Penilaian Risiko Sistem Informasi Siklus Pendapatan Pada PT. Caraka Tirta Perkasa Menggunakan ISO/IEC 27001:2005 1 2 3 4 Agnes , Ayu Satwika D.S. , Selfiyeni , Siti Elda Hiererra 1234
Program Audit Sistem Informasi, Fakultas Ilmu Komputer, Universitas Bina Nusantara Jl. K. H. Syahdan No. 9, Kelurahan Kemanggisan, Kecamatan Palmerah Jakarta Barat 11480 Telp. : (6221) 5345830 ext. 2169/53696939
[email protected],
[email protected],
[email protected],
[email protected]
Abstract The purposes of this thesis are to analyze and identify the risks of the revenue cycle of information system at PT. Caraka Tirta Perkasa and also to provide recommendations for the controls related to the risks that have been identified, to meet the information security criteria of ISO/IEC 27001:2005. The methodologies used for the thesis are study literature and field study that were conducted in the form of interview with the guideline from ISO/IEC 27001:2005, which is also used as an audit method in this thesis as well as UML diagrams for analysis techniques.The results achieved in the evaluation of the revenue cycle are based on the data analysis results that contain the identification of current controls, risk identification, risk level classification based on the possibility and impact result from the risk, and proposed controls as corrective actions. The conclusion of the research is the information system security of the revenue cycle that running on the company has not meet the requirements for the needs of the information security management system in the ISO/IEC 27001:2005 yet. In addition, the company considered need to improve the lack of attention and support for information security. Key words : revenue cycle of informaion systems, risk assessment, risk management, information security, information security management system, ISO/IEC 27001:2005. Abstrak Tujuan penulisan tugas akhir ini adalah untuk menganalisa sistem informasi siklus pendapatan yang sedang berjalan pada PT. Caraka Tirta Perkasa dan mengidentifikasi risiko-risiko yang ada pada sistem informasi tersebut serta memberikan rekomendasi pengendalian atas risiko yang telah diidentifikasi, untuk memenuhi persyaratan keamanan informasi dari ISO/IEC 27001:2005. Metodologi yang digunakan adalah penelitian kepustakaan, penelitian lapangan dalam bentuk wawancara dengan menggunakan checklist, dan teknik analisa dengan menggunakan UML diagram. Metode audit yang digunakan adalah ISO/IEC 27001:2005. Hasil yang dicapai dalam audit sistem nformasi siklus pendapatan ini berupa hasil analisa data yang disajikan dalam bentuk identifikasi terhadap pengendalian yang telah diterapkan oleh perusahaan, identifikasi risiko, penggolongan tingkat risiko berdasarkan kemungkinan terjadi dan dampak yang diakibatkan dari risiko, dan usulan pengendalian sebagai tindakan perbaikan. Dapat disimpulkan bahwa keamanan sistem informasi siklus pendapatm yang telah diterapkan oleh perusahaan masuh belum cukup untuk memenuhi kebutuhan sistem manajemen keamanan informasi dalam ISO/IEC 27001:2005. Selain itu, perusahaan perlu untuk meningkatkan perhatian dan dukungan terhadap keamanan informasi perusahaan. Kata kunci : sistem informasi siklus pendapatan, penilaian risiko, manajemen risiko, keamanan informasi, sistem manajemen keamanan informasi, ISO/IEC 27001:2005
Pendahuluan PT. Caraka Tirta Perkasa yang selanjutnya tim penulis akan sebut sebagai PT. CTP Line adalah sebuah perusahaan pelayaran yang menggunakan sistem informasi sebagi pendukung proses bisnis mereka, salah satunya adalah siklus pendapatan yang menjadi penggerak bisnis bagi perusahaan. Menurut Hall (2011:153), perusahaan ekonomi menghasilkan pendapatan melalui proses bisnis yang ada didalam siklus pendapatan, sehingga dapat dikatakan bahwa siklus pendapatan merupakan kegiatan yang penting karena menjadi tumpuan bagi perusahaan mendapatkan keuntungan. Meningkatnya ketergantungan perusahaan terhadap sistem