UNIVERSITAS INDONESIA
AUDIT KEPATUHAN KEAMANAN INFORMASI DENGAN MENGGUNAKAN FRAMEWORK ISO 27001/ISMS PADA PT. XYZ
KARYA AKHIR
REZA ZULFIKAR RUSLAM 1106042284
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
UNIVERSITAS INDONESIA
AUDIT KEPATUHAN KEAMANAN INFORMASI DENGAN MENGGUNAKAN FRAMEWORK ISO 27001/ISMS PADA PT. XYZ
HALAMAN JUDUL
KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh Gelar Magister Teknologi Informasi
REZA ZULFIKAR RUSLAM 1106042284
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
LEMBAR PERNYATAAN ORISINALITAS
ii
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
LEMBAR PENGESAHAN
iii
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
KATA PENGANTAR
Puji syukur saya panjatkan kepada Tuhan Yang Maha Esa, karena atas berkat dan rahmat-Nya, saya dapat menyelesaikan Karya Akhir ini. Penulisan karya akbhir ini dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer – Universitas Indonesia. Saya menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini, sangatlah sulit bagi saya untuk menyelesaikannya. Oleh karena itu, saya mengucapkan terima kasih kepada: (1) Budi Yuwono, Ph.D, selaku dosen pembimbing 1 yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan skripsi ini, (2) Ivano Aviandi, Msc, selaku dosen pembimbing 2 yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan skripsi ini, (3) Pihak perusahaan XYZ yang telah banyak membantu dalam usaha memperoleh data yang saya perlukann; (4) Orang tua dan keluarga saya yang telah memberikan bantuan dukungan material dan moral; dan (5) Amanda Dianova Kusuma yang telah banyak memberikan semangat dalam menyelesaikan karya akhir ini. Akhir kata, saya berharap Tuhan Yang Maha Esa berkenan membalas segala kebaikan semua pihak yang telah membantu. Semoga karya akhir ini membawa manfaat bagi pengembangan ilmu.
Jakarta, 28 Desember 2012 Penulis
iv
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
LEMBAR PERSETUJUAN PUBLIKASI KARYA
v
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
ABSTRAK
Nama Program Studi Judul Karya Akhir
: Reza Zulfikar Ruslam : Magister Teknologi Informasi : Audit Kepatuhan Keamanan Informasi dengan Menggunakan Framework ISO 27001/ISMS pada PT. XYZ
PT. XYZ bergerak di bidang percetakan billing statement, bekerjasama dengan beberapa bank lokal dan bank asing, sehingga keamanan informasi harus diatur seketat mungkin karena berkaitan dengan informasi pelanggan bank, oleh karena itu PT. XYZ sering diaudit oleh pelanggan. Keamanan informasi sangat lemah ditambah kurangnya monitoring dan evaluasi dari pihak yang berwewenang menjadi temuan hasil audit dari beberapa bank, hasil audit ini berlawanan dengan ekspektasi perusahaan yang yakin akan ketatnya keamanan informasi yang sudah didukung oleh kebijakan dan prosedur. Ditinjau dari hasil audit beberapa bank, perusahaan memutuskan melakukan audit kepatuhan, audit kepatuhan ini digunakan untuk menguji apakah tingkat kepatuhan terhadap visi dan misi perusahaan mempunyai pengaruh terhadap keamanan informasi perusahaan dan pelanggan. Maka dari itu penelitian ini berfokus pada audit kepatuhan keamanan informasi terhadap visi dan misi perusahaan sebagai best services terhadap pelanggan dalam hal keamanan informasi untuk memastikan bahwa kebijakan dan prosedur yang sudah ada berjalan dengan baik. Jika dalam proses penelitian didapatkan kebijakan dan prosedur yang lemah, maka akan diberikan rekomendasi kebijakan dan prosedur baru guna meningkatkan keamanan informasi. Metodologi yang digunakan adalah framework ISO 27001/ISMS. Dalam penelitian ini peneliti mengharapkan sinkronisasi antara kepatuhan dengan visi dan misi perusahaan serta adanya perbaikan kebijakan dan prosedur yang lemah guna meningkatkan keamanan informasi.
Kata Kunci : Audit kepatuhan, ISMS xii + 118 Halaman; 12 Gambar; 19 Tabel; 2 Lampiran Daftar Pustaka 13 (2005-2012)
vi
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
ABSTRACT
Name Study Program Title
: Reza Zulfikar Ruslam : Master of Information Technology : Information security compliance audit using ISO 27001/ISMS framework at PT. XYZ
PT. XYZ is engagedin the field of billing statements printing, in collaration with several local and foreign banks, so the information security should be regulated as tightly as possible as it relates to the banks customer information. Therefore, PT. XYZ is often audited by its customers, the weakness in information security and the lack of monitoring and evaluation from the authorities have become the audit findings from several banks. This results is in contrast to the expectations of the companies which are confident in the tightness of information security, that has been supported by policies and procedures. Judging from the results of the audit in several banks, the company decided to conduct compliance audits, which are to the test whether the level of compliance to the vision and mission of the company have any impacts on the company’s and the customer’s information security. Therefore this study focuses on the audit of compliance information security towards the company’s vision and mission as a best services to the customers in terms of information security, to ensure that existing policies and procedures are going well. If in the process of this study weak policies and procedures are discovered, new recommendations will be given to improve information security. The methodology used is ISO 27001/ISMS framework. In this study, the researcher expects the synchronization between compliance and the company’s the vision and mission, as well as improvement of weak policies and procedures to improve information security.
Keywords : Compliance audit, ISMS xii + 118 pages; 12 figures; 19 tables; 2 attachments bibliography 13 (2005-2012)
vii
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
DAFTAR ISI
HALAMAN JUDUL .......................................................................................... i LEMBAR PERNYATAAN ORISINALITAS ................................................. ii LEMBAR PENGESAHAN.............................................................................. iii KATA PENGANTAR ...................................................................................... iv LEMBAR PERSETUJUAN PUBLIKASI KARYA ........................................ v ABSTRAK........................................................................................................ vi ABSTRACT ..................................................................................................... vii DAFTAR ISI .................................................................................................... ix DAFTAR GAMBAR......................................................................................... x DAFTAR TABEL ............................................................................................ xi DAFTAR LAMPIRAN ................................................................................... xii BAB I ................................................................................................................. 1 PENDAHULUAN ............................................................................................. 1 1.1 Latar Belakang ........................................................................................... 1 1.2 Rumusan Masalah ...................................................................................... 2 1.3 Tujuan Penelitian ........................................................................................ 2 1.4 Telaah Karya Akhir Sebelumnya ................................................................ 2 1.5 Manfaat Penelitian ...................................................................................... 3 1.6 Ruang Lingkup Penelitian........................................................................... 3 1.7 Sistematika Penulisan ................................................................................. 3 BAB II ............................................................................................................... 5 LANDASAN TEORI ........................................................................................ 5 2.1 Kepatuhan .................................................................................................. 5 2.1.1 Audit Kepatuhan .................................................................................. 5 2.1.2 Prosedur Audit ..................................................................................... 6 2.2 Keamanan Informasi................................................................................... 7 2.2.1 Ruang Lingkup Keamanan Informasi ................................................. 11 2.2.2 Manajemen keamanan informasi ........................................................ 13 2.2.3 Information Security Management System .......................................... 13 2.2.4 ISO 27000 Information Security Management System ........................ 15 2.2.5 ISO 27001 Information Security Management System - Requirements 17 2.3 Framework Keamanan Informasi .............................................................. 24 BAB III ............................................................................................................ 25 METODOLOGI PENELITIAN ..................................................................... 25 3.1 Pemilihan Masalah ................................................................................... 26 3.2 Studi Literatur .......................................................................................... 26 3.3 Menentukan Ruang Lingkup ..................................................................... 26 3.4 Gap Analisis ............................................................................................. 26 3.5 Risk Assessment ........................................................................................ 26 3.6 Menetapkan Kontrol ................................................................................. 27 3.7 Kebijakan dan Prosedur ............................................................................ 27 3.8 Statement of Applicability ........................................................................ 27 BAB IV ............................................................................................................ 28 PROFIL PERUSAHAAN ............................................................................... 28 viii
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
BAB V.............................................................................................................. 34 ANALISIS DAN REKOMENDASI ............................................................... 34 5.1 Ruang Lingkup ......................................................................................... 34 5.2 Gap Analisis ............................................................................................. 35 5.3 Risk Assessment ........................................................................................ 40 5.3.1 Identifikasi Aset ................................................................................. 40 5.3.2 Identifikasi Kerawanan dan Ancaman ................................................ 43 5.3.3 Menentukan Prioritas Risiko .............................................................. 44 5.3.4 Mengembangkan Kontrol ................................................................... 79 5.4 Menetapkan Kontrol ................................................................................. 79 5.5 Menetapkan Kebijakan dan Prosedur ........................................................ 86 5.5.1 Kebijakan, Prosedur, Instruksi dan Dokumentasi ................................ 86 5.5.2 Kebijakan dan Prosedur Keamanan Informasi yang Berlaku ............... 91 5.5.3 Kebijakan, Prosedur, Instruksi dan Dokumentasi yang belum diterapkan (direkomendasikan) .................................................................................... 91 5.6 Statement Of Applicability ........................................................................ 96 KESIMPULAN dan SARAN ........................................................................ 114 DAFTAR PUSTAKA .................................................................................... 116 LAMPIRAN .................................................................................................. 118
ix
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
DAFTAR GAMBAR
Gambar 2. 1 Prinsip Keamanan Informasi ............................................................... 11 Gambar 2. 2 Ruang Lingkup Keamanan Informasi .................................................. 12 Gambar 2. 3 Proses ISMS ...................................................................................... 21 Gambar 2. 4 Proses Plan ......................................................................................... 22 Gambar 2. 5 Proses Check ...................................................................................... 23 Gambar 2. 6 Proses Act ........................................................................................... 23 Gambar 3. 1 Alur Penyusunan Karya Akhir ............................................................ 25 Gambar 5. 1 Proses Plan ......................................................................................... 34 Gambar 5. 2 Gap Assessment Domain ISMS ........................................................... 36 Gambar 5. 3 Gap Assessment Kontrol Objektif ISMS .............................................. 37 Gambar 5. 4 Proses Risk Assessment ....................................................................... 40 Gambar 5. 5 Struktur Dokumentasi ISMS ............................................................... 86
x
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
DAFTAR TABEL
Tabel 2. 1 Domain dan Kontrol Objektif ISO 27001 ............................................... 19 Tabel 5. 1 Perhitungan Gap Assessment untuk Domain ISO 27001/ISMS................ 35 Tabel 5. 2 Perhitungan Gap Assessment untuk kontrol ISO 27001/ISMS ................. 38 Tabel 5. 3 Aset Keamanan Informasi PT. XYZ ....................................................... 41 Tabel 5. 4 Hasil Identifikasi Kerawanan .................................................................. 43 Tabel 5. 5 Hasil Identifikasi Ancaman .................................................................... 44 Tabel 5. 6 Nilai Kecenderungan .............................................................................. 45 Tabel 5. 7 Nilai Dampak ......................................................................................... 45 Tabel 5. 8 Nilai risiko ............................................................................................. 45 Tabel 5. 9 Nilai Inherent Risk.................................................................................. 46 Tabel 5. 10 Risk Appetite ........................................................................................ 47 Tabel 5. 11 Nilai Residual Risk ............................................................................... 47 Tabel 5. 12 Prioritas Risiko dan Nilai Inherent Risk ................................................ 48 Tabel 5. 13 Rencana Kerja dan Nilai Residual Risk ................................................. 57 Tabel 5. 14 Risk Register ........................................................................................ 65 Tabel 5. 15 Kontrol ISO 27001 untuk Kerawanan ................................................... 79 Tabel 5. 16 Kontrol ISO 27001 untuk ancaman ....................................................... 81 Tabel 5. 17 Kontrol ISO 27001 untuk Dampak ....................................................... 82 Tabel 5. 18 Kebijakan, Prosedur, Instruksi dan Dokumentasi .................................. 87
xi
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
DAFTAR LAMPIRAN
Lampiran 1 Hasil wawancara Lampiran 2 Hasil Observasi
xii
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
BAB I PENDAHULUAN Pada bab ini akan dijelaskan tentang latar belakang, rumusan masalah, tujuan, manfaat dan ruang lingkup penulisan serta sistematika penulisan dari penelitian ini. 1.1 Latar Belakang PT. XYZ adalah perusahaan yang bergerak di bidang percetakan billing statement atau rekening koran dan penyediaan jasa kurir, perusahaan ini bekerja sama dengan beberapa bank diindonesia salah satunya adalah bank DEF dan juga beberapa bank asing, salah satunya adalah bank ABC. Bank ABC, pelanggan PT. XYZ yang sudah sertifikasi ISO27001/ISMS melakukan audit keamanan informasi pada bulan februari hingga maret 2012, bank ABC melakukan audit keamanan informasi di PT. XYZ dimulai dari informasi diterima, diproses, dicetak dan didistribusikan kerumah-rumah. Hasil audit bank tersebut memberikan shok terapi bagi perusahaan secara umumnya dan divisi TI secara khusunya, dimana hasilnya berbeda dengan ekspektasi divisi TI selama ini, menurut hasil audit keamanan informasi PT. XYZ sangat lemah ditambah dengan kurangnya monitoring dan evaluasi dari pihak yang berwewenang. Ekspektasi divisi TI selama ini adalah keamanan informasi perusahaan sangat aman, begitu pula dengan keamanan informasi klien atau pelanggan, hal ini ditunjang dari adanya kebijakan dan prosedur keamanan informasi.
Ditinjau dari hasil audit bank tersebut, divisi TI memutuskan melakukan audit, audit yang dimaksudkan adalah audit kepatuhan keamanan informasi. Audit kepatuhan keamanan informasi digunakan untuk menguji apakah tingkat kepatuhan keamanan informasi perusahaan terhadap visi dan misi best service terhadap pelanggan sudah memenuhi aspek keamanan informasi dan menguji pengaruhnya terhadap keamanan informasi perusahaan dan pelanggan. Dari hasil
1
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
2
audit kepatuhan ini, nantimya didapatkan kebijakan dan prosedur yang lemah sehingga dapat diberikan rekomendasi kebijakan dan prosedur yang baru. 1.2 Rumusan Masalah Permasalahan yang dihadapi dalam penelitian ini yaitu divisi TI PT. XYZ mengalami kesulitan untuk mengetahui batasan-batasan atau ruang lingkup audit yang digunakan oleh bank ABC, sehingga divisi TI hanya terbatas pada audit kepatuhan keamanan informasi terhadap visi dan misi best services perusahaan. Jika ditengah jalan didapatkan kebijakan dan prosedur yang lemah maka akan direkomendasikan kebijakan dan prosedur baru. Untuk itu penelitian ini ditujukan untuk menjawab research question sebagai berikut :
Apakah kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan sudah memenuhi aspek keamanan informasi ?
Apakah Kebijakan dan prosedur yang ada sudah dapat dikatakan best services terhadap aspek keamanan informasi?
Apakah rekomendasi kebijakan dan prosedur yang akan dibuat dapat meningkatkan keamanan informasi ?
1.3 Tujuan Penelitian Berdasarkan permasalahan penelitian yang telah dikemukakan sebelumnya, maka tujuan dari penyusunan karya akhir ini adalah :
Mengetahui apakah kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan sudah memenuhi aspek keamanan informasi.
Mengetahui apakah kebijakan dan prosedur yang ada sudah dapat dikatakan best services terhadap aspek keamanan informasi
Mengetahui Apakah rekomendasi kebijakan dan prosedur yang akan dibuat dapat meningkatkan aspek keamanan informasi.
1.4 Telaah Karya Akhir Sebelumnya Topik tentang audit kepatuhan keamanan informasi belum banyak dikaji di Magister Teknologi Informasi, audit kepatuhan sering dikaji dijurusan akuntansi dan kedokteran sedangkan keamanan informasi sudah sering dikaji di Magister Teknologi Informasi, ada beberapa penelitian tentang keamanan informasi, salah satu diantaranya adalah : Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
3
Kajian Tata Kelola Keamanan Informasi Berdasarkan Information Security
Management
System
(ISMS)
ISO
27001:2005
untuk
Outsourching Teknologi Informasi pada PT. Kereta Api Indonesia (Persero) Pada penelitian ini, fokus utamanya terletak pada audit kepatuhan keamanan informasi dengan menggunakan framework ISO 27001/ISMS 1.5 Manfaat Penelitian Manfaat yang diberikan dari penelitian ini adalah :
Memberikan solusi terbaik untuk meningkatkan keamanan informasi, baik keamanan informasi perusahaan maupun keamanan informasi pelanggan, sehingga visi dan misi best services aspek keamanan informasi dapat terpenuhi.
Memberikan rekomendasi kebijakan dan prosedur baru sehingga dapat meningkatkan aspek keamanan informasi.
Manfaat
untuk
penulis
salah
satunya
adalah
penulis
mampu
mengimplementasikan hasil pembelajaran tentang risk assessment. 1.6 Ruang Lingkup Penelitian Ruang lingkup penelitian ini terletak pada
Audit kepatuhan perusahaan terhadap visi dan misi best services, audit operasional serta audit kelayakan kebijakan dan prosedur tidak termasuk.
Best services yang dimaksud adalah pelayanan terhadap keamanan informasi. Sedangkan pelayanan terhadap jaringan dilakukan oleh pihak ketiga.
Framework yang digunakan adalah ISO 27001/ISMS
Keamanan informasi saat pengiriman oleh kurir tidak termasuk dalam penelitian.
1.7 Sistematika Penulisan Penulisan karya akhir ini menggunakan sistematika penulisan sebagai berikut :
BAB 1 : PENDAHULUAN
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
4
Bab ini berisi latar belakang masalah, rumusan masalah, tujuan, telaah dari karya-karya akhir sebelumnya yang sejenis, manfaat penelitian, ruang lingkup, dan sistematika penulisan.
BAB 2 : LANDASAN TEORI Bab ini berisi tentang teori-teori yang digunakan penulis sebagai referensi dalam menyusun karya akhir ini.
BAB 3 : METODOLOGI PENELITIAN Bab ini berisi tentang langkah-langkah dan teknik analisis yang digunakan dalam penelitian dan penyusunan karya akhir ini.
