JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
1
PENYUSUNAN TEMPLATE TATA KELOLA KEAMANAN INFORMASI BERBASIS ISO/IEC 27001:2005 DAN PATUH TERHADAP COBIT 5 MANAGEMENT PROCESSES APO13 MANAGE SECURITY Faridl Mughoffar, Ir. Ahmad Holil Noor Ali, M.Kom, dan Anisah Herdiyanti, S.Kom, M.Sc Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia e-mail:
[email protected],
[email protected],
[email protected]
Abstrak— Kebutuhan informasi yang akurat, cepat, serta reliable mengharuskan perusahaan menjaga keamanan informasi agar tidak mengganggu dan mempengaruhi peforma organisasi atau perusahaan. Dengan adanya kebutuhan tersebut, keamanan informasi harus dapat dikelola dengan baik. Pengelolaan keamanan informasi akan memperkecil munculnya risiko yang berkaitan dengan aspek keamanan informasi seperti kerusakan perangkat TI, kehilangan data karena pencurian dan risiko lainnya. Data kerugian yang diakibatkan oleh risiko keamanan informasi pun telah mencapai 1 miliar dollar US [1]. Untuk itu diperlukan tata kelola keamanan informasi yang melingkupi seluruh aspek keamanan informasi. Namun dengan padatnya aktivitas bisnis, organisasi atau perusahaan cenderung kesulitan untuk menyiapkan alat kerja dalam melakukan tata kelola keamanan informasi. Oleh karena itu jika melihat permasalahan tersebut maka diperlukan template dokumen yang diharapkan menjadi solusi dalam mempersiapkan tata kelola keamanan informasi dalam organisasi atau perusahaan. Pembuatan template tata kelola keamanan informasi akan berfokus dengan area pengamanan yang diambil dari standar COBIT 5 dan ISO/IEC 27001:2005, serta standar lain yang terkait. Kata Kunci— Tata Kelola, Keamanan Informasi, Framework, Standar, COBIT, ISO/IEC 27001, Template
I. PENDAHULUAN
D
ewasa ini, perkembangan teknologi informasi telah memberikan dampak yang cukup signifikan terhadap perubahan pada berbagai organisasi dan perusahaan. Seiring berjalannya waktu organisasi dan perusahaan semakin bergantung kepada teknologi informasi (TI) guna mencapai tujuan bisnisnya. TI menjadi salah satu elemen dalam mencapai tujuan bisnis, sehingga diarahkan untuk mendukung proses bisnis, mulai dari aktivitas operasional sampai pada tingkat strategik. Disisi lain penyediaan sarana atau investasi TI belum cukup untuk dapat memaksimalkan kontribusi fungsi TI kedalam proses bisnis. Penerapan TI memerlukan biaya yang relatif tinggi dengan resiko keamanan informasi yang cukup besar. Berdasarkan survey yang dilakukan Future Workspace, belanja TI perusahaan di Indonesia cukup tinggi, namun hanya 10% dari total belanja TI di investasikan untuk keamanan informasi [2]. Selain itu data kerugian global akibat adanya lubang pada keamanan informasi mencapai 1 miliar dollar Amerika. Kultur pendokumentasian tata kelola keamanan informasi pun yang masih rendah menyebabkan perusahaan
kurang memperhatikan pembuatan dokumentasi dari tata kelola tersebut. Untuk itu, diperlukan sebuah tata kelola keamanaan informasi yang dapat terdokumentasi secara baik sebagai salah satu cara dalam mengatur pelaksanaan penggunaan seluruh elemen TI dalam organisasi dan perusahaan serta mekanisme dalam mengelola keamanan informasi. Untuk menjamin proses dan dokumentasi pengelolaan keamanan informasi yang baik, diperlukan best practice atau framework sebagai acuan pembuatan tata kelola keamanan informasi. Salah satu best practice yang memiliki standar proses pengelolaan keamanan informasi adalah ISO/IEC 27001:2005 [3]. Pada standar ini terdapat langkah-langkah dalam melakukan pengelolaan keamanan informasi. Selain itu untuk memaksimalkan pengelolaan keamanan informasi diperlukan standar framework yang menyediakan kerangka kerja pengelolaan keamanan informasi. Salah satunya adalah COBIT 5. Dalam COBIT 5 terdapat domain dalam ruang lingkup Align, Plan, Organize (APO) yang mengatur tentang keamanan TI (Manage Security) [4]. Penggabungan best practice dan framework ini diharapkan dapat memberi gambaran mengenai bagaimana melakukan tata kelola keamanan informasi dapat dilakukan dan terdokumenasikan dengan baik. II. METODOLOGI PENELITIAN Proses pengerjaan penelitian ini dilakukan melalui beberapa tahapan. Tahapan – tahapan tersebut meliputi analisis kebutuhan tata kelola keamanan informasi, referensi tata kelola keamanan informasi serta standar-standar terkait yang akan digunakan yang dibagi menjadi beberapa tahap.