informasi, sejalan dengan meningkatnya risiko dalam penggunaan sistem tersebut, untuk itu PT. CTP Line memerlukan sebuah manajemen risiko yang baik untuk dapat mengurangi risiko-risiko yang ada didalam siklus pendapatan. Menurut Kouns & Minoli (2010:4), risiko merupakan sebuah ukuran kuantitatif dari kerusakan potensial yang disebabkan oleh adanya ancaman, kerentanan, atau peristiwa-peristiwa yang dapat mempengaruhi aset TI organisasi.Untuk meminimalisir risiko yang ada pada siklus pendapatan, dibutuhkan sebuah manajemen risiko yang baik. Menurut Coleman (2011:57), mengatakan bahwa mengelola risiko adalah tentang membuat keputusan taktis dan strategis untuk mengendalikan risiko-risiko yang harus dikendalikan dan memanfaatkan peluang-peluang yang dapat dieksploitasi. Salah satu bagian terpenting dari manajemen risiko yaitu penilaian risiko, Lazarte & Tranchard (2010) seperti yang tertuang dalam artikelnya yang berjudul The Risk Management Toolbox pada situs resmi ISO, mendefinisikan penilaian risiko sebagai bagian integral dari manajemen risiko yang menyediakan proses untuk menganalisa kemungkinan dan konsekuensi terjadinya risiko. Salah satu metode yang dapat digunakan dalam melakukan penilaian risiko keamanan sistem informasi perusahaan adalah ISO/IEC 27001:2005. Menurut ISO/IEC (2005), sebagai organisasi yang mengembangkan standar tersebut, ISO/IEC 27001:2005 mendefinisikan standar kebutuhan untuk menetapkan, menerapkan, menjalankan, meninjau, memelihara, dan mengembangkan sistem manajemen keamanan informasi perusahaan. Dengan adanya latar belakang tersebut, penulis perlu melakukan penelitian dengan menilai risiko yang ada pada sistem informasi siklus pendapatan PT. CTP Line menggunakan ISO/IEC 27001:2005 dengan merumuskan masalah sebagai berikut : 1. 2. 3.
Apakah manajemen keamanan informasi yang diterapkan pada PT. CTP Line sudah memenuhi persyaratan keamanan yang ada pada ISO/IEC 27001:2005? Apa saja ancaman yang terdapat pada sistem informasi siklus pendapatan PT. CTP Line? Apa saja pengendalian efektif yang dapat diterapkan oleh PT. CTP Line berdasarkan ISO/IEC 27001:2005?
Berdasarkan latar belakang dan rumusan masalah tersebut, maka tujuan dalam penulisan tugas akhir ini adalah untuk mengidentifikasi dan mengukur risiko yang ada pada sistem informasi siklus pendapatan PT. CTP Line, memberikan informasi mengenai tingkat dan prioritas risiko yang teridentifikasi dengan melakukan penilaian terhadap tingkat probabilitas dan dampak dari masing-masing ancaman, memberikan rekomendasi pengendalian untuk setiap risiko yang teridentifikasi, dan juga membantu PT. CTP Line memperoleh sertifikasi keamanan informasi ISO/IEC 27001:2005.
Metode Penelitian Beberapa metodologi penelitian yang digunakan dalam penyusuna tugas akhir ini adalah sebagai berikut : 1.
2.
Studi Pustaka Dalam metode ini, penulis mengumpulkan data berupa buku, jurnal, dan laporan yang berkaitan dengan sistem informasi, siklus pendapatan, manajemen risiko, ISO/IEC 27001:2005 sebagai panduan dalam penyusunan tugas akhir ini. Studi Lapangan Metode ini dilakukan dengan mengunjungi dan ikut berpartisipasi secara langsung dengan perusahaan yang menjadi obyek untuk mengumpulkan data dan informasi yang dibutuhkan, yaitu dengan :
a.
3.
Wawancara Yaitu dengan mengumpulkan informasi secara sepihak dengan berlandaskan kepada tujuan penelitian dengan bertanya langsung kepada responden. b. Observasi Yaitu teknik pengumpulam data melalui pengamatan secara langsung terhadap catatan, dokumen-dokumen, maupun prosedur yang berhubungan dengan siste, informasi siklus pendapatan PT. CTP Line. c. Checklist Yaitu dengan memberikan daftar pertanyaan untuk memberikan penilaian terhadap sistem manajemen keamanan informasi PT. CTP Line berdasarkan ISO/IEC 27001:2005. Teknik Analisa Yaitu dengan menganalisa dan menilai risiko yang ada pada sistem informasi siklus pendapatan PT. CTP Line yang dilakukan menggunakan standar ISO/IEC 27001:2005.
