PROGRAM STUDI TEKNIK INFORMATIKA
AUDIT KEAMANAN SISTEM INFORMASI PADA UNIVERSITAS BINA DARMA PALEMBANG MENGGUNAKAN STANDAR ISO/IEC 27001
HARYANTO 10142285N
Skripsi ini diajukan sebagai syarat memperoleh gelar Sarjana Komputer
FAKULTAS ILMU KOMPUTER UNIVERSITAS BINA DARMA 2016
BAB I PENDAHULUAN
1.1
Latar BeIakang Perkembangan teknologi informasi saat ini terasa sangat pesat, hampir di
semua aspek kegiatan telah menggunakan teknologi sistem informasi sebagai penunjang kegiatan, baik di bidang ekonomi, pendidikan, kesehatan, sosial budaya dan lain sebagainya. Teknologi sistem informasi ini telah menjadi kebutuhan bagi instansi pemerintah maupun swasta sebagai salah satu untuk meningkatkan efektivitas dan efesiensi kinerja instansi-instansi tersebut. Setiap instansi baik itu instansi besar, menengah, ataupun instansi keciI membutuhkan penanganan yang baik terhadap pengoIahan data, sehingga kinerja suatu instansi dalam pelayanan dapat ditingkatkan. Universitas Bina Darma salah satu perguruan tinggi di Palembang yang sudah
menggunakan
sistem
informasi
akademik
yang
beralamat
di
http://sisfo.binadarma.ac.id untuk menyediakan informasi yang sangat penting dan keperluan penting lainnya bagi seluruh pegawai dan mahasiswa Universitas Bina Darma. Keamanan informasi pada Universitas Bina Darma sangat diperlukan karena menyangkut data semua mahasiswa dan pegawai. Mengingat banyaknya data penting baik dalam bentuk dokumen atau program yang menjadi aset digital bagi instansi yang akan sangat merugikan instansi apabila data tersebut dicuri ataupun dirusak oleh orang-orang yang tidak bertanggung jawab.
2
Keamanan pada sistem informasi akademik di Universitas Bina Darma masih terbilang kurang terlindungi, karena setelah melakukan scanning pada sistem
akademik
Universitas
Bina
Darma
yang
beralamat
di
http://sisfo.binadarma.ac.id menggunakan software Acunetix masih ada celah, hal tersebut memungkinkan adanya ancaman masalah keamanan informasi, aset dan lain sebagainnya. Dengan adanya celah tersebut maka penulis akan melakukan suatu evaluasi mengenai keamanan sistem informasi dengan cara menerapkan teknik audit keamanan informasi menggunakan standar ISO/IEC 27001. Mengingat pentingnya keamanan informasi, maka kebijakan tentang keamanan informasi harus baik dan harus mencakup beberapa prosedur seperti prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logical security, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi. Untuk mengukur keamanan informasi tersebut penulis akan menerapkan teknik audit keamanan sistem informasi untuk memastikan keamanan informasi diterapkan sesuai dengan prosedur. ISO/IEC 27001 merupakan dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management System (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya diIakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi pada sebuah organisasi. ISO/IEC 27001. ISO/IEC 27001 dipilih karena standar ini sangat fleksibel dikembangkan karena sangat tergantung dari kebutuhan organisasi, tujuan
3
organisasi, persyaratan keamanan, proses bisnis, jumlah pegawai dan ukuran struktur organisasi. Berdasarkan uraian sebelumnya, maka penulis mengangkat permasalahan ini menjadi topik dalam penyusunan penelitian ini. Adapun judulnya yaitu “Audit Keamanan Sistem Informasi Pada Universitas Bina Darma Palembang Menggunakan Standar ISO/IEC 27001”. 1.2
Perumusan Masalah Berdasarkan latar belakang di atas maka dirumuskan pemasalahan
penelitian yaitu seberapa baik pengelolaan keamanan sistem informasi pada Universitas Bina Darma Palembang berdasarkan standar ISO/IEC 27001.
1.3 Batasan Masalah Agar pembahasan ini terarah dan terperinci, penulis membatasi aspek penelitian pada klausul 5 sampai klausul 15 dari Standar ISO 27001 yang membahas organisasi keamanan informasi yaitu :
Klausul 5 : Security policy
Klausul 6 : Organization of information security
Klausul 7 : Asset management
Klausul 8 : Human resources security
Klausul 9 : Physical and environmental security
Klausul 10 : Communications and operations management
Klausul 11 : Access control
Klausul 12 : Information system acquisition, development, and maintenance
4
Klausul 13 : Information security incident management
Klausul 14 : Business continuity management
Klausul 15 : Compliance
1.4 Tujuan dan manfaat 1.4.1 Tujuan Adapun tujuan penelitian yang dilakukan di Universitas Bina Darma adalah: 1.
Menerapkan teknik audit keamanan sistem informasi dengan menggunakan standar ISO 27001.
2.
Menerapkan teknik audit keamanan sistem informasi yang mengukur indeks pengelolahan sistem informasinya.
1.4.2
Manfaat Adapun yang dapat diharapkan dari penelitian ini adalah:
1.
Menjadi rujukan untuk menerapkan sistem informasi yang memenuhi standar.
2.
Menghasilkan dokumen temuan dan rekomendasi dari hasil audit keamanan sistem informasi di Universitas Bina Darma Palembang yang dapat digunakan sebagai dokumentasi pengembangan sistem yang ada.
5
1.5 Sistematika Penulisan Penulis akan menjelaskan susunan laporan penelitian ini dalam bagian yang disesuaikan dengan judul bab tersebut. Sistematika penulisan dari laporan penelitian ini adalah sebagai berikut : BAB I
PENDAHULUAN Pada bab ini menguraikan secara rinci latar belakang masalah, rumusan masalah, batasan masaIah, tujuan dan manfaat peneIitian.
BAB II
LANDASAN TEORI Pada bab ini menguraikan penjelasan singkat landasan pemikiran yang berisi teori-teori mengenai audit keamanan sistem informasi universitas bina darma palembang.
BAB III
METODOLOGI PENELITIAN Pada bab ini penulis akan menjelaskan metodelogi penelitian, lokasi dan tempat penelitian, metode pengumpulan data, penilaian tingkat kedewasaan, bahan penelitian dan tahapan penelitian.
BAB IV
TINJAUAN UMUM Pada bab ini menceritakan tentang sejarah singkat Universitas Bina Darma, Visi dan Misi, infrastruktur TIK, pengelolaan sistem informasi, dan Keamanan sistem informasi pada Universitas Bina Darma.
6
BAB V
HASIL DAN PEMBAHASAN Pada bab ini membahas laporan lengkap hasil dan pembahasan dari penelitian di Universitas Bina Darma.
BAB VI
PENUTUP Pada bab ini membahas simpulan dari penjelasan bab-bab sebelumnya,
sehingga
dari
kesimpulan
penulis
mencoba
memberikan saran yang berguna untuk melengkapi pengembangan sistem inforamasi dimasa yang akan datang.
BAB II LANDASAN TEORI
2.1 Audit Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Menurut Riyanarto Sarno dan Irsyat Iffano (2009:171) audit merupakan proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audite evidence) dan di evaluasi secara objektif untuk menentukan apakah teIah memenuhi kriteria pemeriksaan audit yang ditetapkan. 2.1.1 Tujuan Audit Menurut Riyanarto Sarno dan Irsyat Iffano (2009:171), ada delapan tujuan dalam audit diantaranya: 1.
Kelengkapan (Completeness), untuk meyakinkan bahwa seluruh transaksi telah dicatat atau ada dalam jurnaI secara aktual telah dimasukkan.
2.
Ketepatan (Accurancy), untuk memastikan transaksi dan saldo perkiraan yang ada telah dicatat berdasarkan jumlah yang benar, perhitungan yang benar, dikIasifikasikan, dan dicatat dengan tepat.
8
3.
