ISMS PADA PT. XYZ KARYA AKHIR

UNIVERSITAS INDONESIA

AUDIT KEPATUHAN KEAMANAN INFORMASI DENGAN MENGGUNAKAN FRAMEWORK ISO 27001/ISMS PADA PT. XYZ

KARYA AKHIR

REZA ZULFIKAR RUSLAM 1106042284

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013

Audit kepatuhan ..., Reza Zulfikar, fasilkom UI, 2013


UNIVERSITAS INDONESIA

AUDIT KEPATUHAN KEAMANAN INFORMASI DENGAN MENGGUNAKAN FRAMEWORK ISO 27001/ISMS PADA PT. XYZ

HALAMAN JUDUL

KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh Gelar Magister Teknologi Informasi

REZA ZULFIKAR RUSLAM 1106042284

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013


LEMBAR PERNYATAAN ORISINALITAS

ii


LEMBAR PENGESAHAN

iii


KATA PENGANTAR

Puji syukur saya panjatkan kepada Tuhan Yang Maha Esa, karena atas berkat dan rahmat-Nya, saya dapat menyelesaikan Karya Akhir ini. Penulisan karya akbhir ini dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer – Universitas Indonesia. Saya menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini, sangatlah sulit bagi saya untuk menyelesaikannya. Oleh karena itu, saya mengucapkan terima kasih kepada: (1) Budi Yuwono, Ph.D, selaku dosen pembimbing 1 yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan skripsi ini, (2) Ivano Aviandi, Msc, selaku dosen pembimbing 2 yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan skripsi ini, (3) Pihak perusahaan XYZ yang telah banyak membantu dalam usaha memperoleh data yang saya perlukann; (4) Orang tua dan keluarga saya yang telah memberikan bantuan dukungan material dan moral; dan (5) Amanda Dianova Kusuma yang telah banyak memberikan semangat dalam menyelesaikan karya akhir ini. Akhir kata, saya berharap Tuhan Yang Maha Esa berkenan membalas segala kebaikan semua pihak yang telah membantu. Semoga karya akhir ini membawa manfaat bagi pengembangan ilmu.

Jakarta, 28 Desember 2012 Penulis

iv


LEMBAR PERSETUJUAN PUBLIKASI KARYA

v


ABSTRAK

Nama Program Studi Judul Karya Akhir

: Reza Zulfikar Ruslam : Magister Teknologi Informasi : Audit Kepatuhan Keamanan Informasi dengan Menggunakan Framework ISO 27001/ISMS pada PT. XYZ

PT. XYZ bergerak di bidang percetakan billing statement, bekerjasama dengan beberapa bank lokal dan bank asing, sehingga keamanan informasi harus diatur seketat mungkin karena berkaitan dengan informasi pelanggan bank, oleh karena itu PT. XYZ sering diaudit oleh pelanggan. Keamanan informasi sangat lemah ditambah kurangnya monitoring dan evaluasi dari pihak yang berwewenang menjadi temuan hasil audit dari beberapa bank, hasil audit ini berlawanan dengan ekspektasi perusahaan yang yakin akan ketatnya keamanan informasi yang sudah didukung oleh kebijakan dan prosedur. Ditinjau dari hasil audit beberapa bank, perusahaan memutuskan melakukan audit kepatuhan, audit kepatuhan ini digunakan untuk menguji apakah tingkat kepatuhan terhadap visi dan misi perusahaan mempunyai pengaruh terhadap keamanan informasi perusahaan dan pelanggan. Maka dari itu penelitian ini berfokus pada audit kepatuhan keamanan informasi terhadap visi dan misi perusahaan sebagai best services terhadap pelanggan dalam hal keamanan informasi untuk memastikan bahwa kebijakan dan prosedur yang sudah ada berjalan dengan baik. Jika dalam proses penelitian didapatkan kebijakan dan prosedur yang lemah, maka akan diberikan rekomendasi kebijakan dan prosedur baru guna meningkatkan keamanan informasi. Metodologi yang digunakan adalah framework ISO 27001/ISMS. Dalam penelitian ini peneliti mengharapkan sinkronisasi antara kepatuhan dengan visi dan misi perusahaan serta adanya perbaikan kebijakan dan prosedur yang lemah guna meningkatkan keamanan informasi.

Kata Kunci : Audit kepatuhan, ISMS xii + 118 Halaman; 12 Gambar; 19 Tabel; 2 Lampiran Daftar Pustaka 13 (2005-2012)

vi

Universitas Indonesia


ABSTRACT

Name Study Program Title

: Reza Zulfikar Ruslam : Master of Information Technology : Information security compliance audit using ISO 27001/ISMS framework at PT. XYZ

PT. XYZ is engagedin the field of billing statements printing, in collaration with several local and foreign banks, so the information security should be regulated as tightly as possible as it relates to the banks customer information. Therefore, PT. XYZ is often audited by its customers, the weakness in information security and the lack of monitoring and evaluation from the authorities have become the audit findings from several banks. This results is in contrast to the expectations of the companies which are confident in the tightness of information security, that has been supported by policies and procedures. Judging from the results of the audit in several banks, the company decided to conduct compliance audits, which are to the test whether the level of compliance to the vision and mission of the company have any impacts on the company’s and the customer’s information security. Therefore this study focuses on the audit of compliance information security towards the company’s vision and mission as a best services to the customers in terms of information security, to ensure that existing policies and procedures are going well. If in the process of this study weak policies and procedures are discovered, new recommendations will be given to improve information security. The methodology used is ISO 27001/ISMS framework. In this study, the researcher expects the synchronization between compliance and the company’s the vision and mission, as well as improvement of weak policies and procedures to improve information security.

Keywords : Compliance audit, ISMS xii + 118 pages; 12 figures; 19 tables; 2 attachments bibliography 13 (2005-2012)

vii




DAFTAR ISI

HALAMAN JUDUL .......................................................................................... i LEMBAR PERNYATAAN ORISINALITAS ................................................. ii LEMBAR PENGESAHAN.............................................................................. iii KATA PENGANTAR ...................................................................................... iv LEMBAR PERSETUJUAN PUBLIKASI KARYA ........................................ v ABSTRAK........................................................................................................ vi ABSTRACT ..................................................................................................... vii DAFTAR ISI .................................................................................................... ix DAFTAR GAMBAR......................................................................................... x DAFTAR TABEL ............................................................................................ xi DAFTAR LAMPIRAN ................................................................................... xii BAB I ................................................................................................................. 1 PENDAHULUAN ............................................................................................. 1 1.1 Latar Belakang ........................................................................................... 1 1.2 Rumusan Masalah ...................................................................................... 2 1.3 Tujuan Penelitian ........................................................................................ 2 1.4 Telaah Karya Akhir Sebelumnya ................................................................ 2 1.5 Manfaat Penelitian ...................................................................................... 3 1.6 Ruang Lingkup Penelitian........................................................................... 3 1.7 Sistematika Penulisan ................................................................................. 3 BAB II ............................................................................................................... 5 LANDASAN TEORI ........................................................................................ 5 2.1 Kepatuhan .................................................................................................. 5 2.1.1 Audit Kepatuhan .................................................................................. 5 2.1.2 Prosedur Audit ..................................................................................... 6 2.2 Keamanan Informasi................................................................................... 7 2.2.1 Ruang Lingkup Keamanan Informasi ................................................. 11 2.2.2 Manajemen keamanan informasi ........................................................ 13 2.2.3 Information Security Management System .......................................... 13 2.2.4 ISO 27000 Information Security Management System ........................ 15 2.2.5 ISO 27001 Information Security Management System - Requirements 17 2.3 Framework Keamanan Informasi .............................................................. 24 BAB III ............................................................................................................ 25 METODOLOGI PENELITIAN ..................................................................... 25 3.1 Pemilihan Masalah ................................................................................... 26 3.2 Studi Literatur .......................................................................................... 26 3.3 Menentukan Ruang Lingkup ..................................................................... 26 3.4 Gap Analisis ............................................................................................. 26 3.5 Risk Assessment ........................................................................................ 26 3.6 Menetapkan Kontrol ................................................................................. 27 3.7 Kebijakan dan Prosedur ............................................................................ 27 3.8 Statement of Applicability ........................................................................ 27 BAB IV ............................................................................................................ 28 PROFIL PERUSAHAAN ............................................................................... 28 viii



BAB V.............................................................................................................. 34 ANALISIS DAN REKOMENDASI ............................................................... 34 5.1 Ruang Lingkup ......................................................................................... 34 5.2 Gap Analisis ............................................................................................. 35 5.3 Risk Assessment ........................................................................................ 40 5.3.1 Identifikasi Aset ................................................................................. 40 5.3.2 Identifikasi Kerawanan dan Ancaman ................................................ 43 5.3.3 Menentukan Prioritas Risiko .............................................................. 44 5.3.4 Mengembangkan Kontrol ................................................................... 79 5.4 Menetapkan Kontrol ................................................................................. 79 5.5 Menetapkan Kebijakan dan Prosedur ........................................................ 86 5.5.1 Kebijakan, Prosedur, Instruksi dan Dokumentasi ................................ 86 5.5.2 Kebijakan dan Prosedur Keamanan Informasi yang Berlaku ............... 91 5.5.3 Kebijakan, Prosedur, Instruksi dan Dokumentasi yang belum diterapkan (direkomendasikan) .................................................................................... 91 5.6 Statement Of Applicability ........................................................................ 96 KESIMPULAN dan SARAN ........................................................................ 114 DAFTAR PUSTAKA .................................................................................... 116 LAMPIRAN .................................................................................................. 118

ix



DAFTAR GAMBAR

Gambar 2. 1 Prinsip Keamanan Informasi ............................................................... 11 Gambar 2. 2 Ruang Lingkup Keamanan Informasi .................................................. 12 Gambar 2. 3 Proses ISMS ...................................................................................... 21 Gambar 2. 4 Proses Plan ......................................................................................... 22 Gambar 2. 5 Proses Check ...................................................................................... 23 Gambar 2. 6 Proses Act ........................................................................................... 23 Gambar 3. 1 Alur Penyusunan Karya Akhir ............................................................ 25 Gambar 5. 1 Proses Plan ......................................................................................... 34 Gambar 5. 2 Gap Assessment Domain ISMS ........................................................... 36 Gambar 5. 3 Gap Assessment Kontrol Objektif ISMS .............................................. 37 Gambar 5. 4 Proses Risk Assessment ....................................................................... 40 Gambar 5. 5 Struktur Dokumentasi ISMS ............................................................... 86