Hasil dan Bahasan Penilaian Manajemen Keamanan Informasi Dalam melakukan penilaian terhadap sistem manajemen keamanan informasi PT. CTP Line, kami menggunakan sebuah standar internasional yaitu ISO/IEC 27001:2005. Menurut ISO/IEC (2005:1), ISO 27001 menyediakan standar kebutuhan untuk menetapkan, menerapkan, menjalankan, meninjau, memelihara, dan mengembangkan sistem manajemen keamanan informasi perusahaan. Berikut ini beberapa hasil analisa temuan audit manajemen keamanan informasi yang dilakukan terhadap sistem informasi siklus pendapatan PT. CTP Line berdasarkan ISO/IEC 27001:2005 : A.9 Keamanan Fisik dan Lingkungan A.9.2 Keamanan Peralatan A.9.2.3 Keamanan Perkabelan Tabel 1 Analisa Temuan Audit Pada A.9.2.3 Analisa Hasil Audit: Berdasarkan hasil audit yang telah dilakukan, penempatan kabel yang dilakukan oleh PT. CTP Line sudah ditentukan dengan baik. Kabel-kabel pada server diletakkan pada jalur yang sudah dibuat. Kabel-kabel pada ruang operasional juga telah ditata menggunakan cable duct.
Persyaratan ISO/IEC 27001:2005 :
A.9.2.3
Kategori Temuan :
Comply
Analisa Penyebab: Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan : Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena pengelolaan sistem informasi siklus pendapatan PT. CTP Line sudah memenuhi persyaratan pada A.9.2.3.
A.13 Manajemen Insiden Keamanan Informasi A.13.1 Pelaporan Peristiwa dan Kelemahan Keamanan Informasi A.13.1.1 Pelaporan Peristiwa Keamanan Informasi
Tabel 2 Analisa Temuan Audit Pada A.13.1.1 Analisa Temuan Audit : Berdasarkan audit yang dilakukan, tidak ada prosedur formal dan jalur manajemen yang ditetapkan untuk pelaporan dan penanganan security event berkaitan dengan keamanan informasi siklus pendapatan.
Persyaratan ISO/IEC 27001:2005 :
Kategori Temuan : Not Comply (Major)
A.13.1.1
Analisa Penyebab : Belum ada identifikasi risiko yang terdapat terjadi pada keamanan informasi siklus pendapatan PT. CTP Line. Saran Tindakan Perbaikan : Membuat prosedur formal dan jalur manajemen baik secara tertulis untuk pelaporan dan penanganan security event berkaitan dengan keamanan informasi siklus pendapatan sehingga menjadi pedoman yang dapat mengarahkan karyawan. A.10 Manajemen Komunikasi dan Operasi A.10.9 Layanan Electronic Commerce A.10.9.1 Electronic Commerce Tabel 3 Analisa Temuan Audit Pada A.10.9.1 Analisa Hasil Audit : Berdasarkan hasil audit yang dilakukan, PT. CTP Line tidak menerapkan e-commerce dalam proses bisnis mereka.
Persyaratan ISO/IEC 27001:2005 : A.10.9.1
Kategori Temuan : Non Applicable
Analisa Penyebab : PT. CTP Line ingin meminimalisir risiko yang timbul dari penerapan e-Commerce. Saran Perbaikan : Tidak ada saran untuk tindakan perbaikan yang diajukan pada hasil audit ini karena persyaratan A.10.9.1 tidak berlaku pada sistem informasi siklus pendapatan PT. CTP Line. Berikut ini adalah hasil perhitungan terhadap penilaian manajemen keamanan informasi pada sistem informasi siklus pendapatan PT. CTP Line terkait dengan 133 pengendalian keamanan ISO/IEC 27001:2005 yang ditampilkan dengan menggunakan pie chart.
Gambar 1 Hasil Penilaian Manajemen Keamanan Sistem Informasi Siklus Pendapatan
Penilaian Risiko Berdasarkan Ancaman Penilaian risiko ini kami lakukan dengan melakukan penilaian terhadap tingkat kemungkinan terjadi dan dampak dari masing-masing ancaman yang teridentifikasi dalam sistem informasi siklus pendapatan PT. CTP Line. 1.