Gambar 1 : Metodologi
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
Berikut penjelasan dari pelaksanaan metodologi : A. Tahap Persiapan Pada tahapan ini akan dilakukan analisis awal mengenai literatur dan kebutuhan lain yang menunjang penelitian meliputi studi literatur mengenai standar, framework dan tata kelola keamanan informasi, serta extensive desk research mengenai metodologi pengembangan template dokumen. B. Tahap Pemetaan Best Practice Pembuatan penyusunan template tata kelola diawali dengan memetakan proses yang ada di ISO/IEC 27001:2005 ke dalam COBIT 5 APO13 Manage Security atau standar lainnya. Pada tahap penyusunan dokumen tata kelola ini nanti akan dipetakan terlebih dahulu domain yang akan di buatkan tata kelola. Dalam ISO/IEC 27001:2005 terdapat proses yang dapat dipetakan kedalam domain manage security yang memiliki beberapa proses kunci untuk mendukung tujuan teknologi informasi yang digunakan. C. Tahap Penyusunan Template Pada tahap ini adalah menyusun template dokumen tata kelola keamanan informasi yang mengacu pada pemetaan yang telah dilakukan sebelumnya. Dalam pemetaan tersebut terdapat aktivitas-aktivitas yang memerlukan dokumentasi berupa kebijakan, prosedur, instruksi, formulir atau pun template dokumen itu sendiri. Selain dokumen template D. Tahap Verifikasi Tahap ini menjelaskan bagaimana melakukan verifikasi terhadap template dokumen yang telah dibuat terhadap standar yang digunakan. Selanjutnya juga terdapat verifikasi antara template zdan referensi tata kelola keamanan informasi yang pernah dibuat di lingkungan tugas akhir sistem informasi ITS. E. Tahap Akhir Tahap akhir dari metodologi ini adalah menyimpulkan dan memeberikan rekomendasi hasil peniyusunan template. Selain itu output akhir dari tahap ini adalah buku tugas akhir, template dokumen tata kelola keamanan informasi dan buku panduan penggunaan template dokumen.
2
COBIT 5 dan ISO/IEC 27001:2005 terdapat pada bagian ke 4 best practice ini sesuai dokumen COBIT 5 Enabling Process. Dalam standar ini membahas mengenai Sistem Manajemen Keamanan Informasi (SMKI), dimana terdapat empat proses utama yaitu : Tabel 1 Proses Sistem Manajemen Keamanan Informasi[5] No. 1.
Proses Menetapkan SMKI
2.
Menerapkan dan Mengoperasikan SMKI
3.
Memantau dan Mengkaji SMKI
4.