x



DAFTAR TABEL

Tabel 2. 1 Domain dan Kontrol Objektif ISO 27001 ............................................... 19 Tabel 5. 1 Perhitungan Gap Assessment untuk Domain ISO 27001/ISMS................ 35 Tabel 5. 2 Perhitungan Gap Assessment untuk kontrol ISO 27001/ISMS ................. 38 Tabel 5. 3 Aset Keamanan Informasi PT. XYZ ....................................................... 41 Tabel 5. 4 Hasil Identifikasi Kerawanan .................................................................. 43 Tabel 5. 5 Hasil Identifikasi Ancaman .................................................................... 44 Tabel 5. 6 Nilai Kecenderungan .............................................................................. 45 Tabel 5. 7 Nilai Dampak ......................................................................................... 45 Tabel 5. 8 Nilai risiko ............................................................................................. 45 Tabel 5. 9 Nilai Inherent Risk.................................................................................. 46 Tabel 5. 10 Risk Appetite ........................................................................................ 47 Tabel 5. 11 Nilai Residual Risk ............................................................................... 47 Tabel 5. 12 Prioritas Risiko dan Nilai Inherent Risk ................................................ 48 Tabel 5. 13 Rencana Kerja dan Nilai Residual Risk ................................................. 57 Tabel 5. 14 Risk Register ........................................................................................ 65 Tabel 5. 15 Kontrol ISO 27001 untuk Kerawanan ................................................... 79 Tabel 5. 16 Kontrol ISO 27001 untuk ancaman ....................................................... 81 Tabel 5. 17 Kontrol ISO 27001 untuk Dampak ....................................................... 82 Tabel 5. 18 Kebijakan, Prosedur, Instruksi dan Dokumentasi .................................. 87

xi



DAFTAR LAMPIRAN

Lampiran 1 Hasil wawancara Lampiran 2 Hasil Observasi

xii



BAB I PENDAHULUAN Pada bab ini akan dijelaskan tentang latar belakang, rumusan masalah, tujuan, manfaat dan ruang lingkup penulisan serta sistematika penulisan dari penelitian ini. 1.1 Latar Belakang PT. XYZ adalah perusahaan yang bergerak di bidang percetakan billing statement atau rekening koran dan penyediaan jasa kurir, perusahaan ini bekerja sama dengan beberapa bank diindonesia salah satunya adalah bank DEF dan juga beberapa bank asing, salah satunya adalah bank ABC. Bank ABC, pelanggan PT. XYZ yang sudah sertifikasi ISO27001/ISMS melakukan audit keamanan informasi pada bulan februari hingga maret 2012, bank ABC melakukan audit keamanan informasi di PT. XYZ dimulai dari informasi diterima, diproses, dicetak dan didistribusikan kerumah-rumah. Hasil audit bank tersebut memberikan shok terapi bagi perusahaan secara umumnya dan divisi TI secara khusunya, dimana hasilnya berbeda dengan ekspektasi divisi TI selama ini, menurut hasil audit keamanan informasi PT. XYZ sangat lemah ditambah dengan kurangnya monitoring dan evaluasi dari pihak yang berwewenang. Ekspektasi divisi TI selama ini adalah keamanan informasi perusahaan sangat aman, begitu pula dengan keamanan informasi klien atau pelanggan, hal ini ditunjang dari adanya kebijakan dan prosedur keamanan informasi.

Ditinjau dari hasil audit bank tersebut, divisi TI memutuskan melakukan audit, audit yang dimaksudkan adalah audit kepatuhan keamanan informasi. Audit kepatuhan keamanan informasi digunakan untuk menguji apakah tingkat kepatuhan keamanan informasi perusahaan terhadap visi dan misi best service terhadap pelanggan sudah memenuhi aspek keamanan informasi dan menguji pengaruhnya terhadap keamanan informasi perusahaan dan pelanggan. Dari hasil

1



2

audit kepatuhan ini, nantimya didapatkan kebijakan dan prosedur yang lemah sehingga dapat diberikan rekomendasi kebijakan dan prosedur yang baru. 1.2 Rumusan Masalah Permasalahan yang dihadapi dalam penelitian ini yaitu divisi TI PT. XYZ mengalami kesulitan untuk mengetahui batasan-batasan atau ruang lingkup audit yang digunakan oleh bank ABC, sehingga divisi TI hanya terbatas pada audit kepatuhan keamanan informasi terhadap visi dan misi best services perusahaan. Jika ditengah jalan didapatkan kebijakan dan prosedur yang lemah maka akan direkomendasikan kebijakan dan prosedur baru. Untuk itu penelitian ini ditujukan untuk menjawab research question sebagai berikut : 

Apakah kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan sudah memenuhi aspek keamanan informasi ?



Apakah Kebijakan dan prosedur yang ada sudah dapat dikatakan best services terhadap aspek keamanan informasi?



Apakah rekomendasi kebijakan dan prosedur yang akan dibuat dapat meningkatkan keamanan informasi ?

1.3 Tujuan Penelitian Berdasarkan permasalahan penelitian yang telah dikemukakan sebelumnya, maka tujuan dari penyusunan karya akhir ini adalah : 

Mengetahui apakah kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan sudah memenuhi aspek keamanan informasi.



Mengetahui apakah kebijakan dan prosedur yang ada sudah dapat dikatakan best services terhadap aspek keamanan informasi



Mengetahui Apakah rekomendasi kebijakan dan prosedur yang akan dibuat dapat meningkatkan aspek keamanan informasi.

1.4 Telaah Karya Akhir Sebelumnya Topik tentang audit kepatuhan keamanan informasi belum banyak dikaji di Magister Teknologi Informasi, audit kepatuhan sering dikaji dijurusan akuntansi dan kedokteran sedangkan keamanan informasi sudah sering dikaji di Magister Teknologi Informasi, ada beberapa penelitian tentang keamanan informasi, salah satu diantaranya adalah : Universitas Indonesia


3



Kajian Tata Kelola Keamanan Informasi Berdasarkan Information Security

Management

System

(ISMS)

ISO

27001:2005

untuk

Outsourching Teknologi Informasi pada PT. Kereta Api Indonesia (Persero) Pada penelitian ini, fokus utamanya terletak pada audit kepatuhan keamanan informasi dengan menggunakan framework ISO 27001/ISMS 1.5 Manfaat Penelitian Manfaat yang diberikan dari penelitian ini adalah : 

Memberikan solusi terbaik untuk meningkatkan keamanan informasi, baik keamanan informasi perusahaan maupun keamanan informasi pelanggan, sehingga visi dan misi best services aspek keamanan informasi dapat terpenuhi.



Memberikan rekomendasi kebijakan dan prosedur baru sehingga dapat meningkatkan aspek keamanan informasi.



Manfaat

untuk

penulis

salah

satunya

adalah

penulis

mampu

mengimplementasikan hasil pembelajaran tentang risk assessment. 1.6 Ruang Lingkup Penelitian Ruang lingkup penelitian ini terletak pada 

Audit kepatuhan perusahaan terhadap visi dan misi best services, audit operasional serta audit kelayakan kebijakan dan prosedur tidak termasuk.



Best services yang dimaksud adalah pelayanan terhadap keamanan informasi. Sedangkan pelayanan terhadap jaringan dilakukan oleh pihak ketiga.



Framework yang digunakan adalah ISO 27001/ISMS



Keamanan informasi saat pengiriman oleh kurir tidak termasuk dalam penelitian.

1.7 Sistematika Penulisan Penulisan karya akhir ini menggunakan sistematika penulisan sebagai berikut : 

BAB 1 : PENDAHULUAN



4

Bab ini berisi latar belakang masalah, rumusan masalah, tujuan, telaah dari karya-karya akhir sebelumnya yang sejenis, manfaat penelitian, ruang lingkup, dan sistematika penulisan. 

BAB 2 : LANDASAN TEORI Bab ini berisi tentang teori-teori yang digunakan penulis sebagai referensi dalam menyusun karya akhir ini.



BAB 3 : METODOLOGI PENELITIAN Bab ini berisi tentang langkah-langkah dan teknik analisis yang digunakan dalam penelitian dan penyusunan karya akhir ini.



BAB 4 : PROFIL PERUSAHAAN Bab ini berisi profil PT. XYZ



BAB 5 : ANALISIS dan REKOMENDASI Bab ini berisi analisis dan rekomendasi

 KESIMPULAN dan SARAN



BAB II LANDASAN TEORI Pada bab ini akan diuraikan teori-teori dan penelitian yang berkaitan dengan penelitian ini, yaitu kepatuhan dan keamanan informasi. 2.1 Kepatuhan Kepatuhan merupakan sikap menerima dan melaksanakan secara ikhlas peraturan yang berlaku dengan keteguhan hati tanpa adanya paksaan dari pihak manapun (Nurdiaman, 2007), kepatuhan yang dimaksud adalah kepatuhan terhadap peraturan, melaksanakan prosedur-prosedur, instruksi atau petunjuk yang sudah ditetapkan sebelumnya. Dalam prosesnya, kepatuhan seringkali dianggap sepele oleh sebagian organisasi sehingga menyebabkan dampak atas risiko-risiko yang ada. Risiko kepatuhan adalah eksposur yang ada atau yang potensial mengancam penghasilan dan modal perusahaan, yang timbul karena adanya pelanggaran atau ketidak patuhan terhadap hukum, aturan, regulasi, praktek yang sehat, kebijakan dan prosedur intern, atau standar etika (Tampubolon, 2005). Kepatuhan perusahaan terhadap keamanan informasi sering dikaitkan dengan standar ISO 27001 tentang information security management system (ISMS). ISO 27001/ISMS sangat penting, karena dapat memberikan harga jual tinggi terhadap pelanggan, dan jika sebuah perusahaan mendapat sertifikasi ISO maka perusahaan tersebut akan diakui diseluruh dunia. 2.1.1 Audit Kepatuhan Audit kepatuhan adalah audit yang bertujuan untuk menilai kepatuhan terhadap hukum, aturan, regulasi, praktek yang sehat, kebijakan dan prosedur intern, atau standar yang berlaku. Manfaat audit kepatuhan adalah untuk mengetahui tingkat ketaatan suatu program atau kegiatan terhadap peraturan yang berlaku, juga untuk memberikan penghargaan bagi pengelola yang taat, dan member sanksi bagi yang melakukan pelanggaran, guna mendorong terselenggaranya tata kelola yang baik (Good Corporate Governance) dilingkungan perusahaan yang diaudit (Tim penyusun modul 5