BAB 4 : PROFIL PERUSAHAAN Bab ini berisi profil PT. XYZ
BAB 5 : ANALISIS dan REKOMENDASI Bab ini berisi analisis dan rekomendasi
KESIMPULAN dan SARAN
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
BAB II LANDASAN TEORI Pada bab ini akan diuraikan teori-teori dan penelitian yang berkaitan dengan penelitian ini, yaitu kepatuhan dan keamanan informasi. 2.1 Kepatuhan Kepatuhan merupakan sikap menerima dan melaksanakan secara ikhlas peraturan yang berlaku dengan keteguhan hati tanpa adanya paksaan dari pihak manapun (Nurdiaman, 2007), kepatuhan yang dimaksud adalah kepatuhan terhadap peraturan, melaksanakan prosedur-prosedur, instruksi atau petunjuk yang sudah ditetapkan sebelumnya. Dalam prosesnya, kepatuhan seringkali dianggap sepele oleh sebagian organisasi sehingga menyebabkan dampak atas risiko-risiko yang ada. Risiko kepatuhan adalah eksposur yang ada atau yang potensial mengancam penghasilan dan modal perusahaan, yang timbul karena adanya pelanggaran atau ketidak patuhan terhadap hukum, aturan, regulasi, praktek yang sehat, kebijakan dan prosedur intern, atau standar etika (Tampubolon, 2005). Kepatuhan perusahaan terhadap keamanan informasi sering dikaitkan dengan standar ISO 27001 tentang information security management system (ISMS). ISO 27001/ISMS sangat penting, karena dapat memberikan harga jual tinggi terhadap pelanggan, dan jika sebuah perusahaan mendapat sertifikasi ISO maka perusahaan tersebut akan diakui diseluruh dunia. 2.1.1 Audit Kepatuhan Audit kepatuhan adalah audit yang bertujuan untuk menilai kepatuhan terhadap hukum, aturan, regulasi, praktek yang sehat, kebijakan dan prosedur intern, atau standar yang berlaku. Manfaat audit kepatuhan adalah untuk mengetahui tingkat ketaatan suatu program atau kegiatan terhadap peraturan yang berlaku, juga untuk memberikan penghargaan bagi pengelola yang taat, dan member sanksi bagi yang melakukan pelanggaran, guna mendorong terselenggaranya tata kelola yang baik (Good Corporate Governance) dilingkungan perusahaan yang diaudit (Tim penyusun modul 5
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
6
program pendidikan non gelar auditor sektor publik, 2007). Audit kepatuhan yang dinilai adalah ketaatan semua aktivitas sesuai dengan kebijakan, aturan dan ketentuan yang berlaku. Audit kepatuhan juga berkaitan dengan kegiatan guna memperoleh dan memeriksa bukti-bukti untuk menetapkan apakah kegiatan operasional suatu entitas sudah memenuhi prosedur, standart dan aturan yang berlaku. 2.1.2 Prosedur Audit Prosedur audit bukanlah sebuah peristiwa namun suatu alat bantuan yang digunakan untuk mengidentifikasi sebuah peristiwa. Dalam proses audit ada 4 prosedur audit yang harus dilakukan yaitu inspeksi, observasi, penyelidikan, dan konfirmasi (Bastian, 2007). Beberapa prosedur audit yang dapat kita jumpai saat ini yaitu (Boynton, Johnson, & Kell, 2004) : 1. Inspeksi Merupakan pemeriksaan secara rinci dan spesifik terhadap dokumen atau kondisi fisik suatu dokumen. Prossedur ini banyak dilakukan oleh auditor. 2. Pengamatan Merupakan prosedur audit yang digunakan oleh auditor untuk melihat, memantau atau menyaksikan pelaksanaan suatu kegiatan. 3. Konfirmasi Merupakan bentuk penyelidikan yang
memungkinkan auditor
memperoleh informasi secara langsung dari pihak ketiga yang bebas, dalam hal ini auditor mendapatkan informasi langsung dari pihak luar atau disebut pihak ketiga yang bebas 4. Permintaan keterangan Merupakan prosedur audit yag dilakukan dengan meminta keterangan secara lisan. Bukti audit yang dihasilkan oleh prosedur ini adalah bukti lisan dan dokumenter. 5. Penelusuran Dalam pelaksanaan prosedur auditing dan melakukan penelusuran informasi sejak mula-mula informasi tersebut direkam pertama kali
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
7
dalam dokumen, dilanjutkan dengan pelacakan pengolahan informasi tersebut. 6. Pemeriksaan dokumen pendukung (Vouching) Merupakan prosedur audit yang meliputi: a. Inspeksi terhadap dokumen-dokumen yang mendukung suatu transaksi atau informasi keuangan untuk menentukan kewajaran dan kebenarannya. b. Pembandingan dokumen tersebut dengan catatan yang berkaitan. 7. Perhitungan (Counting) Prosedur ini meliputi: a. Penghitungan fisik terhadap sumber daya berwujud seperti persediaan di tangan. b. Pertanggung jawaban semua formulir bernomor urut cetak. 8. Scanning Merupakan review secara cepat terhadap dokumen, catatan, dan daftar untuk mendeteksi unsur-unsur yang tampak tidak biasa yang memerlukan penyelidikan lebih mendalam. 9. Pelaksanaan ulang (Reperforming) Merupakan pelaksanaan ulang (reperforming) perhitungan dan rekonsiliasi yang dibuat oleh pelanggan. 10. Teknik audit dengan bantuan komputer Apabila catatan pelanggan diselenggarakan dalam media elektronik, auditor
perlu
menggunakan teknik audit
bantuan
komputer
(computer-assisted audit techniques) dalam menggunakan prosedur audit. 2.2 Keamanan Informasi Keamanan informasi merupakan salah satu hal penting yang harus diperhatikan oleh perusahaan, kebocoran informasi dan kegagalan sistem dapat menyebabkan kerugian baik di sisi finansial maupun produktifitas perusahaan. Keamanan informasi meliputi suatu mekanisme untuk mengontrol akses dan penggunaan database pada level obyek, keamanan informasi pada pengguna, dimana pengguna tersebut memiliki akses informasi tertentu. Pengaturan Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
8
mengenai keamanan informasi terutama akan ditentukan berdasarkan seberapa jauh tingkat keamanan yang akan dibangun untuk informasi dalam database. Tingkat keamanan informasi juga bergantung pada tingkat sensitifitas informasi dalam database, biasanya informasi yang tidak terlalu sensitif sistem keamanannya tidak ketat sedangkan informasi yang sangat sensitif perlu pengaturan keamanan yang ketat untuk akses ke informasi tersebut (Mufadhol, 2009). Ancaman-ancaman keamanan informasi (Threats) organisasi,
mekanisme,
atau
peristiwa
yang
memiliki
meliputi orang, potensi
untuk
membahayakan sumber daya informasi perusahaan, ancaman dapat bersifat internal maupun internal serta disengaja maupun tidak disengaja (McLeod & Schell, 2007). Keamanan informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki (Syafrizal, 2007). Sedangkan informasi sendiri merupakan suatu aset penting yang harus dilindungi keamanannya (Hidayat, 2011). Ada beberapa strategi yang dapat dilakukan untuk mengamankan informasi diantaranya adalah (Hidayat, 2011): 1. Physical security Strategi yang memfokuskan pada hal-hal fisik seperti mengamankan dan memberikan perlindungan kepada karyawan, aset-aset fisik seperti hardware, perlindungan tempat kerja dan aktivitas-aktivitas yang dapat menyebabkan kerugian pada suatu organisasi. 2. Personal security Strategi yang memfokuskan pada keadaan individu seperti memberikan awareness terhadap pentingnya keamanan informasi. 3. Operation security Strategi yang memfokuskan pada kelancaran perusahaan dalam melakukan kegiatan operasionalnya tanpa gangguan dari pihak luar. 4. Communication security Stretegi yang memfokuskan pada pengamanan media komunikasi dan teknologi komunikasi untuk memenuhi fungsi komunikasi dalam organisasi. Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
9
5. Network security Strategi yang memfokuskan pada pengamanan jaringan dan kemampuan jaringan dalam memenuhi fungsi jaringan dalam organisasi.
Menurut (Syafrizal, 2007) Keamanan Informasi terdiri dari 3 prinsip yaitu Confidentiality, Integrity dan Availability. Pada awalnya prinsip keamanan informasi hanya CIA, seiring pertambahan waktu prinsip keamanan informasi diperluas menjadi CIA + yaitu : 1. Confidentiality (Kerahasiaan) Adalah prinsip yang menjamin, memastikan dan menjaga kerahasiaan informasi, bahwa informasi hanya dapat diakses dan digunakan oleh orang yang mempunyai wewenang sekaligus menjamin informasi yang dikirim, diterima dan disimpan terjamin kerahasiaannya. “Confidentiality is the characteristic of information whereby only those with sufficient privilages and a demonstrated need may access certain information,” (Whitman & Mattord, 2010, p. 6). 2. Integrity (integritas) Adalah prinsip yang menjamin informasi tidak dirubah, dimanipulasi, dimodifikasi maupun dihilangkan tanpa ijin dari pihak yang berwenang, serta menjaga keakuratan dan kesempurnaan informasi dan prosesnya. “Integrity is the quality or state of being whole, complete, and uncorrupted,” (Whitman & Mattord, 2010, p. 6). 3. Availability (ketersediaan) Adalah prinsip yang menjamin bahwa informasi akan tersedia ketika dibutuhkan,
serta
memastikan
pihak
yang
berwenang
dapat
menggunakan informasi yang dibutuhkan tanpa ada gangguan dari pihak lain. “Availability is the characteristic of information that enables user access to information in a usable format without interference or obstruction,” (Whitman & Mattord, 2010, p. 7). 4. Privacy (Privasi)
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
10
Adalah prinsip yang menjamin bahwa informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi digunakan hanya untuk tujuan tertentu oleh pemilik informasi pada saat informasi dikumpulkan. “Information that is collected, used, and stored by an organization is intended only for the purposes stated by the data owner at the time it was collected,” (Whitman & Mattord, 2010, p. 7) 5. Identification (Identifikasi) Adalah prinsip yang menjamin bahwa informasi memiliki karakteristik identifikasi ketika informasi dapat mengenali penggunanya. Identifikasi adalah langkah pertama dalam memperoleh akses ke informasi yang diamankan, dan berfungsi sebagai dasar untuk otentifikasi dan otorisasi. “An information system possesses the characteristic of identification when it is able to recognize individual users. Identification is the first step in gaining access to secured material, and it serves as the foundation
for
subsequent
authentication
and
authorization,”
(Whitman & Mattord, 2010, p. 7). 6. Authentification (Otentifikasi) Adalah prinsip yang menjamin bahwa saat otentifikasi terjadi ketika sistem dapat membuktikan bahwa pengguna memiliki hak klaim. “Authentication occurs when a control proves that a user possesses the identify that he or she claims,” (Whitman & Mattord, 2010, p. 7) 7. Authorization (Otorisasi) Adalah prinsip yang menjamin bahwa pengguna telah mendapatkan otorisasi sehingga dapat mengakses, mengupdate atau menghapus informasi. “After the identify of a user is authenticated, a process called authorization assures that the user has been specifically and axplicitly authorized by the proper authority to access, update, or delete the contents of information,” (Whitman & Mattord, 2010, p. 8). 8. Accountability (akuntabilitas)
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
11
Akuntabilitas dari informasi dikatakan eksis ketika sistem dapat menyajikan semua aktifitas terhadap informasi, dan siapa yang melakukan aktifitas itu. “Accountability of information exist when a control provides assurance that every activity undertaken can be attribute to a named person,” (Whitman & Mattord, 2010, p. 8).
Confidentiality Integrity Availability Privacy Identification Authentification Athorization Accountability
Gambar 2. 1 Prinsip Keamanan Informasi
2.2.1 Ruang Lingkup Keamanan Informasi Ruang lingkup keamanan informasi ada 4 yaitu organization, people, process, dan technology, lebih lanjutnya akan dijelaskan sebagai berikut : 1. Organization Sebuah organisasi adalah jaringan yang terdiri atas manusia, aset dan proses interaksi satu dengan yang lain yang didefinisikan dengan peran dan pekerjaan yang bertujuan untuk menyelesaikan tujuan bersama. “An organization is a network of people, assets, and processes interacting with each other in defined roles and working toward a common goal,” (ISACA, 2010, p. 38). 2. People Sumber daya manusia dan isu-isu keamanan informasi yang berkaitan. Siapa yang mengimplementasi setiap bagian dari strategi yang ada.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
12
Representasi kolektif manusia dan nilai-nilai perilaku, serta nilai-nilai yang masih bias harus diperhitungkan “The human resources and security issues that surround them. It defines who implements (throught design) each part of the strategy. It represent a human collective and must take into account values, behaviors and biases,” (ISACA, 2010, p. 38). 3. Process Proses yang dimaksud adalah semua proses yang ada termasuk mekanisme formal dan informal (besar dan kecil, sederhana dan kompleks) untuk menyelesaikan dan menyediakan link vital untuk semua interkoneksi yang dinamis. “Includes formal and informal mechanisms (large and small, simple and complex) to get things done and provides a vital link to all of the dynamic interconnections,” (ISACA, 2010, p. 38). 4. Technology Teknologi terdiri atas semua alat, aplikasi dan infrastruktur yang membuat proses lebih efisien. “Composed of all of tools, applications and infrastructure that make processes more efficient,” (ISACA, 2010, p. 39).
Gambar 2. 2 Ruang Lingkup Keamanan Informasi (ISACA, 2010)
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
13
2.2.2 Manajemen keamanan informasi Dalam perancangan dan proses implementasi keamanan informasi yang efektif, pemahaman tentang prinsip manajemen keamanan informasi menjadi hal yang sangat penting. Dalam manajemen keamanan informasi dikenal dengan 6P, yaitu (Hidayat, 2011) : 1. Planning Pinsip planning dalam manajemen keamanan informasi meliputi perancangan, pembuatan dan implementasi strategi. Dalam melakukan proses planning ada 3 tahapan yaitu strategic planning, tactical planning dan operational planning. 2. Protection Prinsip protection dilakukan berdasarkan risk assessment meliputi identifikasi aset, identifikasi kerawanan dan ancaman, pemilihan risiko prioritas, pemilihan kontrol dan juga monitoring. 3. Programs Prinsip programs dalam manajemen keamanan informasi meliputi program pelatihan dan awareness pada karyawan guna meningkatkan keamanan informasi 4. Policy Prinsip policy pada intinya adalah menerapkan kebijakan-kebijakan guna menciptakan kondisi keamanan informasi di organisasi 5. People Prinsip people cenderung berkaitan dengan prinsip program karena dengan awareness dari manusia dapat mengurangi risiko keamanan informasi. 6. Project management Prinsip project management adalah penerapan kedisiplinan manajemen guna mencapai tujuan penerapan keamanan informasi. 2.2.3 Information Security Management System Information security management system (ISMS) merupakan sebuah kesatuan sistem yang disusun berdasarkan pendekatan risiko bisnis, untuk pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
14
serta peningkatan keamaan informasi perusahaan. Dan sebagai sebuah sistem, keamanan informasi harus didukung oleh keberadaan dari hal-hal berikut (Syafrizal, 2007): 1. Struktur organisasi Struktur organisasi biasarnya berupa keberadaan fungsi-fungsi atau jabatan organisasi yang terkait dengan keamanan informasi. Misalnya; Chief Security Officer dan beberapa lainnya. 2. Kebijakan keamanan Kebijakan keamanan atau dalam bahasa Inggris disebut sebagai Security Policy. Contoh kebijakan keamanan ini misalnya adalah sebagai berikut: Semua kejadian pelanggaran keamanan dan setiap kelemahan sistem informasi harus segera dilaporkan dan administrator harus segera mengambil langkah-langkah keamanan yang dianggap perlu. Akses terhadap sumber daya pada jaringan harus dikendalikan secara ketat untuk mencegah akses dari yang tidak berhak. Akses terhadap sistem komputasi dan informasi serta periferalnya harus dibatasi dan koneksi ke jaringan, termasuk log-on pengguna, harus dikelola secara benar untuk menjamin bahwa hanya orang/ peralatan yang diotorisasi yang dapat terkoneksi ke jaringan. 3. Prosedur dan proses, Prosedur dan proses yaitu semua prosedur serta proses-proses yang terkait pada usaha-usaha pengimplementasian keamanan informasi di perusahaan. Misalnya prosedur permohonan ijin akses aplikasi, prosedur permohonan domain akun untuk staf/karyawan baru dan lain sebagainya. 4. Tanggung jawab Tanggung jawab yang dimaksud dengan tanggung jawab atau responsibility di sini adalah tercerminnya konsep dan aspek-aspek keamanan informasi perusahaan di dalam job description setiap jabatan dalam perusahaan. Begitu pula dengan adanya program-program pelatihan serta
pembinaan tanggung
jawab
keamaan
informasi
perusahaan untuk staf dan karyawannya. 5. Sumber daya manusia Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
15
Sumber daya manusia adalah pelaksana serta obyek pengembangan keamanan informasi di perusahaan. Manusia yang bisa memperbaiki serta merusak semua usaha-usaha tersebut.
2.2.4 ISO 27000 Information Security Management System International Standards Organization (ISO) mengelompokkan semua standar keamanan informasi ke dalam satu struktur penomoran, seperti pada serial ISO 27000. Adapun beberapa standar di seri ISO ini adalah sebagai berikut (IsecT Ltd, 2012): 1.
ISO 27000:2009 - Information Security Management System – overview and vocabulary
2.
ISO 27001:2005 -
Information Security Management System -
Requirements 3.
ISO 27002:2005 - Code of Practice for Information Security Management System.
4.
ISO
27003:2010
-
Information
Security
Management
System
Security
Management
System
Implementation Guidance 5.
ISO
27004:2009
-
Information
Measurement 6.
ISO 27005:2008 - Information Security Risk Management System.
7.
ISO 27006:2011 - Requirements for Bodies Providing Audit and Certification of Information Security Management System.
8.
ISO 27007:2011 - Guidelines for Information Security Management System Auditing (Focused on the Management System).
9.
ISO 27008:2011 - Guidance for Auditors on ISMS Controls (Focused on Information Security Controls)
10. ISO 27010:2011 - Information Technology – Security Techniques Information
Security Management for Inter-sector and Inter-
organizational Communications. 11. ISO 27011:2008 - Information Security Management Guidelines for Telecommunication Organizations based on ISO/IEC 27002.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
16
12. ISO 27013:2012 -
Guideline on the Integrated Implementation of
ISO/IEC 20000-1 and ISO/IEC 27001 13. ISO 27014 : Information Security Governance Framework 14. ISO 27015 : Information Security Management Guidelines for the finance and Insurance Sectors 15. ISO 27016 – Information security management – Organizational economics [DRAFT] 16. ISO 27017 – Security in cloud computing [DRAFT] 17. ISO 27018 – Code of practice for data protection controls for public cloud computing services [DRAFT] 18. ISO 27019 – Information security management guidelines based on ISO 27002 for process control systems specific to the energy industry [DRAFT] 19. ISO 27031:2011 - Guidelines for Information and Communication Technology Readiness for Business Continuity. 20. ISO 27032:2012 - Guidelines for Cyber Security 21. ISO 27033:2009 - IT Network Security, A Multi-part Standard Based on ISO/IEC 18028:2006. 22. ISO 27034:2011 - Guideline for Application Security (part 1 published, rest in DRAFT) 23. ISO 27035:2011 – Information Security Incident Management 24. ISO 27036 – Information security for supplier relationship [DRAFT] 25. ISO 27037:2012 - Guidelines for Identification, Collection, Acquisition and Preservation of Digital Evidence. 26. ISO 27038 – Specification for digital redaction [DRAFT] 27. ISO 27039 – Selection, deployment and operations of intrusion detection (and preventation) systems (IDPS) [DRAFT] 28. ISO 27040 – Storage security [DRAFT] 29. ISO 27041 – Guidelines for the analysis and interpretation of digital evidence [DRAFT] 30. ISO 27042 – Guidelines for the analysis and interpretation of digital evidence [DRAFT] Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
17
31. ISO 27043 – Digital evidence investigation principles and process [DRAFT] 32. ISO 27799:2008 - Information Security Management in Health using ISO/IEC 27002.
2.2.5
ISO
27001
Information
Security
Management
System
-
Requirements ISO 27001 adalah standar keamanan informasi yang diterbitkan Oktober 2005 oleh International Organization for Standarization dan International Electrotechnical Commission. Standar ini menggantikan BS77992:2002. ISO 27001 mencakup semua jenis organisasi (seperti perusahaan swasta,
lembaga
27001menjelaskan melaksanakan,
pemerintahan, syarat-syarat
memantau,
dan untuk
menganalisa
lembaga
nirlaba).
membuat, dan
ISO
menerapkan,
memelihara
seta
mendokumentasikan Information security management system dalam konteks risiko bisnis organisasi keseluruhan (Justanieah, 2009). ISO 27001 mendefenisikan keperluan-keperluan untuk sistem manajemen keamanan informasi (SMKI). SMKI/ISMS yang baik akan membantu memberikan perlindungan terhadap gangguan pada aktivitasaktivitas bisnis dan melindungi proses bisnis yang penting agar terhindar dari risiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak lama.
ISO 27001 digunakan sebagai ikon sertifikasi ISO 27000. ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi (SMKI) atau Information Security Managemen System (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan
oleh
sebuah
perusahaan
dalam
usaha
mereka
mengimplementasikan konsep-konsep keamanan informasi di perusahaan. Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
18
Struktur dan konsep dari ISO 2700/ISMS Information Security Management System – Requirements (IsecT Ltd, 2012): 0. Introduction 1. Scope 2. Normative References 3. Terms and Definition 4. Information Security Management System 5. Management responsibility 6. Internal ISMS Audits 7. Management review of the ISMS 8. ISMS improvement Annex A – Control objectives and controls atau yang dikenal dengan ISO 27002 Annex B – OECD principles and this international standard Annex C _ Correspondence between ISO 9001:2000, ISO 14001:2004 and this international Standard
Secara umum ada 11 aspek atau yang biasa disebut sebagai kontrol, yang
harus
ada
dalam
setiap
perusahaan
dalam
usahanya
mengimplementasikan konsep keamanan informasi. Kontrol dalam hal ini adalah suatu hal yang bisa berupa proses, prosedur, dan kebijakan yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh konsep keamanan informasi, seperti akses terlarang terhadap data atau informasi rahasia perusahaan. kontrol tersebut adalah sebagai berikut:
Struktur dan konsep dari ISO 27002 Code of Practice for Information Security Management System (IsecT Ltd, 2012) : 0.
Introduction
1.
Scope
2.
Terms and definitions Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
19
3.
Structure of this standard
4.
Risk assessment and threatsment
5.
Security policy.
6.
Organization of information security.
7.
Asset management.
8.
Human resources security.
9.
Physical and environmental security.
10. Communications and operations management. 11. Access control. 12. Information system acquisition, development, and maintenance. 13. Information security incident management. 14. Business continuity management. 15. Compliance.
Tabel 2. 1 Domain dan Kontrol Objektif ISO 27001 No 1. 2. 3.
Domain ISO 27001 Security Policy Organization of Information Security Asset Management
4.
Human Resources Security
5.
Physical and Environmental security Communication and Operations Management
6.
7.