Eksistensi (Existence), untuk memastikan bahwa semua harta dan kewajiban yang tercatat memiIiki eksistensi atau keterjadian pada tanggal tertentu, jadi transaksi tercatat tersebut harus benar-benar telah terjadi dan tidak fiktif.
4.
PeniIaian (Valuation), untuk memastikan bahwa prinsip-prinsip akuntansi yang berlaku umum telah diterapkan dengan benar.
5.
KIasifikasi (Classification), untuk memastikan bahwa transaksi yang dicantumkan dalam jurnal dikIasifikasikan dengan tepat. Jika terkait dengan saldo maka angka-angka yang dimasukkan di daftar klien telah dikIasifikasikan dengan tepat.
6.
Ketepatan (Accurancy), untuk memastikan bahwa semua transaksi dicatat pada tanggal yang benar, rincian daIam saldo akun sesuai dengan angkaangka buku besar. Serta penjumlahan saldo sudah dilakukan dengan tepat.
7.
Pisah Batas (Cut-Off), untuk memastikan bahwa transaksi-transaksi yang dekat tanggal neraca dicatat dalam periode yang tepat. Transaksi yang mungkin sekaIi salah saji adaIah transaksi yang dicatat mendekati akhir suatu periode akuntansi.
8.
Pengungkapan (Disclosure), untuk meyakinkan bahwa saIdo akun dan persyaratan pengungkapan yang berkaitan telah disajikan dengan wajar daIam laporan keuangan dan dijelaskan dengan wajar dalam isi dan catatan kaki Iaporan tersebut.
2.1.2 Jenis-jenis Audit Menurut Riyanarto Sarno dan Irsyat Iffano (2009:172), dalam melaksanakan audit ada dua jenis audit yang dapat dilakukan yaitu:
9
1.
Audit Kepatutan (Compliance Audit), audit kesesuaian adalah audit SMKI yang dilaksanakan untuk tujuan menegaskan apakah objektif kontrol, kontrol dan prosedur memenuhi hal-hal sebagai berikut:
2.
a.
Telah memenuhi persyaratan sebagaimana ditulis dalam manual SMKI.
b.
Telah efektif diimplementasikan dan di pelihara.
c.
Telah berjalan sesuai dengan yang diharapkan.
Audit Subtansi (Subtantion Audit), audit subtansi adalah audit SMKI yang dilaksanakan untuk tujuan menegaskan apakah hasil dari aktivitas (prosedur atau proses telah dijlankan) telah sesuai dengan yang ditargetkan atau yang harapkan.
2.1.3 Tahapan Audit Menurut Riyanarto Sarno dan Irsyat Iffano (2009:173), dalam melakukan audit ada empat tahapan adalah: 1.
Tahapan Perencanaan, pada tahap ini ditentukan siapa, apa, kenapa, kapan dan bagaimana audit dilaksanakan, kegiatan yang dilakukan pada tahap ini meliputi:
2.
a.
Menentukan objek audit/tujuan audit.
b.
Menentukan tim atau pihak yang akan melakukan audit.
c.
Identifikasi proses bisnis dari objek yang diaudit.
Tahapan Persiapan Program, pada tahapan ini dimulai pengumpulan buktibukti yang ada dari perusahaan, kegiatan yang dilakukan meliputi : a.
Melakukan observasi pada operasional perusahaan.
10
3.
b.
Mewawancarai pelaku sistem dalam perusahaan.
c.
Menguji setiap aktivitas fisik dari perusahaan.
d.
Analisis review dan melakukan sampling.
Tahapan Evaluasi. pada tahap ini setelah bukti telah dikumpulkan pihak auditor akan menggunakan bukti yang ada untuk menilai kinerja sistem yang ada. Kegiatan yang dilakukan meliputi:
4.
a.
Menilai kualitas pengendalian operasional.
b.
Menilai kualitas informasi.
c.
Menilai kualitas integrasi antar divisi.
d.
Merumuskan resiko yang mungkin terjadi.
Tahapan PeIaporan Hasil Audit, pada tahapan ini semua penilaian yang telah dirumuskan dibuat dalam bentuk dalam sebuah laporan mengenai kinerja sistem perusahaan, kuaIitas kinerjanya dan resikonya. Dengan begitu pihak pimpinan dapat mengambil langkah pencegahan.
2.2 Audit Sistem Informasi Weber dan Sarno (2009, dikutip dari Fine Ermana, 2012, h.2) Audit Sistem Informasi sebagai proses pengumpulan dan pengevaIuasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada teIah memeIihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif.
11
2.3 Keamanan Informasi Keamanan informasi adaIah penjagaan informasi dari seluruh ancaman yang mungkin terjadi daIam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis Riyanarto Sarno dan Irsyat Iffano (2009:26).
2.4 ISO/IEC 27001 ISO/IEC 27001 adalah standar keamanan informasi (information security) yang diterbitkan pada Oktober 2005 oleh International Organization for Standarization dan International Electrotechnical Commission (IEC), standar ini menggantikan BS-77992:2002 Riyanarto Sarno dan Irsyat Iffano (2009:56) ISO (International Organization for Standarzitation) adalah pengembang terbesar di dunia standar international secara sukareIa. Standar international memberikan keamanan yang lebih spesifik, layanan yang baik, membantu industry Iebih efisien dan efktif. Dikembangkan melalui kesepakatan global, mereka membantu untuk mengatasi hambatan perdagangan internasional. ISO/IEC 27001 adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasionaI. Standar ISO/IEC 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau Information Security Management Syestem, biasa disebut ISMS, yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh
sebuah
perusahan
dalam
usaha
mereka
untuk
mengevaluasi,
12
mengimplementasikan
dan
memelihara
keamanan
informasi
diperusahan
berdasarkan “best practise” dalam pengamanan informasi. Menurut Riyanarto Sarno dan Irsyat Iffano (2009 :72) audit internal SMKI (internal ISMS audits) ISO 27001 adalah klausul 6 yang menjelaskan keharusan pelaksanaan internal audit secara berkala terhadap Objektif Kontrol, proses dan prosedur dari SMKI di dalam organisasi. Adapun klausul-klausul dari ISO/IEC 27001 yaitu : 2.4.1 Klausul 5 : Kebijakan Keamanan Security policy (kebijakan keamanan informasi), memberikan arahan dan dukungan manajemen keamanan informasi. Manajemen harus menetapkan arah kebijakan yang jelas dan menunjukan dukungan, serta komitmen terhadap keamanan informasi melalui penerapan dan pemeliharaan suatu kebijakan keamanan informasi di seluruh jajaran organisasi. Struktur dokumen kontrol keamanan klausul 5 ISO 27001 seperti pada tabel berikut: Tabel : 2.1 Kebijakan Keamanan Klausul : 5 Kebijakan Keamanan Kategori Keamanan Utama : 5.1 Kebijakan Keamanan Informasi Kontrol Objektif : memberikan arahan kepada manajemen organisasi dan dukungan untuk keamanan Informasi dalam hubungannya dengan persyaratan bisnis organisasi, hukum dan aturan yang sedang berlaku Kontrol: Dokumen Dokumen Kebijakan Keamanan Informasi harus Kebijakan 5.1.1 disetujui oleh pihak manajemen, dipublikasikan Keamanan dan dikomunikasikan kepada seluruh pegawai dan Informasi pihak-pihak lain yang relevan
13
5.1.2
Tinjauan Ulang kebijakan Keamanan Informasi
Kontrol: Kebijakan Keamanan Informasi harus ditinjau ulang secara berkala, jika terjadi perubahan harus dipastikan hal tersebut merupakan pengembangan dari kebijakan sebelumnya sehingga menjadi lebih sesuai, menccukupi kebutuhan organisasi dan lebih efektif dalam pelaksanaannya
2.4.2 Klausul 6 : Organisasi Keamanan Informasi Organization of information security (organisasi keamanan informasi) adalah uraian tentang organisasi yang ditetapkan untuk mengelola dan mengkoordinasikan aspek keamanan informasi dari suatu instansi/lembaga serta uraian peran dan tanggung jawabnya. Berikut tabel Organisasi Keamanan Informasi : Tabel : 2.2 Organisasi Keamanan Informasi Klausul : 6 Organisasi Keamanan Informasi Kategori Keamanan utama : 6.1 Organisasi internal Objektif Kontrol : Bagaimana mengelola Keamanan Informasi di dalam organisasi Komitmen pihak Kontrol : manajemen Pihak manajemen harus secara aktif memberikan 6.1.1 terhadap dukungan tentang keamanan dalam organisasi keamanan melalui arahan dan komitmen yang jelas serta rasa informasi tanggung jawab terhadap keamanan informasi Kontrol : Aktivitas Keamanan Informasi harus selalu Koordinasi dokoordinasikan dalam organisasi oleh suatu 6.1.2 Keamanan perwakilan (salah satu sub bagian organisasi) yang Informasi ditunjukan berdasar aturan yang relevan dan sesuai tugas dan fingsingya Pembagian Kontrol : tanggung jawab Tanggung jawab Keamanan Informasi di dalam 6.1.3 Keamanan organisasi harus didefinisikan dengan jelas. Informasi
14
6.1.4
6.1.5
6.1.6
6.1.7
6.1.8
Proses otorisasi untuk akses ke fasilitas pemrosesan Informasi Perjanjian kerahasiaan Hubungan dengan pihakpihak (vendor) legal Hubungan dengan lembagalembaga atau organisasi tertentu Kaji ulang secara independen terhadap keamanan informasi
Kontrol: Manajemen otorisasi untuk fasilitas-fasilitas baru pemrosesan Informasi yang baru harus didefinisikan dan diimplementasikan Kontrol: Persyaratan kerahasiaan atau perjanjian kerahasiaan yang diperlukan dalam organisasi untuk melindungi informasi harus didefinisikan dan dikaji secara regular sesuai dengan perkembangan organisasi Kontrol: Hubungan baik dengan pihak-pihak legal harus dipelihara dan dibina Kontrol: Hubungan baik dengan lembaga, organisasi, forum atau perkumpulan dalam hal keamanan informasi harus selalu dibina.