Identifikasi Ancaman Tabel 4 Penilaian Kemungkinan Terjadi, Dampak, Dan Tingkat Risiko
No. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
17 18 19 20 21 22 23 24 25 26
Penilaian Risiko Terhadap Ancaman Berdasarkan Sumber Ancaman Sistem Manajemen Keamanan Informasi ISO/IEC 27001:2005 PT. Caraka Tirta Perkasa Sistem Informasi Siklus Pendapatan Tingkat Kategori Ancaman Probabilitas Dampak Risiko Risiko Natural Threat 3 1 4 Sedang Angin Kencang 1 3 4 Sedang Banjir 2 2 4 Sedang Gempa Bumi (< 6 SR) Tinggi Gempa Bumi (> 6 SR) 2 3 5 Sedang Petir 3 1 4 Human Threat : Tindakan Disengaja Pencurian Data 3 3 6 Tinggi Modifikasi Data 2 3 5 Tinggi Penyebaran Data Secara Ilegal 2 3 5 Tinggi Pencurian Perangkat Teknologi 1 3 4 Sedang Perusakan Perangkat Teknologi 2 3 5 Tinggi 1 3 4 Sedang Sabotase Terhadap jaringan Penyalahgunaan Hak Akses 1 3 4 Sedang 1 3 4 Sedang Perusakan Area Kerja 1 3 4 Sedang Kebakaran Tempat Kerja 3 3 6 Tinggi Instalasi Perangkat Lunak Secara Ilegal Tinggi Kekacauan Sipil 2 3 5 Human Threat :Tindakan Tidak Sengaja Sedang Kesalahan Input Data 1 3 4 Tinggi Kelalaian Menghilangkan Data 3 3 6 Serangan Dari Kode Berbahaya 2 3 5 Tinggi Keterlambatan Penanggulangan 2 3 5 Tinggi Masalah Kegagalan Sistem Operasi 3 3 6 Tinggi Kegagalan Jaringan 2 3 5 Tinggi Environmental Threat Tinggi Pemadaman Listrik 3 3 6 Kelebihan / Kekurangan Voltase 1 3 4 Sedang Listrik Sedang Kebocoran Air 1 3 4 Tinggi Binatang : Tikus 3 2 5
Kategori CIA A A A A A C I C A A C/A C A A A A
I A I A A A A A A A
2.
Penilaian tingkat kemungkinan terjadi atau probabilitas dari masing-masing ancaman, yang dibagi menjadi 3 tingkat yaitu : a. Rendah (1) : ancaman dapat terjadi dalam kurun waktu 1 tahun b. Sedang (2) : ancaman dapat terjadi dalam kurun waktu 1-5 tahun c. Tinggi (3) : ancaman dapt terjadi dalam kurun waktu 5-10 tahun
3.
Penilaian tingkat dampak dari masing-masing ancaman, yaitu : a. Rendah (1) : ancaman tidak memberikan gangguan pada operasional perusahaan, sehingga bisnis dapat berjalan seperti biasa b. Sedang (2) : ancaman memberikan gangguan pada operasional daam jangka waktu yang pendek atau untuk unit bisnis tertentu c. Tinggi (3) : Ancaman memberikan gangguan pada operasional bisnis perusahaan secara keseluruhan Berikut ini adalah hasil pemetaan ancaman berdasarkan peringkat risiko menggunakan matriks probabilitas-dampak
Sedang
1,5
26
6,15,18,21, 23
3
4,7,8,10, 16,19,20
Rendah
Probabilitas
Tinggi
Tabel 5 Pemetaan Ancaman Dengan Peringkat Risiko
2,9,11,12, 13,14,17, 22.24.25 Rendah
Sedang
Tinggi
Dampak Keterangan : Rendah : Tidak ada tindakan perbaikan yang diperlukan untuk saat ini Sedang : Membutuhkan tindakan perbaikan dan pemantauan risiko secara berkelanjutan Tinggi : Rencana tindakan perbaikan harus diterapkan sesegara mungkin 4.