Access Control
Kontrol Objectif ISO 27001 1. information Security Policy 2. Internal Organization 3. External Parties 4. Responsibilies for Assets 5. Information Classification 6. Prior to Employment 7. During Employment 8. Termination or Change of Employment 9. Secure Areas 10. Equipment Security 11. Operational Procedures and Responsibilities 12. Third Party Service Delivery Management 13. System Planning and Acceptance 14. Protection Against Malicious and Mobile Code 15. Backup 16. Network Security Management 17. Media Handling 18. Exchange of Information 19. Electronic Commerce Services 20. Monitoring 21. Business Control for Access Control Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
20
No
Domain ISO 27001
Kontrol Objectif ISO 27001 22. User Access Management 23. User Responsibilities 24. Network Access Control 25. Operating System Access Control 26. Application and Information Access Control 27. Mobile Computing and Teleworking 8. Information system 28. Security Requirements of Information Acquision, Systems Development and 29. Correct Processing in Applications Maintenance 30. Cryptographic Controls 31. Security of System Files 32. Security Indevelopment and Support Services 33. Technical Vulnerability Management 9. Information Security 34. Reporting Information Security Events and Incident Management Weakness 35. Management of Information Security Incidents And Improvements 10. Business Continuity 36. Information Security Aspects of Business Management Continuity Management 11. Compliance 37. Compliance With Legal Requirements 38. Compliance With Technical Policies and Standard and Technical Compliance 39. Information System Audit Considerations
Proses ISMS Proses information security management system menggunakan prinsip Plan-DoCheck-Act. Berikut adalah tahapan-tahapan PDCA :
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
21
•Establish ISMS
•Maintain and improve ISMS
Plan
Act
Do
Check
•Implement and Operate ISMS
•Monitor and Review ISMS
Gambar 2. 3 Proses ISMS
Plan (establish the ISMS) Langkah-langkah dalam mengerjakan plan adalah 1. Menentukan ruang lingkup 2. Melakukan gap analisis 3. Melakukan risk assessment a. Mengidentifikasi aset b. Mengidentifikasi kerawanan dan ancaman c. Menentukan Prioritas risiko d. Mengembangkan Kontrol e. Monitoring 4. Menetapkan kontrol 5. Membuat kebijakan dan prosedur Langkah tidak tertulis adalah statement of applicability (SOA)
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
22
Menentukan Ruang Lingkup
Membuat kebijakan dan Prosedur
Menetapkan Kontrol
Melakukan Gap Analisis
Melakukan Risk Assessment
Gambar 2. 4 Proses Plan
Do (Implement and operate the ISMS) 1. Membuat formulasi rencana pengelolaan risiko 2. Melakukan implementasi rencana pengelolaan risiko 3. Melakukan implementasi kendali 4. Melakukan implementasi program pelatihan dan pemahaman keamanan informasi 5. Melakukan pengelolaan kegiatan 6. Melakukan pengelolaan sumberdaya 7. Melakukan implementasi prosedur untuk mendeteksi dan merespon insiden keamanan informasi
Check (Monitor and review the ISMS) 1. Melakukan prosedur pemantauan 2. Melakukan evaluasi berkala terhadap sistem manajemen keamanan informasi 3. Melakukan pengkajian terhadap tingkatan risiko dan risiko yang dapat diterima 4. Melaksanakan audit sistem manajemen keamanan informasi secara internal Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
23
5. Melakukan peninjauan manajemen secara berkala terhadap pelaksanaan sistem manajemen keamanan informasi. 6. Melakukan pencatatan aktivitas dan kejadian yang mempengaruhi sistem manajemen keamanan informasi
Monitor
Review
Audit
Gambar 2. 5 Proses Check
Act (Maintain and improve the ISMS) 1. Melakukan implementasi peningkatan yang telah diidentifikasi 2. Mengambil tindakan pencerahan dan koreksi 3. Melakukan implementasi pelatihan yang telah diterima 4. Mengkomunikasikan hasil kepada rekan yang berkepentingan 5. Menjamin peningkatan pencapaian tujuan
Corrective Actions
Preventive Actions Gambar 2. 6 Proses Act
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
24
2.3 Framework Keamanan Informasi Ada beragam framework selain ISO 27001 yang banyak diaplikasikan oleh organisasi seperti IT-IL, dan COBIT. Setiap framework memiliki latar belakang pembentukan dan area kontrol masing-masing seperti Cobit berfokus pada Business Orientation and IT Governance dan IT-IL yang berfokus pada Service Delivery and Service Support (Arora, 2010) (Aygun, 2010). Dan ada beberapa framework yang berfokus pada keamanan informasi di berbagai negara, diantaranya sebagai berikut (Syafrizal, 2007): 1. NIST (National Institute of standard and technology) NIST merupakan sebuah standar yang dijadikan sebuah acuan dalam melakukan manajemen keamanan teknologi informasi yang dibuat oleh FISMA (Federal Information Security Management Act) yang digunakan di Negara Amerika Serikat 2. GMITS (Guidelines for the Management of Information Technology Security) GMITS adalah sebuah framework untuk melakukan manajemen keamanan teknologi informasi. 3. BS (British standard) 7799:1 atau lebih dikenal dengan ISO/IEC 17799 (Information Technology Code of Practice for Information Security Management) 4. BS (British standard) 7799:2 yang dikenal dengan ISO/IEC 27001 (Information Security Management System - Requirements) Dari beberapa framework keamanan informasi yang ada, yang paling spesifik terhadap keamanan informasi adalah ISO 27001, dilengkapi dengan 8 struktur, annex A (ISO27002), annex B dan annex C. ISO 27001 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO 27001menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memantau, menganalisa dan memelihara seta mendokumentasikan Information security management system dalam konteks risiko bisnis organisasi keseluruhan.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
BAB III METODOLOGI PENELITIAN Pada bab ini akan dijelaskan tentang metode yang akan digunakan penulis dalam menyusun karya akhir. Berikut adalah gambar dari metodologi penelitian.
Mulai
Pemilihan Masalah
Studi Literatur
Identifikasi aset Wawancara
Menentukan ruang lingkup
Identifikasi ancaman dan kerawanan
Observasi Proses Plan
Menentukan prioritas resiko
Gap Analisis
Statement of Applicability
Risk assessment
Review kelengkapan dokumen Domain dan Kontrol ISO 27001
Mengembangkan kontrol
Monitoring
Menetapkan kontrol
Kebijakan dan prosedur
Selesai
Gambar 3. 1 Alur Penyusunan Karya Akhir 25
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
26
Penjelasan alur pada gambar 3.1 adalah sebagai berikut: 3.1 Pemilihan Masalah Pada karya akhir ini langkah penelitian dimulai dengan pemilihan masalah, masalah yang dihadapi berasal dari temuan hasil audit beberapa bank yaitu kurangnya keamanan informasi pada perusahaan PT. XYZ. Dari hasil audit dan persepsi dari manajemen, terdapat perbedaan mendasar yaitu manajemen sudah menerapkan kebijakan dan prosedur sebagai penunjang visi misi best service dalam keamanan informasi tetapi pada penerapannya banyak temuan yang bermasalah. 3.2 Studi Literatur Setelah memilih masalah, penulis mempelajari berbagai teori yang berhubungan dengan topik penelitian antara lain dari jurnal, buku, web, dan standar-standar yang dijadikan acuan dalam penelitian ini, serta dokumendokumen perusahaan seperti kebijakan dan prosedur keamanan informasi. 3.3 Menentukan Ruang Lingkup Dalam menentukan ruang lingkup ini, peneliti mengkhususkan pada apa saja yang akan dibahas seperti audit kepatuhan terhadap visi dan misi perusahaan, cakupan aset, risk assessment. 3.4 Gap Analisis Gap analisis dilakukan berdasarkan assessment checklist dari hasil wawancara, observasi dan pengumpulan dokumen perusahaan baik itu kebijakan maupun prosedur serta dokumen-dokumen terkait keamanan informasi lainnya yang akan dipadukan dengan domain dan kontrol objektif dari ISO 27001:2005. Assessment checklist berasal dari BSN (Badan Standarisasi Nasional). 3.5 Risk Assessment Setelah melakukan gap analisis akan dilakukan risk assessment yang bertujuan untuk melakukan penilaian risiko yang mungkin timbul dari tahap sebelumnya yang dapat mengancam keamanan informasi. Dalam risk assessment akan dilakukan identifikasi aset, identifikasi kerawanan dan Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
27
ancaman, menentukan prioritas risiko yang akan dikendalikan, menentukan kontrol apa saja yang dapat dilakukan untuk mengendalikan risiko dan monitoring risiko. 3.6 Menetapkan Kontrol Setelah melakukan Risk assessment, proses selanjutnya adalah menetapkan kontrol, kontrol yang ditetapkan dipilih dari kontrol objektif dari ISO 27001 berdasarkan hasil identifikasi kerawanan dan ancaman serta dampak yang terjadi sehingga nantinya dapat menutupi celah-celah keamanan informasi saat ini. 3.7 Kebijakan dan Prosedur Setelah menetapkan kontrol objektif atas dasar identifikasi ancaman dan kerawanan serta dampak yang terjadi. Selanjutnya dibuat kebijakan, prosedur, instruksi dan dokumentasi dari subkontrol ISO 27001/ISMS. 3.8 Statement of Applicability Statement of applicability berisi tentang alasan memilih dan tidak memilih kontrol dan subkontrol ISO 27001.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
BAB IV PROFIL PERUSAHAAN INTRODUCTION PT. XYZ adalah sebuah perusahaan di Indonesia yang menyediakan jasa untuk Document Management, e-Business Services dan Offset Printing. PT. XYZ berdiri sejak tahun 1960 yang mempunyai spesialisasi dalam memproses data informasi, seperti Billing Statement atau Billing Information. Perusahaan ini mempunyai kantor pusat di Jakarta dan memiliki beberapa cabang serta drop centers untuk mendukung distribusi skala nasional. Proses bisnis termasuk printing, mailing, packaging dan costumer’s-contact dilakukan oleh kurir dan orang-orang yang professional. Hal ini telah dibuktikan oleh pasar, PT. XYZ dipercaya mempunyai keunggulan, kehandalan dan reputasi dalam penyediaan solusi document managements. PT. XYZ menangani proses end to end, dari produksi hingga customer’s-contact yang menjadi nilai tambah dimata pelanggan. Sebagai pemimpin dalam lingkungan bisnis yang sangat bersaing, document management dilakukan dengan high effectively, efficiency dan accuracy agar memberikan kepuasan kepada pelanggan.
COMPANY OVERVIEW Visi : Menjadi terkenal dan menjadi perusahaan
customer preferred services yang
selalu mengikuti trend teknologi dan bisnis Misi : Memberikan “best services” kepada pelanggan dengan menggunakan pendekatan customer-oriented sehingga pelayanan dan dukungan selalu cocok dengan permintaan pelanggan.
BUSINESS DOCUMENT SERVICES Document mail adalah salah satu media penyampaian yang cepat berkembang. PT. XYZ berada di garis terdepan karena ahli dalam mengorganisir, mencari dan memilih sumber daya berdasarkan sistem yang tepat, guna memastikan bahwa 28
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
29
setiap pekerjaan akan diselesaikan dengan tepat waktu dan sesuai dengan anggaran. PT. XYZ sebagai pemimpin pasar dalam business document management services, Provides end to end corporate to customer communications di indonesia, melalui outsourching, value added services, dan facility management. PT. XYZ telah mengembangkan sistem dan prosedur yang dapat memastikan bahwa PT. XYZ secara konsisten memberikan pelayanan yang berkualitas.
PRINTING AND MAILING SERVICES Dalam rangka memenuhi kebutuhan bisnis dan dukungan dari teknologi terbaru dalam percetakan, PT. XYZ selalu menawarkan layanan yang disesuaikan atau dikemas seperti yang diminta oleh pelanggan dengan identifikasi pelanggan melalui data koleksi manual, menyediakan peralatan hardware dan software untuk melakukan proses entry data (intelligently computerized), menghitung proses data untuk melakukan validasi data lanjutan dan mendistribusikan semua dokumen.
CUSTOMIZED MAILING SERVICE Teknologi inserting PT. XYZ memberikan solusi dalam menyesuaikan surat untuk pelanggan tertentu dengan kombinasi yang berbeda dan mengirimkannya ke orang yang berbeda. PT. XYZ menyediakan total mail management pada setiap item dan kuantitas yang ada, dan juga menjaga proses pengiriman dan surat dengan sangat hati-hati seperti prinsip dalam segmentasi pasar anda.
MATERIAL SUPPLY PT. XYZ dapat memudahkan pekerjaan anda dengan menyediakan bahan-bahan yang anda butuhkan dalam pengepakan surat anda. Skala operasional PT. XYZ dan hubungan yang kuat dengan industri percetakan memungkinkan PT. XYZ untuk memasok barang dan jasa dengan harga yang sangat kompetitif. PT. XYZ memastikan bahwa setiap materi yang dicetak pada ukuran dan sisi kertas akan sangat tepat karena menggunakan mesin yang compatible.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
30
DELIVERY SOLUTIONS PT. XYZ didukung oleh kurir yang professional dan jaringan distribusi yang mapan dengan skala nasional, sehingga PT. XYZ dapat menawarkan solusi pengiriman yang paling efektif. PT. XYZ menyediakan kepada anda total delivery management system untuk pengiriman ke pangsa pasar yang ditargetkan. Layanan PT. XYZ meliputi redelivery document, restoring delivery management addresses, return dan success delivery analysis serta customer’s special inquiry.
INVESTMENT AND TECHNOLOGY DRIVEN PT. XYZ menggunakan teknologi informasi (TI) sebagai salah satu penunjang bisnis dan sebagai bagian dari perkembangan yang berkelanjutan dari proses bisnis PT. XYZ. PT. XYZ juga sangat tertarik dalam melakukan investasi dalam perencanaan dan sumber daya manusia.
Data Management and Tracking System Proses ini dijalankan setelah proses pengiriman yang dilakukan oleh kurir, staf
PT. XYZ memiliki kualitas dan kemampuan moitoring dan
memeriksa dokumen yang berhasil dan dokumen yang gagal dikirim. PT. XYZ menggunakan format program aplikasi serta penggunaan teknologi tinggi untuk monitoring dan pemantauan seluruh dokumen.
In house Application for Barcode Addressing PT. XYZ memberikan anda best customer support melalui pengembangan in house application yang berbasis teknologi untuk merekam customer’s identification dan mencetaknya dalam proses pengiriman surat.
Dedicated Call Center Sebuah call center di sediakan guna menerima keluhan dan pertanyaanpertanyaan dari pelanggan. PT. XYZ dapat merespon segera dengan menggunakan data management dan tracking system.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
31
OFFSET PRINTING Selain untuk memenuhi kebutuhan pasar dan menyediakan “one shop shopping” kepada pelanggan dalam satu waktu, PT. XYZ juga menyediakan layanan pencetakan
dalam
bentuk
selebaran,
brosur,
catalog
dan
buku
yang
mengutamakan best services, aktual dan cepat dengan kualitas yang paling memuaskan dari hasil pencetakan. Untuk memberikan best services terhadap pelanggan, PT. XYZ didukung dengan staf professional dan teknologi tinggi di mesin produksi.
Mobile Transaction (Supported Future Projects) PT. XYZ juga menyediakan layanan untuk pembayaran mobile transaction melalui sms system mobile transaction. PT. XYZ telah membangun hubungan dengan perusahaan utilities, banks serta beberapa perusahaan lainnya.
Overview of Payment Method and Wireless Technology PT. XYZ melakukan uji coba mobile payment solution dengan menggunakan teknologi wireless seperti “Top Up”
Short Message
Services (SMS) dan Interactive Voise Response (IVR) dan menggunakan kartu kredit dan kartu debit sebagai metode pembayaran. IVR sebagai sistem otentikasi dan ujicoba pembayaran dipilih sebagai penyedia pelanggan dengan menggunakan jaringan phone banking yang sudah ada antara pelanggan dan bank mereka. Oleh karena itu, pelanggan sudah terbiasa menggunakan jaringan phone banking. Meskipun otentikasi pembayaran selalu menggunakan IVR, SMS juga dapat digunakan selama uji coba untuk berbelanja atau melakukan top up dengan ponsel mereka.
EBPP (Electronic Bill Presentment and Payments) EBPP termasuk dalam printing , mailing, data management, dan tracking system untuk courier services,bar-coding, dan payment yang dapat digunakan secara manual atau elektronik dengan menggunakan internet. PT. XYZ seperti system integrator yang menyediakan pelanggan dengan pelayanan. PT. XYZ akan mempertahankan dan membangun kemitraan bisnis dengan bank dan juga pelanggan lain yang telah berhubungan bisnis dengan PT. XYZ. Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
32
OUR BENEFITS
Competitive Advantages PT. XYZ beroperasi dengan menggunakan kecepatan tinggi, dan adanya peralatan yang menghasilkan hasil yang cepat dan sempurna. Beberapa peralatan PT. XYZ juga dapat memberikan teknologi redundansi sehingga tingkat keberhasilan PT. XYZ lebih tinggi dari pesaing-pesaing yang tersedia di pasaran saat ini.
One Stop Convenience Graphic layout, printing, inserting, enveloping, mailing process, postage dan delivery yang di organize oleh PT. XYZ dan akan didistribusikan oleh PT. VWX sebagai koordinator mailing untuk mencapai hasil yang efektif, produksi yang cepat, dan pendistribusian yang handal ditempat lain.
Promptness Waktu jeda antara setiap tahap pengolahaan adalah cara minimal untuk memelihara hasil, sehingga pengolahan tetap dapat diselesaikan tepat waktu. Misalnya, saat beberapa dokumen dalam proses inserting, beberapa dokumen lain dalam proses stamped. Kecepatan dan kualitas kerja dapat diharapkan dalam setiap proyek yang dipegang oleh PT. XYZ karena PT. XYZ memanfaatkan peralatan terbaru dan tercanggih untuk menangani setiap proyek.
Quality Kualitas produksi PT. XYZ sangat jernih, bersih, dan professional laser printing ditambah dengan tingkat kreativitas dan style yang tinggi. Font standard dan konvensional tersedia untuk memenuhi permintaan. Sementara performing folding, inserting, and enveloping processes. Kesalahan manusia berada di level minimum sebagai bagian yang harus ditangani terlebih dahulu
Confidentiality and Security Hanya personil yang terotorisasi yang dapat memasuki service area, kartu akses diatur pada setiap pintu masuk menuju ruangan operasional, administrasi, dan kontrol, sehingga semua data diperlakukan sebagai rahasia. Personil keamanan PT. XYZ memantau seluruh daerah service Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
33
area dengan menggunakan cctv, PT. XYZ juga menyediakan sistem keamanan enkripsi ketika data ditransfer oleh media telekomunikasi. File auditrail; pelaporan dan pendaftaran sistem untuk proses pencetakan. Dalam kasusu pencetakan ini, nama operator dan jumlah dokumen yang dicetak sudah direkam, ini mengurangi kemungkinan terjadinya proses kerja yang salah dan lebih mudah dalam mengetahui apakah ada proses multiple dokumen. Penghapusan file secara otomatis sudah diterapkan, setelah proses pencetakan data akan dihapus secara otomatis.
Contacts : Jakarta Head Office Jl. Kebon sirih No. xxx Jakarta 10430 Gedung Perusahaan Maskapai Tel. 021 – 3190 – xxxx Fax. 021 – 3190 – xxxx e-Mail :
[email protected]
Branch Offices : Surabaya Bandung Medan Batam Samarinda
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
BAB V ANALISIS DAN REKOMENDASI Pada bab ini akan dilakukan analisa dan pembahasan sesuai dengan metodologi penelitian yang sudah dipilih sebelumnya.
Pemodelan ISMS (Plan) Pada kasus ini metode yang digunakan adalah metode plan yang ada pada ISMS. Langkah-langkah yang harus dilakukan adalah seperti dibawah ini.
Menentukan Ruang Lingkup
Membuat kebijakan dan Prosedur
Melakukan Gap Analisis
Melakukan Risk Assessment
Menetapkan Kontrol
Gambar 5. 1 Proses Plan
5.1 Ruang Lingkup Pada penelitian ini, ruang lingkup sistem manajemen keamanan informasi adalah sebagai berikut : 1. Audit kepatuhan terhadap visi dan misi perusahaan 2. Mencakup Seluruh aset dalam bentuk teknologi, proses, sistem, layanan, aplikasi, jaringan dan software yang dimiliki perusahaan. 3. Risk assessment keamanan informasi meliputi identifikasi Aset, identifikasi kerawanan (vulnerability) dan ancaman (threats), mengkategorikan risiko 34
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
35
atau menentukan risiko prioritas (Risk Prioritization), mementukan kontrol (Develop control) dan monitoring. 5.2 Gap Analisis Tujuan melakukan gap analisis adalah untuk membandingkan sejauh apa kontrol-kontrol ISO 27001 yang sudah dilakukan, Baik dalam kebijakan, prosedur, instruksi maupun dokumentasinya. Untuk melakukan gap analisis, terlebih dahulu dilakukan gap assessment, berikut adalah gap assessment antara hasil wawancara, observasi dengan panduan asseement checklist ISO 27001/ISMS.
Tabel 5. 1 Perhitungan Gap Assessment untuk Domain ISO 27001/ISMS No 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
Domain Security Policy Organization of Information Security Asset Management Human Resources Security Physical and Environmental Security Communication nand Operations Management Access Control Information System Acquision, Development and Maintenance Information Security Incident Management Business Continuity Management Compliance
A 4 6
B 2 3.5
C 7 12
D 7 12
E 0.57 0.5
F 0.29 0.29
G 1 1
3 8.5 19. 5 24
5 11 21
5 11 21
0.6 0.77 0.93
0.3 0.64 0.83
1 1 1
47
47
0.51
0.37
1
15 9.5
1.5 7 17. 5 17. 5 13 8.5
37 31
37 31
0.41 0.31
0.35 0.27
1 1
0.5
1.5
11
11
0.05
0.14
1
0
0
10
10
0
0
1
4
3.5
21
21
0.19
0.17
1
A
: Hasil wawancara dengan menggunakan panduan assessment checklist
B
: Hasil observasi dengan menggunakan panduan assessment checklist
C
: Nilai assessment checklist ISO 27001/ISMS
D
: Jumlah pernyataan
E
: Hasil A dibagi dengan D
F
: Hasil B dibagi dengan D Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
36
G
: Hasil C dibagi dengan D.
Dari gambar 5.2 dapat dilihat hasil penilaian dari wawancara, observasi dan domain ISMS, sedangkan gambar 5.3 merupakan hasil wawancara, observasi dari kontrol objektif ISMS. Dari gambar yang ada dapat dilihat bahwa tingkat keamanan informasi yang diterapkan masih jauh dari best practice ISMS.
Domain 1 1 Domain 11
0.8
Domain 2
0.6 Domain 10
Domain 3
0.4 0.2 0
Domain 9
Domain 4
Domain 8
Domain 5 Domain 7
Domain 6 Wawancara Observasi ISMS
Gambar 5. 2 Gap Assessment Domain ISMS
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
37
Wawancara Observasi Kontrol 1 Kontrol 39 1 Kontrol 2 Kontrol 38 Kontrol 3 Kontrol 37 Kontrol 4 0.9 Kontrol 36 Kontrol 5 0.8 Kontrol 35 Kontrol 6 0.7 0.6 Kontrol 34 Kontrol 7 0.5 Kontrol 33 Kontrol 8 0.4 0.3 Kontrol 32 Kontrol 9 0.2 Kontrol 31 Kontrol 10 0.1 0 Kontrol 30 Kontrol 11 ISMS
Kontrol 29
Kontrol 12
Kontrol 28
Kontrol 13
Kontrol 27
Kontrol 14
Kontrol 26
Kontrol 15
Kontrol 25 Kontrol 24 Kontrol 23 Kontrol 22 21 Kontrol
Kontrol 16 Kontrol 17 Kontrol 18 Kontrol Kontrol 20 19
Gambar 5. 3 Gap Assessment Kontrol Objektif ISMS
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
38
Tabel 5. 2 Perhitungan Gap Assessment untuk kontrol ISO 27001/ISMS No 1. 2. 3.
Domain Security Policy Organization of Information Security Asset Management
4.
Human Resources Security
5.
Physical and Environmental Security Communication nand Operations Management
6.
7.