6

program pendidikan non gelar auditor sektor publik, 2007). Audit kepatuhan yang dinilai adalah ketaatan semua aktivitas sesuai dengan kebijakan, aturan dan ketentuan yang berlaku. Audit kepatuhan juga berkaitan dengan kegiatan guna memperoleh dan memeriksa bukti-bukti untuk menetapkan apakah kegiatan operasional suatu entitas sudah memenuhi prosedur, standart dan aturan yang berlaku. 2.1.2 Prosedur Audit Prosedur audit bukanlah sebuah peristiwa namun suatu alat bantuan yang digunakan untuk mengidentifikasi sebuah peristiwa. Dalam proses audit ada 4 prosedur audit yang harus dilakukan yaitu inspeksi, observasi, penyelidikan, dan konfirmasi (Bastian, 2007). Beberapa prosedur audit yang dapat kita jumpai saat ini yaitu (Boynton, Johnson, & Kell, 2004) : 1. Inspeksi Merupakan pemeriksaan secara rinci dan spesifik terhadap dokumen atau kondisi fisik suatu dokumen. Prossedur ini banyak dilakukan oleh auditor. 2. Pengamatan Merupakan prosedur audit yang digunakan oleh auditor untuk melihat, memantau atau menyaksikan pelaksanaan suatu kegiatan. 3. Konfirmasi Merupakan bentuk penyelidikan yang

memungkinkan auditor

memperoleh informasi secara langsung dari pihak ketiga yang bebas, dalam hal ini auditor mendapatkan informasi langsung dari pihak luar atau disebut pihak ketiga yang bebas 4. Permintaan keterangan Merupakan prosedur audit yag dilakukan dengan meminta keterangan secara lisan. Bukti audit yang dihasilkan oleh prosedur ini adalah bukti lisan dan dokumenter. 5. Penelusuran Dalam pelaksanaan prosedur auditing dan melakukan penelusuran informasi sejak mula-mula informasi tersebut direkam pertama kali



7

dalam dokumen, dilanjutkan dengan pelacakan pengolahan informasi tersebut. 6. Pemeriksaan dokumen pendukung (Vouching) Merupakan prosedur audit yang meliputi: a. Inspeksi terhadap dokumen-dokumen yang mendukung suatu transaksi atau informasi keuangan untuk menentukan kewajaran dan kebenarannya. b. Pembandingan dokumen tersebut dengan catatan yang berkaitan. 7. Perhitungan (Counting) Prosedur ini meliputi: a. Penghitungan fisik terhadap sumber daya berwujud seperti persediaan di tangan. b. Pertanggung jawaban semua formulir bernomor urut cetak. 8. Scanning Merupakan review secara cepat terhadap dokumen, catatan, dan daftar untuk mendeteksi unsur-unsur yang tampak tidak biasa yang memerlukan penyelidikan lebih mendalam. 9. Pelaksanaan ulang (Reperforming) Merupakan pelaksanaan ulang (reperforming) perhitungan dan rekonsiliasi yang dibuat oleh pelanggan. 10. Teknik audit dengan bantuan komputer Apabila catatan pelanggan diselenggarakan dalam media elektronik, auditor

perlu

menggunakan teknik audit

bantuan

komputer

(computer-assisted audit techniques) dalam menggunakan prosedur audit. 2.2 Keamanan Informasi Keamanan informasi merupakan salah satu hal penting yang harus diperhatikan oleh perusahaan, kebocoran informasi dan kegagalan sistem dapat menyebabkan kerugian baik di sisi finansial maupun produktifitas perusahaan. Keamanan informasi meliputi suatu mekanisme untuk mengontrol akses dan penggunaan database pada level obyek, keamanan informasi pada pengguna, dimana pengguna tersebut memiliki akses informasi tertentu. Pengaturan Universitas Indonesia


8

mengenai keamanan informasi terutama akan ditentukan berdasarkan seberapa jauh tingkat keamanan yang akan dibangun untuk informasi dalam database. Tingkat keamanan informasi juga bergantung pada tingkat sensitifitas informasi dalam database, biasanya informasi yang tidak terlalu sensitif sistem keamanannya tidak ketat sedangkan informasi yang sangat sensitif perlu pengaturan keamanan yang ketat untuk akses ke informasi tersebut (Mufadhol, 2009). Ancaman-ancaman keamanan informasi (Threats) organisasi,

mekanisme,

atau

peristiwa

yang

memiliki

meliputi orang, potensi

untuk

membahayakan sumber daya informasi perusahaan, ancaman dapat bersifat internal maupun internal serta disengaja maupun tidak disengaja (McLeod & Schell, 2007). Keamanan informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki (Syafrizal, 2007). Sedangkan informasi sendiri merupakan suatu aset penting yang harus dilindungi keamanannya (Hidayat, 2011). Ada beberapa strategi yang dapat dilakukan untuk mengamankan informasi diantaranya adalah (Hidayat, 2011): 1. Physical security Strategi yang memfokuskan pada hal-hal fisik seperti mengamankan dan memberikan perlindungan kepada karyawan, aset-aset fisik seperti hardware, perlindungan tempat kerja dan aktivitas-aktivitas yang dapat menyebabkan kerugian pada suatu organisasi. 2. Personal security Strategi yang memfokuskan pada keadaan individu seperti memberikan awareness terhadap pentingnya keamanan informasi. 3. Operation security Strategi yang memfokuskan pada kelancaran perusahaan dalam melakukan kegiatan operasionalnya tanpa gangguan dari pihak luar. 4. Communication security Stretegi yang memfokuskan pada pengamanan media komunikasi dan teknologi komunikasi untuk memenuhi fungsi komunikasi dalam organisasi. Universitas Indonesia


9

5. Network security Strategi yang memfokuskan pada pengamanan jaringan dan kemampuan jaringan dalam memenuhi fungsi jaringan dalam organisasi.

Menurut (Syafrizal, 2007) Keamanan Informasi terdiri dari 3 prinsip yaitu Confidentiality, Integrity dan Availability. Pada awalnya prinsip keamanan informasi hanya CIA, seiring pertambahan waktu prinsip keamanan informasi diperluas menjadi CIA + yaitu : 1. Confidentiality (Kerahasiaan) Adalah prinsip yang menjamin, memastikan dan menjaga kerahasiaan informasi, bahwa informasi hanya dapat diakses dan digunakan oleh orang yang mempunyai wewenang sekaligus menjamin informasi yang dikirim, diterima dan disimpan terjamin kerahasiaannya. “Confidentiality is the characteristic of information whereby only those with sufficient privilages and a demonstrated need may access certain information,” (Whitman & Mattord, 2010, p. 6). 2. Integrity (integritas) Adalah prinsip yang menjamin informasi tidak dirubah, dimanipulasi, dimodifikasi maupun dihilangkan tanpa ijin dari pihak yang berwenang, serta menjaga keakuratan dan kesempurnaan informasi dan prosesnya. “Integrity is the quality or state of being whole, complete, and uncorrupted,” (Whitman & Mattord, 2010, p. 6). 3. Availability (ketersediaan) Adalah prinsip yang menjamin bahwa informasi akan tersedia ketika dibutuhkan,

serta

memastikan

pihak

yang

berwenang

dapat

menggunakan informasi yang dibutuhkan tanpa ada gangguan dari pihak lain. “Availability is the characteristic of information that enables user access to information in a usable format without interference or obstruction,” (Whitman & Mattord, 2010, p. 7). 4. Privacy (Privasi)



10

Adalah prinsip yang menjamin bahwa informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi digunakan hanya untuk tujuan tertentu oleh pemilik informasi pada saat informasi dikumpulkan. “Information that is collected, used, and stored by an organization is intended only for the purposes stated by the data owner at the time it was collected,” (Whitman & Mattord, 2010, p. 7) 5. Identification (Identifikasi) Adalah prinsip yang menjamin bahwa informasi memiliki karakteristik identifikasi ketika informasi dapat mengenali penggunanya. Identifikasi adalah langkah pertama dalam memperoleh akses ke informasi yang diamankan, dan berfungsi sebagai dasar untuk otentifikasi dan otorisasi. “An information system possesses the characteristic of identification when it is able to recognize individual users. Identification is the first step in gaining access to secured material, and it serves as the foundation

for

subsequent

authentication

and

authorization,”

(Whitman & Mattord, 2010, p. 7). 6. Authentification (Otentifikasi) Adalah prinsip yang menjamin bahwa saat otentifikasi terjadi ketika sistem dapat membuktikan bahwa pengguna memiliki hak klaim. “Authentication occurs when a control proves that a user possesses the identify that he or she claims,” (Whitman & Mattord, 2010, p. 7) 7. Authorization (Otorisasi) Adalah prinsip yang menjamin bahwa pengguna telah mendapatkan otorisasi sehingga dapat mengakses, mengupdate atau menghapus informasi. “After the identify of a user is authenticated, a process called authorization assures that the user has been specifically and axplicitly authorized by the proper authority to access, update, or delete the contents of information,” (Whitman & Mattord, 2010, p. 8). 8. Accountability (akuntabilitas)



11

Akuntabilitas dari informasi dikatakan eksis ketika sistem dapat menyajikan semua aktifitas terhadap informasi, dan siapa yang melakukan aktifitas itu. “Accountability of information exist when a control provides assurance that every activity undertaken can be attribute to a named person,” (Whitman & Mattord, 2010, p. 8).

Confidentiality Integrity Availability Privacy Identification Authentification Athorization Accountability

Gambar 2. 1 Prinsip Keamanan Informasi

2.2.1 Ruang Lingkup Keamanan Informasi Ruang lingkup keamanan informasi ada 4 yaitu organization, people, process, dan technology, lebih lanjutnya akan dijelaskan sebagai berikut : 1. Organization Sebuah organisasi adalah jaringan yang terdiri atas manusia, aset dan proses interaksi satu dengan yang lain yang didefinisikan dengan peran dan pekerjaan yang bertujuan untuk menyelesaikan tujuan bersama. “An organization is a network of people, assets, and processes interacting with each other in defined roles and working toward a common goal,” (ISACA, 2010, p. 38). 2. People Sumber daya manusia dan isu-isu keamanan informasi yang berkaitan. Siapa yang mengimplementasi setiap bagian dari strategi yang ada.



12

Representasi kolektif manusia dan nilai-nilai perilaku, serta nilai-nilai yang masih bias harus diperhitungkan “The human resources and security issues that surround them. It defines who implements (throught design) each part of the strategy. It represent a human collective and must take into account values, behaviors and biases,” (ISACA, 2010, p. 38). 3. Process Proses yang dimaksud adalah semua proses yang ada termasuk mekanisme formal dan informal (besar dan kecil, sederhana dan kompleks) untuk menyelesaikan dan menyediakan link vital untuk semua interkoneksi yang dinamis. “Includes formal and informal mechanisms (large and small, simple and complex) to get things done and provides a vital link to all of the dynamic interconnections,” (ISACA, 2010, p. 38). 4. Technology Teknologi terdiri atas semua alat, aplikasi dan infrastruktur yang membuat proses lebih efisien. “Composed of all of tools, applications and infrastructure that make processes more efficient,” (ISACA, 2010, p. 39).