Pengendalian yang direkomendasikan Tabel 6 Rekomendasi Kontrol Menggunakan Klausul 5 Klausul Klausul 5 : Kebijakan Keamanan
Kontrol Objektif A.5.1 : Kebijakan Keamanan Informasi
Kontrol
Ancaman Yang Dikontrol
A.5.1.1 :
1) Pencurian data
Dokumen kebijakan keamanan informasi
2) Modifikasi data 3) Penyebaran ilegal
Deskripsi Kontrol :
4) Pencurian teknologi
data
secara
perangkat
Dokumen kebijakan keamanan informasi harus disetujui dan dipublikasikan oleh manajemen serta dikomunikasikan kepada seluruh karyawan dan pihak luar yang terkait.
5) Perusakan teknologi
perangkat
6) Sabotase terhadap jaringan 7) Penyalahgunaan hak akses 8) Serangan kode berbahaya 9) Keterlambatan penanggulangan masalah 10) Kegagalan sistem operasi 11) Kegagalan jaringan
Tabel 7 Rekomendasi Kontrol Menggunakan Klausul 10 Klausul Klausul 10 : Manajemen Komunikasi dan Operasi
Kontrol Objektif
Kontrol
Ancaman Yang Dikontrol
A.10.7 :
A.10.7.1 :
1) Pencurian data
Penanganan Media
Manajemen media yang dapat berpindah
2) Penyebaran ilegal
data
secara
3) Serangan kode berbahaya
Deskripsi Kontrol : Harus ada prosedur tetap untuk untuk manajemen media yang dapat berpindah.
4) Kelalaian data
menghilangkan
5) Modifikasi data
Tabel 8 Rekomendasi Kontrol Menggunakan Klausul 14 Klausul Klausul 14 : Manajemen Kelangsungan Bisnis
Kontrol Objektif
Kontrol
Ancaman Yang Dikontrol
A.14.1 :
A.14.1.3 :
1) Angin kencang
Aspek keamanan informasi dalam manajemen kelangsungan bisnis
Mengembangkan dan menerapkan rencana kelangsungan bisnis dengan mengikutsertakan aspek keamanan informasi
2) Banjir 3) Gempa Bumi (< 6 SR) 4) Gempa Bumi (> 6 SR) 5) Petir 6) Kebakaran Kerja
Tempat
Deskripsi Kontrol :
7) Kekacauan Sipil
Rencana untuk memelihara dan memperbaiki operasi harus dikembangkan dan diterapkan untuk memastikan ketersediaan informasi pada tingkat dan skala waktu yang dibutuhkan setelah terjadinya gangguan terhadap proses bisnis yang kritikal.
8) Keterlambatan Penanggulangan Masalah 9) Kegagalan Operasi
Sistem
10) Pemadaman Listrik
Simpulan dan Saran Simpulan Dari hasil analisis yang dilakukan terhadap sistem informasi siklus pendapatan yang dijalankan oleh PT. CTP line,maka diperoleh beberapa kesimpulan dari hasil analisis, yaitu : 1.
Dari 133 kontrol keamanan yang terdapat pada ISO/IEC 27001 : 2005, PT. CTP Line memenuhi 76 persyaratan, tidak memenuhi 34 persyaratan dan 23 persyaratan lainnya tidak berlaku pada sistem informasi siklus pendapatan pada PT. CTP Line yang dijalankan.
2.
Sistem informasi siklus pendapatan yang dijalankan oleh PT. CTP Line telah memenuhi persyaratan keamanan pada klausul 6 untuk objektif A.6.2 terkait pihak eksternal dengan tidak melibatkan pihak luar dalam menjalankan sistem informasi siklus pendapatan mengingat risikorisiko yang mungkin timbul dari pihak luar.
3.
Sistem informasi siklus pendapatan yang dilakukan oleh PT. CTP Line telah memenuhi persyaratan kontrol pada klausul 8 untuk objektif A.8.1 terkait keamanan sumber daya manusia sebelum masa kerja dengan membuat Non Disclosure Agreement (NDA) dan memberikan peran dan tanggung jawab untuk masing-masing karyawan.
4.