Meningkatkan SMKI
Deskripsi Proses Dalam proses ini merupakan proses pendefinisian perencanaan dan pembangunan SMKI meliputi ruang lingkup, batasan, kebijakan, risiko dan perlakuan resiko Proses ini menjelaskan bagaimana merumuskan rencana perlakuan resiko, implementasi SMKI, pengukuran SMKI dan pengelolaan SMKI. Proses ini menjelaskan aktivitas pemantauan dan pengkajian dari implementasi dan pengelolaan SMKI yang dilakukan Proses ini menjelaskan mengenai aktivitas hasil evaluasi SMKI, hasil audit dan rekomendasi untuk meningkatkan peformas SMKI.
Keempat proses diatas akan dipetakan kedalam praktek kunci yang ada pada COBIT 5 APO13 Manage Security. . A.2 Proses COBIT 5 APO13 Manage Security Pada COBIT 5 APO13 Manage Security, terdapat penjelasan mengenai proses pengelolaan keamanan yang berada pada area manajemen. Proses pada COBIT 5 APO13 Manage Security bertujuan menjaga dampak dan terjadinya insiden keamanan informasi dalam tingkat risk appetite perusahaan melalui penentuan, pengoperasian dan monitoring SMKI. Untuk menjalan proses ini, COBIT 5 membaginya kedalam tiga praktek kunci yaitu sebagai berikut ini : Tabel 2 Praktek Kunci Manajemen Manage Security[5] Practice ID APO13.01
Practice Name Membangun dan memelihara SMKI
APO13.02
Menentukan dan mengelola rencana perlakuan resiko keamanan informasi.
III. HASIL DAN PEMBAHASAN A. Standar Best Practice Tata Kelola Teknologi Informasi Terkait Dengan Kemanaan Informasi. Berikut ini adalah hasil dari studi literatur mengenai standar yang terkait dengan keamanan inforamasi. Standar ini akan digunakan dalam membuat template dokumen tata kelola keamanan informasi. A.1 ISO/IEC 27001:2005 Section 4 Dalam penyusunan template dokumen tata kelola keamanan informasi ini akan digunakan ISO/27001:2005 sebagai best practice yang akan dikaitkan dengan kerangka kerja COBIT 5 khususnya APO13 Manage Security yang telah dijelaskan sebelumnya. Secara umum ISO/IEC 27001:2005 telah dijelaskan pada daftar pustaka, namun keterkaitan
Governance Practice Membangun dan memelihara SMKI yang menyediakan standar, pendekatan formal dan berkesinambungan untuk manajemen keamanan informasi serta memungkinkan penggunaan teknologi dan operasional bisnis yang aman dengan proses yang sesuai dengan kebutuhan bisnis dan manajemen keamanan perusahaan. Menjaga rencana keamanan informasi yang menggambarkan bagaimana risiko keamanan informasi harus dapat dikelola dan diselaraskan dengan strategi perusahaan serta arsitektur enterprise. Selain itu memastikan bahwa rekomendasi untuk melaksanakan perbaikan keamanan didasarkan pada kasus bisnis yang disetujui dan dilaksanakan sebagai bagian peningkatan layanan dan pengembangan solusi yang kemudian dioperasikan sebagai bagian peningkatan operasi bisnis.
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print) Practice ID APO13.03
Practice Name Memonitor and mereview SMKI.
Governance Practice Menjaga dan secara teratur mengkomunikasikan kebutuhan, dan manfaat serta peningkatan keamanan informasi secara terus-menerus. Mengumpulkan dan menganalisis data mengenai SMKI, dan meningkatkan efektivitas SMKI. Menilai ketidaksesuaian untuk mencegah terulangnya risiko yang sama serta Mempromosikan budaya keamanan dan perbaikan yang berkelanjutan.
Praktek kunci manajemen diatas dibagi kedalam RACI Chart berdasarkan posisi atau organisasi umum pada COBIT 5.