Gambar 2. 2 Ruang Lingkup Keamanan Informasi (ISACA, 2010)



13

2.2.2 Manajemen keamanan informasi Dalam perancangan dan proses implementasi keamanan informasi yang efektif, pemahaman tentang prinsip manajemen keamanan informasi menjadi hal yang sangat penting. Dalam manajemen keamanan informasi dikenal dengan 6P, yaitu (Hidayat, 2011) : 1. Planning Pinsip planning dalam manajemen keamanan informasi meliputi perancangan, pembuatan dan implementasi strategi. Dalam melakukan proses planning ada 3 tahapan yaitu strategic planning, tactical planning dan operational planning. 2. Protection Prinsip protection dilakukan berdasarkan risk assessment meliputi identifikasi aset, identifikasi kerawanan dan ancaman, pemilihan risiko prioritas, pemilihan kontrol dan juga monitoring. 3. Programs Prinsip programs dalam manajemen keamanan informasi meliputi program pelatihan dan awareness pada karyawan guna meningkatkan keamanan informasi 4. Policy Prinsip policy pada intinya adalah menerapkan kebijakan-kebijakan guna menciptakan kondisi keamanan informasi di organisasi 5. People Prinsip people cenderung berkaitan dengan prinsip program karena dengan awareness dari manusia dapat mengurangi risiko keamanan informasi. 6. Project management Prinsip project management adalah penerapan kedisiplinan manajemen guna mencapai tujuan penerapan keamanan informasi. 2.2.3 Information Security Management System Information security management system (ISMS) merupakan sebuah kesatuan sistem yang disusun berdasarkan pendekatan risiko bisnis, untuk pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan Universitas Indonesia


14

serta peningkatan keamaan informasi perusahaan. Dan sebagai sebuah sistem, keamanan informasi harus didukung oleh keberadaan dari hal-hal berikut (Syafrizal, 2007): 1. Struktur organisasi Struktur organisasi biasarnya berupa keberadaan fungsi-fungsi atau jabatan organisasi yang terkait dengan keamanan informasi. Misalnya; Chief Security Officer dan beberapa lainnya. 2. Kebijakan keamanan Kebijakan keamanan atau dalam bahasa Inggris disebut sebagai Security Policy. Contoh kebijakan keamanan ini misalnya adalah sebagai berikut: Semua kejadian pelanggaran keamanan dan setiap kelemahan sistem informasi harus segera dilaporkan dan administrator harus segera mengambil langkah-langkah keamanan yang dianggap perlu. Akses terhadap sumber daya pada jaringan harus dikendalikan secara ketat untuk mencegah akses dari yang tidak berhak. Akses terhadap sistem komputasi dan informasi serta periferalnya harus dibatasi dan koneksi ke jaringan, termasuk log-on pengguna, harus dikelola secara benar untuk menjamin bahwa hanya orang/ peralatan yang diotorisasi yang dapat terkoneksi ke jaringan. 3. Prosedur dan proses, Prosedur dan proses yaitu semua prosedur serta proses-proses yang terkait pada usaha-usaha pengimplementasian keamanan informasi di perusahaan. Misalnya prosedur permohonan ijin akses aplikasi, prosedur permohonan domain akun untuk staf/karyawan baru dan lain sebagainya. 4. Tanggung jawab Tanggung jawab yang dimaksud dengan tanggung jawab atau responsibility di sini adalah tercerminnya konsep dan aspek-aspek keamanan informasi perusahaan di dalam job description setiap jabatan dalam perusahaan. Begitu pula dengan adanya program-program pelatihan serta

pembinaan tanggung

jawab

keamaan

informasi

perusahaan untuk staf dan karyawannya. 5. Sumber daya manusia Universitas Indonesia


15

Sumber daya manusia adalah pelaksana serta obyek pengembangan keamanan informasi di perusahaan. Manusia yang bisa memperbaiki serta merusak semua usaha-usaha tersebut.

2.2.4 ISO 27000 Information Security Management System International Standards Organization (ISO) mengelompokkan semua standar keamanan informasi ke dalam satu struktur penomoran, seperti pada serial ISO 27000. Adapun beberapa standar di seri ISO ini adalah sebagai berikut (IsecT Ltd, 2012): 1.

ISO 27000:2009 - Information Security Management System – overview and vocabulary

2.

ISO 27001:2005 -

Information Security Management System -

Requirements 3.

ISO 27002:2005 - Code of Practice for Information Security Management System.

4.

ISO

27003:2010

-

Information

Security

Management

System

Security

Management

System

Implementation Guidance 5.

ISO

27004:2009

-

Information

Measurement 6.

ISO 27005:2008 - Information Security Risk Management System.

7.

ISO 27006:2011 - Requirements for Bodies Providing Audit and Certification of Information Security Management System.

8.

ISO 27007:2011 - Guidelines for Information Security Management System Auditing (Focused on the Management System).

9.

ISO 27008:2011 - Guidance for Auditors on ISMS Controls (Focused on Information Security Controls)

10. ISO 27010:2011 - Information Technology – Security Techniques Information

Security Management for Inter-sector and Inter-

organizational Communications. 11. ISO 27011:2008 - Information Security Management Guidelines for Telecommunication Organizations based on ISO/IEC 27002.



16

12. ISO 27013:2012 -

Guideline on the Integrated Implementation of

ISO/IEC 20000-1 and ISO/IEC 27001 13. ISO 27014 : Information Security Governance Framework 14. ISO 27015 : Information Security Management Guidelines for the finance and Insurance Sectors 15. ISO 27016 – Information security management – Organizational economics [DRAFT] 16. ISO 27017 – Security in cloud computing [DRAFT] 17. ISO 27018 – Code of practice for data protection controls for public cloud computing services [DRAFT] 18. ISO 27019 – Information security management guidelines based on ISO 27002 for process control systems specific to the energy industry [DRAFT] 19. ISO 27031:2011 - Guidelines for Information and Communication Technology Readiness for Business Continuity. 20. ISO 27032:2012 - Guidelines for Cyber Security 21. ISO 27033:2009 - IT Network Security, A Multi-part Standard Based on ISO/IEC 18028:2006. 22. ISO 27034:2011 - Guideline for Application Security (part 1 published, rest in DRAFT) 23. ISO 27035:2011 – Information Security Incident Management 24. ISO 27036 – Information security for supplier relationship [DRAFT] 25. ISO 27037:2012 - Guidelines for Identification, Collection, Acquisition and Preservation of Digital Evidence. 26. ISO 27038 – Specification for digital redaction [DRAFT] 27. ISO 27039 – Selection, deployment and operations of intrusion detection (and preventation) systems (IDPS) [DRAFT] 28. ISO 27040 – Storage security [DRAFT] 29. ISO 27041 – Guidelines for the analysis and interpretation of digital evidence [DRAFT] 30. ISO 27042 – Guidelines for the analysis and interpretation of digital evidence [DRAFT] Universitas Indonesia


17

31. ISO 27043 – Digital evidence investigation principles and process [DRAFT] 32. ISO 27799:2008 - Information Security Management in Health using ISO/IEC 27002.

2.2.5

ISO

27001

Information

Security

Management

System

-

Requirements ISO 27001 adalah standar keamanan informasi yang diterbitkan Oktober 2005 oleh International Organization for Standarization dan International Electrotechnical Commission. Standar ini menggantikan BS77992:2002. ISO 27001 mencakup semua jenis organisasi (seperti perusahaan swasta,

lembaga

27001menjelaskan melaksanakan,

pemerintahan, syarat-syarat

memantau,

dan untuk

menganalisa

lembaga

nirlaba).

membuat, dan

ISO

menerapkan,

memelihara

seta

mendokumentasikan Information security management system dalam konteks risiko bisnis organisasi keseluruhan (Justanieah, 2009). ISO 27001 mendefenisikan keperluan-keperluan untuk sistem manajemen keamanan informasi (SMKI). SMKI/ISMS yang baik akan membantu memberikan perlindungan terhadap gangguan pada aktivitasaktivitas bisnis dan melindungi proses bisnis yang penting agar terhindar dari risiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak lama.

ISO 27001 digunakan sebagai ikon sertifikasi ISO 27000. ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi (SMKI) atau Information Security Managemen System (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan

oleh

sebuah

perusahaan

dalam

usaha

mereka

mengimplementasikan konsep-konsep keamanan informasi di perusahaan. Universitas Indonesia


18

Struktur dan konsep dari ISO 2700/ISMS Information Security Management System – Requirements (IsecT Ltd, 2012): 0. Introduction 1. Scope 2. Normative References 3. Terms and Definition 4. Information Security Management System 5. Management responsibility 6. Internal ISMS Audits 7. Management review of the ISMS 8. ISMS improvement Annex A – Control objectives and controls atau yang dikenal dengan ISO 27002 Annex B – OECD principles and this international standard Annex C _ Correspondence between ISO 9001:2000, ISO 14001:2004 and this international Standard

Secara umum ada 11 aspek atau yang biasa disebut sebagai kontrol, yang

harus

ada

dalam

setiap

perusahaan

dalam

usahanya

mengimplementasikan konsep keamanan informasi. Kontrol dalam hal ini adalah suatu hal yang bisa berupa proses, prosedur, dan kebijakan yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh konsep keamanan informasi, seperti akses terlarang terhadap data atau informasi rahasia perusahaan. kontrol tersebut adalah sebagai berikut:

Struktur dan konsep dari ISO 27002 Code of Practice for Information Security Management System (IsecT Ltd, 2012) : 0.

Introduction

1.

Scope

2.

Terms and definitions Universitas Indonesia


19

3.

Structure of this standard

4.

Risk assessment and threatsment

5.

Security policy.

6.

Organization of information security.

7.

Asset management.

8.

Human resources security.

9.

Physical and environmental security.

10. Communications and operations management. 11. Access control. 12. Information system acquisition, development, and maintenance. 13. Information security incident management. 14. Business continuity management. 15. Compliance.

Tabel 2. 1 Domain dan Kontrol Objektif ISO 27001 No 1. 2. 3.

Domain ISO 27001 Security Policy Organization of Information Security Asset Management

4.

Human Resources Security

5.

Physical and Environmental security Communication and Operations Management

6.

7.