Access Control
Kontrol Information Security Policy Internal Organization External partiez Responsibilities for asset Information Classification Prior to Employment During Employment Termination or change of employment Secure areas Equipment security Operational procedures and responsibilities Third party service delivery management System planning and acceptance Protection agains malicious and mobile code Backup Network security management Media handling Exchange of information Electronic commerce services Monitoring Business control for access control User access management User Responsibilities Network Access control
A 2.5 4.5 1.5 2 1 3.5 2 3 6.5 13 2.5
B 1 2 1.5 0.5 1 3 1.5 2.5 6 11.5 1.5
C 5 9 3 3 2 5 3 3 7 14 5
D 5 9 3 3 2 5 3 3 7 14 5
E 0.57 0.5 0.5 0.67 0.5 0.7 0.67 1 0.93 0.93 0.5
F 0.29 0.22 0.5 0.17 0.5 0.6 0.5 0.83 0.86 0.82 0.3
G 1 1 1 1 1 1 1 1 1 1 1
2.5 1.5 1
2.5 1 1
5 2 2
5 2 2
0.5 0.75 0.5
0.5 0.5 0.5
1 1 1
2 4 4 2.5 1.5 2.5 0.5 0.5 0.5 7
1.5 3 1.5 2.5 1.5 1.5 0.5 0 0.5 7
2 4 5 7 5 10 3 4 4 11
2 4 5 7 5 10 3 4 4 11
1 0.75 1 0.75 0.8 0.3 0.36 0.36 0.3 0.3 0.25 0.15 0.17 0.17 0.125 0 0.125 0.125 0.64 0.64
1 1 1 1 1 1 1 1 1 1
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
39
No
8.
9.
10. 11.
Domain
Information System Acquision, Development and Maintenance
Information Security Incident Management Business Continuity Management Business continuity management Compliance
Kontrol Operating system access control Application and information access control Mobile computing and teleworking Security requirements of information system Correct processing in applications Cryptographic controls Security of system files Security in development and support services Technical vulnerability management Reporting information security events and weakness Management of information security incidents and improvements Information security aspects of business continuity management Compliance with legal requirements Compliance with technical policies and standards and technical compliance Information system audit considerations
A 5 1.5
B 3.5 1.5
C 8 2
D 8 2
E 0.625 0.75
F 0.44 0.75
G 1 1
0 0
0 0
5 3
5 3
0 0
0 0
1 1
4 1.5 1 2
3 1.5 1 2
7 7 3 9
7 7 3 9
0.56 0.21 0.33 0.22
0.43 0.21 0.33 0.22
1 1 1 1
1 0.5
1 1
2 3
2 3
0.5 0.17
0.5 0.33
1 1
0
0.5
8
8
0
0.06
1
0
0
10
10
0
0
1
2.5 1.5
2 1.5
13 4
13 4
0
0
4
4
0.19 0.15 0.375 0.375 0
0
1 1 1
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
40
5.3 Risk Assessment Tahap ketiga dalam melakukan plan adalah risk assessment, tahapantahapan dalam melakukan risk assessment adalah sebagai berikut : 1. Melakukan Identifikasi Aset 2. Melakukan Identifikasi Kerawanan (Vulnerability) dan ancaman (Threats) 3. Menentukan Prioritas risiko 4. Mengembangkan Kontrol 5. Monitoring
Berikut adalah gambar alur dalam melakukan risk assessment
1. Identifikasi Aset
5. Monitoring
2. Identifikasi vulnerability dan threat
4. Mengembangkan kontrol
3. Menentukan Resiko prioritas Gambar 5. 4 Proses Risk Assessment
5.3.1 Identifikasi Aset Aset PT. XYZ yang berkaitan dengan keamanan informasi adalah sebagai berikut :
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
41
Tabel 5. 3 Aset Keamanan Informasi PT. XYZ No 1
Server
2.
Cisco Router
2.
DVR
Pemilik Alokasi Aset Perangkat Keras Accounting, Internal appdev, EDP. dan IT IT Internal dan Eksternal IT Internal
3.
Kamera CCTV
GA
Internal
4.
Access point
IT
5.
Firewall
IT
6.
Switch
IT
Internal dan eksternal Internal dan eksternal Internal
7.
Modem Dial up
EDP
8. 9.
Pintu PC, Laptop
GA IT
1.
Aset
2. 3.
Ms. Windows server 2003 Ms. Windows XP Redhat Linux
4.
Lokasi Ruang server dan ruang EDP lt. 5, ruang appdev lt. 4 Ruang server lt. 5 gedung a Ruang server lt. 2 gedung b, Ruang server lt. 5 gedung a, Ruang cctv gudang 60 titik di gedung a, gedung b dan gudang Lt. 1 dan lt 2 gedung a Ruang server lt. 5 gedung a 25 titik di gedung a, gedung b dan gudang Ruang EDP lt. 5 gedung a Disetiap ruangan Berada di setiap lantai
Internal dan eksternal Internal Internal
Aset Perangkat Lunak IT Internal IT Programmer dan appdev
Internal Internal
Cent Os
Programmer dan appdev
Internal
5.
Ubuntu
Programmer dan appdev
Internal
6.
Email internal
IT
Internal
7.
Email Eksternal
IT
Internal dan eksternal
Ruang server lt. 5 gedung a Semua user Ruang programmer dan ruang Appdev Ruang programmer dan ruang Appdev Ruang programmer dan ruang Appdev Ruang server lt. 5 geduang a Ruang server lt. 5 geduang a Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
42
No 8.
Aset Website DI
Pemilik Sales IT
Alokasi Internal dan eksternal Internal
Lokasi Ruang server lt. 5 geduang a Ruang TI lt. 5 geduang a
9.
11.
MRTG (Multi Router Traffic Grapher) HRIS (Human Resources Information System) Orlansoft
HRD
Internal
Ruang server lt. 5 geduang a
Accounting
Internal
V-guard
IT
Internal
13.
Antivirus
IT
Internal
14.
Document Management (Integrator)
Produksi
Internal
Ruang server lt. 5 geduang a Ruang server lt. 5 geduang a Ruang server lt. 5 geduang a Ruang server lt. 5 geduang a
12.
10.
1.
PT. XYZ - Bank DEF
EDP
2.
PT. XYZ - Bank GHI
EDP
3.
PT. XYZ – Bank PQR
EDP
4.
PT. XYZ – Bank ABC
EDP
5.
PT. XYZ – Bank STU
EDP
6.
PT. XYZ – Bank MNO
EDP
7.
PT. XYZ - Bank JKL
EDP
1.
Orang
HRD
Aset Jejaring Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Aset Lain-lain Internal
Ruang server lt. 2 gedung b Ruang EDP lt. 5 gedung a Ruang EDP lt. 5 gedung a Ruang EDP lt. 5 gedung a Ruang EDP lt. 5 gedung a Ruang EDP lt. 5 gedung a Ruang EDP lt. 5 gedung a
Karyawan XYZ
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
PT.
43
5.3.2 Identifikasi Kerawanan dan Ancaman Setelah identifikasi aset yang berkaitan dengan sistem keamnan informasi di PT. XYZ, selanjutnya dilakukan identifikasi terhadap kerawanan (vulnerability) dan ancaman (threats) yang mungkin terjadi pada aset-aset tersebut. Proses identifikasi dilakukan dengan wawancara dan diskusi dengan PJS dan staff TI PT. XYZ. Hasil identifikasi kerawanan dan ancaman sebagai berikut :
Tabel 5. 4 Hasil Identifikasi Kerawanan No 1.
2.
3. 4. 5. 6.
7. 8. 9.
Kerawanan (Vulnerability) Persyaratan sharing password, pengamanan identitas dan hak akses user yang tidak tepat. Misalnya : password default, password ditulis pada kertas yang menempel dimonitor, sharing akun dan password atau account dan password digunakan bersamaan. Informasi cetak (hardcopy) maupun non cetak (softcopy) yang ditaruh atau disimpan ditempat yang tidak tepat. Misalnya : informasi softcopy ditaruh di hardisk komputer bukan di file server Patching (update) yang terlambat atau versi yang sudah lama dan ketinggalan Proses pemeliharaan (maintenance) dan pengawasan (monitoring) tidak berjalan dan tidak terpantau. Perangkat lunak dan perangkat keras sudah habis lifetimenya serta sparepart yang sudah tidak di support oleh vendor Ada IP public yang bisa diakses karyawan atau user dari jarak jauh. Misalnya : Ada beberapa server yang dapat diakses melalui web Konfigurasi sistem yang masih mengikuti bawaan pabrik, sehingga password mudah ditebak. Beberapa PC belum dihardening dengan benar. Misalnya : port USB yang masih terbuka, user dapat mengganti IP. Password yang tidak dirubah secara berkala
Kode V1
V2
V3 V4 V5 V6
V7 V8 V9
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
44
Tabel 5. 5 Hasil Identifikasi Ancaman No 1. 2. 3. 4. 5. 6. 7.
Ancaman (Threats) Serangan virus, worm dan malware Spam pada email yang menyebabkan email-email penting tertunda baik dalam pengiriman maupun penerimaan Penerobosan sistem oleh pihak eksternal Penerobosan sistem oleh pihak internal Kegagalan sistem akibat kerusakan perangkat keras dan perangkat lunak Pengrusakan aset secara fisik Kartu akses yang terdaftar bisa digunakan siapa saja
Kode T1 T2 T3 T4 T5 T6 T7
5.3.3 Menentukan Prioritas Risiko Tahapan-tahapan dalam menentukan risiko prioritas adalah : Mengkombinasikan 2 tahapan sebelumnya (identifikasi aset, identifikasi kerawanan dan ancaman) sehingga didapatkan risiko yang mungkin terjadi. Mengkategorikan risiko Mengidentifikasi kecenderungan (likelihood) dan dampak (impacts) dari risiko. Mengidentifikasi Inherent risk dan residual risk
Untuk menentukan prioritas risiko, harus ditentukan dulu definisi dari kecenderungan, dampak dan risiko yang diakibatkan oleh risiko terhadap organisasi. Berikut adalah pemetaan dari kecenderungan, dampak dan risiko
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
45
Tabel 5. 6 Nilai Kecenderungan Kecenderungan Jarang
Probabilitas kemungkinan terjadi rendah berkisar 0 - 5 kalipertahun
Sedang
Probabilitas kemungkinan terjadi sedang berkisar 6 – 10 pertahun
sering
Probabilitas kemungkinan terjadi tinggi berkisar > 10 per-tahun
Tabel 5. 7 Nilai Dampak Dampak Rendah
Sedang
Tinggi
-
Dampak tidak terlalu berpengaruh pada organisasi
-
Nilai kerusakan tidak penting bagi organisasi
-
Downtime rendah, < 4 jam
-
Dampak berpengaruh pada kegiatan operasional
-
Nilai kerusakan penting bagi organisasi
-
Downtime sedang, 5-24 jam
-
Dampak berpengaruh pada operasional dan bisnis
-
Nilai kerusakan menjadi perhatian utama organisasi
-
Downtime tinggi, >2 4 jam
Tabel 5. 8 Nilai risiko Risiko Rendah Sedang Tinggi Kritis
Tidak berpengaruh pada operasional dan bisnis Berpengaruh pada kegiatan operasional Berpengaruh pada kegiatan operasional dan bisnis Dapat mematikan bisnis
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
46
Setelah mendefinisikan kecenderungan, dampak dan risiko, langkah selanjutnya adalah mengukur tingkat risiko saat ini (Inherent Risk), Inherent risk yang terjadi dapat dilihat pada Tabel 5.9 Nilai Inherent Risk Dari hasil Inherent risk, nantinya dapat ditentukan risiko yang akan dimitigasi. Untuk proses penentuan risiko apa yang harus segera di mitigasi dapat dilihat pada risk appetite. Risk appetite dapat dilihat pada Tabel 5.10 Risk Appetite
Setelah melakukan mitigasi pada sebuah risiko, selanjutnya diukur Residual risk. Residual risk dilihat pada Tabel 5.11 Nilai Residual Risk
Tabel 5. 9 Nilai Inherent Risk Likelihood Impacts
Jarang
Sedang
Sering
(0.1)
(0.5)
(1.0)
Rendah
Rendah
Sedang
Sedang
(10)
(1.0)
(5)
(10)
Sedang
Sedang
Tinggi
Tinggi
(50)
(5)
(25)
(50)
Tinggi
Tinggi
Tinggi
Kritis
(100)
(10)
(50)
(100)
Setelah semua terpetakan, selanjutnya dipeetakan vulnerability dan threats pada aset, menilai dampak yang ditimbulkan, dengan kontrol yang ada didapatkan nilai risiko saat ini (Inherent Risk).
Dari Tabel 5.12 Prioritas Risiko dan Nilai Inherent Risk dapat dilihat bahwa ada 4 aset yang memiliki risiko kritis dan ada 15 aset yang memiliki risiko tinggi. Dari sini dapat diambil tindakan atau kontrol yang tepat agar risiko
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
47
kritis dan tinggi yang ada dapat dikurangi atau dihilangkan. Tabel 5.13 adalah hasil dari menerapkan rencana kerja dan nilai residual risk.
Tabel 5. 10 Risk Appetite Likelihood Impacts
Jarang
Sedang
Sering
Rendah
Accept
Accept
mitigate
Sedang
Accept
Mitigate
Mitigate
Tinggi
Mitigate
Mitigate
Mitigate
Tabel 5. 11 Nilai Residual Risk Likelihood Impacts
Rendah
Jarang
Sedang
Sering
(0.1)
(0.5)
(1.0)
Hilang
Sedang
Sedang
(5)
(10)
(10) Sedang
Sedang
Tinggi
Tinggi
(50)
(5)
(25)
(50)
Tinggi
Tinggi
Tinggi
Kritis
(100)
(10)
(50)
(100)
Dari Tabel 5.14 Risk Register adalah Gabungan dari Tabel 5.12 .Prioritas risiko dan nilai inherent risk serta Taebl 5.13 Rencana kerja dan nilai residual risk ditambahkan dengan PIC yang bertugas melakukan monitoring terhadap aset.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
48
Tabel 5. 12 Prioritas Risiko dan Nilai Inherent Risk No Aset
1.
Server
2.
Cisco Router
3.
DVR (Digital Video Recorder)
4.
Kamera CCTV
Deskripsi Risiko - Dampak Kontrol existing Vulnerability Threats Dampak Aset Perangkat Keras V4, V5, V8 T5, T6, Kinerja karyawan Pintu Ruang server dan T7 terganggu dan ruang transfer EDP kegiatan operasional sudah menggunakan terkendala. kartu akses. setiap ruang server diberi CCTV Ruang server sudah dilengkapi UPS dan pendingin. Ada log untuk yang masuk ke ruang server tetapi tidak pernah diisi. V5 T6, T7 jaringan akan lumpuh Pintu ruang server dan mengganggu sudah menggunakan operasioanl kartu akses. V5 T6, T7 Hasil rekaman cctv Pintu ruang server tidak tersimpan. sudah menggunakan kartu akses dan pintu gudang sudah menggunakan kunci V5 T6 Pantauan terhadap Ditaruh ditempat yang situasi perusahaan sulit dijangkau. tidak ada.
Nilai Inherent Likelihood Impacts Risiko Sedang
Sedang
Tinggi
Jarang
Rendah
Rendah
Sering
Tinggi
Kritis
Jarang
Tinggi
Tinggi
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
49
No Aset 5.
Access point
6.
Firewall
7.
Switch
8.
Modem Dial up
9.
Pintu
10. PC, Laptop
Deskripsi Risiko - Dampak Vulnerability Threats Dampak V5 T6 Pengrusakan fisik Access point. Karyawan tidak dapat menggunakan access point V5 T6, T7 Tidak ada penyaring informasi yang keluar dan masuk. V5 T6, T7 Beberapa jaringan akan lumpuh dan mengganggu operasioanl perusahaan. V5 T6, T7 Koneksi dengan bank yang masih menggunakan dial up akan terganggu. V5 T6, T7 Ruangan penting dapat dimasuki dengan mudah oleh pihak yang tidak berwenang V5, V8 T5, T6 Terjadi penyebaran virus memalui PC dan laptop yang terhubung ke jaringan.
Kontrol existing Ditaruh ditempat yang sulit dijangkau. Ada beberapa access point
Nilai Inherent Likelihood Impacts Risiko Jarang Rendah Rendah
Pintu ruang server sudah menggunakan kartu akses Ada bebrapa switch yang hanya diberi box pengaman dan ditaruh di luar ruang server
Jarang
Rendah
Rendah
Jarang
Sedang
Sedang
Ruang EDP lt. 5 gedung a sudah menggunakan kartu akses. Akses menggunakan kartu
Jarang
Tinggi
Tinggi
Jarang
Tinggi
Tinggi
Setiap PC dipasang aplikasi security administrator
Jarang
Tinggi
Tinggi
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
50
No Aset
Deskripsi Risiko - Dampak Kontrol existing Vulnerability Threats Dampak User dapat mengambil informasi penting mengandalkan port USB yg terbuka IP conflict PC user dapat diakses oleh pihak yang tidak berwenang
1.
Ms. Windows server 2003
V1, V3, V4, V5, V9
T1, T4, T5, T7
2.
Ms. Windows XP
V1, V3, V5, V8, V9
T1, T4, T5, T7
Aset Perangkat Lunak File penting dalam Bukan Ms. Windows server dapat dirubah asli. oleh pihak yang tidak Hampir semua berwenang. password administrator Bukan OS asli menggunakan nama sehingga tidak bisa divisi masing-masing. diupdate. Tidak pernah dilakukan pergantian password. Pintu Ruang server dan ruang EDP sudah menggunakan kartu akses Dapat diakses oleh Bukan windows XP pihak yang tidak asli. berwenang. Beberapa PC yang Bukan OS asli menggunakan windows
Nilai Inherent Likelihood Impacts Risiko
Jarang
Tinggi
Tinggi
Jarang
Sedang
Tinggi
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
51
No Aset
3.
Redhat Linux
4.
Cent Os
5.
Ubuntu
6.
Email internal
7.
Email Eksternal
Deskripsi Risiko - Dampak Vulnerability Threats Dampak sehingga tidak bias diupdate V1, V8, V9 T4, T5, Hasil coding T7 programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V8, V9 T4, T5, Hasil coding T7 programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V8, V9 T4, T5, Hasil coding T7 programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V4, V9 T1, T2, Komunikasi internal T3, T4, terganggu karena T5, T7 banyak e-mail berulang. V1, V4, V9 T1, T2, Komunikasi eksternal T3, T4, terganggu karena
Kontrol existing xp sudah dihardening dengan benar Pintu masuk programmer sudah menggunakan kartu akses. Ruang programmer sudah dipasang CCTV Pintu masuk programmer sudah menggunakan kartu akses. Ruang programmer sudah dipasang CCTV Pintu masuk programmer sudah menggunakan kartu akses. Ruang programmer sudah dipasang CCTV Semua password email internal dipegang oleh div. IT. Semua password email exsternal dipegang oleh
Nilai Inherent Likelihood Impacts Risiko
Jarang
Rendah
Rendah
Jarang
Rendah
Rendah
Jarang
Rendah
Rendah
Sering
Sedang
Tinggi
Sering
Tinggi
Kritis
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
52
No Aset
8.
Website DI
9.
MRTG (Multi Router Traffic Grapher) 10. HRIS (Human Resources Information System) 11. Orlansoft
Deskripsi Risiko - Dampak Vulnerability Threats Dampak T5, T7 email yang keluar dan masuk banyak spam sehingga harus antri. V4, V9 T1, T3, Pengrusakan website T4, T5, yang dapat mencemarkan nama baik V4, V9 T1, T4, Hidup mati jaringan T5, T6, tidak terpantau T7 V1, V4, V9 T1, T4, Karyawan tidak dapat T5, T7 mengisi form absen
V4, V9
T1, T4, T5, T7
V1, V3, V4, V5, V9
T1, T4, T5, T7
13. Norton Antivirus V1, V3, V4, V9
T1, T4, T5, T7
14. Document Management (Integrator)
T1, T4, T5, T7
12. V-guard
V1, V4, V9
Kontrol existing
Nilai Inherent Likelihood Impacts Risiko
div. IT
Pintu ruang server sudah menggunakan kartu akses
Jarang
Rendah
Rendah
Pintu ruang TI sudah menggunakan kartu akses Pintu ruang server sudah menggunakan kartu akses
Jarang
Rendah
Rendah
Jarang
Rendah
Rendah
Pintu ruang server sudah menggunakan kartu akses Aplikasi rekaman Pintu ruang server CCTV akan terganggu sudah menggunakan kartu akses Komputer akan Pintu ruang server diserang virus sudah menggunakan kartu akses Terganggunya kinerja Pintu ruang server karyawan sudah menggunakan kartu akses
Jarang
Rendah
Rendah
Sering
Tinggi
Kritis
Jarang
Sedang
Sedang
Jarang
Sedang
Sedang
Terganggunya kinerja karyawan
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
53
No Aset
Deskripsi Risiko - Dampak Vulnerability Threats Dampak
1.
PT. XYZ – Bank V1, V2, V3, DEF V4, V5, V8, V9
T1, T4, T5, T7
2.
PT. XYZ - Bank GHI
V1, V2, V3, V4, V5, V8, V9
T4, T5, T7
3.
PT. XYZ – Bank V1, V2, V3, PQR V4, V5, V8, V9
T4, T5, T7
Aset Jejaring Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam
Kontrol existing
Nilai Inherent Likelihood Impacts Risiko
Ruang server lt. 2 gedung b sudah menggunakan kartu akses. Password administrator dipegang div. IT
Jarang
Tinggi
Tinggi
Ruang EDP lt. 5 gedung a sudah menggunakan kartu akses. administrator dipegang div. IT
Jarang
Tinggi
Tinggi
Ruang EDP lt. 5 gedung a sudah menggunakan kartu akses. administrator dipegang
Jarang
Tinggi
Tinggi
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
54
No Aset
4.
5.
Deskripsi Risiko - Dampak Vulnerability Threats Dampak pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang PT. XYZ – Bank V1, V2, V3, T4, T5, Proses pengiriman ABC V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang PT. XYZ – Bank V1, V2, V3, STU V4, V5, V8, V9
T4, T5, T7
Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang
Kontrol existing
Nilai Inherent Likelihood Impacts Risiko
div. IT
Ruang EDP lt. 5 Sering gedung a sudah menggunakan kartu akses. Password administrator dipegang oleh 2 orang dengan rincian password potongan pertama dipegang div.IT dan potongan kedua div. HRD Ruang EDP lt. 5 Jarang gedung a sudah menggunakan kartu akses. administrator dipegang div. IT
Tinggi
Kritis
Tinggi
Tinggi
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
55
No Aset
Kontrol existing
6.
Ruang EDP lt. 5 gedung a sudah menggunakan kartu akses. administrator dipegang div. IT
7.