3
APO13.01 Membangun dan memelihara SMKI karena konteks yang patuh pada COBIT 5 APO13 Manage Security adalah perencanaan pengelolaan sehingga diasumsikan bahwa aktivitas pengimplementasian harus direncanakan terlebih dahulu. B.2. Pemetaaan Organisasi Keamanan Informasi ISO/IEC 27001:2005 ke dalam COBIT 5 APO13 Manage Security Pemetaan pada tahap ini merupakan pendefinisian relevansi organisasi keamanan informasi pada ISO/IEC 27001 terhadap organisasi keamanan informasi yang didefinisikan pada COBIT 5 APO13 Manage Security.:
Gambar 2 RACI Chart Praktik Kunci Manajemen[4]
B. Pemetaan ISO/IEC 27001:2005 dan COBIT 5 APO 13 Manage Security. B.1. Pemetaan Proses ISO/IEC 27001:2005 ke Key Management Practice COBIT 5 APO 13 Manage Security Dari hasil pemetaan aktivitas dan proses pengelolaan keamanan informasi ini nanti akan memberikan pandangan bagaimana cara melakukan uji relevansi aktivitas terhadap praktik kunci yang akan dimasukan kedalam dokumen template tata kelola keamanan informasi yang akan dibuat. Selain itu, pemetaan ini juga berguna melihat bagaimana cara memasukan best practice ISO/IEC 27001:2005 agar memenuhi kerangka kerja COBIT 5 APO13 Manage Security. Berikut ini adalah tabel hasil pemetaan aktivitas dan proses dari standar best practice dan kerangka kerja yang digunakan. Berikut ini adalah temuan dari hasil proses pemetaan best practice ISO/IEC 27001:2005 terhadap COBIT 5 APO13 Manage Security : a. 10 Aktivitas pada proses Menetapkan SMKI terpetakan kedalam APO13.01 Membangun dan Memelihara SMKI b. Aktivitas pada proses Menerapkan dan Mengoperasikan SMKI terpetakan kedalam APO13.02 Menentukan dan mengelola rencana perlakuan resiko keamanan informasi. c. 4 Aktivitas pada proses Menerapkan dan Mengoperasikan SMKI terpetakan kedalam APO13.01 Membangun dan Memelihara SMKI. d. 7 Aktivitas pada proses Memantau dan Mengkaji SMKI terpetakan kedalam APO13.03 Mrmantau dan Meninjau SMKI e. 4 Aktivitas pada proses Meningkatkan dan Memelihara SMKI terpetakan kedalam APO13.01 Membangun dan memelihara SMKI f. Terdapat aktivitas pengimplementasian SMKI pada ISO/IEC 27001:2005 yang terpetakan kedalam
Gambar 3 Struktur Umum Organisasi Keamanan Informasi
Bagan diatas menggambarkan hierarki organisasi keamanan informasi yang mengacu pada ISO/IEC 27001:2005. Selanjutnya pendefinisian organisasi keamanan informasi dipetakan berdasarkan ketiga praktek kunci yaitu sebagai berikut :
Gambar 4 Pemetaan Organisasi Pada Praktek Kunci APO13.01
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
Gambar 5 Pemetaan Organisasi Pada Praktek Kunci APO13.02
4
Dokumen area pengamanan Komunikasi dan Operasional didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Komunikasi dan Operasional Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I" oleh M. Hasyim Wahid [7] 3. Area Pengamanan Sumber Daya Manusia Dokumen area pengamanan Sumber Daya Manusia didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Sumber Daya Manusia Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I" oleh Harpanda Eka Swadarmana. [8] 4. Area Pengamanan Kontrol Akses