Access Control

Kontrol Objectif ISO 27001 1. information Security Policy 2. Internal Organization 3. External Parties 4. Responsibilies for Assets 5. Information Classification 6. Prior to Employment 7. During Employment 8. Termination or Change of Employment 9. Secure Areas 10. Equipment Security 11. Operational Procedures and Responsibilities 12. Third Party Service Delivery Management 13. System Planning and Acceptance 14. Protection Against Malicious and Mobile Code 15. Backup 16. Network Security Management 17. Media Handling 18. Exchange of Information 19. Electronic Commerce Services 20. Monitoring 21. Business Control for Access Control Universitas Indonesia


20

No

Domain ISO 27001

Kontrol Objectif ISO 27001 22. User Access Management 23. User Responsibilities 24. Network Access Control 25. Operating System Access Control 26. Application and Information Access Control 27. Mobile Computing and Teleworking 8. Information system 28. Security Requirements of Information Acquision, Systems Development and 29. Correct Processing in Applications Maintenance 30. Cryptographic Controls 31. Security of System Files 32. Security Indevelopment and Support Services 33. Technical Vulnerability Management 9. Information Security 34. Reporting Information Security Events and Incident Management Weakness 35. Management of Information Security Incidents And Improvements 10. Business Continuity 36. Information Security Aspects of Business Management Continuity Management 11. Compliance 37. Compliance With Legal Requirements 38. Compliance With Technical Policies and Standard and Technical Compliance 39. Information System Audit Considerations

Proses ISMS Proses information security management system menggunakan prinsip Plan-DoCheck-Act. Berikut adalah tahapan-tahapan PDCA :



21

•Establish ISMS

•Maintain and improve ISMS

Plan

Act

Do

Check

•Implement and Operate ISMS

•Monitor and Review ISMS

Gambar 2. 3 Proses ISMS

Plan (establish the ISMS) Langkah-langkah dalam mengerjakan plan adalah 1. Menentukan ruang lingkup 2. Melakukan gap analisis 3. Melakukan risk assessment a. Mengidentifikasi aset b. Mengidentifikasi kerawanan dan ancaman c. Menentukan Prioritas risiko d. Mengembangkan Kontrol e. Monitoring 4. Menetapkan kontrol 5. Membuat kebijakan dan prosedur Langkah tidak tertulis adalah statement of applicability (SOA)



22

Menentukan Ruang Lingkup

Membuat kebijakan dan Prosedur

Menetapkan Kontrol

Melakukan Gap Analisis

Melakukan Risk Assessment

Gambar 2. 4 Proses Plan

Do (Implement and operate the ISMS) 1. Membuat formulasi rencana pengelolaan risiko 2. Melakukan implementasi rencana pengelolaan risiko 3. Melakukan implementasi kendali 4. Melakukan implementasi program pelatihan dan pemahaman keamanan informasi 5. Melakukan pengelolaan kegiatan 6. Melakukan pengelolaan sumberdaya 7. Melakukan implementasi prosedur untuk mendeteksi dan merespon insiden keamanan informasi

Check (Monitor and review the ISMS) 1. Melakukan prosedur pemantauan 2. Melakukan evaluasi berkala terhadap sistem manajemen keamanan informasi 3. Melakukan pengkajian terhadap tingkatan risiko dan risiko yang dapat diterima 4. Melaksanakan audit sistem manajemen keamanan informasi secara internal Universitas Indonesia


23

5. Melakukan peninjauan manajemen secara berkala terhadap pelaksanaan sistem manajemen keamanan informasi. 6. Melakukan pencatatan aktivitas dan kejadian yang mempengaruhi sistem manajemen keamanan informasi

Monitor

Review

Audit

Gambar 2. 5 Proses Check

Act (Maintain and improve the ISMS) 1. Melakukan implementasi peningkatan yang telah diidentifikasi 2. Mengambil tindakan pencerahan dan koreksi 3. Melakukan implementasi pelatihan yang telah diterima 4. Mengkomunikasikan hasil kepada rekan yang berkepentingan 5. Menjamin peningkatan pencapaian tujuan

Corrective Actions

Preventive Actions Gambar 2. 6 Proses Act



24

2.3 Framework Keamanan Informasi Ada beragam framework selain ISO 27001 yang banyak diaplikasikan oleh organisasi seperti IT-IL, dan COBIT. Setiap framework memiliki latar belakang pembentukan dan area kontrol masing-masing seperti Cobit berfokus pada Business Orientation and IT Governance dan IT-IL yang berfokus pada Service Delivery and Service Support (Arora, 2010) (Aygun, 2010). Dan ada beberapa framework yang berfokus pada keamanan informasi di berbagai negara, diantaranya sebagai berikut (Syafrizal, 2007): 1. NIST (National Institute of standard and technology) NIST merupakan sebuah standar yang dijadikan sebuah acuan dalam melakukan manajemen keamanan teknologi informasi yang dibuat oleh FISMA (Federal Information Security Management Act) yang digunakan di Negara Amerika Serikat 2. GMITS (Guidelines for the Management of Information Technology Security) GMITS adalah sebuah framework untuk melakukan manajemen keamanan teknologi informasi. 3. BS (British standard) 7799:1 atau lebih dikenal dengan ISO/IEC 17799 (Information Technology Code of Practice for Information Security Management) 4. BS (British standard) 7799:2 yang dikenal dengan ISO/IEC 27001 (Information Security Management System - Requirements) Dari beberapa framework keamanan informasi yang ada, yang paling spesifik terhadap keamanan informasi adalah ISO 27001, dilengkapi dengan 8 struktur, annex A (ISO27002), annex B dan annex C. ISO 27001 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO 27001menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memantau, menganalisa dan memelihara seta mendokumentasikan Information security management system dalam konteks risiko bisnis organisasi keseluruhan.



BAB III METODOLOGI PENELITIAN Pada bab ini akan dijelaskan tentang metode yang akan digunakan penulis dalam menyusun karya akhir. Berikut adalah gambar dari metodologi penelitian.

Mulai

Pemilihan Masalah

Studi Literatur

Identifikasi aset Wawancara

Menentukan ruang lingkup

Identifikasi ancaman dan kerawanan

Observasi Proses Plan

Menentukan prioritas resiko

Gap Analisis

Statement of Applicability

Risk assessment

Review kelengkapan dokumen Domain dan Kontrol ISO 27001

Mengembangkan kontrol

Monitoring

Menetapkan kontrol

Kebijakan dan prosedur

Selesai

Gambar 3. 1 Alur Penyusunan Karya Akhir 25



26

Penjelasan alur pada gambar 3.1 adalah sebagai berikut: 3.1 Pemilihan Masalah Pada karya akhir ini langkah penelitian dimulai dengan pemilihan masalah, masalah yang dihadapi berasal dari temuan hasil audit beberapa bank yaitu kurangnya keamanan informasi pada perusahaan PT. XYZ. Dari hasil audit dan persepsi dari manajemen, terdapat perbedaan mendasar yaitu manajemen sudah menerapkan kebijakan dan prosedur sebagai penunjang visi misi best service dalam keamanan informasi tetapi pada penerapannya banyak temuan yang bermasalah. 3.2 Studi Literatur Setelah memilih masalah, penulis mempelajari berbagai teori yang berhubungan dengan topik penelitian antara lain dari jurnal, buku, web, dan standar-standar yang dijadikan acuan dalam penelitian ini, serta dokumendokumen perusahaan seperti kebijakan dan prosedur keamanan informasi. 3.3 Menentukan Ruang Lingkup Dalam menentukan ruang lingkup ini, peneliti mengkhususkan pada apa saja yang akan dibahas seperti audit kepatuhan terhadap visi dan misi perusahaan, cakupan aset, risk assessment. 3.4 Gap Analisis Gap analisis dilakukan berdasarkan assessment checklist dari hasil wawancara, observasi dan pengumpulan dokumen perusahaan baik itu kebijakan maupun prosedur serta dokumen-dokumen terkait keamanan informasi lainnya yang akan dipadukan dengan domain dan kontrol objektif dari ISO 27001:2005. Assessment checklist berasal dari BSN (Badan Standarisasi Nasional). 3.5 Risk Assessment Setelah melakukan gap analisis akan dilakukan risk assessment yang bertujuan untuk melakukan penilaian risiko yang mungkin timbul dari tahap sebelumnya yang dapat mengancam keamanan informasi. Dalam risk assessment akan dilakukan identifikasi aset, identifikasi kerawanan dan Universitas Indonesia


27

ancaman, menentukan prioritas risiko yang akan dikendalikan, menentukan kontrol apa saja yang dapat dilakukan untuk mengendalikan risiko dan monitoring risiko. 3.6 Menetapkan Kontrol Setelah melakukan Risk assessment, proses selanjutnya adalah menetapkan kontrol, kontrol yang ditetapkan dipilih dari kontrol objektif dari ISO 27001 berdasarkan hasil identifikasi kerawanan dan ancaman serta dampak yang terjadi sehingga nantinya dapat menutupi celah-celah keamanan informasi saat ini. 3.7 Kebijakan dan Prosedur Setelah menetapkan kontrol objektif atas dasar identifikasi ancaman dan kerawanan serta dampak yang terjadi. Selanjutnya dibuat kebijakan, prosedur, instruksi dan dokumentasi dari subkontrol ISO 27001/ISMS. 3.8 Statement of Applicability Statement of applicability berisi tentang alasan memilih dan tidak memilih kontrol dan subkontrol ISO 27001.



BAB IV PROFIL PERUSAHAAN INTRODUCTION PT. XYZ adalah sebuah perusahaan di Indonesia yang menyediakan jasa untuk Document Management, e-Business Services dan Offset Printing. PT. XYZ berdiri sejak tahun 1960 yang mempunyai spesialisasi dalam memproses data informasi, seperti Billing Statement atau Billing Information. Perusahaan ini mempunyai kantor pusat di Jakarta dan memiliki beberapa cabang serta drop centers untuk mendukung distribusi skala nasional. Proses bisnis termasuk printing, mailing, packaging dan costumer’s-contact dilakukan oleh kurir dan orang-orang yang professional. Hal ini telah dibuktikan oleh pasar, PT. XYZ dipercaya mempunyai keunggulan, kehandalan dan reputasi dalam penyediaan solusi document managements. PT. XYZ menangani proses end to end, dari produksi hingga customer’s-contact yang menjadi nilai tambah dimata pelanggan. Sebagai pemimpin dalam lingkungan bisnis yang sangat bersaing, document management dilakukan dengan high effectively, efficiency dan accuracy agar memberikan kepuasan kepada pelanggan.

COMPANY OVERVIEW Visi : Menjadi terkenal dan menjadi perusahaan

customer preferred services yang

selalu mengikuti trend teknologi dan bisnis Misi : Memberikan “best services” kepada pelanggan dengan menggunakan pendekatan customer-oriented sehingga pelayanan dan dukungan selalu cocok dengan permintaan pelanggan.

BUSINESS DOCUMENT SERVICES Document mail adalah salah satu media penyampaian yang cepat berkembang. PT. XYZ berada di garis terdepan karena ahli dalam mengorganisir, mencari dan memilih sumber daya berdasarkan sistem yang tepat, guna memastikan bahwa 28



29

setiap pekerjaan akan diselesaikan dengan tepat waktu dan sesuai dengan anggaran. PT. XYZ sebagai pemimpin pasar dalam business document management services, Provides end to end corporate to customer communications di indonesia, melalui outsourching, value added services, dan facility management. PT. XYZ telah mengembangkan sistem dan prosedur yang dapat memastikan bahwa PT. XYZ secara konsisten memberikan pelayanan yang berkualitas.