Kontrol: Dokumen kebijakan keamanan informasi organisasi, yang berisi kebijakan, tanggungjawab keamanan informasi dan implementasinya perlu dikaji-ulang secara independen dan berkala untuk memberikan kepastian bahwa telah berjalan dan efektif dalam organisasi atau jika terjadi perubahan implementasi keamanan informasi Kategori Keamanan utama : 6.2 Pihak Eksternal Objektif Kontrol : untuk menjaga keamanan informasi dan fasilitas pemrosesan informasi organisasi yang diakses, diproses, dikomunikasikan atau dikelola oleh pihak ketiga. Identifikasi Kontrol: risiko terhadap Risiko terhadap informasi dan fasilitas pemrosesan 6.2.1 hubungannya informasi karena proses bisnis yang melibatkan dengan pihak pihak ketiga harus didefinisikan dan diterapkan lain control yang tepat sebelum dilakukan akses. Akses Kontrol: Keamanan Seluruh persyaratan keamanan kepada pelanggan 6.2.2 dalam hubungan harus diidentifikasikan dan di jelaskan sebelum dengan organisasi memberikan hak akses terhadap pelanggan informasi dan fasilitas pemrosesan keamanan
15
informasi.
6.2.3
Melibatkan persyaratan keamanan daIam perjanjian dengan pihak ketiga
Kontrol: Perjanjian dengan pihak ketiga yang meliputi pengaksesan, pemrosesan, komunikasi dan pengelolaan informasi organisasi atau penambahan produk terhadap fasilitas pemrosesan informasi, harus melibatkan seluruh persyarata keamanan yang dibutuhkan organisasi.
2.4.3 Klausul 7 : Manajemen Aset Asset management (manajemen aset) didefinisikan menjadi sebuah proses pengelolaan aset (kekayaan) baik berwujud dan tidak berwujud yang memiIiki nilai ekonomis, nilai komersial, dan nilai tukar, mampu mendorong tercapainya tujuan dari individu dan organisasi. MeIaIui proses manajemen planning, organizing, leading dan controling. bertujuan mendapat keuntungan dan mengurangi biaya (cost) secara efisien dan effektif. Berikut tabel Manajemen Aset: Tabel : 2.3 Manajemen Aset Klausul : 7 Manajemen Aset Kategori Keamanan Utama : 7.1 Tanggung Jawab Terhadap Aset Objektif kontrol : untuk memenuhi perIindungan dan pemeliharaan terhadap aset organisasi Kontrol : Inventarisasi Seluruh aset organisasi harus diinventarisasi dan 7.1.1 terhadap aset dipeIihara Kontrol : Seluruh informasi dan aset yang berhubungan 7.1.2 Kepemilikan aset dengan fasiIitas pemrosesan Informasi harus ditentukan kepemilikannya sesuai ketentuan organisasi
16
Kontrol : Aturan-aturan penggunaan informasi yang Aturan 7.1.3 berhubungan dengan fasilitas pemrosesan penggunaan aset informasi harus diidentifikasikan dan diimlementasikan Kategori Keamanan Utama : 7.2 klasifikasi Informasi Objektif kontrol : untuk memastikan bahwa setiap daIam organisasi mendapatkan keamanan yang memadai Kontrol : Informasi harus diklasifikasikan menurut niIainya, Aturan 7.2.1 Klasifikasi kepentingan dan tingkat kritikaInya terhadap organisasi Kontrol : Penanganan dan Suatu prosedur yang cukup memadai harus dibuat untuk peIabeIan dan penanganan informasi sesuai 7.2.2 pelabelan informasi dengan skema klasifikasi informasi yang telah ditentukan oleh organisasi
2.4.4 Klausul 8 : Keamanan Sumber Daya Manusia Keamanan sumber daya manusia adalah organisasi harus menetapkan dan menyediakan sumberdaya manusia yang dibutuhkan untuk menerapkan, mengoprasikan, memantau, meningkatkan dan memeIihara keamanan informasi. Berikut tabel Keamanan Sumber Daya Manusia : Tabel 2.4 Keamanan Sumber Daya Manusia Klausul : 8 Keamanan Sumber Daya Manusia Kategori Keamanan Utama : 8.1 Sebelum Menjadi Pegawai Objektif kontrol : untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimaIkan risiko pencurian atau kesalahan dalam penggunaan fasilitas Informasi Aturan dan Kontrol : 8.1.1 tanggung jawab Aturan-aturan dan tanggung jawab keamanan dari keamanan pegawai, kontraktor dan pengguna plhak ketiga
17
harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi Kontrol : Pemeriksaan atau screening terhadap pegawai harus dilakukan pada saat lamaran kerja, 8.1.2 Seleksi pemeriksaan harus sesuai dengan hukum, golongan, kebutuhan persyaratan bisnis, klasifikasi informasi yang akan diakses pegawai dan risiko yang mungkin dihadapi oleh organisasi Kontrol : Persyaratan dan Bahwa calon pegawai atau plhak ketiga harus kondisi yang 8.1.3 setuju dengan persyaratan dan kondisi yang harus dipenuhi ditetapkan oleh organisasi dan harus menjadi oleh pegawai bagian dengan kontrak kerja pegawai Kategori Keamanan Utama : 8.2 Selama menjadi Pegawai Objektif kontrol : untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan (human Error) dan risiko yang hadapi oleh organisasi Kontrol : Manajemen harus mensyaratkan seluruh pegawai, Tanggung jawab 8.2.1 kontraktor atau pihak ketiga untuk manajemen mengaplikasikan Keamanan Informasi yang telah dibangun KontroI : Seluruh pegawai di dalam organisasi, kontraktor Pendidikan dan atau pihak ketiga yang relevan harus mendapat peatihan pelatihan yang cukup dan relevan sesuai deskripsi 8.2.2 keamanan kerja masing-masing tentang kepedulian kemanan informasi informas. Hal ini dilakukan secara regular sesuai dengan perubahan kebijakandan prosedur di organisasi KontroI : Harus ada proses kedisiplinan secara formal bagi Proses 8.2.3 seluruh pegawai organisasi serta memiliki kedisiplinan komitmen dalam menjaga keamanan informasi Kategori Keamanan Utama : 8.3 Pemberhentian atau Pemindahan Pegawai Objektif kontroI : untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindahkan dilakukan sesuai prosedur yang benar
18
8.3.1
8.3.2
8.3.3
Kontrol : Tanggung jawab Tanggung jawab terhadap pemberhentian atau pemberhentian pemindahan pegawai, kontraktor atau pihak ketiga harus didefinisikan dan dirujuk dengan jelas Kontrol : Seluruh pegawai, kontraktor atau pihak ketiga harus mengembalikan semua aset organisasi yang Pengembalian aset-aset dipakai saat mereka dinyatakan berhenti atau dipindahkan menurut perjanjian kontrak pegawainya. Kontrol : Hak akses pegawai, kontraktor atau pihak ketiga Penghapusan hak tehadap informasi dan fasilitas pemrosesan ases informasi harus dihapus sejak mereka dinyatakan berhenti atau dipindahkan sesuai dengan perjanjlan kontrak mereka.