Sistem informasi siklus pendapatan yang dijalankan oleh PT. CTP Line memenuhi persyaratan kontrol pada klausul 10 untuk objektif a)
A.10.1 terkait prosedur dan tanggung jawab operasi, dengan mendokumentasikan proses semua proses yang ada pada sistem informasi siklus pendapatan, mendokumentasikan dan melaportkan adanya perubahan terkait sistem informasi siklus kepada pihak manajemen, dan melakukan pembatasan tugas berdasarkan job description yang telah ditetapkan.
b) A.10.3 terkait perencanaan dan penerimaan sistem baru, dengan membuat perencanaan kapasitas penyimpanan sistem yang dapat digunakan hingga 5-10 tahun yang akan datang dan setiap penerimaan atau upgrade sistem informasi harus dikomunikasikan kepada dan mendapatkan persetujuan dari pihak manajemen. c)
A.10.4 terkait perlindungan terhadap kode berbahaya dan mobile code, dengan melakukan tindakan pencegahan serangan malicious code yaitu menggunakan antivirus, firewall, dan melakukan pembatasan port.
d) A.10.5 terkait back up informasi, dengan melakukan back up data yang diberlakukan pada database dan server , dimana back up dilakukan secara otomatis. e) A.10.6 terkait manajemen keamanan informasi, dengan menerapkan perlindungan terhadap jaringan yaitu dengan menggunakan yaitu dengan menggunakan firewall, antivirus, dan pembatasan port. 5.
Sistem informasi siklus pendapatan yang dijalankan oleh PT. CTP Line Telah memenuhi persyaratan keamanan pada klausul 11 untuk objektif : a)
A.11.1 terkait kebijakan pengendalian akses, PT. CTP Line telah memiliki kebijakan mengenai pengendalian akses terkait pengendalian akses ke jaringan.
b) A.11.6 terkait pengendalian ke aplikasi dan informasi, dengan melakukan pembatasan/proteksi terhadap pengaksesan data perusahaan sesuai job desk karyawan dan isolasi terhadap sistem yang digunakan yaitu dengan menggunakan jaringan internet yang tidak terkoneksi dengan jaringan lainnya. 6.
Sistem informasi siklus pendapatan yang dijalankan PT. CTP Line telah memenuhi persyaratan keamanan pada klausul 12 untuk objektif : a) A.12.2 terkait pembetulan pemrosesan dalam aplikasi, dengan melakukan pemberitahuan jika terdapat kesalahan data. Untuk menjamin integritas pesan, pada easoft menggunakan SQL trigger sedangkan SAP menggunakan fungsi di SAP yaitu transaction notification dan adanya verifikasi dan pengesahan validitas data keluaran oleh otoritas yang lebih tinggi. b) A.12.3 terkait penggunaan kriptografi, dengan melakukan kriptografi Rijndael Managed Cryptograph untuk perlindungan aplikasi dan email juga sudah mendapat dukungan dari manajemen.
7.
Dari seluruh ancaman yang sudah diidentifikasi, faktor Human Threat merupakan sumber ancaman yang paling berpengaruh terhadap terjadinya risiko, baik dengan tindakan yang disengaja maupun tidak disengaja.
Saran Berdasarkan kesimpulan yang ada, penulis memberikan saran yang dapat dijadikan bahan masukan bagi PT. CTP Line terkait dengan sistem informasi siklus pendapatan, antara lain : 1.
PT. CTP Line perlu memperhatikan dan memenuhi setiap persyaratan dari 11 klausul keamanan yang ada pada ISO/IEC 27001:2005 yaitu : Klausul 5 mengenai Kebijakan Keamanan Informasi. Klausul 6 mengenai Organisasi Keamanan Informasi. Klausul 7 mengenai Manajemen Aset Klausul 8 mengenai Keamanan Sumber Daya Manusia. Klausul 9 mengenai Keamanan Fisik Dan Lingkungan. Klausul 10 mengenai Manajemen Komunikasi dan Operasi. Klausul 11 mengenai Pengendalian Akses. Klausul 12 mengenai Perolehan, Perkembangan dan Pemeliharaan Sistem Informasi.
Klausul 13 mengenai Manajemen Insiden Keamanan Informasi. Klausul 14 mengenai Manajemen Kelangsungan Bisnis. Klausul 15 mengenai Kepatuhan. Dimana pemenuhan setiap persyaratan kontrol keamanan yang perlu dilakukan oleh PT. CTP Line memiliki tujuan untuk memperoleh sertifikasi ISO/IEC 27001 : 2005 pada sistem informasi siklus pendapatan yang dijalankan. 2.