1.
Deskripsi Risiko - Dampak Vulnerability Threats Dampak PT. XYZ – Bank V1, V2, V3, T4, T5, Proses pengiriman MNO V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang PT. XYZ - Bank V1, V2, V3, T4, T5, Proses pengiriman JKL V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Aset Lain-lain Orang V1, V2, V4, T3, T4, Kebocoran informasi V6, V9 T6, T7 dengan kesengajaan. Perngrusakan aset. Karyawan yang sudah resign masih bisa
Nilai Inherent Likelihood Impacts Risiko Jarang Tinggi Tinggi
Ruang EDP lt. 5 gedung a sudah menggunakan kartu akses. Administrator dipegang div. IT
Jarang
Tinggi
Tinggi
Hukuman bagi pelanggar. Monitoring dengan cctv.
Jarang
Tinggi
Tinggi
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
56
No Aset
Deskripsi Risiko - Dampak Vulnerability Threats Dampak masuk kewebmail
Kontrol existing
Nilai Inherent Likelihood Impacts Risiko
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
57
Tabel 5. 13 Rencana Kerja dan Nilai Residual Risk No Aset
1.
Server
2.
Cisco Router
3.
DVR
4.
Kamera CCTV
5.
Access point
6.
Firewall
7.
Switch
Deskripsi Risiko - Dampak Rencana Kerja Vulnerability Threats Dampak Aset Perangkat Keras V4, V5, V8 T5, T6, Kinerja karyawan RK-V4, RK-V5, RKT7 terganggu dan V8, RK-T5, RK-T6, kegiatan operasional RK-T7, RK-D1 terkendala. V5 T6, T7 jaringan akan lumpuh RK-V5, RK-T6, RKdan mengganggu T7, RK-D7 operasioanl V5 T6, T7 Hasil rekaman cctv RK-V5, RK-T6, RKtidak tersimpan T7, RK-D2 V5 T6 Pantauan terhadap RK-V5, RK-T6, RK-D3 situasi perusahaan tidak ada V5 T6 Pengrusakan fisik RK-V5, RK-T6, RK-D4 Access point. Karyawan tidak dapat menggunakan access point V5 T6, T7 Tidak ada penyaring RK-V5, RK-T6, RKinformasi yang keluar T7, RK-D6 dan masuk V5 T6, T7 Beberapa jaringan RK-V5, RK-T6, RKakan lumpuh dan T7, RK-D7 mengganggu
Nilai Residual Likelihood Impacts Risiko Jarang
Sedang
Sedang
Jarang
Rendah
Hilang
Jarang
Tinggi
Tinggi
Jarang
Sedang
Sedang
Jarang
Rendah
Hilang
Jarang
Rendah
Hilang
Jarang
Rendah
Hilang
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
58
No Aset
8.
Modem Dial up
9.
Pintu
10. PC, Laptop
1.
Ms. Windows
Deskripsi Risiko - Dampak Vulnerability Threats Dampak operasioanl perusahaan. V5 T6, T7 Koneksi dengan bank yang masih menggunakan dial up akan terganggu. V5 T6, T7 Ruangan penting dapat dimasuki dengan mudah oleh pihak yang tidak berwenang V5, V8 T5, T6 Terjadi penyebaran virus memalui PC dan laptop yang terhubung ke jaringan. User dapat mengambil informasi penting mengandalkan port USB yg terbuka IP conflict PC user dapat diakses oleh pihak yang tidak berwenang
V1, V3, V4, T1, T4,
Rencana Kerja
Nilai Residual Likelihood Impacts Risiko
RK-V5, RK-T6, RKV7, RK-D8
Jarang
Sedang
Sedang
RK-V5, RK-T6, RKT7, RK-D9
Jarang
Sedang
Sedang
RK-V5, RK-V8, RKT5, RK-T6, RK-D10, RK-D11, RK-D12, RKD13
Jarang
Sedang
Sedang
Jarang
Sedang
Sedang
Aset Perangkat Lunak File penting dalam RK-V1, RK-V3, RK-4,
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
59
No Aset server 2003
2.
Ms. Windows XP
3.
Redhat Linux
4.
Cent Os
5.
Ubuntu
Deskripsi Risiko - Dampak Vulnerability Threats Dampak V5, V9 T5, T7 server dapat dirubah oleh pihak yang tidak berwenang. Bukan OS asli sehingga tidak bisa diupdate. V1, V3, V5, T1, T4, Dapat diakses oleh V8, V9 T5, T7 pihak yang tidak berwenang. Bukan OS asli sehingga tidak bias diupdate V1,V8, V9 T1, T4, Hasil coding T5, T7 programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V8, V9 T1, T4, Hasil coding T5, T7 programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V8, V9 T1, T4, Hasil coding T5, T7 programmer serta
Rencana Kerja
Nilai Residual Likelihood Impacts Risiko
RK-V5, RK-V9, RKT1, RK-T4, RK-T5, RK-T7, RK-D14, RKD15
RK-V1, RK-V3, RKV5, RK-V8, RK-V9, RK-T1, RK-T4, RKT5, RK-T7, RK-D13, RK-D15
Jarang
Sedang
Sedang
RK-V1, RK-V8, RKV9, RK-T1, RK-T4, RK-T5, RK-T7, RKD13
Jarang
Rendah
Hilang
RK-V1, RK-V8, RKV9, RK-T1, RK-T4, RK-T5, RK-T7, RKD13
Jarang
Rendah
Hilang
RK-V1, RK-V8, RKV9, RK-T1, RK-T4,
Jarang
Rendah
Hilang
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
60
No Aset
6.
Email internal
7.
Email Eksternal
8.
Website DI
9.
MRTG (Multi Router Traffic Grapher)
10. HRIS (Human Resources Information System) 11. Orlansoft
Deskripsi Risiko - Dampak Vulnerability Threats Dampak appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V4, V9 T1, T2, Komunikasi internal T3, T4, terganggu karena T5, T7 banyak e-mail berulang. V1, V4, V9 T1, T2, Komunikasi eksternal T3, T4, terganggu karena T5, T7 email yang keluar dan masuk banyak spam sehingga harus antri. V4, V9 T1, T3, Pengrusakan website T4, T5, yang dapat mencemarkan nama baik V1, V4, V9 T1, T4, Hidup mati jaringan T5, T7 tidak terpantau
V1, V4, V9
T1, T4, T5, T7
Karyawan tidak dapat mengisi form absen
V4, V9
T1, T4,
Terganggunya kinerja
Rencana Kerja
Nilai Residual Likelihood Impacts Risiko
RK-T5, RK-T7, RKD13
RK-V1, RK-V4, RKV9, RK-T1, RK-T2, RK-T3, RK-T4, RKT5, RK-T7, RK-D16 RK-V1, RK-V4, RKV9, RK-T1, RK-T2, RK-T3, RK-T4, RKT5, RK-T7, RK-D17
Jarang
Sedang
Sedang
Jarang
Tinggi
Tinggi
RK-V4, RK-V9, RKT1, RK-T3, RK-T5, RK-T7, RK-D18
Jarang
Rendah
Hilang
RK-V1, RK-V4, RKV9, RK-T1, RK-T4, RK-T5, RK-T7, RKD19 RK-V1, RK-V4, RKV9, RK-T1, RK-T4, RK-T5, RK-T7, RK-20
Jarang
Rendah
Hilang
Jarang
Rendah
Hilang
RK-V4, RK-V9, RK-
Jarang
Rendah
Hilang
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
61
No Aset
Deskripsi Risiko - Dampak Vulnerability Threats Dampak T5, T7 karyawan
12. V-guard
V1, V3, V4, T1, T4, V5, V9 T5, T7
Aplikasi rekaman CCTV akan terganggu
13. Norton Antivirus
V1, V3, V4, T1, T4, V9 T5, T7
Komputer akan diserang virus
14. Document Management (Integrator)
V1, V4, V9
Terganggunya kinerja karyawan
T1, T4, T5, T7
1.
PT. XYZ - Bank DEF
V1, V2, V3, T4, T5, V4, V5, V8, T7 V9
2.
PT. XYZ - Bank GHI
V1, V2, V3, T4, T5, V4, V5, V8, T7
Aset Jejaring Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank
Rencana Kerja T1, RK-T4, RK-T5, RK-T7, RK-D1 RK-V1, RK-V3, RKV4, RK-V5, RK-V9, T1, RK-T4, RK-T5, RK-T7, RK-D21 RK-V1, RK-V3, RKV4, RK-V9, T1, RKT4, RK-T5, RK-T7, RK-D22 RK-V1, RK-V4, RKV9, T1, RK-T4, RKT5, RK-T7, RK-D1
Nilai Residual Likelihood Impacts Risiko
Jarang
Tinggi
Tinggi
Jarang
Rendah
Hilang
Jarang
Rendah
Hilang
RK-V1, RK-V2, RKV3, RK-V4, RK-V5, RK-V8, RK-V9, RKT4, RK-T5, RK-T7, RK-D23
Jarang
Sedang
Sedang
RK-V1, RK-V2, RKV3, RK-V4, RK-V5,
Jarang
Sedang
Sedang
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
62
No Aset
3.
PT. XYZ – Bank PQR
4.
PT. XYZ – Bank ABC
Deskripsi Risiko - Dampak Vulnerability Threats Dampak V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang V1, V2, V3, T4, T5, Proses pengiriman V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang V1, V2, V3, T4, T5, Proses pengiriman V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah
Rencana Kerja
Nilai Residual Likelihood Impacts Risiko
RK-V8, RK-V9, RKT4, RK-T5, RK-T7, RK-D23
RK-V1, RK-V2, RKV3, RK-V4, RK-V5, RK-V8, RK-V9, RKT4, RK-T5, RK-T7, RK-D23
Jarang
Sedang
Sedang
RK-V1, RK-V2, RKV3, RK-V4, RK-V5, RK-V8, RK-V9, RKT4, RK-T5, RK-T7, RK-D23
Jarang
Tinggi
Tinggi
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
63
No Aset
5.
PT. XYZ – Bank STU
6.
PT. XYZ – Bank MNO
7.
PT. XYZ - Bank JKL
Deskripsi Risiko - Dampak Vulnerability Threats Dampak oleh pihak yang tidak berwenang V1, V2, V3, T4, T5, Proses pengiriman V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang V1, V2, V3, T4, T5, Proses pengiriman V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang V1, V2, V3, T4, T5, Proses pengiriman V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi
Rencana Kerja
Nilai Residual Likelihood Impacts Risiko
RK-V1, RK-V2, RKV3, RK-V4, RK-V5, RK-V8, RK-V9, RKT4, RK-T5, RK-T7, RK-D23
Jarang
Sedang
Sedang
RK-V1, RK-V2, RKV3, RK-V4, RK-V5, RK-V8, RK-V9, RKT4, RK-T5, RK-T7, RK-D23
Jarang
Sedang
Sedang
RK-V1, RK-V2, RKV3, RK-V4, RK-V5, RK-V8, RK-V9, RKT4, RK-T5, RK-T7,
Jarang
Sedang
Sedang
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
64
No Aset
1.
Orang
Deskripsi Risiko - Dampak Vulnerability Threats Dampak penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Aset Lain-Lain V1, V2, V4, T3, T4, Kebocoran informasi V6, V9 T6, T7 dengan kesengajaan. Perngrusakan aset. Karyawan yang sudah resign masih bisa masuk kewebmail
Rencana Kerja
Nilai Residual Likelihood Impacts Risiko
RK-D23
RK-V1, RK-V2, RKV4, RK-V6, RK-V9, RK-T3, RK-T4, RKT6, RK-T7, RK-D25, RK-D26
Jarang
Sedang
Sedang
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
65
Tabel 5. 14 Risk Register No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
Threats
Kontrol existing Dampak
Nilai Inherent L
I
Risk Appetite R
Nilai Residual L
I
R
Rencana kerja
Target selesai
Aset Perangkat Keras 1.
Server
IT Acc EDP Appd
V4, V5, V8
T5, T6, T7
Kinerja karyawan terganggu dan kegiatan operasional terkendala.
2.
Cisco Router
IT
V5
T6, T7
jaringan akan lumpuh dan mengganggu
Pintu Ruang server dan ruang transfer EDP sudah menggunaka n kartu akses. setiap ruang server diberi CCTV Ruang server sudah dilengkapi UPS dan pendingin. Ada log untuk yang masuk ke ruang server tetapi tidak pernah diisi. Pintu ruang server sudah menggunaka n kartu
Sedang
Sedang
Tinggi
Mitigate
Jarang
Sedang
Sedang
RK-V4, RK-V5, RK-V8, RK-T5, RK-T6, RK-T7, RK-D1
Segera
Jarang
Rendah
Rendah
Accept
Jarang
Rendah
Hilang
RK-V5, RK-T6, RK-T7, RK-D7
Tahun Berikutnya
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
66
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
Threats
3.
DVR
IT
V5
T6, T7
4.
Kamera CCTV
GA
V5
T6
5.
Access point
IT
V5
T6
6.
Firewall
IT
V5
T6, T7
Kontrol existing Dampak operasioanl Hasil rekaman cctv tidak tersimpan.
Pantauan terhadap situasi perusahaan tidak ada. Pengrusakan fisik Access point. Karyawan tidak dapat menggunaka n access point Tidak ada penyaring informasi yang keluar dan masuk.
Nilai Inherent
Risk Appetite
L
I
R
Sering
Tinggi
Kritis
Jarang
Tinggi
Ditaruh ditempat yang sulit dijangkau. Ada beberapa access point
Jarang
Pintu ruang server sudah menggunaka n kartu akses
Jarang
akses. Pintu ruang server sudah menggunaka n kartu akses dan pintu gudang sudah menggunaka n kunci Ditaruh ditempat yang sulit dijangkau.
Nilai Residual
Rencana kerja
Target selesai
L
I
R
Mitigate
Jarang
Tinggi
Tinggi
RK-V5, RK-T6, RK-T7, RK-D2
Segera
Tinggi
Mitigate
Jarang
Sedang
Sedang
RK-V5, RK-T6, RK-D3
Segera
Rendah
Rendah
Accept
Jarang
Rendah
Hilang
RK-V5, RK-T6, RK-D4
Tahun Berikutnya
Rendah
Rendah
Accept
Jarang
Rendah
Hilang
RK-V5, RK-T6, RK-T7, RK-D6
Tahun Berikutnya
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
67
No
Aset
PIC
Deskripsi Risiko - Dampak
Kontrol existing
Vulnerability
Threats
Dampak
7.
Switch
IT
V5
T6, T7
Beberapa jaringan akan lumpuh dan mengganggu operasioanl perusahaan.
8.
Modem Dial up
EDP
V5
T6, T7
9.
Pintu
GA
V5
T6, T7
10.
PC, Laptop
IT
V5, V8
T5, T6
Koneksi dengan bank yang masih menggunaka n dial up akan terganggu. Ruangan penting dapat dimasuki dengan mudah oleh pihak yang tidak berwenang Terjadi penyebaran virus memalui PC dan laptop yang
Nilai Inherent
Risk Appetite
L
I
R
Ada bebrapa switch yang hanya diberi box pengaman dan ditaruh di luar ruang server Ruang EDP lt. 5 gedung a sudah menggunaka n kartu akses.
Jarang
Sedang
Sedang
Jarang
Tinggi
Akses menggunaka n kartu
Jarang
Setiap PC dipasang aplikasi security administrato r
Jarang
Nilai Residual
Rencana kerja
Target selesai Tahun Berikutnya
L
I
R
Accept
Jarang
Rendah
Hilang
RK-V5, RK-T6, RK-T7, RK-D7
Tinggi
Mitigate
Jarang
Sedang
Sedang
RK-V5, RK-T6, RK-V7, RK-D8
Segera
Tinggi
Tinggi
Mitigate
Jarang
Sedang
Sedang
RK-V5, RK-T6, RK-T7, RK-D9
Segera
Tinggi
Tinggi
Mitigate
Jarang
Sedang
Sedang
RK-V5, RK-V8, RK-T5, RK-T6, RKD10,
Segera
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
68
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
Threats
Kontrol existing Dampak
Nilai Inherent L
I
Risk Appetite R
Nilai Residual L
I
Rencana kerja R
terhubung ke jaringan. User dapat mengambil informasi penting mengandalk an port USB yg terbuka IP conflict PC user dapat diakses oleh pihak yang tidak berwenang
1.
Ms. Windows server 2003
IT
V1, V3, V4, V5, V9
T1, T4, T5, T7
File penting dalam server dapat dirubah oleh pihak yang tidak berwenang. Bukan OS asli sehingga tidak bisa diupdate.
Target selesai
RKD11, RKD12, RK-D13
Aset perangkat lunak Bukan Ms. Jarang Tinggi Windows asli. Hampir semua password administrato r menggunaka n nama divisi masing-
Tinggi
Mitigate
Jarang
Sedang
Sedang
RK-V1, RK-V3, RK-4, RK-V5, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RKD14, RK-D15
Segera
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
69
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
Threats
Kontrol existing Dampak
2.
Ms. Windows XP
IT
V1, V3, V5, V8, V9
T1, T4, T5, T7
Dapat diakses oleh pihak yang tidak berwenang. Bukan OS asli sehingga tidak bias diupdate
3.
Redhat Linux
Prog & appd
V1, V8, V9
T4, T5, T7
Hasil coding programmer serta appdev dapat diakses atau
masing. Tidak pernah dilakukan pergantian password. Pintu Ruang server dan ruang EDP sudah menggunaka n kartu akses Bukan windows XP asli. Beberapa PC yang menggunaka n windows xp sudah dihardening dengan benar Pintu masuk programmer sudah menggunaka n kartu
Nilai Inherent
Risk Appetite
L
I
R
Jarang
Sedang
Sedang
Jarang
Rendah
Rendah
Accept
Accept
Nilai Residual L
I
R
Jarang
Sedang
Sedang
Jarang
Rendah
Hilang
Rencana kerja
Target selesai
RK-V1, RK-V3, RK-V5, RK-V8, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RKD13, RK-D15 RK-V1, RK-V8, RK-V9, RK-T1, RK-T4,
Tahun Berikutnya
Tahun Berikutnya
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
70
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
Threats
Kontrol existing Dampak dirusak oleh pihak yang tidak berwenang.
4.
Cent Os
Prog & appd
V1, V8, V9
T4, T5, T7
Hasil coding programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang.
5.
Ubuntu
Prog & appd
V1, V8, V9
T4, T5, T7
Hasil coding programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang.
6.
Email
IT
V1, V4, V9
T1, T2, T3, T4, T5, T7
Komunikasi internal
Nilai Inherent L
akses. Ruang programmer sudah dipasang CCTV Pintu masuk programmer sudah menggunaka n kartu akses. Ruang programmer sudah dipasang CCTV Pintu masuk programmer sudah menggunaka n kartu akses. Ruang programmer sudah dipasang CCTV Semua password
I
Risk Appetite R
Nilai Residual L
I
Rencana kerja
Target selesai
R RK-T5, RK-T7, RK-D13
Jarang
Rendah
Rendah
Accept
Jarang
Rendah
Hilang
RK-V1, RK-V8, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RK-D13
Tahun Berikutnya
Jarang
Rendah
Rendah
Accept
Jarang
Rendah
Hilang
RK-V1, RK-V8, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RK-D13
Tahun Berikutnya
Sering
Sedang
Tinggi
Mitigate
Jarang
Sedang
Sedang
RK-V1, RK-V4,
Segera
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
71
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
Threats
internal
Kontrol existing Dampak
Nilai Inherent L
terganggu karena banyak email berulang.
email internal dipegang oleh div. IT.
I
Risk Appetite R
7.
Email Eksternal
IT
V1, V4, V9
T1, T2, T3, T4, T5, T7
Komunikasi eksternal terganggu karena email yang keluar dan masuk banyak spam sehingga harus antri.
Semua password email exsternal dipegang oleh div. IT
Sering
Tinggi
Kritis
8.
Website DI
IT
V4, V9
T1, T3, T4, T5,
Pengrusakan website yang dapat mencemarka n nama baik
Pintu ruang server sudah menggunaka n kartu akses
Jarang
Rendah
9.
MRTG (Multi Router Traffic
IT
V4, V9
T1, T4, T5, T6, T7
Hidup mati jaringan tidak terpantau
Pintu ruang TI sudah menggunaka n kartu akses
Jarang
Rendah
Nilai Residual L
I
Rencana kerja
Target selesai
R
Mitigate
Jarang
Tinggi
Tinggi
Rendah
Accept
Jarang
Rendah
Hilang
Rendah
Accept
Jarang
Rendah
Hilang
RK-V9, RK-T1, RK-T2, RK-T3, RK-T4, RK-T5, RK-T7, RK-D16 RK-V1, RK-V4, RK-V9, RK-T1, RK-T2, RK-T3, RK-T4, RK-T5, RK-T7, RK-D17 RK-V4, RK-V9, RK-T1, RK-T3, RK-T5, RK-T7, RK-D18 RK-V1, RK-V4, RK-V9, RK-T1, RK-T4,
Segera
Tahun Berikutnya
Tahun Berikutnya
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
72
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
Threats
Kontrol existing Dampak
Nilai Inherent L
I
Risk Appetite R
Nilai Residual L
I
Rencana kerja
Target selesai
R
Grapher)
10.
HRIS (Human Resources Information System)
HRD
V1, V4, V9
T1, T4, T5, T7
Karyawan tidak dapat mengisi form absen
Pintu ruang server sudah menggunaka n kartu akses
Jarang
Rendah
Rendah
Accept
Jarang
Rendah
Hilang
11.
Orlansoft
ACC
V4, V9
T1, T4, T5, T7
Terganggun ya kinerja karyawan
Pintu ruang server sudah menggunaka n kartu akses
Jarang
Rendah
Rendah
Accept
Jarang
Rendah
Hilang
12.
V-guard
IT
V1, V3, V4, V5, V9
T1, T4, T5, T7
Aplikasi rekaman CCTV akan terganggu
Pintu ruang server sudah menggunaka n kartu akses
Sering
Tinggi
Kritis
Mitigate
Jarang
Tinggi
Tinggi
13.