2.4.5 Klausul 9 : Keamanan Fisik dan Lingkungan Keamanan fisik dan lingkungan adalah untuk mencegah akses tanpa otoritas, kerusakan, dan gangguan terhadap tempat dan informasi bisnis. Fasilitas pemrosesan informasi bisnis harus berada di wilayah yang aman, terlindungi secara aman dengan sistem pengamanan dan kontrol masuk yang memadai. Fasilitas tersebut harus dilindungi secara fisik dari akses tanpa ijin, kerusakan dan gangguan. Perlindungan harus disesuaikan dengan identifikasi resiko. Berikut tabel keamanan fisik dan lingkungan: Tabel 2.5 Keamanan Fisik dan Lingkungan Klausul : 9 Keamanan Fisik dan Lingkungan Kategori Keamanan Utama : 9.1 Wilayah Aman Objektif kontrol : untuk mencegah akses fisik tanpa hak, kerusakan dan gangguan terhadap informasi dan perangkatnya dalam organisasi
19
Kontrol : Pembatas keamanan (dinding pembatas, kontrol Pembatas 9.1.1 kartu akses, atau penjaga) harus disediakan untuk Keaman fisik melindungi wilayah atau ruang penyimpanan informasi dan perangkat pemrosesan informasi Kontrol : Wilayah aman (secure) harus dilindungi dengan Kontrol masuk 9.1.2 kontrol akses masuk yang memadai untuk fisik memastikan hanya orang yang berhak saja dibolehkan masuk. Kontrol : Keamanan kantor, Keamanan kantor untuk fisik, ruang dan 9.1.3 ruang dan fasilitasnya harus disediakan dan fasilitasnya diimplementasikan Perlindungan Kontrol : terhadap ancaman Perlindungan fisik terhadap kerusakan karena 9.1.4 dari luar dan kebakaran, banjir, gempa bumi, ledakan, gedung lingkungan roboh dan lain-lain baik dari alam maupun ulah sekitar manusia harus didesain dan diimplementasikan Kontrol : Bekerja di wilaya Perlindungan fisik dan tata cara bekerja di wilayah 9.1.5 aman aman (secure) harus didesain dan diimplementasikan Kontrol : Tempat-tempat pengiriman dan penurunan barang, Akses publik, serta tempat lain dimana orang keluar masuk, tempat 9.1.6 harus dikontrol, jika memungkinkan pisahkan pengiriman dan dengan tempat penyimpanan informasi serta penurunan barang fasilitas pemrosesan informasi, untuk menghindari adanya pengaksesan secara tidak berhak Kategori Keamanan Utama : 9.2 Keamanan Peralatan Objektif kontrol : untuk mencegah kehilangan, kerusakan, pencurian atau ketidakberesan aset dan gangguan terhadap aktivitas organisasi Kontrol : Semua peralatan harus ditempatkan dengan tepat Letak peralatan dan dilindungi untuk mengurangi risiko dari 9.2.1 dan ancaman dan bahaya dari lingkungan sekitar atau pengamanannya kesempatan untuk diakses dari orang-orang yang tidak berhak Kontrol : Utilitas 9.2.2 Peralatan harus dilindungi terhadap kegagalan pendukung sumber daya atau gangguan lain yang
20
9.2.3
Keamanan pengkabelan
9.2.4
Pemeliharaan peralatan
9.2.5
Keamanan peralatan diluar tempat yang tidak disyaratkan
9.2.6
Keamanan untuk pembuangan atau pemanfaatan kembali peralatan
9.2.7
Hak Pemanfaatan
menyebabkan kegagalan terhadap utilitas pendukung (sumber dayalistrik, genset, dan lainlain) Kontrol : Kabel daya dan telekomunikasi yang menyalurkan data layanan informasi harus dilindungi dari gangguan dan kerusakan Kontrol : Peralatan harus dipelihara dengan benar untuk memastikan kesiapan dan keberlanjutan peralatan Kontrol : Keamanan harus diterapkan terhadap yang diletakan diluar tempat yang tidak diisyaratkan untuk menghindari risiko yang tidak diinginkan yang telah ditentukan oleh organisasi Kontrol : Seluruh peralatan yang digunakan sebagai media penyimpanan harus diteliti dengan benar apakah masih menyimpan data-data penting saat sudah tidak digunakan, dibuang atau dimanfaatkan kembali, jika ya harus dilakukan pemusnahan atau penghapusan data terlebih dahulu Kontrol : Peralatan, informasi atau perangkat lunak tidak boleh diambil atau digunakan tanpa persetujuan terlebih dahulu
2.4.6 Klausul 10 : Manajemen Komunikasi dan Operasi Manajemen komunikasi dan operasi adalah untuk menjamin bahwa fasilitas pemrosesan informasi berjalan dengan benar dan aman harus ditetapkan tanggung jawab dan prosedur untuk manajemen dan operasi seluruh fasilitas pemrosesan informasi. Hal ini mencakup pengembangan operasi yang tepat dan prosedur penanganan insiden. Dimana harus ditetapkan pemisah tugas untuk mengurangi
21
penyalahgunaan system karena kecerobohan atau kesenjangan. Berikut tabel manajemen komunikasi dan operasi : Tabel 2.6 Manajemen Komunikasi dan Operasi Klausul : 10 Manajemen Komunikasi Dan Operasi Kategori Keamanan Utama : 10.1 Tanggung Jawab dan Prosedur Operasional Objektif kontrol : untuk memastikan keamanan oprasi dan tidak terjadi kesalahan dalam mengoprasikan fasilitas-fasilitas pemrosesan informasi Kontrol : Pendokumentasian Prosedur operasi harus didokumentasi, dipelihara 10.1.1 prosedur operasi dan harus selalu tersedia untuk semua pengguna jka dibutuhkan Kontrol : Manajeme 10.1.2 Pertukaran fasilitas pemrosesan informasi dan pertukaran sistem harus selalu dikontrol Kontrol : Tugas dan area tanggung jawab untuk melindungi 10.1.3 Pemisahan tugas aset informasi organisasi harus dipisah untuk mengurangi kesempatan diakses, dimodifikasi dan digunakan tanpa hak. Pemisahan Kontrol : pengembangan, Pengembangan, pengujian dan operasional 10.1.4 pengujian dan informasi harus dipisahkan untuk meminimalkan operasional risiko operasional sistem organisasi diakses atau informasi diubah tanpa hak Kategori Keamanan Utama : 10.2 Manajemen Pengiriman oleh Pihak Ketiga Objektif kontrol : untuk mengimplementasikan dan memelihara tingkat kemanan informasi yang sesuai dalam hal layanan pengiriman yang berhubungan dengan perjanjian layanan pemgiriman dengan pihak ketiga Kontrol : Harus dipastikan bahwa kontrol keamanan, Layanan defines keamanan dan layanan pengiriman telah 10.2.1 pengiriman dimasukan kedalam perjanjian layanan dengan pihak ketiga, dioperasikan dan dipelihara oleh pihak ketiga Pemantauan dan Kontrol : 10.2.2 pengkajian ulang Layanan pihak ketiga harus dimonitor, dikaji
22
layanan ketiga
10.2.3
pihak ulang kelayakannya