PT. CTP Line dianjurkan untuk menggunakan siklus PDCA (Plan, Do, Check, Act) dalam membangun SMKI pada sistem informasi siklus pendapatan agar dapat memperoleh sertifikasi ISO/IEC 27001:2005.
3.
PT. CTP Line sebaiknya menggunakan pengendalian berdasarkan kontrol keamanan yang terdapat pada ISO/IEC 27001:2005 yang telah direkomendasikan oleh penulis agar dapat mengurangi tingkat risiko yang dihadapi dalam sistem informasi siklus pendapatan.
4.
PT. CTP Line harus lebih memprioritaskan pengendalian terhadap ancaman yang memiliki tingkat risiko yang tinggi untuk mencegah kemungkinan terjadinya ancaman dan mengurangi dampak dari risiko yang menyebabkan kerugian yang signifikan di tahun berikutnya.
Referensi Alarm, AIRMIC, IRM. (2010). A structure approach to ERM and the requirements of ISO 31000. FERMA Journal , 2,6. Coleman, T. S. (2011). A Practical Guide To Risk Management. Charlottesville: CFA Institute. Considine, B., Parkes, A., Olesen, K., Speer, D., & Lee, M. (2012). Accounting Information System. Milton: John Wiley and Sons, Inc. Dennis, A., Wixom, B. H., & Roth, R. M. (2009). System Analysis And Design . USA: John Wiley & Sons, Inc. Filip Van Hallewijn, C. C. (2013). Dealing With Computer Fraud. ISACA JOURNAL , 3, 1-4. Hall, J. A. (2011). Accounting Information Systems. Mason: Cengage Learning. ISACA. (2009). The Risk IT Framework. Rolling Meadows: ISACA. ISO/IEC. (2005). ISO/IEC 27001:2005. Switzerland: ISO. Knight, K. W. (2010, May 13). News: 2010: ISO 31000 and the Icelandic volcano crisis. Retrieved February 27, 2014, from ISO: http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref1584 Kouns, J., & Minoli, D. (2010). Information Technology Risk Management In Enterprise Environment. Hoboken: John Wiley and Sons, Inc. Lazarte, M., & Tranchard, S. (2010, March 15). ISO . Retrieved March 9, 2014, from The Risk Management Toolbox: http://www.iso.org/iso/home/news_index/news_archive/news.htm?Refid=Ref1586
Pelnekar, C. (2011). Planning For And Implementing ISO 27001. ISACA Journal , 4, 1-2. Peltier, T. R. (2014). Information Security Fundamentals. Boca Raton: CRC Press. Rainer, R. K., & Cegielski, C. G. (2014). Introduction to Information System : Enabling and Transforming Business. (Fifth Edition). Hoboken: John Wiley & Sons, Inc. Raval, V. (2012). Risk and Responsibility. ISACA JOURNAL , 6, 1. Romney, M. B., & Steinbart, P. J. (2012). Accounting Information System. Harlow: Pearson Education. Satzinger, J. W., Jackson, R. B., & Burd, S. D. (2012). System Analysis and Design In A Changing World. Boston: Cengage Learning. Viyanto, A. R., Latuihamallo, O. S., Tua, F. M., Gui, A., & Suryanto. (2013). Manajemen Risiko Teknologi Informasi : Studi Kasus Pada Perusahaan Jasa. ComTech , 5, 44. Wheeler, D. G. (2012). Accounting Information System : Foundation in Enterprise Risk Management. Boston: Cengage Learning. Wijantini. (2013, November 25). Kontan.co.id. Retrieved March 3, 2014, from Nilai Strategis Manajemen Risiko: http://kolom.kontan.co.id/news/180/Nilai-strategis-manajemen-risiko
Riwayat Penulis Agnes lahir di Jakarta pada 23 Agustus 1993. Penulis menamatkan pendidikan S1 untuk program Audit Sistem Informasi Universitas Bina Nusantara pada tahun 2015. Ayu Satwika lahir di Singapura pada 9 Maret 1993. Penulis menamatkan pendidikan S1 untuk program Audit Sistem Informasi Universitas Bina Nusantara pada tahun 2015. Selfiyeni lahir di Kuala Lahang pada 23 Agustus 1994. Penulis menamatkan pendidikan S1 untuk program Audit Sistem Informasi Universitas Bina Nusantara pada tahun 2015.