Antivirus
IT
V1, V3, V4, V9
T1, T4, T5, T7
Komputer akan
Pintu ruang server sudah
Jarang
Sedang
Sedang
Accept
Jarang
Rendah
Hilang
RK-T5, RK-T7, RK-D19 RK-V1, RK-V4, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RK-20 RK-V4, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RK-D1 RK-V1, RK-V3, RK-V4, RK-V5, RK-V9, T1, RKT4, RKT5, RKT7, RKD21 RK-V1, RK-V3,
Tahun Berikutnya
Tahun Berikutnya
Segera
Tahun Berikutnya
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
73
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
14.
1.
Document Management (Integrator)
PT. XYZ Bank DEF
Threats
Kontrol existing Dampak
L
diserang virus
menggunaka n kartu akses
Pintu ruang server sudah menggunaka n kartu akses
Prod
V1, V4, V9
T1, T4, T5, T7
Terganggun ya kinerja karyawan
EDP
V1, V2, V3, V4, V5, V8, V9
T1, T4, T5, T7
Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan
Nilai Inherent
Jarang
I
Sedang
Aset jejaring Ruang Jarang Tinggi server lt. 2 gedung b sudah menggunaka n kartu akses. Password administrato r dipegang div. IT
Risk Appetite R
Nilai Residual L
I
Rencana kerja
Target selesai
R
Sedang
Accept
Jarang
Rendah
Hilang
Tinggi
Mitigate
Jarang
Sedang
Sedang
RK-V4, RK-V9, T1, RKT4, RKT5, RKT7, RKD22 RK-V1, RK-V4, RK-V9, T1, RKT4, RKT5, RKT7, RKD1 RK-V1, RK-V2, RK-V3, RK-V4, RK-V5, RK-V8, RK-V9, RK-T4, RK-T5, RK-T7, RK-D23
Tahun Berikutnya
Segera
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
74
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
Threats
2.
PT. XYZ Bank GHI
EDP
V1, V2, V3, V4, V5, V8, V9
T4, T5, T7
3.
PT. XYZ – Bank PQR
EDP
V1, V2, V3, V4, V5, V8, V9
T4, T5, T7
Kontrol existing Dampak dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi
Nilai Inherent
Risk Appetite
L
I
R
Ruang EDP lt. 5 gedung a sudah menggunak an kartu akses. administrat or dipegang div. IT
Jarang
Tinggi
Tinggi
Ruang EDP lt. 5 gedung a sudah menggunak an kartu akses. administrat or dipegang
Jarang
Tinggi
Tinggi
Nilai Residual
Rencana kerja
Target selesai
L
I
R
Mitigate
Jarang
Sedang
Sedang
RK-V1, RK-V2, RK-V3, RK-V4, RK-V5, RK-V8, RK-V9, RK-T4, RK-T5, RK-T7, RK-D23
Segera
Mitigate
Jarang
Sedang
Sedang
RK-V1, RK-V2, RK-V3, RK-V4, RK-V5, RK-V8, RK-V9, RK-T4,
Segera
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
75
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
4.
PT. XYZ – Bank ABC
EDP
V1, V2, V3, V4, V5, V8, V9
Threats
T4, T5, T7
Kontrol existing Dampak penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang
Nilai Inherent L
I
Risk Appetite R
Nilai Residual L
I
Rencana kerja R
div. IT
Ruang EDP lt. 5 gedung a sudah menggunaka n kartu akses. Password administrato r dipegang oleh 2 orang dengan rincian password potongan pertama dipegang div.IT dan potongan kedua div. HRD
Target selesai
RK-T5, RK-T7, RK-D23
Sering
Tinggi
Kritis
Mitigate
Jarang
Sedang
Sedang
RK-V1, RK-V2, RK-V3, RK-V4, RK-V5, RK-V8, RK-V9, RK-T4, RK-T5, RK-T7, RK-D23
Segera
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
76
No
Aset
PIC
Deskripsi Risiko - Dampak
Kontrol existing
Vulnerability
Threats
Dampak Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi
5.
PT. XYZ – Bank STU
EDP
V1, V2, V3, V4, V5, V8, V9
T4, T5, T7
6.
PT. XYZ – Bank MNO
EDP
V1, V2, V3, V4, V5, V8, V9
T4, T5, T7
Nilai Inherent
Risk Appetite
L
I
R
Ruang EDP lt. 5 gedung a sudah menggunak an kartu akses. administrat or dipegang div. IT
Jarang
Tinggi
Tinggi
Ruang EDP lt. 5 gedung a sudah menggunak an kartu akses. administrat or dipegang div. IT
Jarang
Tinggi
Tinggi
Nilai Residual
Rencana kerja
Target selesai
L
I
R
Mitigate
Jarang
Sedang
Sedang
RK-V1, RK-V2, RK-V3, RK-V4, RK-V5, RK-V8, RK-V9, RK-T4, RK-T5, RK-T7, RK-D23
Segera
Mitigate
Jarang
Sedang
Sedang
RK-V1, RK-V2, RK-V3, RK-V4, RK-V5, RK-V8, RK-V9, RK-T4, RK-T5, RK-T7, RK-D23
Segera
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
77
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
Threats
7.
PT. XYZ Bank JKL
EDP
V1, V2, V3, V4, V5, V8, V9
T4, T5, T7
1.
Orang
HRD
V1, V2, V4, V6, V9
T3, T4, T6, T7
Kontrol existing Dampak dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Kebocoran informasi dengan kesengajaan. Perngrusaka
Ruang EDP lt. 5 gedung a sudah menggunak an kartu akses. Administrat or dipegang div. IT
Nilai Inherent
Risk Appetite
L
I
R
Jarang
Tinggi
Tinggi
Tinggi
Aset Lain-lain Hukuman Jarang Tinggi bagi pelanggar. Monitoring dengan
Nilai Residual
Rencana kerja
Target selesai
L
I
R
Mitigate
Jarang
Sedang
Sedang
RK-V1, RK-V2, RK-V3, RK-V4, RK-V5, RK-V8, RK-V9, RK-T4, RK-T5, RK-T7, RK-D23
Segera
Mitigate
Jarang
Sedang
Sedang
RK-V1, RK-V2, RK-V4, RK-V6,
Segera
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
78
No
Aset
PIC
Deskripsi Risiko - Dampak Vulnerability
Threats
Kontrol existing Dampak n aset. Karyawan yang sudah resign masih bisa masuk kewebmail
Nilai Inherent L
I
Risk Appetite R
cctv.
Nilai Residual L
I
Rencana kerja
Target selesai
R RK-V9, RK-T3, RK-T4, RK-T6, RK-T7, RKD25, RK-D26
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
79
5.3.4 Mengembangkan Kontrol Yang dimaksud dengan Mengembangkan kontrol disini adalah dengan mengidentifikasi kontrol yang sudah ada pada aset-aset keamanan informasi lalu dikembangkan sehingga didapat kontrol baru yang dapat mengurangi risiko yang terjadi. Rencana kerja dan nilai residual risk dapat dilihat pada tabel 5.13. 5.4 Menetapkan Kontrol Setelah mengetahui risiko-risiko yang harus diperbaiki, selanjutnya dipilih kontrol yang akan digunakan untuk mengurangi nilai risiko. Untuk menetapkan control dapat dilihat dari hasil identifikasi kerawanan, ancaman dan dampak. Tabel 5. 15 Kontrol ISO 27001 untuk Kerawanan No
Kerawanan
Kontrol
ISO
Rencana kerja
Kode
Melakukan sosialisasi terhadap pengguna untuk mengikuti pedoman pengamanan yang baik dalam pemilihan dan penggunaan password.
RKV1
Melakukan perlindungan untuk penangan dan penyimpanan informasi dari pengungkapan yang yidak sah atau penyalahgunaan.
RKV2
27001 1
2
Persyaratan sharing User password, responsibilities pengamanan identitas dan hak akses user yang tidak tepat. Misalnya : password default, password ditulis pada kertas yang menempel dimonitor, sharing akun dan password atau account dan password digunakan bersamaan. Informasi cetak Media Handling (hardcopy) maupun non cetak (softcopy) yang ditaruh atau disimpan ditempat yang tidak tepat. Misalnya : informasi softcopy ditaruh di hardisk
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
80
No
Kerawanan
Kontrol
ISO
Rencana kerja
Kode
Melakukan pengujian system informasi yang sesuai guna menyesuaikan criteria acceptance sistem informasi yang baru, upgrade, dan versi baru Menetapkan dan menjalankan prosedur untuk pemantauan panggunaan fasilitas informasi.penggunaan sistem
RKV3
Membuat sebuah prosedur yang mengatur tentang pengendalian instalasi perangkat yang terkait dengan sistem operasional Membuat prosedur pemeliharaan barang untuk memastikan ketersediaan dan integritas layanan Melakukan metoda identifikasi peralatan dan otentikasi user Membuat kebijakan teleworking
RKV5.1
Menghapus seluruh hak akses user yang telah berhenti, maksimal sehari setelah status user dilaporkan secara resmi Membuat konfigurasi, Pembatasan terhadap sistem aplikasi dan fungsinya sesuai dengan kebijakan yang ada.
RKV6.3
27001
3
4
5
6
7
komputer bukan di file server Patching (update) yang terlambat atau versi yang sudah lama dan ketinggalan
System planning and acceptance
Proses pemeliharaan (maintenance) dan pengawasan (monitoring) tidak berjalan dan tidak terpantau. Perangkat lunak dan perangkat keras sudah habis lifetimenya serta sparepart yang sudah tidak di support oleh vendor
Monitoring
Ada IP public yang bisa diakses karyawan atau user dari jarak jauh. Misalnya : Ada beberapa server yang dapat diakses melalui web
Network Access control
Konfigurasi sistem yang masih mengikuti bawaan pabrik, sehingga password mudah ditebak.
Application and Information access control
Security of system files
Equipment security
Mobile computing and teleworking Terminating or change employment
RKV4
RKV5.2
RKV6.1 RKV6.2
RKV7
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
81
No
Kerawanan
Kontrol
ISO
Rencana kerja
Kode
Network access control
Melakukan pengendalian akses secara fisik dan logical terhadap diagnostic dan configuration port
RKV8
User Access Management
Peninjauan hak akses pengguna secara regular dengan menggunakan proses formal.
RKV9
27001 8
9
Beberapa PC belum dihardening dengan benar. Misalnya : port USB yang masih terbuka, user dapat mengganti IP. Password yang tidak dirubah secara berkala
Tabel 5. 16 Kontrol ISO 27001 untuk ancaman No Ancaman
Kontrol
ISO Rencana kerja
Kode
27001 1
Serangan virus, worm dan malware
Reporting information security events and weakness
2
Spam pada email yang menyebabkan email-email penting tertunda baik dalam pengiriman maupun penerimaan Penerobosan sistem oleh pihak eksternal
Exchane of information
3
4
Penerobosan sistem oleh pihak internal
Mengurangi dampak akibat serangan virus dengan cara Melakukan implementasi dan penyusunan terhadap pelaporan kejadian, respon insiden dan prosedur eskalasi Melakukan perlindungan informasi yang tepat dalam bentuk pesan elektronik.
RKT1
Termination or Melakukan penyesuaian change of dengan perubahan hak employment akses semua pegawai yang masa kerjanya sudah berakhir. Network Melakukan metode access control otentikasi yang tepat untuk mengendalikan akses pengguna. User access Mengendalikan alokasi management password dengan proses manajemen formal. Network Melakukan metode
RKT3.1
RKT2
RKT3.2
RKT4.1 RK-
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
82
No Ancaman
Kontrol
ISO Rencana kerja
Kode
27001 access control
5
Kegagalan sistem akibat kerusakan perangkat keras dan perangkat lunak
Equipment security
6
Pengrusakan aset secara fisik
Equipment security
7
Kartu akses yang terdaftar bisa digunakan siapa saja
Secure Area
otentikasi yang tepat untuk mengendalikan akses pengguna. Membuat prosedur pemeliharaan barang untuk memastikan ketersediaan dan integritas layanan Menempatkan atau melindungi peralatan untuk mengurangi risiko dari ancaman dan bahaya lingkungan serta peluang akses oleh pihak yang tidak berwenang. Membuat perimeter keamanan (batasan fisik seperti dinding, pintu masik ) untuk melindungi area yang berisi informasi dan fasilitas pengolahan informasi.
T4.2
RKT5
RKT6
RKT7
Tabel 5. 17 Kontrol ISO 27001 untuk Dampak No
Dampak
Kontrol ISO 27001 During Employment
1
Kinerja karyawan terganggu dan kegiatan operasional terkendala
2
Hasil rekaman cctv tidak tersimpan
Monitoring
3
Pantauan terhadap situasi perusahaan
Monitoring
Rencana Kerja
Kode
Melakukan pelatihan kepedulian, pendidikan dan pelatihan keamanan informasi untuk semua pegawai. Kegiatan pengguna dan kejadian keamanan informasi dijaga untuk membantu investigasi di masa yang akan datang Pemantauan penggunaan fasilitas
RKD1
RKD2
RKD3
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
83
No
Dampak
Kontrol 27001
ISO
tidak ada
Rencana Kerja
Kode
pengolahan informasi
4
Pengrusakan fisik Access point.
Equipment security
5
Karyawan tidak dapat menggunakan access point
Responsibilities for asset
6
Tidak ada penyaring informasi yang keluar dan masuk
Network Access Control
7
Beberapa jaringan akan lumpuh dan mengganggu operasional perusahaan
Network Access Control
8
Koneksi dengan bank yang masih menggunakan dial up akan terganggu
Network Access Control
9
Ruangan penting dapat dimasuki dengan mudah oleh pihak yang tidak berwenang
Secure Areas
10
Terjadi penyebaran virus memalui PC dan laptop yang terhubung ke
Network Access Control
Menempatkan atau melindungi peralatan untuk mengurangi risiko dari ancaman dan bahaya lingkungan serta peluang akses oleh pihak yang tidak berwenang. Penggunaan informasi dan aset yang dapat diterima terkait dengan fasilitas pengolahan informasi. Segresi jaringan menggunakan mekanisme perimeter keamanan yang sesuai Menerapkan pengendalian routing dalam jaringan untuk memastikan koneksi jaringan dan aliran informasi tidak mengganggu jaringan yang vital. Menetapkan pengendalian routing berdasarkan skema sumber dan tujuan yang dikenal. Membuat perimeter keamanan (batasan fisik seperti dinding, pintu masuk ) untuk melindungi area yang berisi informasi dan fasilitas pengolahan informasi. Me8mbuat identifikasi peralatan secara otomatis guna mengotentikasi koneksi lokasi dan
RKD4
RKD5
RKD6
RKD7
RKD8
RKD9
RKD10
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
84
No
Dampak
Kontrol 27001
ISO
jaringan. 11
User dapat mengambil informasi penting mengandalkan port USB yg terbuka
Network access control
12
IP conflict
Network Access Control
13
PC user dapat diakses oleh pihak yang tidak berwenang
User access management
14
File penting dalam server dapat dirubah oleh pihak yang tidak berwenang.
User access management
15
Bukan OS asli sehingga tidak bisa diupdate.
System planning and acceptance
16
Komunikasi internal terganggu karena banyak e-mail yang berulang
Exchange information
of
17
Komunikasi eksternal terganggu karena email yang keluar dan masuk banyak spam sehingga harus antri.
Exchange Information
of
18
Pengrusakan website yang dapat mencemarkan nama baik
Electronic commerce services
Rencana Kerja jenis peralatan secara spesifik. Mengendalikan akses secara fisik dan logical terhadap diagnostic dan configutaion port
Kode
RKD11
Melakukan metode otentikasi yang tepat untuk mengendalikan akses pengguna. Mengendalikan alokasi password dengan proses manajemen formal. Peninjauan hak akses pengguna secara regular dengan menggunakan proses formal. Melakukan pengujian sistem informasi yang sesuai guna menyesuaikan criteria acceptance sistem informasi yang baru, upgrade, dan versi baru Melakukan perlindungan informasi yang tepat dalam bentuk pesan elektronik. Melakukan perlindungan informasi yang tepat dalam bentuk pesan elektronik.
RKD12
Melakukan integritas informasi yang tersedia pada sistem yang digunakan untuk umum guna
RKD18
RKD13
RKD14
RKD15
RKD16
RKD17
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
85
No
Dampak
Kontrol 27001
ISO
19
Hidup mati jaringan tidak terpantau
Monitoring
20
Karyawan tidak dapat mengisi form absen
Responsibilities for asset
21
Aplikasi rekaman CCTV akan terganggu
Application and Information access control
22
Komputer akan diserang virus
Reporting information security events and weakness
23
Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam percatakan.
Network Access Control
External Parties
24
Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang
User access management
25
Kebocoran informasi yang disengaja
During employment
Rencana Kerja melindungi dan mencegah modifikasi yang tidak sah. Menetapkan dan menjalankan prosedur untuk pemantauan panggunaan fasilitas informasi. Penggunaan informasi dan aset yang dapat diterima terkait dengan fasilitas pengolahan informasi. Melakukan isolasi terhadap terhadap lingkungan aplikasi sistem yang sensitif Melakukan implementasi dan penyusunan terhadap pelaporan kejadian, respon insiden dan prosedur eskalasi Melakukan pengendalian akses dan persyaratan dalam aplikasi bisnis untuk jaringan yang digunakan bersama. Melakukan identifikasi terhadap risiko informasi organisasi dari proses bisnis yang melibatkan pihakpihak eksternal Peninjauan hak akses pengguna secara regular dengan menggunakan proses formal. Melakukan pelatihan kepedulian, pendidikan dan pelatihan keamanan informasi untuk semua
Kode
RKD19
RKD20
RKD21
RKD22
RKD23.1
RKD23.2
RKD24
RKD25
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
86
No
Dampak
Kontrol 27001
ISO
26
Karyawan yang sudah resign masih bisa masuk kewebmail
Terminating or Change of employment.
Rencana Kerja pegawai. Melakukan penyesuaian dengan perubahan hak akses semua pegawai yang masa kerjanya sudah berakhir.
Kode
RKD26
5.5 Menetapkan Kebijakan dan Prosedur Disini akan dibuat kebijakan, prosedur, instruksi dan dokumentasi yang nantinya akan digunakan sebagai acuan dalam penerapan beberapa kontrol yang terkait dengan masalah-masalah yang dihadapi PT. XYZ.
Gambar 5. 5 Struktur Dokumentasi ISMS
5.5.1 Kebijakan, Prosedur, Instruksi dan Dokumentasi Hasil dari pemetaan kontrol ISO 27001 terhadap kerawanan dan ancaman didapatkan beberapa kebijakan, prosedur dan instruksi yang seharusnya ada. Kebijakan, prosedur dan instruksi tersebut dapat dilihat pada pemetaan berikut. Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
87
Tabel 5. 18 Kebijakan, Prosedur, Instruksi dan Dokumentasi No
Kontrol ISO 27001
1.
User responsibilities
2.
Media Handling
3.
System planning and acceptance
4.
Monitoring
Kebijakan, Prosedur dan Instruksi serta dokumentasi 1. User diinstruksikan untuk mengikuti pedoman pengamanan yang baik dalam pemilihan dan penggunaan password 2. User diinstruksikan untuk memastikan peralatan yang ditinggal sudah terlindungi dengan tepat. Misalnya log off saat meninggalkan komputer. 3. Membuat kebijakan clear desk terhadap kertas dan media penyimpanan yang dapat dipindahkan. 4. Membuat kebijakan clear screen untuk fasilitas pengolahan informasi. 1. Membuat prosedur untuk manajemen media yang dapat dipindahkan. Misalnya disk, memory card. 2. Membuat instruksi dokumentasi dan definisi terhadap media yang dapat dipindahkan. 3. Membuat prosedur pemusnahan media yang tidak diperlukan 4. Membuat prosedur penanganan dan penyimpanan informasi. 5. Membuat dokumentasi sistem yang sudah terlindungi atas akses yang tidak sah. 1. Membuat dokumentasi yang disesuaikan dan diproyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja sistem. 2. Membuat dokumentasi sistem informasi yang baru, yang sudah diupgrade dan versi baru yang sdah diuji. 1. Membuat dokumentasi log audit untuk membantu investigasi di masa mendatang. 2. Membuat prosedur pemantauan penggunaan fasilitas pengolahan informasi. 3. Membuat dokumentasi hasil pemantauan dan pengawasan yang diperlukan berdasarkan tingkat risiko. 4. Membuat prosedur pengamanan fasilitas log dan informasi log hasil pemantauan dan pengawasan dari gangguan dan akses yang tidak sah. 5. Melakukan dokumentasi kegiatan sistem administrator dan operator dan dianalisa secara regular. 6. Membuat dokumentasi kesalahan dalam melakukan log audit dan dokumentasi log Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
88
No
Kontrol ISO 27001
5.
Security of system files
6.
Equipment security
7.
Network Access control
Kebijakan, Prosedur dan Instruksi serta dokumentasi ditentukan berdasarkan tingkat risiko. 7. Membuat dokumentasi waktu yang sudah disingkronisasikan dengan sumber penunjuk waktu akurat yang sudah disepakati. 1. Membuat prosedur untuk mengendalikan instalasi perangkat lunak pada sistem operasional. 2. Membuat prosedur perlindungan informasi. 3. Membuat prosedur akses ke informasi 1. Membuat prosedur tempat perlindungan peralatan keamanan untuk melindungi dari ancaman oleh pihak yang tidak berwenang 2. Membuat prosedur sarana pendukung unhtuk melindungi peralatan dari kegagalan catu daya 3. Membuat prosedur pengamanan kabel dan jaringan yang membawa data informasi. 4. Membuat prosedur pemeliharaan peralatan untuk memastikan ketersediaan dan integritas layanan. 5. Membuat prosedur keamanan untuk melindungi peralatan yang berada diluar lokasi. 6. Membuat prosedur peralatan informasi penyimpanan yang memuat informasi sensitif dan perangkat lunak berlisensi telah dihapus sebelum dibuang. 7. Membuat prosedur yang mengatur peralatan, informasi atau perangkat lunak dibawa keluar lokasi. 1. Membuat kebijakan yang mengatur tentang jaringan dan service yang disediakan diatas jaringan. 2. Membuat dokumentasi user akses terhadap layanan yang diberikan dan kewenangan penggunaannya. 3. Membuat prosedur otentikasi untuk mengendalikan akses pengguna remot. 4. Membuat prosedur identifikasi peralatan secara otomatis mengotentikasi koneksi dan peralatan yang digunakan secara spesifik. 5. Membuat prosedur pengendalian akses fisik dan logical terhadap diagnostic dan konfigurasi port. 6. Membuat kebijakan pengelompokan layanan informasi, seperti memisahkan jaringan Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
89
No
Kontrol ISO 27001
8.