Kontrol : Proses penggantian penyediaan layanan oleh Manajemen pihak ketiga harus dikelola dan dikaji ulang untuk penggantian terimplementasinya keamanan layanan pihak menjamin informasi dengan pihak ketiga. ketiga
Kategori Keamanan Utama : 10.3 Perencanaan Sistem dan Penerimaan Objektif kontrol : untuk meminimisasi kegagalan sistem Kontrol : Penggunaan sumber daya harus dimonitor, Manajemen 10.3.1 disesuaikan dan direncanakan kebutuhannya kapasitas (kapasitas dan persyaratannya) untuk memastikan dan menjaga performasi sistem Kontrol : Kriteria penerimaan untuk sistem informasi yang 10.3.2 Penerimaan sistem baru, pengembangan atau versi baru harus dibuat dan dilakukan pengujian yang layak selama pengembangannya sebelum diserahterimakan Kategori Keamanan Utama : 10.4 Perlindungan Terhadap Malicious dan Mobile Code Objektif kontrol : untuk melindungi integritas perangkat lenak (software) dan informasi Kontrol : Kontrol mendeteksi, mencegah, dan memulihkan Kontrol terhadap untuk perlindungan terhadap malicious code serta 10.4.1 kode bahaya prosedur yang tepat untuk memberikan kesadaran (malicious code) tentang hal tersebut harus dibuat dan diimplementasikan Kontrol : Jika penggunaan mobile code di ijinkan, harus Kontrol terhadap 10.4.2 dipastikan bahwa dalam penggunaan mobile code mobile code telah didefinisikan kebijakan kemanannya dan dicegah darieksekusi yang tidak berhak Kategori Keamanan Utama : 10.5 Back-Up Objektif kontrol : untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesan informasi Kontrol : Back-up copy informasi dan software harus 10.5.1 Back-up informasi dilakukan dan diuji secara berkala menurut kebijakan kemanan informasi yang sudah
23
ditentukan Kategori Keamanan Utama : 10.6 Manajemen Keamanan Jaringan Objektif kontrol : untuk memastikan keamanan pengiriman informasi di jaringan dan serta melindungi infrastruktur pendukungnya Kontrol : Jaringan harus selalu di kelola dan dikontrol untuk mencegah dari ancaman dan gangguan 10.6.1 Kontrol jaringan serta memelihara keamanan sistem dan aplikasi dalam penggunaan jaringan termasuk dalam pengiriman informasi Kontrol : Fitur keamanan, level layanan dan persyaratan Keamanan dalam 10.6.2 manajemen untuk seluruh layanan jaringan harus layanan jaringan di identifikasi dan dimasukan dalam perjanjian layanan jaringan disediakan oleh pihak ketiga Kategori Keamanan Utama : 10.7 Penanganan Media Objektif kontrol : untuk mencegah pengaksesan, modifikasi, penghapusan atau pengrusakan aset secara ilegal serta gangguan aktifitas bisnis Manajemen Kontrol : 10.7.1 pemindahan Harus ada prosedur untuk manajemen media pemindahan media Kontrol : Pemusnahan atau Media harus dimusnahkan atau dibuang secara 10.7.2 pembuangan aman jika telah tidak digunakan menggunakan media prosedur yang formal Kontrol : Prosedur Prosedur untuk penanganan dan penyimpanan 10.7.3 penanganan informasi harus dibuat untuk menjaga informasi informasi agar tidak diakses atau digunakan secara ilegal Keamanan Kontrol : 10.7.4 dokumentasi Dokumentasi sistem harus dijaga terhadap akses sistem ilegal Kategori Keamanan Utama : 10.8 Pertukaran Informasi Objektif kontrol : untuk memelihara keamanan pertukaran informasi dan perangkat lunak di dalam organisasi dan dengan pihal luar Kontrol : Kebijakan dan Kebijakan, prosedur atau aturan pertukaran prosedur 10.8.1 informasi harus dibuat untuk mencegah pertukaran pertukaran informasi melalui penggunaan semua informasi tipe fasilitas komunikasi
24
10.8.2
Perjanjian pertukaran
10.8.3
Transportasi media fisik
Kontrol : Perjanjian harus dibuat untuk pertukaran informasi dan perangkat lunak antara organisasi dari pihak ketiga Kontrol : Media yang berisikan informasi harus dilindungi dari pengaksesan dan penggunaan ilegal atau kerusakan selama transportasi di luar organisasi
Kontrol : Informasi yang meliputi pesan elektronik harus dilindungi dengan benar Kontrol : Sistem informasi Kebijakan dan prosedur harus dibuat dan 10.8.5 bisnis diimplementasikan untuk melindungi informasi yang berhubungan dengan sistem informasi bisnis Kategori Keamanan Utama : 10.9 Layanan E-commerce Objektif kontrol : untuk memastikan keamanan dalam layanan dan penggunaan E-commerce Kontrol : Informasi yang meliputi layanan E-commerce melalui jaringan publik harus dilindungi dari 10.9.1 E-commerce aktifitas yang bisa merusak, penyalagunaan kontrak layanan dan pengaksesan atau modifikasi secara ilegal Kontrol : Informasi yang menggunakan transaksi on-line harus dilindungi dari pentransmisian tidak 10.9.2 Transaksi On-line sempurna, kesalahan routing, penghapusan, pengaksesan, penduplikasian dan re-ply informasi secara ilegal Kontrol : Informasi untuk Keutuhan informasi yang dapat diakses oleh 10.9.3 publik publik harus selalu dijaga untuk mencegah pemodifikasian secara ilegal Kategori Keamanan Utama : 10.10 Monitoring Objektif kontrol : untuk mendeteksi aktifitas pemrosesan informasi secara ilegal aktivities Kontrol : Rekaman Audit yang menyimpan aktivitas user, 10.10.1 Rekaman Audit kelainan-kelainan dan kejadian keamanan informasi harus dibuat dan disimpan dalam 10.8.4
Pesan elektronik
25
periode tertentu untuk kebutuhan penyelidikan dan monitoring kontrol akses Kontrol : Monitoring Prosedur untuk monitoring penggunaan fasilitas 10.10.2 penggunaan pemrosesan informasi harus dibuat dan hasil dari sistem aktivitas monitoring harus ditinjaun secara berkala. Kontrol : Proteksi catatan 10.10.3 Fasilitas log dan log informasi harus dilindungi informasi dari gangguan dari akses ilegal Catatan Kontrol : 10.10.4 administrator dan Aktivitas sistem administrator dan operator harus operator direkam Kontrol : 10.10.5 Catatan kesalahan Kesalahan harus di rekam, di analisa untuk mengambil tindakan yang tepat Kontrol : Waktu untuk seluruh pemrosesan informasi yang Sinkronisasi 10.10.6 relevan di dalam organisasi serta domain waktu keamanannya harus di sinkronisasikan berdasarkan perjanjian waktu yang ditetapkan.