Dokumen area pengamanan Kontrol Akses didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Akses Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I" oleh Margo Utomo. [9] Keempat dokumen tata kelola keamanan diatas memiliki persamaan komposisi dalam bentuk dan struktur dokumen yaitu : Kebijakan, Prosedur, Instruksi, dan Formulir. D. Pembuatan Template Tata Kelola Keamanan Informasi Pengembangan template dokumen ini merupakan bagian dari adopsi best practice yang dikeluarkan oleh Kementerian Teknologi Informasi dan Komunikasi yang mengacu pada ISO/IEC 27001:2005 dan COBIT 5. Dalam dokumen ini dibagi menjadi tiga tingkatan yaitu
Gambar 6 Pemetaan Organisasi Pada Praktek Kunci APO13.02
Pemetaan diatas berfungsi untuk melakukan penyesuaian terhadap kondisi eksisting perusahaan jika perusahaan tidak memiliki seluruh elemen stakeholder pada struktur organisasinya, maka dapat dirangkap oleh posisi lain sesuai dengan pemetaan diatas. Selain itu pemetaan diatas juga berfungsi sebagai acuan prioritasi tanggung jawab organisasi keamanan informasi. C. Referensi Template Dokumen Tata Kelola Keamanan Informasi Referensi dokumen tata kelola keamanan informasi diambil dari dokumen buku tugas akhir keamanan informasi yang berada dalam lingkungan jurusan sistem informasi. Dokumen ini akan dijadikan salah satu acuan dalam membuat template serta bagian dari evaluasi hasil template yang akan dibuat. Berikut ini adalah hasil referensi template dokumen tata kelola keamanan informasi yang meliputi 4 area pengamanan yaitu sebagai berikut: 1. Area Pengamanan Lingkungan Fisik Dokumen area pengaman ini didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Lingkungan Fisik Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan dan Perbendahaaran Negara Surabaya II” oleh Rizky Bareta [6] 2. Area Pengamanan Komunikasi dan Operasional
Tabel 3 Tingkatan Dokumen No. 1. 2. 3.
Tingkat Tingkat 1 Tingkat 2 Tingkat 3
Jenis Dokumen Panduan, Pedoman, dan Kebijakan, Standar Prosedur, Petunjuk pelaksanaan, Instruksi Kerja, Formulir, Template
1. Pedoman Berikut ini adalah dokumen template pedoman : Tabel 4 Dokumen Pedoman Nomor Dokumen Nama Dokumen PE-APO13-01 R00 Pendahuluan PE-APO13-02 R00 Dasar Acuan PE-APO13-03 R00 Tujuan PE-APO13-04 R00 Ruang Lingkup PE-APO13-05 R00 Proses Bisnis PE-APO13-06 R00 Istilah dan Definisi
2. Panduan Berikut ini adalah dokumen template dokumen panduan Tabel 5 Dokumen Panduan Nomor Dokumen PA-APO13-01 R00
Nama Dokumen Mengelola Keamanan
3. Kebijakan Berikut ini adalah dokumen template untuk kebijakan Tabel 6 Dokumen Kebijakan Nomor Dokumen KE-APO13-01 R00
Nama Dokumen Membangun dan Memelihara SMKI
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print) KE-APO13-02 R00 KE-APO13-03 R00 KE-APO13.01 R00
Menentukan dan mengelola rencana perlakuan risiko Meninjau dan memantau SMKI Kebijakan Umum SMKI
4. Pembuatan Prosedur Berikut ini adalah dokumen prosedur Tabel 7 Dokumen Prosedur Nomor Dokumen PR-APO13.01 R00 PR-APO13.02 R00 PR-APO13.03 R00 PR-ANNEX A
Nama Dokumen Membangun dan Memelihara SMKI Menentukan dan mengelola rencana perlakuan risiko Meninjau dan memantau SMKI Paket Prosedur Annex A*