Mobile computing and teleworking
9.
Terminating or change of employment
10. Application and Information access control 11. User Access Management
12. Reporting information security events and weakness
13. Electronic commerce services 14. Secure Area
Kebijakan, Prosedur dan Instruksi serta dokumentasi wireless terhadap jaringan internal dan umum. 7. Membuat kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis. Membuat kebijakan pengamanan yang tepat untuk melindungi risiko dari penggunaan fasilitas mobile computing dan teleworking. 1. Membuat prosedur pengakhiran atau perubahan pekerjaan 2. Membuat prosedur pengembalian aset organisasi ketika pekerjaan, kontrak dan perjanjian berakhir 3. Membuat prosedur penghapusan hak akses untuk karyawan ketika pekerjaan, kontrak dan perjanjian berakhir 1. M,embuat kebijakan pengendalian akses terhadap informasi dan fungsi sistem aplikasi 2. Membuat prosedur keamanan lingkungan untuk aplikasi yang sensitif 1. Membuat prosedur pendaftaran dan pembatalan dalam pemberian dan pencabutan akses terhadap seluruh layanan dan sistem informasi. 2. Membuat kebijakan penggunaan hak akses 3. Membuat kiebijakan dalam menjaga kerahasiaan password 4. Membuat prosedur penggantian password secara regular 1. Membuat prosedur pelaporan insiden, respon insiden dan prosedur eskalasi untuk mengamankan informasi yang terkena serangan virus 2. Membuat dokumentasi dan melaporkan setiap kelemahan atas sistem atau layanan Membuat prosedur perlindungan informasi yang termasuk dalam layanan electronic commerce yang memalui jaringan public. 1. Membuat prosedur perimeter keamanan fisik untuk melindungi area yang berisi informasi dan fasilitas informasi 2. Membuat dokumentasi karyawan yang diperbolehkan masuk ke daerah secure untuk memastikan hanya karyawan yang berwenang yang mempuinyai akses masuk 3. Membuat prosedur pengamanan fisik untuk kantor, ruangan dan fasilitas 4. Membuat dokumentasi perlindungan fisik Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
90
No
Kontrol ISO 27001
Kebijakan, Prosedur dan Instruksi serta dokumentasi
5. 6.
15. Exchange of Information
1.
2. 3.
4. 5.
16. During Employment
1.
2.
3.
17. External Parties
1.
2.
3.
18. Responsibilities for assets
1.
terhadap kerusakan akibat dari bencana alam dan buatan manusia yang mungkin akan terjadi Membuat dokumentasi pedoman kerja dalam area yang aman Membuat dokumentasi titik akses public, seperti area bongkar muat dan titik lainnya dimana orang yang tidak berwenang dapat masuk kedalam lokasi. Membuat kebijakan dan prosedur pengendalian secara formal untuk melindungi pertukaran informasi. Melakukan dokumentasi perjanjian untuk pertukaran informasi pertukaran informasi. Membuat prosedur perlindungan untuk media yang memuat informasi terhadap akses yang tidak sah, penyalahgunaan atau kerusakan selama diluar batas fisik organisasi. Membuat prosedur perlindungan informasi dalam bentuk pesan elektronik. Membuat kebijakan dan prosedur untuk melindungi informasi yang berkaitan dengan interkoneksi sistem informasi bisnis Membuat instruksi guna menerapkan keamanan sesuai kebijakan dan prosedur yang sudah ditetapkan Melakukan dokumentasi pelatihan kepeduliaan dan kebijakan serta prosedur yang mutakhir secara regular. Melakukan kebijakan pendisiplinan untuk pegawai yang melakukan pelanggaran keamanan. Membuat prosedur penanganan risiko terhadap informasi organisasi dan fasilitas pengolahan informasi dari proses bisnis yang melibatkan pihak-pihak eksternal Melakukan dokumentasi persyaratan keamanan sebelum memberikan akses kepada pihak ketiga. Melakukan dokumentasi perjanjian dengan pihak ketiga yang meliputi pemberian hak akses, pengolahan, pengelolaan komunikasi dan informasi atau penambahan produk atau jasa. Melakukan dokumentasi semua aset dengan jelas dan inventaris semua aset penting. Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
91
No
Kontrol ISO 27001
Kebijakan, Prosedur dan Instruksi serta dokumentasi 2. Membuat kebijakan kepemilikan aset. 3. Melakukan dokumentasi penggunaan aset.
5.5.2 Kebijakan dan Prosedur Keamanan Informasi yang Berlaku
PT. XYZ adalah perusahaan milik swasta yang bergerak dalam bisnis percetakan billing statement. PT. XYZ seharusnya mengadopsi ISO 27001/ISMS
(Information
Security
Management
System)
karena
menyangkut keamanan informasi beberapa bank di Indonesia. Saat ini ada beberapa kebijakan dan prosedur yang sudah ada antara lain :
1. Kebijakan Pemakaian Fasilitas Hardware dan Software Komputer PT. XYZ (16 Mei 2005). 2. Kebijakan Penggunaan Password PT. XYZ (16 Mei 2005). 3. Kebijakan Pemakaian Akses Internet PT. XYZ (16 Mei 2005). 4. Kebijakan Penggunaan E-mail Perusahaan (16 Mei 2005). 5. Prosedur Standar Keadaan Emergency/Darurat untuk Penanganan Serverserver di PT. XYZ (2003) 6. Prosedur Peenanganan Komplain (17 Desember 2007). 7. Prosedur Copy Data atau Program dan Restore Data atau Program (17 Desember 2007). 8. Prosedur Peminjaman dan Pengembalian Barang TI (17 Desember 2007). 9. Prosedur Pengadaan Barang TI (17 Desember 2007). 10. Prosedur Back-Up Data (17 Desember 2007). 11. Prosedur Pengamanan Data dan Pelaporan Insiden (9 Agustus 2011).
5.5.3 Kebijakan, Prosedur, Instruksi dan Dokumentasi yang belum diterapkan (direkomendasikan)
1.
Kebijakan clear desk dan clear screen.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
92
2.
Kebijakan yang mengatur jaringan dan service yang disediakan atas jaringan.
3.
Kebijakan pengelompokan layanan informasi, seperti memisahkan jaringan wireless terhadap jaringan internal dan umum.
4.
Kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis.
5.
Kebijakan pengamanan untuk melindungi risiko dari penggunaan fasilitas mobile computing dan teleworking.
6.
Kebijakan pengendalian akses terhadap informasi dan fungsi sistem aplikasi
7.
Kebijakan penggunaan hak akses (sudah ada, kebijakan no 2)
8.
Kebijakan dalam menjaga kerahasiaan password
9.
Kebijakan pendisiplinan untuk pegawai yang melakukan pelanggaran keamanan
10. Kebijakan kepemilikan aset. 11. Kebijakan dan prosedur pengendalian secara formal untuk melindungi pertukaran informasi. 12. Kebijakan dan prosedur untuk melindungi informasi yang berkaitan dengan interkoneksi sistem informasi bisnis 13. Prosedur untuk manajemen media yang dapat dipindahkan 14. Prosedur pemusnahan media yang tidak diperlukan 15. Prosedur penanganan dan penyimpanan informasi. 16. Prosedur pemantauan penggunaan fasilitas pengolahan informasi. 17. Prosedur pengamanan fasilitas log dan informasi log hasil pemantauan dan pengawasan dari gangguan dan akses yang tidak sah. 18. Prosedur untuk mengendalikan instalasi perangkat lunak pada sistem operasional. 19. Prosedur perlindungan informasi 20. Prosedur akses ke informasi 21. Prosedur tempat perlindungan peralatan keamanan untuk melindungi dari ancaman oleh pihak yang tidak berwenang 22. Prosedur sarana pendukung untuk melindungi peralatan dari kegagalan catu daya Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
93
23. Prosedur pengamanan kabel dan jaringan yang membawa data informasi. 24. Prosedur pemeliharaan peralatan untuk memastikan ketersediaan dan integritas layanan. 25. Prosedur keamanan untuk melindungi peralatan yang berada diluar lokasi. 26. Prosedur peralatan informasi penyimpanan yang memuat informasi sensitif dan perangkat lunak berlisensi telah dihapus sebelum dibuang. 27. Prosedur yang mengatur peralatan, informasi atau perangkat lunak dibawa keluar lokasi. 28. Prosedur otentikasi untuk mengendalikan akses pengguna remot. 29. Prosedur identifikasi peralatan secara otomatis mengotentikasi koneksi dan peralatan yang digunakan secara spesifik. 30. Prosedur pengendalian akses fisik dan logical terhadap diagnostic dan konfigurasi port. 31. Prosedur pengakhiran atau perubahan pekerjaan 32. Prosedur pengembalian aset organisasi ketika pekerjaan, kontrak dan perjanjian berakhir 33. Prosedur penghapusan hak akses untuk karyawan ketika pekerjaan, kontrak dan perjanjian berakhir 34. Prosedur keamanan lingkungan untuk aplikasi yang sensitif 35. Prosedur pendaftaran dan pembatalan dalam pemberian dan pencabutan akses terhadap seluruh layanan dan sistem informasi. 36. Prosedur penggantian password secara regular 37. Prosedur pelaporan insiden, respon insiden dan prosedur eskalasi untuk mengamankan informasi yang terkena serangan virus 38. Prosedur perlindungan informasi yang termasuk dalam layanan electronic commerce yang memalui jaringan publik. 39. Prosedur perimeter keamanan fisik untuk melindungi area yang berisi informasi dan fasilitas informasi 40. Prosedur pengamanan fisik untuk kantor, ruangan dan fasilitas
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
94
41. Prosedur perlindungan untuk media yang memuat informasi terhadap akses yang tidak sah, penyalahgunaan atau kerusakan selama diluar batas fisik organisasi. 42. Prosedur perlindungan informasi dalam bentuk pesan elektronik 43. Prosedur penanganan risiko terhadap informasi organisasi dan fasilitas pengolahan informasi dari proses bisnis yang melibatkan pihak-pihak eksternal 44. Instruksi untuk mengikuti pedoman pengamanan yang baik dalam pemilihan dan penggunaan password 45. Instruksi untuk memastikan peralatan yang ditinggal sudah terlindungi dengan tepat. Misalnya log off saat meninggalkan komputer. 46. Instruksi dokumentasi dan definisi terhadap media yang dapat dipindahkan. 47. Membuat instruksi guna menerapkan keamanan sesuai kebijakan dan prosedur yang sudah ditetapkan 48. Dokumentasi sistem yang sudah terlindungi atas akses yang tidak sah. 49. Dokumentasi yang disesuaikan dan diproyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja sistem. 50. Dokumentasi sistem informasi yang baru, yang sudah diupgrade dan versi baru yang sdah diuji. 51. Dokumentasi log audit untuk membantu investigasi di masa mendatang. 52. Dokumentasi hasil pemantauan dan pengawasan yang diperlukan berdasarkan tingkat risiko. 53. Dokumentasi kegiatan sistem administrator dan operator dan dianalisa secara regular. 54. Dokumentasi kesalahan dalam melakukan log audit dan dokumentasi log ditentukan berdasarkan tingkat risiko. 55. Dokumentasi waktu yang sudah disingkronisasikan dengan sumber penunjuk waktu akurat yang sudah disepakati. 56. Dokumentasi user akses terhadap layanan yang diberikan dan kewenangan penggunaannya.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
95
57. Dokumentasi dan melaporkan setiap kelemahan atas sistem atau layanan 58. Dokumentasi karyawan yang diperbolehkan masuk ke daerah secure untuk memastikan hanya karyawan yang berwenang yang mempuinyai akses masuk 59. Dokumentasi perlindungan fisik terhadap kerusakan akibat dari bencana alam dan buatan manusia yang mungkin akan terjadi 60. Dokumentasi pedoman kerja dalam area yang aman 61. Dokumentasi titik akses publik, seperti area bongkar muat dan titik lainnya dimana orang yang tidak berwenang dapat masuk kedalam lokasi. 62. Dokumentasi perjanjian untuk pertukaran informasi pertukaran informasi 63. Dokumentasi pelatihan kepeduliaan dan kebijakan serta prosedur yang mutakhir secara regular. 64. dokumentasi persyaratan keamanan sebelum memberikan akses kepada pihak ketiga. 65. Dokumentasi perjanjian dengan pihak ketiga yang meliputi pemberian hak akses, pengolahan, pengelolaan komunikasi dan informasi atau penambahan produk atau jasa. 66. Dokumentasi semua aset dengan jelas dan inventaris semua aset penting. 67. Dokumentasi penggunaan aset.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
96
5.6 Statement Of Applicability Klausul
Kontrol
A5. SECURITY POLICY A5.1 Information Security Policy A.5.1.1 Information Security Policy Document A.5.1.2 Review of the Information security Policy
Implementasi
Justifikasi
Referensi
Satker/unit kerja
Tidak
Membuat dokumen kebijakan keamanan informasi Membuat dokumentasi hasil mereview kebijakan keamanan informasi
-
Mgtdev
-
Mgtdev
-
IT
-
IT
-
IT
-
IT
-
IT
-
IT
Tidak
A.6 ORGANIZATION OF INFOTMATION SECURITY A.6.1 Internal Organization A.6.1.1 Management commitment to Tidak Membuat dokumentasi komitmen information security manajemen terhadap keamanan informasi A.6.1.2 Information security Tidak Melakukan koordinasi keamanan coordination control informasi A.6.1.3 Allocation of information Tidak Menetapkan dengan jelas seluruh security responsibilities tanggung jawab keamanan informasi A.6.1.4 Authorization process for Tidak Menetapkan dengan jelas proses information processing otorisasi manajemen untuk facilities control fasilitas pengolahan informasi A.6.1.5 confidentiality agreements Tidak Membuat perjanjian kerahasiaan A.6.1.6
Contact with authorities
Tidak
Melakukan kontak dengan pihak berwenang yang relevan
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
97
Klausul
Kontrol
A.6.1.7
Contact with special interest groups
A.6.1.8
Independent review of information security A.6.2 External Parties A.6.2.1 Identification of risks related to external parties
Implementasi Tidak
Tidak
Ya
A.6.2.2
Addressing security when dealing with customers
Ya
A.6.2.3
Addressing security in third party agreements
Ya
A.7 ASSET MANAGEMENT A.7.1 Responsibilies for Assets A.7.1.1 Inventory of asset
Ya
Justifikasi
Referensi
Satker/unit kerja
Melakukan kontak dengan kelompok khusus atau forum ahli keamanan informasi Melakukan kajian independen terhadap keamanan informasi
-
IT
-
IT
Membuat prosedur penanganan risiko terhadap informasi organisasi dan fasilitas pengolahan informasi dari proses bisnis yang melibatkan pihakpihak eksternal Melakukan dokumentasi persyaratan keamanan sebelum memberikan akses kepada pihak ketiga Melakukan dokumentasi perjanjian dengan pihak ketiga yang meliputi pemberian hak akses, pengolahan, pengelolaan komunikasi dan informasi atau penambahan produk atau jasa
Impacts
Mgtdev
Impacts
IT
Impacts
IT
Melakukan dokumentasi semua aset dengan jelas dan inventaris
Impacts
IT Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
98
Klausul
Kontrol
Implementasi
A.7.1.2
Ownership of assets
Ya
A.7.1.3
Acceptable use of assets
Ya
A.7.2 Information Classification A.7.2.1 Classification guidelines A.7.2.2 Information labeling and handling
Justifikasi semua aset penting Membuat kebijakan kepemilikan aset Melakukan dokumentasi penggunaan aset.
Referensi
Satker/unit kerja
Impacts
Mgtdev
Impacts
IT
Tidak Tidak
Melakukan pedoman klasifikasi Membuat prosedur untuk pelabelan dan penanganan informasi
-
IT Mgtdev
A.8 HUMAN RESOPURCES SECURITY A.8.1 Prior to Employment A.8.1.1 Roles and responsibilities
Tidak
-
HRD
A.8.1.2
Tidak
Mendokumentasihan peran dan tanggung jawab Melakukan verifikasi latar belakang calon pegawai Membuat syarat dan aturan kepegawaian
-
HRD
-
HRD
Membuat instruksi guna menerapkan keamanan sesuai kebijakan dan prosedur yang sudah ditetapkan Melakukan dokumentasi pelatihan kepeduliaan dan kebijakan serta prosedur yang mutakhir secara
Impacts
IT
Impacts
IT
Screening
A.8.1.3
Terms and conditions of employment A.8.2 During Employment A.8.2.1 Management responsibilities
Ya
A.8.2.2
Ya
Information security awareness, education and training
Tidak
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
99
Klausul
Kontrol
Implementasi
A.8.2.3
Disciplinary prosess
Ya
A.8.3 Termination or Change of Employment A.8.3.1 Termination responsibilities Ya
A.8.3.2
A.8.3.3
Return of assets
Removal of access rights
Ya
Ya
A.9 PHYSICAL AND ENVIRONMENTAL SECURITY A.9.1 Secure Areas A.9.1.1 Physical security parameters Ya
A.9.1.2
Physical entry controls
Ya
Justifikasi
Referensi
regular. Melakukan kebijakan Impacts pendisiplinan untuk pegawai yang melakukan pelanggaran keamanan
Satker/unit kerja
Mgtdev
Membuat prosedur pengakhiran atau perubahan pekerjaan
Vulnerability,
Mgtdev
Membuat prosedur pengembalian aset organisasi ketika pekerjaan, kontrak dan perjanjian berakhir Membuat prosedur penghapusan hak akses untuk karyawan ketika pekerjaan, kontrak dan perjanjian berakhir
Vulnerability,
Membuat prosedur perimeter keamanan fisik untuk melindungi area yang berisi informasi dan fasilitas informasi Membuat dokumentasi karyawan yang diperbolehkan masuk ke daerah secure untuk memastikan hanya karyawan yang berwenang yang mempuinyai akses masuk
Threats, Impacts
Mgtdev
Threats, Impacts
IT
Threats, Impacts Mgtdev
Threats, Impacts Vulnerability,
Mgtdev
Threats, Impacts
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
100
Klausul
Kontrol
Implementasi Ya
A.9.1.3
Securing offices, rooms and facilities
A.9.1.4
Protecting againt external and environmental threats
Ya
A.9.1.5
Working in secure areas
Ya
A.9.1.6
Public access, delivery and loading areas
Ya
A.9.2 Equipment Security A.9.2.1 Equipment siting and protection
Ya
A.9.2.2
Ya
A.9.2.3
Supporting utilities
Cabling securities
Ya
Justifikasi
Referensi
Satker/unit kerja
Membuat prosedur pengamanan fisik untuk kantor, ruangan dan fasilitas Membuat dokumentasi perlindungan fisik terhadap kerusakan akibat dari bencana alam dan buatan manusia yang mungkin akan terjadi Membuat dokumentasi pedoman kerja dalam area yang aman Membuat dokumentasi titik akses public, seperti area bongkar muat dan titik lainnya dimana orang yang tidak berwenang dapat masuk kedalam lokasi.
Threats, Impacts
Mgtdev
Threats, Impacts
IT
Threats, Impacts
IT
Threats, Impacts
IT
Membuat prosedur tempat perlindungan peralatan keamanan untuk melindungi dari ancaman oleh pihak yang tidak berwenang Membuat prosedur sarana pendukung unhtuk melindungi peralatan dari kegagalan catu daya Membuat prosedur pengamanan kabel dan jaringan yang membawa data informasi
Vulnerability,
Mgtdev
Threats, Impacts Vulnerability,
Mgtdev
Threats, Impacts Vulnerability,
Mgtdev
Threats, Impacts Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
101
Klausul
Kontrol
A.9.2.4
Equipment maintenance
Implementasi Ya
Justifikasi
Membuat prosedur pemeliharaan peralatan untuk memastikan ketersediaan dan integritas layanan A.9.2.5 Security of equipment off Ya Membuat prosedur keamanan premises untuk melindungi peralatan yang berada diluar lokasi A.9.2.6 Secure disposal or re-use of Ya Membuat prosedur peralatan equipment informasi penyimpanan yang memuat informasi sensitif dan perangkat lunak berlisensi telah dihapus sebelum dibuang A.9.2.7 Removal of property Ya Membuat prosedur yang mengatur peralatan, informasi atau perangkat lunak dibawa keluar lokasi A.10 COMMUNICATION AND OPERATIONS MANAGEMENT A.10.1 Operational Procedures and Responsibilities A.10.1.1 Documented operating Tidak Membuat dokumentasi prosedur procedures operasi A.10.1.2 Change management Tidak Membuat dokumentasi perubahan terhadap fasilitas dan sistem pengolahan informasi A.10.1.3 Segregation of duties Tidak Melakukan pemishan tugas dan lingkup tanggung jawab A.10.1.4 Separation of development, test Tidak Melakukan pemisahan terhadap
Referensi
Satker/unit kerja
Vulnerability,
Mgtdev
Threats, Impacts Vulnerability,
Mgtdev
Threats, Impacts Vulnerability,
Mgtdev
Threats, Impacts
Vulnerability,
Mgtdev
Threats, Impacts
-
Mgtdev
-
Mgtdev
-
Mgtdev
-
IT Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
102
Klausul
Kontrol
Implementasi
and operational facilies
A.10.2.3
Monitoring and review of third party services Managing changes to third party services
Tidak Tidak
A.10.3 System Planning and Acceptance A.10.3.1 Capacity management
Ya
A.10.3.2
Ya
System acceptance
Referensi
Satker/unit kerja
Memastikan pengendalian keamanan, definisi jasa dan tingkat layanan Melakukan pemantauan dan pengkajian jasa pihak ketiga Melakukan pengelolaan perubahan terhadap jasa pihak ketiga
-
IT
-
IT
-
IT
Membuat dokumentasi yang disesuaikan dan diproyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja sistem Membuat dokumentasi sistem informasi yang baru, yang sudah diupgrade dan versi baru yang sdah diuji
Vulnerability, Impacts
IT
Vulnerability, Impacts
IT
-
IT
-
IT
pengembangan, pengujian dan operasional
A.10.2 Third Party Service Delivery Management A.10.2.1 Services delivery Tidak
A.10.2.2
Justifikasi
A.10.4 Protection Against Malicious and Mobile Code A.10.4.1 Control against malicious code Tidak Melakuakan pengendalian terhadap malicious code A.10.4.2 Control against mobile code Tidak Melakukan pengendalian terhadap mobile code
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
103
Klausul
Kontrol
Implementasi
Justifikasi
Referensi
Satker/unit kerja
A.10.5 Backup A.10.5.1 Information back-up
Tidak
Melakukan dokumentasi hasil back-up informasi
-
IT
A.10.6 Network Security Management A.10.6.1 Network controls
Tidak
-
IT
A.10.6.2
Tidak
Melakukan pengelolaan dan pengendalian jaringan Mengidentifikasi setiap perjanjian keamanan jaringan
-
IT
Membuat prosedur untuk manajemen media yang dapat dipindahkan. Misalnya disk, memory card Membuat prosedur pemusnahan media yang tidak diperlukan Membuat prosedur penanganan dan penyimpanan informasi. Membuat dokumentasi sistem yang sudah terlindungi atas akses yang tidak sah.