2.4.7 Klausul 11 : Kontrol Akses Kontrol akses adalah untuk mencegah akses tanpa ijin terhadap sistem informasi. Akses kontrol adalah bagaimana hanya administrator yang mempunyai akses kontrol saja yang dapat mengakses tempat pemrosesan informasi. Berikut tabel kontrol akses : Tabel 2.7 Kontrol Akses Klausul : 11 Kontrol Akses Kategori Keamanan Utama : 11.1 Persyaratan Bisnis untuk Akses Kontrol Objektif kontrol : untuk mengontrol akses informasi Kontrol : Kebijakan Akses 11.1.1 Suatu kebijakan kontrol akses harus dibuat, kontrol didokumentasi dan dikaji ulang berdasarkan
26
kebutuhan bisnis dan keamanan akses Kategori Keamanan Utama : 11.2 Manajemen Akses User Objektif kontrol : untuk memastikan pengguna yang mempunyai hak akses ke sistem informasi dan yang tidak Kontrol : Harus ada prosedur formal untuk registrasi dan Registrasi 11.2.1 penghapusan user atau pengguna untuk pemberian pengguna dan pencabutan akses keseluruhan sistem informasi dan layanannya Manajemen hak Kontrol : 11.2.2 istimewa atau Alokasi penggunaan hak akses istimewa atau khusus khusus harus dibatasi dan diatur Kontrol : Manajemen 11.2.3 Pembuatan dan penggunaan password harus diatur password user melalaui proses manajemen yang formal Kontrol : Tinjauan Manajemen harus melakukan tinjauan ulang 11.2.4 terhadap hak terhadap hak akses user secara berkala melalui akses user proses yang formal. Kategori Keamanan Utama : 11.3 Tanggung Jawab Pengguna (User) Objektif kontrol : untuk mencegah akses user tanpa hak atau pencurian informasi dan fasilitas pemrosesan Kontrol : Pengguna Pengguna seharusnya mengikuti praktek keamanan 11.3.1 password yang baik dalam pemilihan dan penggunaan password Kontrol : Peralatan Pengguna harus memastikan bahwa untuk 11.3.2 pengguna yang peralatan yang tanpa penjagaan memiliki tanpa penjagaan perlindungan yang memadai Kontrol : Kebijakan clear Kebijakan clear desk untuk kertas dan media 11.3.3 desk dan clear penyimpanan bergerak atau portable dan kebijakan screen clear screen untuk fasilitas pemrosesan informasi harus dijalankan Kategori Keamanan Utama : 11.4 : Kontrol Akses Jaringan Objektif kontrol : untuk mencegah akses tanpa hak ke dalam layanan jaringan Kontrol : Kebijakan Pengguna seharusnya hanya disediakan akses 11.4.1 pengguna terhadap layanan yang telah secara spesifik layanan jaringan diotorifikasi dalam penggunaannya
27
Otentikasi pengguna untuk melakukan koneksi keluar
Kontrol : Metode otentifikasi yang tepat seharusnya 11.4.2 digunakan untuk akses konntrol dengan meremote pengguna Kontrol : Identifikasi Identifikasi peralatan otomatis seharusnya 11.4.3 peralatan di dipertimbangkan sebagai alat untuk dalam jaringan mengotentifikasi koneksi dari lokasi dan peralatan yang spesifik Perlindungan Kontrol : remote Akses fisik dan logis untuk mendiagnosa dan 11.4.4 diagnostic dan mengkonfigurasi port seharusnya dikontrol. konfigurasi port Kontrol : Pemisahan dalam 11.4.5 Grup layanan informasi, pengguna dan sistem jaringan informasi seharusnya dipisahkan dalam jaringan Kontrol : Untuk jaringan yang di-share terutama yang Kontrol terhadap diperluas di seluruh batasan perusahaan, 11.4.6 koneksi jaringan kemampuan pengguna untuk terhubung dalam jaringan seharusnya dibatasi dan sejalan dengan kebijakan kontrol akses dan syarat aplikasi bisnis Kontrol : Kontrol routing seharusnya diimplementasikan Kontrol terhadap terhadap jaringan untuk memastikan bahwa 11.4.7 routing jaringan koneksi komputer dan aliran informasi ridak melanggar kebijakan kontrol akses dari aplikasi bisnis Kategori Keamanan Utama : 11.5 : Kontrol Akses Sistem Operasi Objektif kontrol : untuk mencegah akses tanpa hak ke sistem operasi Kontrol : Prosedur Log-On 11.5.1 Akses terhadap sistem operasi seharusnya yang aman dikontrol dengan prosedur log-on yang aman Kontrol : Identifikasi dan Seluruh pengguna harus mempunyai ID yang unik 11.5.2 autentikasi untuk penggunaan pribadi dan teknik autentikasi pengguna yang tepat harus dipilih untuk memastikan identitas pengguna Kontrol : Sistem Sistem yang digunakan untuk mengelola password 11.5.3 manajemen harus interaktif dan harus dipastikan password nya password berkualitas
28
Kontrol : Pengguna utilitas Penggunaan program utilitas yang mengkin 11.5.4 sistem mampu menolak sistem dan aplikasi seharusnya dibatasi dan dikotrol secara ketat. Kontrol : 11.5.5 Sesi time-out Sesi yang tidak aktif seharusnya dimatikan setelah periode tidak aktif yang terdefinisi Kontrol : Batasan waktu Batasan dalam waktu koneksi seharusnya 11.5.6 koneksi digunakan untuk penyediaan keamanan tambahan untuk aplikasi yang tingkat risikonya tinggi. Kategori Keamanan Utama : 11.6 : Kontrol Akses Informasi dan Aplikasi Objektif kontrol : untuk mencegah akses tanpa hak terhadap informasi yang terdapat di dalam aplikasi Kontrol : Pembatasan Akses terhadap informasi dan sistem aplikasi oleh 11.6.1 akses informasi pengguna harus dibatasi sesuai dengan kebijakan yang ditentukan Pengisolasian Kontrol : 11.6.2 sistem yang Sistem yang sensitif seharusnya memiliki sensitif lingkungan komputer tertentu (terisolir) Kategori Keamanan Utama : 11.7:Komputasi Bergerak dan Bekerja Dari Lain Tempat (Teleworking) Objektif kontrol : untuk memastikan keamanan informasi saat menggunakan fasilitas komputasi bergerak atau bekerja dari lain tempat Kontrol : Komunikasi dan Kebijakan secara formal sharusnya ditempatkan 11.7.1 terkomputerisasi dan pengukuran keamanan yang sesuai seharusnya yang bergerak diadopsi untuk melindungi risiko dari pengunaan fasilitas komunikasi dan komputer yang bergerak Kontrol : Kebijakan, rencana operasional dan prosedur 11.7.2 Teleworking seharusnya dikembangkan dengan diimplementasikan untuk aktivitas teleworking
29
2.4.8 Klausul
12
:
Akuisisi
Sistem
Informasi,
Pembangunan
dan
Pemeliharaan Akuisisi sistem informasi, pembangunan dan pemeliharaan adalah untuk memastikan bahwa keamanan dibangun dalam sistem informasi. Persyaratan keamanan sistem mencakup infrastruktur, aplikasi bisnis dan aplikasi yang dikembangkan pengguna. Berikut tabel akuisisi sistem informasi, pembangunan dan pemeliharaan: Tabel 2.8 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan Klausul : 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan Kategori Keamanan Utama : 12.1 : persyaratan keamanan untuk sistem informasi Objektif kontrol : untuk memastikan bahwa keamanan adalah bagian dari sistem informasi Kontrol : Analisis dan Persyaratan kebutuhan bisnis untuk sistem spesifikasi 12.1.1 informasi yang baru atau pengembangan sistem persyaratan informasi yang sudah ada harus dimasukan juga keamanan persyaratan kontrol keamanan Kategori Keamanan Utama : 12.2 : pemrosesan yang benar dalam aplikasi Objektif kontrol : untuk mencegah kesalahan, kehilangan, modifikasi tanpa hak tau kesalahan penggunaan informasi dalam aplikasi Kontrol : Validasi data 12.2.1 Input data harus divalidasi untuk memastikan data input adalah benar dan cocok (yang dibutuhkan) Kontrol : Kontrol untuk Cek validasi harus disediakan aplikasi untuk 12.2.2 pemrosesan mendeteksi adanya kerusakan (corrupt) informasi internal dalam kesalahan proses atau pengiriman Kontrol : Persyaratan untuk memastikan dalam aplikasi 12.2.3 Integritas pesan untuk mendeteksi adanya pesan dalam aplikasi harus diidentifikasikan dan kontrol-kontrol yang tepat harus di idetifikasi dan diimplementasikan