*Yang tersedia hanya control fisik dan lingkungan 5. Instruksi Berikut ini adalah template dokumen instruksi Tabel 8 Dokumen Instruksi Nomor Dokumen IN-APO13.01.01 R00 IN-APO13.01.01 R00 IN-APO13.01.02 R00 IN-APO13.01.02 R00 IN-APO13.01.03 R00 IN-APO13.01.03 R00
Nama Dokumen Tindakan Detektif Tindakan Detektif (Visio) Tindakan Korektif Tindakan Korektif (Visio) Tindakan Preventif Tindakan Preventif (Visio)
6. Formulir Berikut ini adalah template dokumen formulir Tabel 9 Dokumen Formulir Nomor Dokumen FM-APO13.01.01 FM-APO13.01.02 FM-APO13.01.03 FM-APO13.01.04 FM-APO13.01.05 FM-APO13.01.06 FM-APO13.01.07 FM-APO13.01.08 FM-APO13.01.09 FM-APO13.01.10 FM-APO13.01.11 FM-APO13.01.12 FM-APO13.01.13 FM-APO13.01.14 FM-APO13.01.15 FM-APO13.01.16 FM-APO13.01.17 FM-APO13.02.01 FM-APO13.02.02 FM-APO13.02.03 FM-APO13.02.04 FM-APO13.02.05 FM-APO13.02.06 FM-APO13.02.07 FM-APO13.02.08 FM-APO13.03.01 FM-APO13.03.02 FM-APO13.03.03 FM-APO13.03.04 FM-APO13.03.05 FM-APO13.03.06 FM-APO13.03.07 FM-APO13.03.08 FM-APO13.03.09 FM-APO13.03.10
Nama Dokumen Daftar Aset Rencana Managemen Komunikasi Persyaratan Bisnis dan Hukum Kriteria Risiko Metodologi Asesmen Risiko Kriteria Penerimaan Risiko Daftar Risiko Daftar Dampak Risiko Matriks Dampak dan Probabilitas Risiko Penilaian Dampak dan Probabilitas risiko Daftar Residual Resiko Rencana Manajemen Sumber Daya Manusia Pembelajaran Keamanan Informasi Rencana Tindakan Detektif Pengajuan Tindakan Pengendalian Rencana Tindakan Preventif Rencana Tindakan Korektif Daftar Perlakuan Risiko Daftar Sumber Daya Pernyataan Penyediaan Sumber Daya Sasaran Pengendalian Perlakuan Risiko Sumber Daya Pendanaan Peran dan Tanggung Jawab Rencana Manajemen Sumber Daya SMKI Rencana Pengukuran Efektifits Pengendalian Laporan Pendeteksian Penyimpangan Evaluasi Kegiatan Keamanan Informasi Laporan Berkala Peninjauan SMKI Checklist Persyaratan Keamanan Pengukuran Efektifitas Pengendalian Laporan Penerimaan Risiko Kejadian Eksternal Daftar Tim Audit Rekomendasi Peningkatan SMKI Temuan
Nomor Dokumen FM-APO13.03.11 FM-ANNEX A
5
Nama Dokumen Rencana Realisasi Peningkatan SMKI Formulir Paket Annex A*
*Yang tersedia hanya control fisik dan lingkungan 7. Template Berikut ini adalah template dokumen tata kelola keamanan informasi Tabel 10 Dokumen Template Nomor Dokumen TE-APO13.01.01 TE-APO13.01.02 TE-APO13.01.03 TE-APO13.01.04 TE-APO13.01.05 TE-APO13.01.06 TE-APO13.01.07 TE-APO13.01.01 TE-APO13.01.03 TE-APO13.03.01 TE-APO13.03.02 TE-APO13.03.03
Nama Dokumen Ruang Lingkup Kebijakan SMKI Inventori Aset Informasi Penilaian Risiko Proposal SMKI SoA (Statement of Applicability) Rencana Pengelolaan SMKI Rencana Perlakuan Resiko Rencana Program Pelatihan dan Kepedulian Panduan Audit SMKI Prosedur Internal Audit Audit Report