PRINTING AND MAILING SERVICES Dalam rangka memenuhi kebutuhan bisnis dan dukungan dari teknologi terbaru dalam percetakan, PT. XYZ selalu menawarkan layanan yang disesuaikan atau dikemas seperti yang diminta oleh pelanggan dengan identifikasi pelanggan melalui data koleksi manual, menyediakan peralatan hardware dan software untuk melakukan proses entry data (intelligently computerized), menghitung proses data untuk melakukan validasi data lanjutan dan mendistribusikan semua dokumen.

CUSTOMIZED MAILING SERVICE Teknologi inserting PT. XYZ memberikan solusi dalam menyesuaikan surat untuk pelanggan tertentu dengan kombinasi yang berbeda dan mengirimkannya ke orang yang berbeda. PT. XYZ menyediakan total mail management pada setiap item dan kuantitas yang ada, dan juga menjaga proses pengiriman dan surat dengan sangat hati-hati seperti prinsip dalam segmentasi pasar anda.

MATERIAL SUPPLY PT. XYZ dapat memudahkan pekerjaan anda dengan menyediakan bahan-bahan yang anda butuhkan dalam pengepakan surat anda. Skala operasional PT. XYZ dan hubungan yang kuat dengan industri percetakan memungkinkan PT. XYZ untuk memasok barang dan jasa dengan harga yang sangat kompetitif. PT. XYZ memastikan bahwa setiap materi yang dicetak pada ukuran dan sisi kertas akan sangat tepat karena menggunakan mesin yang compatible.



30

DELIVERY SOLUTIONS PT. XYZ didukung oleh kurir yang professional dan jaringan distribusi yang mapan dengan skala nasional, sehingga PT. XYZ dapat menawarkan solusi pengiriman yang paling efektif. PT. XYZ menyediakan kepada anda total delivery management system untuk pengiriman ke pangsa pasar yang ditargetkan. Layanan PT. XYZ meliputi redelivery document, restoring delivery management addresses, return dan success delivery analysis serta customer’s special inquiry.

INVESTMENT AND TECHNOLOGY DRIVEN PT. XYZ menggunakan teknologi informasi (TI) sebagai salah satu penunjang bisnis dan sebagai bagian dari perkembangan yang berkelanjutan dari proses bisnis PT. XYZ. PT. XYZ juga sangat tertarik dalam melakukan investasi dalam perencanaan dan sumber daya manusia. 

Data Management and Tracking System Proses ini dijalankan setelah proses pengiriman yang dilakukan oleh kurir, staf

PT. XYZ memiliki kualitas dan kemampuan moitoring dan

memeriksa dokumen yang berhasil dan dokumen yang gagal dikirim. PT. XYZ menggunakan format program aplikasi serta penggunaan teknologi tinggi untuk monitoring dan pemantauan seluruh dokumen. 

In house Application for Barcode Addressing PT. XYZ memberikan anda best customer support melalui pengembangan in house application yang berbasis teknologi untuk merekam customer’s identification dan mencetaknya dalam proses pengiriman surat.



Dedicated Call Center Sebuah call center di sediakan guna menerima keluhan dan pertanyaanpertanyaan dari pelanggan. PT. XYZ dapat merespon segera dengan menggunakan data management dan tracking system.



31

OFFSET PRINTING Selain untuk memenuhi kebutuhan pasar dan menyediakan “one shop shopping” kepada pelanggan dalam satu waktu, PT. XYZ juga menyediakan layanan pencetakan

dalam

bentuk

selebaran,

brosur,

catalog

dan

buku

yang

mengutamakan best services, aktual dan cepat dengan kualitas yang paling memuaskan dari hasil pencetakan. Untuk memberikan best services terhadap pelanggan, PT. XYZ didukung dengan staf professional dan teknologi tinggi di mesin produksi. 

Mobile Transaction (Supported Future Projects) PT. XYZ juga menyediakan layanan untuk pembayaran mobile transaction melalui sms system mobile transaction. PT. XYZ telah membangun hubungan dengan perusahaan utilities, banks serta beberapa perusahaan lainnya.



Overview of Payment Method and Wireless Technology PT. XYZ melakukan uji coba mobile payment solution dengan menggunakan teknologi wireless seperti “Top Up”

Short Message

Services (SMS) dan Interactive Voise Response (IVR) dan menggunakan kartu kredit dan kartu debit sebagai metode pembayaran. IVR sebagai sistem otentikasi dan ujicoba pembayaran dipilih sebagai penyedia pelanggan dengan menggunakan jaringan phone banking yang sudah ada antara pelanggan dan bank mereka. Oleh karena itu, pelanggan sudah terbiasa menggunakan jaringan phone banking. Meskipun otentikasi pembayaran selalu menggunakan IVR, SMS juga dapat digunakan selama uji coba untuk berbelanja atau melakukan top up dengan ponsel mereka. 

EBPP (Electronic Bill Presentment and Payments) EBPP termasuk dalam printing , mailing, data management, dan tracking system untuk courier services,bar-coding, dan payment yang dapat digunakan secara manual atau elektronik dengan menggunakan internet. PT. XYZ seperti system integrator yang menyediakan pelanggan dengan pelayanan. PT. XYZ akan mempertahankan dan membangun kemitraan bisnis dengan bank dan juga pelanggan lain yang telah berhubungan bisnis dengan PT. XYZ. Universitas Indonesia


32

OUR BENEFITS 

Competitive Advantages PT. XYZ beroperasi dengan menggunakan kecepatan tinggi, dan adanya peralatan yang menghasilkan hasil yang cepat dan sempurna. Beberapa peralatan PT. XYZ juga dapat memberikan teknologi redundansi sehingga tingkat keberhasilan PT. XYZ lebih tinggi dari pesaing-pesaing yang tersedia di pasaran saat ini.



One Stop Convenience Graphic layout, printing, inserting, enveloping, mailing process, postage dan delivery yang di organize oleh PT. XYZ dan akan didistribusikan oleh PT. VWX sebagai koordinator mailing untuk mencapai hasil yang efektif, produksi yang cepat, dan pendistribusian yang handal ditempat lain.



Promptness Waktu jeda antara setiap tahap pengolahaan adalah cara minimal untuk memelihara hasil, sehingga pengolahan tetap dapat diselesaikan tepat waktu. Misalnya, saat beberapa dokumen dalam proses inserting, beberapa dokumen lain dalam proses stamped. Kecepatan dan kualitas kerja dapat diharapkan dalam setiap proyek yang dipegang oleh PT. XYZ karena PT. XYZ memanfaatkan peralatan terbaru dan tercanggih untuk menangani setiap proyek.



Quality Kualitas produksi PT. XYZ sangat jernih, bersih, dan professional laser printing ditambah dengan tingkat kreativitas dan style yang tinggi. Font standard dan konvensional tersedia untuk memenuhi permintaan. Sementara performing folding, inserting, and enveloping processes. Kesalahan manusia berada di level minimum sebagai bagian yang harus ditangani terlebih dahulu



Confidentiality and Security Hanya personil yang terotorisasi yang dapat memasuki service area, kartu akses diatur pada setiap pintu masuk menuju ruangan operasional, administrasi, dan kontrol, sehingga semua data diperlakukan sebagai rahasia. Personil keamanan PT. XYZ memantau seluruh daerah service Universitas Indonesia


33

area dengan menggunakan cctv, PT. XYZ juga menyediakan sistem keamanan enkripsi ketika data ditransfer oleh media telekomunikasi. File auditrail; pelaporan dan pendaftaran sistem untuk proses pencetakan. Dalam kasusu pencetakan ini, nama operator dan jumlah dokumen yang dicetak sudah direkam, ini mengurangi kemungkinan terjadinya proses kerja yang salah dan lebih mudah dalam mengetahui apakah ada proses multiple dokumen. Penghapusan file secara otomatis sudah diterapkan, setelah proses pencetakan data akan dihapus secara otomatis.

Contacts : Jakarta Head Office Jl. Kebon sirih No. xxx Jakarta 10430 Gedung Perusahaan Maskapai Tel. 021 – 3190 – xxxx Fax. 021 – 3190 – xxxx e-Mail : [email protected]

Branch Offices : Surabaya Bandung Medan Batam Samarinda



BAB V ANALISIS DAN REKOMENDASI Pada bab ini akan dilakukan analisa dan pembahasan sesuai dengan metodologi penelitian yang sudah dipilih sebelumnya.

Pemodelan ISMS (Plan) Pada kasus ini metode yang digunakan adalah metode plan yang ada pada ISMS. Langkah-langkah yang harus dilakukan adalah seperti dibawah ini.

Menentukan Ruang Lingkup

Membuat kebijakan dan Prosedur

Melakukan Gap Analisis

Melakukan Risk Assessment

Menetapkan Kontrol

Gambar 5. 1 Proses Plan

5.1 Ruang Lingkup Pada penelitian ini, ruang lingkup sistem manajemen keamanan informasi adalah sebagai berikut : 1. Audit kepatuhan terhadap visi dan misi perusahaan 2. Mencakup Seluruh aset dalam bentuk teknologi, proses, sistem, layanan, aplikasi, jaringan dan software yang dimiliki perusahaan. 3. Risk assessment keamanan informasi meliputi identifikasi Aset, identifikasi kerawanan (vulnerability) dan ancaman (threats), mengkategorikan risiko 34



35

atau menentukan risiko prioritas (Risk Prioritization), mementukan kontrol (Develop control) dan monitoring. 5.2 Gap Analisis Tujuan melakukan gap analisis adalah untuk membandingkan sejauh apa kontrol-kontrol ISO 27001 yang sudah dilakukan, Baik dalam kebijakan, prosedur, instruksi maupun dokumentasinya. Untuk melakukan gap analisis, terlebih dahulu dilakukan gap assessment, berikut adalah gap assessment antara hasil wawancara, observasi dengan panduan asseement checklist ISO 27001/ISMS.

Tabel 5. 1 Perhitungan Gap Assessment untuk Domain ISO 27001/ISMS No 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

Domain Security Policy Organization of Information Security Asset Management Human Resources Security Physical and Environmental Security Communication nand Operations Management Access Control Information System Acquision, Development and Maintenance Information Security Incident Management Business Continuity Management Compliance

A 4 6

B 2 3.5

C 7 12

D 7 12

E 0.57 0.5

F 0.29 0.29

G 1 1

3 8.5 19. 5 24

5 11 21

5 11 21

0.6 0.77 0.93

0.3 0.64 0.83

1 1 1

47

47

0.51

0.37

1

15 9.5

1.5 7 17. 5 17. 5 13 8.5

37 31

37 31

0.41 0.31

0.35 0.27

1 1

0.5

1.5

11

11

0.05

0.14

1

0

0

10

10

0

0

1

4

3.5

21

21

0.19

0.17

1

A

: Hasil wawancara dengan menggunakan panduan assessment checklist

B

: Hasil observasi dengan menggunakan panduan assessment checklist

C

: Nilai assessment checklist ISO 27001/ISMS

D

: Jumlah pernyataan

E

: Hasil A dibagi dengan D

F

: Hasil B dibagi dengan D Universitas Indonesia


36

G

: Hasil C dibagi dengan D.

