUDI KASUS PT.X
LAPORAN TUGAS AKHIR Diajukan sebagai salah satu syarat untuk memperoleh Gelar Sarjana Teknik Elektro Sekolah Teknik Elektro dan Informatika Institut Teknologi Bandung
oleh Rokhman Fauzi / 13200072
PROGRAM STUDI TEKNIK ELEKTRO SEKOLAH TEKNIK ELEKTRO DAN INFORMATIKA INSTITUT TEKNOLOGI BANDUNG 2007
HALAMAN PENGESAHAN
PERANCANGAN DAN IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN INFORMASI BERBASIS: STANDAR ISO/IEC 17799, ISO/IEC 27001, DAN ANALISIS RISIKO METODE OCTAVE-S STUDI KASUS PT.X
oleh Rokhman Fauzi / 13200072
LAPORAN TUGAS AKHIR Telah diterima dan disahkan sebagai kolokium untuk memenuhi persyaratan memperoleh gelar SARJANA TEKNIK pada PROGRAM STUDI TEKNIK ELEKTRO SEKOLAH TEKNIK ELEKTRO DAN INFORMATIKA INSTITUT TEKNOLOGI BANDUNG Telah disetujui dan disahkan sebagai laporan tugas akhir di Bandung pada tanggal: 19 Juni 2007 Pembimbing,
Sarwono Sutikno, Dr.Eng. NIP. 131 475 535
i
ABSTRAK
Informasi merupakan asset organisasi yang harus dilindungi keamanannya. Sistem Manajemen Keamanan Informasi diimplementasikan untuk melindungi asset informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha. Pada penelitian ini, standar internasional ISO/IEC 17799, ISO/IEC 27001, dan analisis risiko metode OCTAVE-S digunakan dalam perancangan dan implementasi Sistem Manajemen Keamanan Informasi PT.X.
Sesuai dengan kondisi perusahaan, analisis risiko menggunakan metode OCTAVE-S. Kendali keamanan dan proses berkelanjutan mengacu pada ISO/IEC 17799 dan ISO/IEC 27001. Kata kunci: System manajemen keamanan informasi, ISO/IEC 17799, ISO/IEC 27001, analisis risiko metode OCTAVE-S
ii
ABSTRACT
Information is a part of organizational asset that must be secured. Information Security Management System is implemented to secure information assets from threats for ensuring business processes, minimizing loss, satisfying investment, and enlarging opportunities. In this research, international standard ISO/IEC 17799, ISO/IEC 27001, risk analysis OCTAVE-S method is used in design and implementation of Information Security Management System of PT.X
Based on organization specifications, it used OCTAVE-S for risk analysis. Security control and continuous process is based on ISO/IEC 17799 and ISO/IEC 27001. Keyword: Information Security Management Systems, ISO/IEC 17799, ISO/IEC 27001, OCTAVE-S risk analysis.
iii
FAILURE IS NOT WHEN YOU FALL DOWN, BUT WHEN YOU FAIL TO GET UP
PENGANTAR PENULIS Segala puji hanya bagi Allah Tuhan Yang Maha Esa. Shalawat dan salam penulis haturkan kepada Muhammad utusan-Nya. Ucapan terima kasih – semoga penuh ketulusan – penulis sampaikan terutama kepada: kedua orang tua, seluruh dosen (terutama Pak Sarwono selaku dosen wali dan pembimbing tugas akhir), seluruh karyawan tata usaha (terutama Pak Oot dan Pak Iyom), seluruh birokrat kampus ITB (terutama Pak Eniman), dan seluruh rekan-rekan mahasiswa (terutama Elektro ITB 1998 - 2003). Jazakumullahu khairan katsiran. Mewujudkan cita memberi manfaat bagi sebanyak-banyaknya manusia ternyata tidak mudah; butuh kesungguhan dan wajib kerja keras!! Moga lembar catatan perjalanan di ITB ini senantiasa mendorong penulis dan seluruh civitas akademika ITB untuk terus berusaha memberikan sebesar-besar manfaat bagi kemanusiaan; bagi rakyat negeri elok bak untai zamrud khatulistiwa ini.