E. Pembuatan Buku Panduan Template Dokumen Tata Kelola Keamanan Informasi Pada tahap ini, template dokumen yang telah ada akan dibuat panduan penggunaan template dokumen. Panduan ini dikembangakan berdasarkan panduan buku dari Kementrian Teknologi dan Informasi melalui tatanan dokumen berdasarkan tingkatannya. Panduan ini berbentuk buku yang memiliki komposisi sebagai berikut: a. Pendahuluan b. Panduan Umum 1. Petunjuk Pengisian Halaman Pengesahan 2. Petunjuk Pengisian Halaman Revisi 3. Petunjuk Pengisian Halaman Isi 4. Aturan Penomoran Dokumen 5. Pengecualian c. Panduan Penyesuaian 1. Struktur Umum Organisasi Keamanan Inforamsi 2. Penyesuaian Organisasi Keamaman Informasi d. Penutup Dengan adanya buku panduan ini diharapkan template dokumen tata kelola keamanan informasi ini dapat digunakan pada organisasi dan perusahaan yang ingin menggunakan template ini. F. Evaluasi Template Dokumen Tata Kelola Keamanan Informasi F.1 Evaluasi Pemenuhan Template Dokumen Terhadap Standart Proses verifikasi dilakukan dengan evaluasi pemenuhan template tata kelola keamanan informasi yang dibuat terhadap standar ISO/IEC 27001:2005 yang patuh COBIT 5 APO13 Manage Security. Evaluasi ini dilakukan untuk memeriksa apakah dokumen template tata kelola keamanan informasi memenuhi prose dan aktivitas pengelolaan keamanan informasi (yang sudah disesuaikan dengan ISO/IEC 27001:2005 dan COBIT 5) serta standar lainya yang terkait.
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
Table 1 Checklist Mandatory Documents [10] Nama Dokumen ISMS Scope ISMS Statement Procedures supporting the ISMS Risk Assessment Methods Risk Assessment Report Risk Treatment Plan International Standard Records ISMS Operational Records Statement of Applicability Document Control Systems Management Prevention & Correction Company ISMS Audits
Status √ √ √ √ √ √ √ √ √ √ √ √ √
F.2. Evaluasi Template dan Panduan Penggunaan terhadap Referensi Tata Kelola Keamanan Inforamsi. Evaluasi kedua merupakan checklist template terhadap dokumen tata kelola keamanan informasi pada kontrol fisik dan lingkungan pada KPPN II Surabaya. Dari hasil penyesuaian organisasi keamanan informasi dan pembuatan dokumen tata kelola berdasarkan template berikut ini checklist pengakomodasian template terhadap dokumen : Table 2 Checklist Pengakomodasian Template Tingkat Dokumen Tingkat 1 Tingkat 1 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 2 Tingkat 3 Tingkat 3 Tingkat 3 Tingkat 3 Tingkat 3 Tingkat 3
Dokumen Tata Kelola
Status
Kebijakan Umum Sistem Manajemen Keamanan Informasi SMKI-01 Kontrol Keamanan Fisik Dan Lingkungan Perimeter Keamanan Fisik Pengendalian Akses Masuk Mengamankan Kantor, Ruangan, Dan Fasilitas Perlindungan Terhadap Ancaman Ekternal Bekerja Di Area Yang Aman Area Akses Publik Dan Bongkar Muat Penempatan Dan Perlindungan Peralatan Sarana Pendukung Keamanan Kabel Pemeliharaan Peralatan Keamanan Peralatan Di Luar Lokasi Pembuangan Atau Penggunaan Kembali Peralatan Secara Aman Pemindahan Barang FM-01 – Buku Tamu Ruang Server FM-02 – Izin Akses Ruang Server FM-03 – Pemeliharaan Peralatan FM-04 – Catatan Back up Data FM-05 – Catatan Restore Data FM-06 – Berita Acara Pemindahan Barang
Terakomodasi
6