30
Kontrol : Validasi data Output data dari aplikasi harus divalidasi untuk 12.2.4 output memastikan bahwa pemrosesan informasi yang disimpan benar dan siklusnya sesuai. Kategori Keamanan Utama : 12.3 : Kontrol Kriptografi Objektif kontrol : untuk melindungi kerahasian, autentifikasi dan keutuhan informasi dengan menggunakan sistem kriptografi Kebijakan dalam Kontrol : penggunaan Kebijakan penggunaan kontrol kriptografi untuk 12.3.1 kontrol proteksi informasi seharusnya dikembangkan dan kriptografi diimplementasikan Kontrol : Manajemen Pihak manajemen kunci seharusnya ditempatkan 12.3.2 kunci untuk memberikan dukungan terhadap penggunaan teknik kriptografi oleh perusahaan Kategori Keamanan Utama : 12.4 : Keamanan File sistem Objektif kontrol : untuk memastikan keamanan file sistem Kontrol Kontrol : 12.4.1 oprasioanal Harus ada prosedur untuk mengontrol instansi dan software operasional sistem software Perlindungan Kontrol : 12.4.2 data pengujian Pengujian data harus dipilih dengan hati-hati, sistem dilindungi dan di kontrol Kontrol akses ke Kontrol : 12.4.3 source program Akses ke source program harus dibatasi Kategori Keamanan Utama : 12.5 : Keamanan dalam pembangunan dan proses-proses pendukung Objektif kontrol : untuk memelihara keamanan informasi dan aplikasi software Kontrol : Prosedur Implementasi perubahan kontrol harus di kontrol 12.5.1 perubahan dengan menggunakan prosedur formal perubahan kontrol kontrol Tinjauan teknis Kontrol : aplikasi setelah Jika sistem operasi berubah,aplikasi untuk bisnis 12.5.2 dilakukan yang kritis harus di uji untuk memastikan tidak ada perubahan sistm pengaruhnya terhadap operasional dan keamanan operasi organisasi Kontrol : Pembatasan Modifikasi terhadap paket software harus dijaga, 12.5.3 perubahan paket dibatasi hanya perubahan yang perlu saja dan software seluruh perubahan harus dikontrol
31
Kontrol : 12.5.4 Peluang adanya kelemahan informasi harus dicegah Pembangunan Kontrol : 12.5.5 software yang di- Outsourcing pembangunan software harus di outsource-kan kendalikan dan di monitor oleh organisasi Kategori Keamanan Utama : 12.6 : Manajemen Teknik Kelemahan (Vulnerability) Objektif kontrol : untuk mengurangi risiko yang disebabkan oleh terpublikasinya teknik-teknik kelemahan yang dimiliki. Kontrol : Informasi yang tepat waktu terkait dengan Kontrol terhadap kelemahan teknis dari sistem informasi yang kelemahan secara 12.6.1 digunakan seharusnya diproleh, pembongkaran teknis organisasi terhadap kelemahan yang dievaluasi dan (Vulnerability) pengukuran secara tepat diambil untuk mengetahui risiko yang terkait Kelehaman informasi
2.4.9 Klausul 13 : Manajemen Kejadian Keamanan Informasi Manajemen kejadian keamanan informasi adalah untuk memanajemen agar satu atau serangkaian kejadian keamanan informasi yang tidak diinginkan atau tidak diharapkan yang mempunyai kemungkinan secara signifikan dapat mengganggu operasi bisnis dan mengancam keamanan informasi. Tabel 2.9 Manajemen Kejadian Keamanan Informasi Klausul : 13 Manajemen Kejadian Keamanan Informasi Kategori Keamanan Utama : 13.1 pelaporan kejadian dan kelemahan keamanan informasi Objektif kontrol : untuk memastikan kejadian dan kelemahan keamanan sistem informasi dikomunikasikan dan di tangani tepat waktu Pelaporan Kontrol : kejadian Kejadian kemanan informasi harus dilaporkan 13.1.1 keamanan melalui mekanisme yang sesuai secepat mengkin informasi
32
Kontrol : Seluruh karyawan, kontraktor dan pengguna pihak Pelaporan ketiga dari sistem informasi dan layanan 13.1.2 kelemahan seharusnya disyaratkan untuk mencatat dan keamanan melaporkan temuan/dugaan apapun dari kelemahan keamanan dalam sistem/layanan Kategori Keamanan Utama : 13.2 manajemen kejadian keamanan informasi dan pengembangannya Objektif kontrol : untuk memastikan konsistensi dan ke efektifitasan pendekatan yang di aplikasikan ke dalam manajemen kejadian keamanan informasi Kontrol : Tanggung jawab manajemen dan prosedurTanggung jawab 13.2.1 prosedur harus dibuat untuk memastikan kecepatan dan prosedur dan keefektifitasan dalam penanganan kejadian keamanan informasi Belajar dari Kontrol : kejadian Harus ada mekanisme yang memperlihatkan tipe, 13.2.2 keamanan volume, dan biaya dari kejadian keamanan informasi informasi yang dapat dihitung dan dimonitor Kontrol : Dimana terdapat tindakan lanjutan terhadap orang atau perusahaan setelah insiden keamanan Pengumpulan informasi melibatkan tindakan legal (baik sipil 13.2.3 bukti maupun kriminal), keberadaan bukti seharusnya dikumpulkan, dipelihara dan ditampilkan untuk memenuhi aturan untuk bukti dalam yuridiksi terkait
2.4.10 Klausul 14 : Manajemen Kelangsungan Bisnis (Business Continuity Management) Manajemen kelangsungan bisnis adalah untuk menghadapi kemungkinan penghentian kegiatan usaha dan melindungi proses usaha dari kegagalan atau bencana. Proses manajemen kelangsungan usaha harus diterapkan untuk mengurangi kerusakan akibat bencana atau kegagalan sistem keamanan yang
33
mungkin terjadi seperti bencana alam, kecelakaan, kegagalan alat dan keterlambatan sampai ke tingkat yang dapat ditolerir melalui kombinasi pencegahan dan pemulihan kontrol. Berikut tabelnya: Tabel 2.10 Manajemen Kelangsungan Bisnis Klausul : 14 Manajemen Kelangsungan Bisnis (Business Continuity Management) Kategori Keamanan Utama : 14.1: Aspek keamanan dalam manajemen kelangsungan bisnis Objektif kontrol : untuk menghindari gangguan terhadap aktifitas bisnis serta untuk menjaga proses-proses bisnis yang kritis dari kegagalan dan dampak yang lebih besar atau bencana terhadap sistem informasi Memasukan Kontrol : keamanan Suatu proses yang terkelola harus dibangun dan informasi dalam dipelihara untuk kelangsungan bisnis organisasi 14.1.1 proses manajemen dengan memperhatikan kebutuhan keamanan kelangsungan informasi untuk kelangsungan biasnis organisasi bisnis Kontrol : Kelangsungan Kejadian yang menyebabkan gangguan terhadap 14.1.2 bisnis dan proses bisnis harus di identifikasi tingkat penilaian risiko probalitasnya, dampak serta konsekuensinya terhadap keamanan informasi Pembangunan dan Kontrol : implementasi Perencanaan harus dibangun dan rencana diimplementasikan untuk memelihara atau 14.1.3 kelangsungan yang memulihkan operasi dan memastikan di dalamnya ketersediaan informasi sesuai level dan waktu meliputi keamanan kebutuhan saat terjadi gangguan dan kegagalan informasi proses-proses bisnis yang kritis Kontrol : Suatu kerangka kerja rencana kelangsungan Kerangka kerja bisnis harus dipelihara untuk memastikan rencana seluruh rencana tetap berjalan untuk 14.1.4 kelangsungan mempertahankan kekonsistenan persyaratan bisnis keamanan informasi serta untuk mengidentifikasi prioritas pengujian dan pemeliharaannya.