Bandung, Juni 2007
v
DAFTAR ISI BAB I ..................................................................................................................................................... 1 1.1 Latar Belakang ................................................................................................................. 1 1.2 Rumusan Masalah ............................................................................................................ 2 1.3 Tujuan Penulisan .............................................................................................................. 2 1.4 Batasan Masalah............................................................................................................... 3 1.5 Metodologi Penelitian ....................................................................................................... 3 1.6 Sistematika Penulisan ...................................................................................................... 4 BAB II.................................................................................................................................................... 5 2.1 Sistem Manajemen Keamanan Informasi ..................................................................... 5 2.1.1 Keamanan Informasi ......................................................................................... 5 2.1.2 Aspek Keamanan Informasi .............................................................................. 6 2.1.3 Manajemen ......................................................................................................... 8 2.1.4 Manajemen Keamanan Informasi .................................................................... 8 2.1.5 Standardisasi Sistem Manajemen Keamanan Informasi.............................. 11 2.1.6 ISO/IEC 17799.................................................................................................. 12 2.1.7 ISO/IEC 27001.................................................................................................. 14 2.1.8 Information Security Management Maturity Model (ISM3) ....................... 16 2.1.9 Kendala penerapan Sistem Manajemen Keamanan Informasi ................... 16 2.2 Analisis Risiko................................................................................................................. 17 2.2.1 Metode Analisis Risiko .................................................................................... 17 2.2.2 Metode OCTAVE ............................................................................................. 17 2.2.4 Output OCTAVE-S .......................................................................................... 20 2.3 Kombinasi ISO/IEC 17799, ISO/IEC 27001, dan OCTAVE-S................................... 21 BAB III ................................................................................................................................................ 22 3.1 Analisis Risiko Metode OCTAVE-S ............................................................................. 22 3.1.1 Deskripsi Perusahaan ...................................................................................... 22 3.1.2 Tim Evaluasi OCTAVE-S dan Worksheet OCTAVE-S ............................... 23 3.1.3 Fase 1 : Membuat Profil Ancaman Berbasis Aset ......................................... 23 3.1.4 Fase 2 : Mengidentifikasi Kelemahan Infrastruktur .................................... 39 3.1.5 Fase 3: Membuat Perencanaan dan Strategi Keamanan.............................. 41 3.2 Pengukuran Maturity Level Berdasarkan Information Security Management Maturity Model (ISM3) ................................................................................................................. 49 BAB IV ................................................................................................................................................ 54 4.1 Tahapan Implementasi .................................................................................................. 54 4.1.1 Penentuan Standar Acuan (Define the Policy) .............................................. 55 4.1.2 Penentuan Lingkup Perancangan dan Implementasi (Define the Scope) ... 55 4.1.3 Analisis Risiko METODE OCTAVE-S .......................................................... 56 4.1.4 Manajemen Risiko ........................................................................................... 58 4.1.5 Pemilihan Kendali ............................................................................................ 58 4.1.6 Statement of Applicability ............................................................................... 59 4.2 Pengurangan dan Penghilangan Gap Pencapaian Maturity Level (ISM3) ............... 76 4.3 Penyusunan Dokumen Kebijakan dan Prosedur Keamanan Informasi .................. 77 4.3.1 Draft Kebijakan Keamanan Informasi .......................................................... 78 4.3.2 Draft Prosedur Keamanan Informasi ........................................................... 82 4.4 Peningkatan Security Awareness ................................................................................. 118 BAB V ................................................................................................................................................ 119 5.1 Kesimpulan ................................................................................................................... 119 5.2 Saran .............................................................................................................................. 119 DAFTAR PUSTAKA ....................................................................................................................... 120