Dari gambar 5.2 dapat dilihat hasil penilaian dari wawancara, observasi dan domain ISMS, sedangkan gambar 5.3 merupakan hasil wawancara, observasi dari kontrol objektif ISMS. Dari gambar yang ada dapat dilihat bahwa tingkat keamanan informasi yang diterapkan masih jauh dari best practice ISMS.

Domain 1 1 Domain 11

0.8

Domain 2

0.6 Domain 10

Domain 3

0.4 0.2 0

Domain 9

Domain 4

Domain 8

Domain 5 Domain 7

Domain 6 Wawancara Observasi ISMS

Gambar 5. 2 Gap Assessment Domain ISMS



37

Wawancara Observasi Kontrol 1 Kontrol 39 1 Kontrol 2 Kontrol 38 Kontrol 3 Kontrol 37 Kontrol 4 0.9 Kontrol 36 Kontrol 5 0.8 Kontrol 35 Kontrol 6 0.7 0.6 Kontrol 34 Kontrol 7 0.5 Kontrol 33 Kontrol 8 0.4 0.3 Kontrol 32 Kontrol 9 0.2 Kontrol 31 Kontrol 10 0.1 0 Kontrol 30 Kontrol 11 ISMS

Kontrol 29

Kontrol 12

Kontrol 28

Kontrol 13

Kontrol 27

Kontrol 14

Kontrol 26

Kontrol 15

Kontrol 25 Kontrol 24 Kontrol 23 Kontrol 22 21 Kontrol

Kontrol 16 Kontrol 17 Kontrol 18 Kontrol Kontrol 20 19

Gambar 5. 3 Gap Assessment Kontrol Objektif ISMS



38

Tabel 5. 2 Perhitungan Gap Assessment untuk kontrol ISO 27001/ISMS No 1. 2. 3.

Domain Security Policy Organization of Information Security Asset Management

4.

Human Resources Security

5.

Physical and Environmental Security Communication nand Operations Management

6.

7.

Access Control

Kontrol Information Security Policy Internal Organization External partiez Responsibilities for asset Information Classification Prior to Employment During Employment Termination or change of employment Secure areas Equipment security Operational procedures and responsibilities Third party service delivery management System planning and acceptance Protection agains malicious and mobile code Backup Network security management Media handling Exchange of information Electronic commerce services Monitoring Business control for access control User access management User Responsibilities Network Access control

A 2.5 4.5 1.5 2 1 3.5 2 3 6.5 13 2.5

B 1 2 1.5 0.5 1 3 1.5 2.5 6 11.5 1.5

C 5 9 3 3 2 5 3 3 7 14 5

D 5 9 3 3 2 5 3 3 7 14 5

E 0.57 0.5 0.5 0.67 0.5 0.7 0.67 1 0.93 0.93 0.5

F 0.29 0.22 0.5 0.17 0.5 0.6 0.5 0.83 0.86 0.82 0.3

G 1 1 1 1 1 1 1 1 1 1 1

2.5 1.5 1

2.5 1 1

5 2 2

5 2 2

0.5 0.75 0.5

0.5 0.5 0.5

1 1 1

2 4 4 2.5 1.5 2.5 0.5 0.5 0.5 7

1.5 3 1.5 2.5 1.5 1.5 0.5 0 0.5 7

2 4 5 7 5 10 3 4 4 11

2 4 5 7 5 10 3 4 4 11

1 0.75 1 0.75 0.8 0.3 0.36 0.36 0.3 0.3 0.25 0.15 0.17 0.17 0.125 0 0.125 0.125 0.64 0.64

1 1 1 1 1 1 1 1 1 1



39

No

8.

9.

10. 11.

Domain

Information System Acquision, Development and Maintenance

Information Security Incident Management Business Continuity Management Business continuity management Compliance

Kontrol Operating system access control Application and information access control Mobile computing and teleworking Security requirements of information system Correct processing in applications Cryptographic controls Security of system files Security in development and support services Technical vulnerability management Reporting information security events and weakness Management of information security incidents and improvements Information security aspects of business continuity management Compliance with legal requirements Compliance with technical policies and standards and technical compliance Information system audit considerations

A 5 1.5

B 3.5 1.5

C 8 2

D 8 2

E 0.625 0.75

F 0.44 0.75

G 1 1

0 0

0 0

5 3

5 3

0 0

0 0

1 1

4 1.5 1 2

3 1.5 1 2

7 7 3 9

7 7 3 9

0.56 0.21 0.33 0.22

0.43 0.21 0.33 0.22

1 1 1 1

1 0.5

1 1

2 3

2 3

0.5 0.17

0.5 0.33

1 1

0

0.5

8

8

0

0.06

1

0

0

10

10

0

0

1

2.5 1.5

2 1.5

13 4

13 4

0

0

4

4

0.19 0.15 0.375 0.375 0

0

1 1 1



40

5.3 Risk Assessment Tahap ketiga dalam melakukan plan adalah risk assessment, tahapantahapan dalam melakukan risk assessment adalah sebagai berikut : 1. Melakukan Identifikasi Aset 2. Melakukan Identifikasi Kerawanan (Vulnerability) dan ancaman (Threats) 3. Menentukan Prioritas risiko 4. Mengembangkan Kontrol 5. Monitoring

Berikut adalah gambar alur dalam melakukan risk assessment

1. Identifikasi Aset

5. Monitoring

2. Identifikasi vulnerability dan threat

4. Mengembangkan kontrol

3. Menentukan Resiko prioritas Gambar 5. 4 Proses Risk Assessment

5.3.1 Identifikasi Aset Aset PT. XYZ yang berkaitan dengan keamanan informasi adalah sebagai berikut :



41

Tabel 5. 3 Aset Keamanan Informasi PT. XYZ No 1

Server

2.

Cisco Router

2.

DVR

Pemilik Alokasi Aset Perangkat Keras Accounting, Internal appdev, EDP. dan IT IT Internal dan Eksternal IT Internal

3.

Kamera CCTV

GA

Internal

4.

Access point

IT

5.

Firewall

IT

6.

Switch

IT

Internal dan eksternal Internal dan eksternal Internal

7.

Modem Dial up

EDP

8. 9.

Pintu PC, Laptop

GA IT

1.

Aset

2. 3.

Ms. Windows server 2003 Ms. Windows XP Redhat Linux

4.

Lokasi Ruang server dan ruang EDP lt. 5, ruang appdev lt. 4 Ruang server lt. 5 gedung a Ruang server lt. 2 gedung b, Ruang server lt. 5 gedung a, Ruang cctv gudang 60 titik di gedung a, gedung b dan gudang Lt. 1 dan lt 2 gedung a Ruang server lt. 5 gedung a 25 titik di gedung a, gedung b dan gudang Ruang EDP lt. 5 gedung a Disetiap ruangan Berada di setiap lantai

Internal dan eksternal Internal Internal

Aset Perangkat Lunak IT Internal IT Programmer dan appdev

Internal Internal

Cent Os

Programmer dan appdev

Internal

5.

Ubuntu

Programmer dan appdev

Internal

6.

Email internal

IT

Internal

7.

Email Eksternal

IT

Internal dan eksternal

Ruang server lt. 5 gedung a Semua user Ruang programmer dan ruang Appdev Ruang programmer dan ruang Appdev Ruang programmer dan ruang Appdev Ruang server lt. 5 geduang a Ruang server lt. 5 geduang a Universitas Indonesia


42

No 8.

Aset Website DI

Pemilik Sales IT

Alokasi Internal dan eksternal Internal

Lokasi Ruang server lt. 5 geduang a Ruang TI lt. 5 geduang a

9.

11.

MRTG (Multi Router Traffic Grapher) HRIS (Human Resources Information System) Orlansoft

HRD

Internal

Ruang server lt. 5 geduang a

Accounting

Internal

V-guard

IT

Internal

13.

Antivirus

IT

Internal

14.

Document Management (Integrator)

Produksi

Internal

Ruang server lt. 5 geduang a Ruang server lt. 5 geduang a Ruang server lt. 5 geduang a Ruang server lt. 5 geduang a

12.

10.

1.

PT. XYZ - Bank DEF

EDP

2.

PT. XYZ - Bank GHI

EDP

3.

PT. XYZ – Bank PQR

EDP

4.

PT. XYZ – Bank ABC

EDP

5.

PT. XYZ – Bank STU

EDP

6.

PT. XYZ – Bank MNO

EDP

7.

PT. XYZ - Bank JKL

EDP

1.

Orang

HRD

Aset Jejaring Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Internet (Hubungan dengan bank) Aset Lain-lain Internal

Ruang server lt. 2 gedung b Ruang EDP lt. 5 gedung a Ruang EDP lt. 5 gedung a Ruang EDP lt. 5 gedung a Ruang EDP lt. 5 gedung a Ruang EDP lt. 5 gedung a Ruang EDP lt. 5 gedung a

Karyawan XYZ



PT.

43

5.3.2 Identifikasi Kerawanan dan Ancaman Setelah identifikasi aset yang berkaitan dengan sistem keamnan informasi di PT. XYZ, selanjutnya dilakukan identifikasi terhadap kerawanan (vulnerability) dan ancaman (threats) yang mungkin terjadi pada aset-aset tersebut. Proses identifikasi dilakukan dengan wawancara dan diskusi dengan PJS dan staff TI PT. XYZ. Hasil identifikasi kerawanan dan ancaman sebagai berikut :

Tabel 5. 4 Hasil Identifikasi Kerawanan No 1.

2.

3. 4. 5. 6.

7. 8. 9.