34
14.1.5
Pengujian, pemeliharaan, penilaian ulang rencana kelangsungan bisnis
Kontrol : Rencana kelangsungan bisnis harus diuji dan di perbarui secara berkala untuk memastikan selalu tetap sesuai dan efektif.
2.4.11 Klausul 15 : Kepatutan (Compliance) Kepatutan adalah untuk menghindari pelanggaran terhadap hukum pidana maupun hukum perdata, perundangan, atau kewajiban kontrol serta ketentuan keamanan lainnya. Berikut tabel kepatutan: Tabel 2.11 Kepatutan (Compliance) Klausul : 15 Kepatutan (Compliance) Kategori Keamanan Utama : 15.1 : Kepatutan terhadap Persyaratan Legal Objektif kontrol : untuk mencegah pelanggaran terhadap hukum, perundangan, peraturan atau kewajiban kontrak dan suatu persyaratan keamanan Kontrol : Identifikasi Seluruh perundangan yang relevan, peraturan dan perundangan 15.1.1 persyaratan kotrak harus didefinisikan, yang dapat didokumentasi, dan dipelihara kesesuaiannya diaplikasikan untuk setiap sistem informasi di dalam organisasi Kontrol : Prosedur-prosedur yang tepat harus diimplementasikan untuk memastikan Hak kekayaan kesesuaiannya dengan perundangan, [eraturan dan 15.1.2 intelektual perjanjian kontrak dalam penggunaan material yang dimungkinkan memiliki hak kekayaan intelektual dan atau penggunaan software yang legal Kontrol : Perlindungan Dokumen penting harus dilindungi dari 15.1.3 dokumen kehilangan,kerusakan,pemalsuan dalam organisasi hubungannta trhadap perundangan, peraturan, kontrak dan kebtuhan bisnis.
35
15.1.4
15.1.5
Perlindungan data dan kerahasiaan informasi personal Pencegahan penyalagunaan fasilitas pemrosesan informasi
Kontrol : Proteksi data dan privasi seharusnya dipastikan sesuai dengan perundangan, regulasi yang berlaku dan jika ada ketentuan kontrak Kontrol : Pengguna harus dicegah untuk menggunakan fasilitas pemrosesan informasi untuk kepentingan atau tujuan diluar haknya
Kontrol : Pearturan kontrol Kontrol kriptografi harus digunakan sesuai 15.1.6 kriptografi kepatutan dengan perjanjian yang disepakati, hukum dan peraturan yang relevan Kategori Keamanan Utama : 15.2 : kepatutan dengan kebijakan keamanan, standard dan kepatutan teknik Objektif kontrol : untuk memastikan kepatutan terhadap sistem didalam kebijakan keaman organisasi dan standar Kontrol : Kepatutan Manajer harus memastikan seluruh prosedur dengan kebijakan 15.2.1 keamanan di dalam area tanggung jawab dilakukan keamanan dan dengan benar untuk mencapai kepatutan dengan standar standar yang ditetapkan Kontrol : Pemeriksaan Sistem informasi harus diperiksa secara berkala 15.2.2 kepatutan teknik agar memenuhi kepatutan keamanan standar yang diimplementasikan Kategori Keamanan Utama : 15.3 : Audit sistem Informasi dan pertimbangan Objektif kontrol : untuk memaksimalkan keefektifitasan dan meminimisasi interferensi dari atau ke dalam proses audit sistem informasi Kontrol : Kebutuhan audit dan aktivitas yang melibatkan Kontrol audit pengecekan terhadap sistem operasional 15.3.1 sistem informasi seharusnya teliti direncanakan dan disetujui untuk memininalkan risiko gangguan terhadap proses bisnis Perlindungan Kontrol : terhadap Akses ke perangkat audit sistem informasiharus 15.3.2 perangkat audit dilindungi untuk mencegah kemungkinan sistem informasi penyalagunaan atau kompromi
36
2.5 Penelitian Sebelumnya Penelitian sebelumnya dilakukan oleh Fine Ermana, dengan judul Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27001 pada PT. BPR JATIM. Berdasarkan penelitian yang telah dilakukan dapat disimpulkan bahwa dengan adanya audit independen dapat memberikan solusi yang tepat bagi peningkatan kelengkapan dan kematangan keamanan informasi. Penelitian selanjutnya dilakukan oleh Titus Kristanto, Rachman Arief, Nanang Fakhrur Rozi, dengan judul Perancangan Audit Keamanan Informasi Berdasarkan Standar IOS 27001:2005 (Studi Kasus: Pt Adira Dinamika Multi Finance). Berdasarkan penelitian yang telah dilakukan dapat disimpulkan bahwa Perencanaan audit menghasilkan identifikasi ruang lingkup dalam menerapkan manajemen resiko. Langkah audit keamanan informasi dilakukan pembuatan pernyataan, penentuan nilai bobot, dan penentuan nilai kematangan.
BAB VI PENUTUP
6.1 Simpulan Kesimpulan berdasarkan hasil temuan audit keamanan sistem informasi yang telah dilakukan dengan menggunakan ISO 27001 dengan monitoring dan tinjauan SMKI dan perhitungan maturity level diketahui dengan melakukan pengamatan secara langsung dan wawancara kepada pihak UPT-SIM Universitas Bina Darma diperoleh data bahwa sistem manajemen keamanan informasi (SMKI) Universitas Bina Darma maturity level berada pada level 3,63 dapat dilihat pada halaman 93, pada level ini hampir setiap kontrol keamanan dari masing-masing klausul telah diimplementasikan.
6.2 Saran Adapun saran yang diberikan penulis sebagai berikut : 1.
Bagi Universitas Bina Darma Palembang sistem manajemen keamanan informasi pada tahap selanjutnya harus diimplementasikan secara baik, oleh karena itu harus ada tim khusus untuk melakukan sosisalisasi secara berkala untuk mencapainya.
2.
Bagi penelitian selanjutnya pengukuran maturity level harus dilakukan optimalisasi proses implementasinya.
DAFTAR PUSTAKA Felix Nugraha K, (2013). Jurnal : Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 Studi Kasus: PT. Karya Karang Asem indonesia. Fine Ermana, (2008). Jurnal : Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27001 Pada PT. BPR JATIM. Surabaya.. IS/ISO/IEC 27001 Indian Standard, (2005). Information Technology-Security Techniques-Information Security Management System-Requirements. Miftakh Zein (2012). ISO 27001 Controls, Dipetik 14 November 2015, http://www.zenshifu.com/iso27001-controls/ Muchlicin Riadi (2013). Definisi dan Tujuan Audi, Dipetik 29 Oktober 2015, http://www.kajianpustaka.com/2013/03/definisi-dan-tujuan-audit.html. Rian Anggara Sandika (2014). Jurnal : Audit Tata Kelola Jaringan Komputer Pada Balai Karantina Pertanian Kelas 1 Palembang Menggunakan Standar ISO/IEC 27001. Sarno, R. dan Iffano, I. (2009). Sistem Manajemen Keamanan Informasi. Surabaya: ITS Press. Titus Kristanto, Rachman Arief, Nanang Fakhrur Rozi, (2014). Perancangan Audit Keamanan Informasi Berdasarkan Standar Iso 27001:2005 (Studi Kasus: Pt Adira Dinamika Multi Finance).