Vulnerability
Mgtdev
Vulnerability
Mgtdev
Vulnerability
Mgtdev
Vulnerability
IT
Membuat kebijakan dan prosedur pengendalian secara formal untuk melindungi pertukaran informasi Melakukan dokumentasi perjanjian untuk pertukaran
Threats, Impacts
Mgtdev
Threats, Impacts
IT
Security of network services
A.10.7 Media Handling A.10.7.1 Managements of removable media
Ya
A.10.7.2
Disposal of media
Ya
A.10.7.3
Information handling procedures Security of system documentation
Ya
A.10.7.4
Ya
A.10.8 Exchange of Information A.10.8.1 Information exchange policies and procedures
Ya
A.10.8.2
Ya
Exchange agreements
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
104
Klausul
Kontrol
Implementasi
A.10.8.3
Physical media in transit
Ya
A.10.8.4
Electronic messaging
Ya
A.10.8.5
Business information systems
Ya
A.10.9 Electronic Commerce Services A.10.9.1 Electronic commerce
Ya
A.10.9.2
On-line transaction
Tidak
A.10.9.3
Publicly available information
Tidak
Justifikasi informasi pertukaran informasi Membuat prosedur perlindungan untuk media yang memuat informasi terhadap akses yang tidak sah, penyalahgunaan atau kerusakan selama diluar batas fisik organisasi Membuat prosedur perlindungan informasi dalam bentuk pesan elektronik Membuat kebijakan dan prosedur untuk melindungi informasi yang berkaitan dengan interkoneksi sistem informasi bisnis Membuat prosedur perlindungan informasi yang termasuk dalam layanan electronic commerce yang memalui jaringan public. Membuat prosedur perlindungan yang termasuk dalam transaksi on-line Membuat prosedur perlindungan terhadap integritas informasi yang tersedia untuk umum
Referensi
Satker/unit kerja
Threats, Impacts
Mgtdev
Threats, Impacts
Mgtdev
Threats, Impacts
Mgtdev
Impacts
Mgtdev
Impacts
Mgtdev
Impacts
Mgtdev
A.10.10 Monitoring Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
105
Klausul
Kontrol
A.10.10. 1
Audit logging
Implementasi Ya
A.10.10. 2
Monitoring system use
Ya
A.10.10. 3
Protection of log information
Ya
A.10.10. 4
Administrator and operator logs
Ya
A.10.10. 5
Fault logging
Ya
A.10.10. 6
Clock synchronization
Ya
A.11 ACCESS CONTROL A.11.1 Business Control for Access Control A.11.1.1 Access control policy
Tidak
Justifikasi
Referensi
Satker/unit kerja
Membuat dokumentasi log audit Vulnerability, Impacts untuk membantu investigasi di masa mendatang Membuat dokumentasi hasil Vulnerability, Impacts pemantauan dan pengawasan yang diperlukan berdasarkan tingkat risiko. Membuat prosedur pengamanan Vulnerability, Impacts fasilitas log dan informasi log hasil pemantauan dan pengawasan dari gangguan dan akses yang tidak sah. Melakukan dokumentasi kegiatan Vulnerability, sistem administrator dan operator Impacts dan dianalisa secara regular. Membuat dokumentasi kesalahan Vulnerability, dalam melakukan log audit dan Impacts dokumentasi log ditentukan berdasarkan tingkat risiko Membuat dokumentasi waktu Vulnerability, yang sudah disingkronisasikan Impacts dengan sumber penunjuk waktu akurat yang sudah disepakati.
IT
Melakukan dokumentasi
IT
-
IT
Mgtdev
IT
IT
IT
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
106
Klausul
Kontrol
Implementasi
Justifikasi
Referensi
Satker/unit kerja
Membuat prosedur pendaftaran dan pembatalan dalam pemberian dan pencabutan akses terhadap seluruh layanan dan sistem informasi Membuat kebijakan penggunaan hak akses
Vulnerability,
Mgtdev
Membuat kiebijakan dalam menjaga kerahasiaan password
Vulnerability,
Ya
Membuat prosedur penggantian password secara regular
Vulnerability, Threats,
Mgtdev
A.11.3 User Responsibilities A.11.3.1 Password use
Ya
Vulnerability
IT
A.11.3.2
Unattended user equipment
Ya
Vulnerability
IT
A.11.3.3
Clear desk and clear screen
Ya
User diinstruksikan untuk mengikuti pedoman pengamanan yang baik dalam pemilihan dan penggunaan password User diinstruksikan untuk memastikan peralatan yang ditinggal sudah terlindungi dengan tepat. Misalnya log off saat meninggalkan komputer Membuat kebijakan clear desk
Vulnerability
Mgtdev
kebijakan pengendalian akses A.11.2 User Access Management A.11.2.1 User registration
A.11.2.2
A.11.2.3
A.11.2.4
Privilege management
User password management
Review of user access rights
Ya
Ya
Ya
Threats, Impacts
Vulnerability,
Mgtdev
Threats, Impacts Mgtdev
Threats, Impacts
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
107
Klausul
Kontrol
Implementasi
policy
Ya
A.11.4.2
User authentication for external connections
Ya
Equipment identification in networks
Ya
Remote diagnostics and configuration port protection
Ya
Segreration in networks
Ya
A.11.4.4
A.11.4.5
Referensi
Satker/unit kerja
Vulnerability,
Mgtdev
terhadap kertas dan media penyimpanan yang dapat dipindahkan. Membuat kebijakan clear screen untuk fasilitas pengolahan informasi.
A.11.4 Network Access Control A.11.4.1 Policy on use of network services
A.11.4.3
Justifikasi
Membuat kebijakan yang mengatur tentang jaringan dan service yang disediakan diatas jaringan. Membuat prosedur otentikasi untuk mengendalikan akses pengguna remot Membuat prosedur identifikasi peralatan secara otomatis mengotentikasi koneksi dan peralatan yang digunakan secara spesifik Membuat prosedur pengendalian akses fisik dan logical terhadap diagnostic dan konfigurasi port Membuat kebijakan pengelompokan layanan informasi, seperti memisahkan jaringan wireless terhadap
Threats, Impacts Vulnerability,
Mgtdev
Threats, Impacts Vulnerability,
Mgtdev
Threats, Impacts
Vulnerability,
Mgtdev
Threats, Impacts Vulnerability,
Mgtdev
Threats, Impacts
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
108
Klausul
Kontrol
Implementasi
A.11.4.6
Network connection control
Ya
A.11.4.7
Network routing control
Ya
A.11.5 Operating System Access Control A.11.5.1 Secure log-on procedures
Tidak
A.11.5.2
Tidak
A.11.5.3
User identification and authentication Password management systems
A.11.5.4
Use of system utilities
Tidak
A.11.5.5
Session time-out
Tidak
A.11.5.6
Limitation of connection time
Tidak
Tidak
Justifikasi jaringan internal dan umum Membuat kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis. Membuat dokumentasi pengendalian routing berdasarkan skema sumber dan tujuan Melakukan pengendalian prosedur log-on Melakukan identifikasi dan otentifikasi terhadap id pengguna Melakukan pengelolaan password dan memastikan kualitas password Melakukan pengendalian atas program utility yang mampu mengesampingkan pengendalian sistem Membuat mekanisme sesi untuk yang tidak aktif dalam jangka waktu tertentu Melakukan pembatasan waktu koneksi untuk aplikasi yang berisiko tinggi
Referensi
Satker/unit kerja
Vulnerability,
Mgtdev
Threats, Impacts Vulnerability,
IT
Threats, Impacts -
IT
-
IT
-
IT
-
IT
-
IT
-
IT
A.11.6 Application and Information Access Control Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
109
Klausul
Kontrol
A.11.6.1
Information access restriction
Justifikasi
Referensi
Satker/unit kerja
Membuat kebijakan pengendalian akses terhadap informasi dan fungsi sistem aplikasi Membuat prosedur keamanan lingkungan untuk aplikasi yang sensitif
Vulnerability,
Mgtdev
Membuat kebijakan pengamanan yang tepat untuk melindungi risiko dari penggunaan fasilitas mobile computing dan teleworking. A.11.7.2 Teleworking Ya Membuat kebijakan pengamanan yang tepat untuk melindungi risiko dari penggunaan fasilitas teleworking. A.12 INFORMATION SYSTEM ACQUISITION, DEVELOPMENT AND MAINTENANCE A.12.1 Security Requirements of Information Systems A.12.1.1 Security requirement analysis Tidak Melakukan analisis dan and specification spesifikasi persyaratan keamanan A.12.2 Correct Processing in Applications A.12.2.1 Input data validation Tidak Melakukan validasi informasi A.12.2.2 Control of internal processing Tidak Melakukan validasi untuk mendeteksi kerusakan informasi karena kesalahan pengolahan
Vulnerability
Mgtdev
Vulnerability
Mgtdev
-
IT
-
IT IT
A.11.6.2
Sensitive system isolation
A.11.7 Mobile Computing and Teleworking A.11.7.1 Mobile computing and communication
Implementasi Ya
Ya
Ya
Impacts Vulnerability,
Mgtdev
Impacts
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
110
Klausul
Kontrol
A.12.2.3
Message integrity
Implementasi Tidak
A.12.2.4
Output data validation
Tidak
A.12.3 Cryptographic Controls A.12.3.1 Policy on the use of cryptographic controls A.12.3.2 Key management
Tidak Tidak
A.12.4 Security of System Files A.12.4.1 Control of operational software
Ya
A.12.4.2
Ya
Protection of system test data
A.12.4.3
Access control to program Ya source code A.12.5 Security Indevelopment and Support Services A.12.5.1 Change control procedures Tidak A.12.5.2
A.12.5.3
Technical review of applications ofter operating system changes Restrictions on changes to software packages
Tidak
Tidak
Justifikasi
Referensi
Satker/unit kerja
Memastikan keaslian dan perlindungan integritas pesan Memastikan informasi yang keluar dari apliaksi sudah tervalidasi
-
IT
-
IT
Membuat kebijakan tentang penggunaan kriptografi Melakukan key manajemen untuk teknik mkriptografi
-
Mgtdev
-
IT
Membuat prosedur untuk Vulnerability mengendalikan instalasi perangkat lunak pada sistem operasional Membuat prosedur perlindungan Vulnerability informasi Membuat prosedur akses ke Vulnerability informasi
Mgtdev
Membuat prosedur pengendalian perubahan Melakukan tinjauan teknis dari aplikasi setelah perubahan sistem operasi Melakukan kontrol atas perubahan perangkat luanak
Mgtdev
Mgtdev Mgtdev
IT
IT Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
111
Klausul
Kontrol
A.12.5.4
Information leakage
A.12.5.5
Outsourced software development
Implementasi Tidak Tidak
Justifikasi
Referensi
Satker/unit kerja
Melakukan pengendalian guna mencegah kebocoran informasi Melakukan pemantauan pengembangan perangkat lunak yang di outsource-kan
-
IT
-
IT
-
IT
Threats, Impacts
Mgtdev
Threats, Impacts
IT
-
Mgtdev
-
IT
-
IT
A.12.6 Technical Vulnerability Management A.12.6.1 Control of technical Tidak Melakukan pengendalian vulnerabilities kerawanan A.13 INFORMATION SECURITY MANAGEMENT A.13.1 Reporting Information Security Events and Weakness A.13.1.1 Reporting information security Ya Membuat prosedur pelaporan events insiden, respon insiden dan prosedur eskalasi A.13.1.2 Reporting security weakness Ya Membuat dokumentasi dan melaporkan setiap kelemahan atas sistem atau layanan A.13.2 Management of Information Security Incidents And Improvements A.13.2.1 Responcibilities and procedures Tidak Memastikan tanggung jawab manajemen dan prosedur sudah ditetapkan A.13.2.2 Learning from information Tidak Melakukan pembelajaran atas security incidents insiden keamanan informasi A.13.2.3 Collection of evidence Tidak Melakukan pengumpulan bukti A.14 BUSINESS CONTINUITY MANAGEMENT A.14.1 Information Security Aspects of Business Continuity Management
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
112
Klausul
Kontrol
A.14.1.1
Including information security in the business continuity management process Business continuity and risk assessment
A.14.1.2
Implementasi Tidak
Tidak
A.14.1.3
Developing and implementing continuity plans including information security
Tidak
A.14.1.4
Business continuity planning framework Testing, maintaining and reassessing business continuity plans
Tidak
A.14.1.5
Tidak
A.15 COMPLIANCE A.15.1 Compliance With Legal Requirements A.15.1.1 Identification of applicable Tidak legislation A.15.1.2 Intellectual property rights Tidak
A.15.1.3
Protection of organizational records
Tidak
Justifikasi
Referensi
Satker/unit kerja
Melakukan pengembangan dan pemeliharaan untuk keberlangsungan bisnis Mengidentifikasi dan melakukan assessment risk terhadap kejadian yang menyebabkan gangguan terhadap proses bisnis Melakukan pengembangan dan penerapan rencana keberlangsungan termasuk keamanan informasi Membuat kerangka perencanaan keberlangsungan bisnis Melakukan pengujian, pemeliharaan dan penilaian terhadap rencana keberlangsungan bisnis
-
Mgtdev
-
IT
-
Mgtdev
-
Mgtdev
-
IT
Melakukan identifikasi terhadap peraturan hukum yang berlaku Memastikan kesesuaian penggunaan perangkat lunak yang memiliki hak paten Melakukan perlindungan terhadap kemungkinan kerusakan media
-
IT
-
IT
-
IT Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
113
Klausul
Kontrol
Implementasi
Justifikasi
yang digunakan untuk merekam Melakukan perlindungan informasi dan kerahasiaan informasi pribadi A.15.1.5 Prevention of misuse of Tidak Melakukan pencegahan information processing penyalahgunaan fasilitas facilities pengolahan informasi A.15.1.6 Regulation of cryptographic Tidak Melakukan kontrol terhadap controls pengendalian kriptografi A.15.2 Compliance With Technical Policies and Standard and Technical Compliance A.15.2.1 Compliance with security Tidak Melakukan pemenuhan terhadap policies and standards kebijakan keamanan dan standar yang ada. A.15.2.2 Technical compliance checking Tidak Melakukan pengecekan kepatuhan A.15.1.4
Data protection and privacy of personal information
Tidak
A.15.3 Information System Audit Considerations A.15.3.1 Information systems audit Tidak controls A.15.3.2 Protection of information Tidak systems audit tools Implementasi : Ya
Melakukan pengendalian sistem audit Melakukan perlindungan terhadap alat audit informasi.
Referensi
Satker/unit kerja
-
IT
-
IT
-
IT
-
IT
-
IT
-
IT
-
IT
: Signifikan dan relevan terhadap kerawanan, ancaman dan dampak
Tidak : Tidak signifikan dan tidak relevan terhadap kerawanan, ancaman dan dampak
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
KESIMPULAN dan SARAN Kesimpulan Kesimpulan ini ditujukan untuk menjawab research question sebelumnya 1. Dari gap analisis yang ada, dapat disimpulkan bahwa kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan belum memenuhi aspek keamanan informasi karena aspek business continuity management belum diterapkan baik dalam kebijakan, prosedur maupun dokumentasinya, dan ke-10 aspek yang lain belum ada satupun aspek yang memenuhi kriteria keamanan informasi baik dari sisi kebijakan, prosedur, instruksi, maupun dokumentasi. 2. 11 Kebijakan dan prosedur yang ada belum dapat dikatakan best services terhadap keamanan informasi. Kebijakan dan prosedur yang ada belum pernah dikaji lebih lanjut dan cakupan dari 11 kebijakan dan prosedur yang ada belum mencerminkan aspek keamanan informasi dari ISO 27001/ISMS. 3. Rekomendasi kebijakan dan prosedur yang akan dibuat dapat meningkatkan keamanan informasi. Ada 67 kebijakan, prosedur, instruksi maupun dokumentasi yang didapatkan dari hasil identifikasi kerawanan, ancaman dan dampak dengan menggunakan Control objective dan control dari ISO 27001/ISMS. Dari 67 kebijakan, prosedur, instruksi maupun dokumentasi ini dapat diterapkan guna meningkat keamanan informasi, walaupun Control objective dan control dari ISO 27001/ISMS ini belum memenuhi 11 domain, 39 control objective dan 134 control ISO 27001/ISMS.
Saran Saran ini ditujukan untuk pengerjaan karya akhir berikutnya. 1. Dalam karya akhir ini dilakukan audit kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan, sehingga dalam pengerjaan karya akhir berikutnya sebaiknya dilakukan audit operasional serta audit kelayakan kebijakan dan prosedur. 2. Keamanan informasi dalam penelitian ini terfokus pada proses keamanan informasi perusahaan dan keamanan informasi pelanggan saat berada didalam 114
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
115
perusahaan. Keamanan informasi saat pengiriman oleh kurir tidak termasuk dalam penelitian, untuk itu diharapkan dalam penelitian berikutnya dapat focus pada keamanan informasi saat dilakukannya pengiriman oleh kurir.
Universitas indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
DAFTAR PUSTAKA
Arora, V. (2010). Comparing different information security standards : COBIT vs ISO 27001. Qatar: Carnegia Mellon University. Aygun, B. (2010). Unification of IT process Models into asimple framework supplemented by turkish web based application. Turki: Department of Information Systems. Badan Standarisasi Nasional. (n.d.). Teknologi Informasi-Teknik KeamananSistem Manajemen Keamanan Informasi-Persyaratan. Retrieved January 15, 2013,
from
www.itttelkom.ac.id/staf/faz/kuliah/kamsis/references/16137_SNI%20ISO%20IE C2027001_2009.PDF Bastian, I. (2007). Akuntansi Yayasan dan Lembaga Publik. Jakarta: Erlangga. Boynton, W. c., Johnson, R. N., & Kell, W. G. (2004). Modern Auditing (7 ed.). John Wiley & Sons Incorporated. Hidayat, M. N. (2011). Kajian Tata Kelola Keamanan Informasi Berdasarkan Information Security Management System (ISMS) ISO 27001:2005 untuk Outsourching Teknologi Informasi pada PT. Kereta Api Indonesia (Persero). jakarta: Jakarta : Program Studi Magister Teknologi Informasi Fasilkom UI. ISACA. (2010). Certified Information Security Manager : Review Manual 2011. Illinois: ISACA. IsecT Ltd. (2012, November 22). Information Security Standards. Retrieved Desember
17,
2012,
from
Information
Security
Standards:
www.iso27001security.com Justanieah, M. (2009). Information Security management systems an ISO 27001 introduction. Jeddah: ISACA. McLeod, R., & Schell, G. P. (2007). Sistem Informasi Manajemen (10 ed.). Jakarta: Salemba Empat. Mufadhol. (2009). Kerahasiaan dan keutuhan keamanan data dalam menjaga integritas dan keberadaan informasi data. Jurnal Transformatika, volume 6, No 2 , 80. 116
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
117
Nurdiaman, A. (2007). Pendidikan kewarganegaraan kecakapan berbangsa dan bernegara. Bandung: Pribumi mekar. Syafrizal, M. (2007). ISO 17799 : Standar Sistem Manajemen Keamanan Informasi. Seminar Nasional Teknologi 2007 (SNT 2007) , 10. Tampubolon, R. (2005). Risk and systems-based internal auditing. Jakarta: PT. Elex Media Computindo. Tim penyusun modul program pendidikan non gelar auditor sektor publik. (2007). Dasar-dasar audit internal sektor publik. jakarta: Sekolah tinggi akuntansi negara. Whitman, M. E., & Mattord, H. J. (2010). Management of Information Security,Third Edition. Boston: Course Technology.
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
LAMPIRAN
118
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
Lampiran 1 Hasil Wawancara
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
120
Kuesioner Keamanan Informasi
Kepada Yth: Dalam rangka memenuhi Karya Akhir pada Program Magister Teknologi Informasi, Universitas Indonesia, saya bermaksud melakukan penilaian terhadap tingkat keamanan informasi dilingkungan perusahaan. Demi tercapainya hasil yang diinginkan, mohon kesediaan Bapak/Ibu untuk mengisi kuesioner ini dengan lengkap. Semua hasil kuesioner ini bersifat rahasia dan hanya untuk keperluan akademis.
Petunjuk Pengisian :
Bapak/Ibu diharapkan untuk memberikan tanda silang (X) pada jawaban yang Bapak/Ibu anggap paling sesuai dengan keadaan yang ada sekarang.
Pilihan
Keterangan
None
Tidak ada dokumen keamanan informasi
Parsial
Ada
dokumen
keamanan
informasi,
tetapi
tidak
diterapkan Full
Ada dokumen keamanan informasi dan diterapkan
Atas perhatian dan partisipasi Bapak/Ibu, saya ucapkan terima kasih.
Jakarta, November 2012
Data Responden Nama/Inisial : HW Jenis Kelamin : Laki-laki Unit Kerja
: Div. IT
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013
Lampiran 2 Hasil Observasi
Universitas Indonesia
Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013