informasi diperlukan proses pengelolaan yang berorientasi proses bisnis serta berfokus pada implementasi SMKI. Untuk itu, diperlukan pemetaan antara ISO 27001:2005 dan COBIT 5 APO13 Manage Security. Hasil dari pemetaan ISO/IEC 27001:2005 terhadap COBIT 5 APO13 Manage Security menunjukkan bahwa pemetaan ini mampu melingkupi seluruh aktivitas proses keamanan dan praktek kunci keamanan informasi, tidak hanya pada aktivitas implementasi SMKI. 2. Dari menghasilkan proses pembuatan template dokumen ini 2 produk yaitu template dokumen tata kelola keamanan informasi dan buku panduan penggunaan template. 3. Hasil checklist mandatory documents pada dua standar yang digunakan yaitu COBIT 5 APO13 Manage Security dan ISO/IEC 27001:2005 dan memenuhi output standar minimal dokumentasi sesuai yang diisyaratkan pada kedua standart. UCAPAN TERIMA KASIH Penulis F.M mengucapkan terima kasih kepada Direktorat Pendidikan Tinggi, Departemen Pendidikan dan Kebudayaan Republik Indonesia yang telah memberikan dukungan finansial melalui Beasiswa Bidik Misi tahun 2010-2014.
Terakomodasi Terakomodasi Terakomodasi Terakomodasi
DAFTAR PUSTAKA [1]
Terakomodasi Terakomodasi Terakomodasi Terakomodasi Terakomodasi Terakomodasi Terakomodasi Terakomodasi Terakomodasi
[2]
Terakomodasi Terakomodasi Terakomodasi Terakomodasi Terakomodasi Terakomodasi Terakomodasi
[5]
IV. KESIMPULAN/RINGKASAN
[3]
[4]
[6]
[7]
[8]
Dari hasil proses pembuatan template dokumen ini dapat diambil kesimpulan sebagai berikut.
1. Standar best practice ISO/IEC 27001:2005 hanya berfokus pada proses implementasi SMKI sedangkan COBIT 5 APO13 Manage Security berorientasi pada proses bisnis dan tata kelola TI. Untuk membuat dokumen tata kelola keamanan
[9]
[10]
ISACA, "isaca.org," COBIT 5 Information Security, [Online]. Available: http://www.isaca.org/CIO/Pages/CIO-PrivacyCompliance.aspx. [Accessed 23 May 2014]. Tempo, "www.tempo.co," Tempo, 25 Februari 2014. [Online]. Available: http://www.tempo.co/read/news/2014/02/25/072557517/PerusahaanIndonesia-Abaikan-Sistem-Keamanan-IT. [Accessed 23 May 2014]. A. Calder, Implementing Information Security based on ISO 27001/ ISO 27002 - A Management Guide, Zaltbommel: Van Haren Publising, 2009. ISACA, "COBIT 5," in COBIT 5 Enabling Process, Rolling Meadows, IL 6008 USA, ISACA, 2012, p. 230. ISO/IEC 27001:2005, "ISO/IEC 27001:2005," in Information Security Management Systems (ISMS), Geneva, ISO, 2005, p. 52. R. Bareta and H. N. A. Ahmad , "Pembuatan Tata Kelola Keamanan Informasi Kontrol Fisik dan Lingkungan Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan Perbendaharaan Surabaya II," 2013. M. H. Wahid, Pembuatan Tata Kelola Keamanan Informasi Kontrol Komunikasi dan Operasional Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I, Surabaya: ITS, 2012. H. E. Swardarmana, Pembuatan Tata Kelola Keamanan Informasi Kontrol Sumber Daya Manusia Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I, Surabaya: ITS, 2012. M. Utomo, Pembuatan Tata Kelola Keamanan Informasi Kontrol Akses Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I, Surabaya : ITS, 2012. J. Gardiner, "Mandatory Document of ISO/IEC 27001:2005," December 2012. [Online]. Available: http://joegardiner.co.uk/iso27001-mandatory-documents/.