Kerawanan (Vulnerability) Persyaratan sharing password, pengamanan identitas dan hak akses user yang tidak tepat. Misalnya : password default, password ditulis pada kertas yang menempel dimonitor, sharing akun dan password atau account dan password digunakan bersamaan. Informasi cetak (hardcopy) maupun non cetak (softcopy) yang ditaruh atau disimpan ditempat yang tidak tepat. Misalnya : informasi softcopy ditaruh di hardisk komputer bukan di file server Patching (update) yang terlambat atau versi yang sudah lama dan ketinggalan Proses pemeliharaan (maintenance) dan pengawasan (monitoring) tidak berjalan dan tidak terpantau. Perangkat lunak dan perangkat keras sudah habis lifetimenya serta sparepart yang sudah tidak di support oleh vendor Ada IP public yang bisa diakses karyawan atau user dari jarak jauh. Misalnya : Ada beberapa server yang dapat diakses melalui web Konfigurasi sistem yang masih mengikuti bawaan pabrik, sehingga password mudah ditebak. Beberapa PC belum dihardening dengan benar. Misalnya : port USB yang masih terbuka, user dapat mengganti IP. Password yang tidak dirubah secara berkala

Kode V1

V2

V3 V4 V5 V6

V7 V8 V9



44

Tabel 5. 5 Hasil Identifikasi Ancaman No 1. 2. 3. 4. 5. 6. 7.

Ancaman (Threats) Serangan virus, worm dan malware Spam pada email yang menyebabkan email-email penting tertunda baik dalam pengiriman maupun penerimaan Penerobosan sistem oleh pihak eksternal Penerobosan sistem oleh pihak internal Kegagalan sistem akibat kerusakan perangkat keras dan perangkat lunak Pengrusakan aset secara fisik Kartu akses yang terdaftar bisa digunakan siapa saja

Kode T1 T2 T3 T4 T5 T6 T7

5.3.3 Menentukan Prioritas Risiko Tahapan-tahapan dalam menentukan risiko prioritas adalah :  Mengkombinasikan 2 tahapan sebelumnya (identifikasi aset, identifikasi kerawanan dan ancaman) sehingga didapatkan risiko yang mungkin terjadi.  Mengkategorikan risiko  Mengidentifikasi kecenderungan (likelihood) dan dampak (impacts) dari risiko.  Mengidentifikasi Inherent risk dan residual risk

Untuk menentukan prioritas risiko, harus ditentukan dulu definisi dari kecenderungan, dampak dan risiko yang diakibatkan oleh risiko terhadap organisasi. Berikut adalah pemetaan dari kecenderungan, dampak dan risiko



45

Tabel 5. 6 Nilai Kecenderungan Kecenderungan Jarang

Probabilitas kemungkinan terjadi rendah berkisar 0 - 5 kalipertahun

Sedang

Probabilitas kemungkinan terjadi sedang berkisar 6 – 10 pertahun

sering

Probabilitas kemungkinan terjadi tinggi berkisar > 10 per-tahun

Tabel 5. 7 Nilai Dampak Dampak Rendah

Sedang

Tinggi

-

Dampak tidak terlalu berpengaruh pada organisasi

-

Nilai kerusakan tidak penting bagi organisasi

-

Downtime rendah, < 4 jam

-

Dampak berpengaruh pada kegiatan operasional

-

Nilai kerusakan penting bagi organisasi

-

Downtime sedang, 5-24 jam

-

Dampak berpengaruh pada operasional dan bisnis

-

Nilai kerusakan menjadi perhatian utama organisasi

-

Downtime tinggi, >2 4 jam

Tabel 5. 8 Nilai risiko Risiko Rendah Sedang Tinggi Kritis

Tidak berpengaruh pada operasional dan bisnis Berpengaruh pada kegiatan operasional Berpengaruh pada kegiatan operasional dan bisnis Dapat mematikan bisnis



46

Setelah mendefinisikan kecenderungan, dampak dan risiko, langkah selanjutnya adalah mengukur tingkat risiko saat ini (Inherent Risk), Inherent risk yang terjadi dapat dilihat pada Tabel 5.9 Nilai Inherent Risk Dari hasil Inherent risk, nantinya dapat ditentukan risiko yang akan dimitigasi. Untuk proses penentuan risiko apa yang harus segera di mitigasi dapat dilihat pada risk appetite. Risk appetite dapat dilihat pada Tabel 5.10 Risk Appetite

Setelah melakukan mitigasi pada sebuah risiko, selanjutnya diukur Residual risk. Residual risk dilihat pada Tabel 5.11 Nilai Residual Risk

Tabel 5. 9 Nilai Inherent Risk Likelihood Impacts

Jarang

Sedang

Sering

(0.1)

(0.5)

(1.0)

Rendah

Rendah

Sedang

Sedang

(10)

(1.0)

(5)

(10)

Sedang

Sedang

Tinggi

Tinggi

(50)

(5)

(25)

(50)

Tinggi

Tinggi

Tinggi

Kritis

(100)

(10)

(50)

(100)

Setelah semua terpetakan, selanjutnya dipeetakan vulnerability dan threats pada aset, menilai dampak yang ditimbulkan, dengan kontrol yang ada didapatkan nilai risiko saat ini (Inherent Risk).

Dari Tabel 5.12 Prioritas Risiko dan Nilai Inherent Risk dapat dilihat bahwa ada 4 aset yang memiliki risiko kritis dan ada 15 aset yang memiliki risiko tinggi. Dari sini dapat diambil tindakan atau kontrol yang tepat agar risiko



47

kritis dan tinggi yang ada dapat dikurangi atau dihilangkan. Tabel 5.13 adalah hasil dari menerapkan rencana kerja dan nilai residual risk.

Tabel 5. 10 Risk Appetite Likelihood Impacts

Jarang

Sedang

Sering

Rendah

Accept

Accept

mitigate

Sedang

Accept

Mitigate

Mitigate

Tinggi

Mitigate

Mitigate

Mitigate

Tabel 5. 11 Nilai Residual Risk Likelihood Impacts

Rendah

Jarang

Sedang

Sering

(0.1)

(0.5)

(1.0)

Hilang

Sedang

Sedang

(5)

(10)

(10) Sedang

Sedang

Tinggi

Tinggi

(50)

(5)

(25)

(50)

Tinggi

Tinggi

Tinggi

Kritis

(100)

(10)

(50)

(100)

Dari Tabel 5.14 Risk Register adalah Gabungan dari Tabel 5.12 .Prioritas risiko dan nilai inherent risk serta Taebl 5.13 Rencana kerja dan nilai residual risk ditambahkan dengan PIC yang bertugas melakukan monitoring terhadap aset.



48

Tabel 5. 12 Prioritas Risiko dan Nilai Inherent Risk No Aset

1.

Server

2.

Cisco Router

3.

DVR (Digital Video Recorder)

4.

Kamera CCTV

Deskripsi Risiko - Dampak Kontrol existing Vulnerability Threats Dampak Aset Perangkat Keras V4, V5, V8 T5, T6, Kinerja karyawan Pintu Ruang server dan T7 terganggu dan ruang transfer EDP kegiatan operasional sudah menggunakan terkendala. kartu akses. setiap ruang server diberi CCTV Ruang server sudah dilengkapi UPS dan pendingin. Ada log untuk yang masuk ke ruang server tetapi tidak pernah diisi. V5 T6, T7 jaringan akan lumpuh Pintu ruang server dan mengganggu sudah menggunakan operasioanl kartu akses. V5 T6, T7 Hasil rekaman cctv Pintu ruang server tidak tersimpan. sudah menggunakan kartu akses dan pintu gudang sudah menggunakan kunci V5 T6 Pantauan terhadap Ditaruh ditempat yang situasi perusahaan sulit dijangkau. tidak ada.

Nilai Inherent Likelihood Impacts Risiko Sedang

Sedang

Tinggi

Jarang

Rendah

Rendah

Sering

Tinggi

Kritis

Jarang

Tinggi

Tinggi



49

No Aset 5.

Access point

6.

Firewall

7.

Switch

8.

Modem Dial up

9.

Pintu

10. PC, Laptop

Deskripsi Risiko - Dampak Vulnerability Threats Dampak V5 T6 Pengrusakan fisik Access point. Karyawan tidak dapat menggunakan access point V5 T6, T7 Tidak ada penyaring informasi yang keluar dan masuk. V5 T6, T7 Beberapa jaringan akan lumpuh dan mengganggu operasioanl perusahaan. V5 T6, T7 Koneksi dengan bank yang masih menggunakan dial up akan terganggu. V5 T6, T7 Ruangan penting dapat dimasuki dengan mudah oleh pihak yang tidak berwenang V5, V8 T5, T6 Terjadi penyebaran virus memalui PC dan laptop yang terhubung ke jaringan.

Kontrol existing Ditaruh ditempat yang sulit dijangkau. Ada beberapa access point

Nilai Inherent Likelihood Impacts Risiko Jarang Rendah Rendah

Pintu ruang server sudah menggunakan kartu akses Ada bebrapa switch yang hanya diberi box pengaman dan ditaruh di luar ruang server

Jarang

Rendah

Rendah

Jarang

Sedang

Sedang

Ruang EDP lt. 5 gedung a sudah menggunakan kartu akses. Akses menggunakan kartu

Jarang

Tinggi

Tinggi

Jarang

Tinggi

Tinggi

Setiap PC dipasang aplikasi security administrator

Jarang

Tinggi

Tinggi



50

No Aset

Deskripsi Risiko - Dampak Kontrol existing Vulnerability Threats Dampak User dapat mengambil informasi penting mengandalkan port USB yg terbuka IP conflict PC user dapat diakses oleh pihak yang tidak berwenang

1.

Ms. Windows server 2003

V1, V3, V4, V5, V9

T1, T4, T5, T7

2.

Ms. Windows XP

V1, V3, V5, V8, V9

T1, T4, T5, T7

Aset Perangkat Lunak File penting dalam Bukan Ms. Windows server dapat dirubah asli. oleh pihak yang tidak Hampir semua berwenang. password administrator Bukan OS asli menggunakan nama sehingga tidak bisa divisi masing-masing. diupdate. Tidak pernah dilakukan pergantian password. Pintu Ruang server dan ruang EDP sudah menggunakan kartu akses Dapat diakses oleh Bukan windows XP pihak yang tidak asli. berwenang. Beberapa PC yang Bukan OS asli menggunakan windows

Nilai Inherent Likelihood Impacts Risiko

Jarang

Tinggi

Tinggi

Jarang

Sedang

Tinggi



51

No Aset

3.

Redhat Linux

4.

Cent Os

5.

Ubuntu

6.

Email internal

7.

Email Eksternal

Deskripsi Risiko - Dampak Vulnerability Threats Dampak sehingga tidak bias diupdate V1, V8, V9 T4, T5, Hasil coding T7 programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V8, V9 T4, T5, Hasil coding T7 programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V8, V9 T4, T5, Hasil coding T7 programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V4, V9 T1, T2, Komunikasi internal T3, T4, terganggu karena T5, T7 banyak e-mail berulang. V1, V4, V9 T1, T2, Komunikasi eksternal T3, T4, terganggu karena

Kontrol existing xp sudah dihardening dengan benar Pintu masuk programmer sudah menggunakan kartu akses. Ruang programmer sudah dipasang CCTV Pintu masuk programmer sudah menggunakan kartu akses. Ruang programmer sudah dipasang CCTV Pintu masuk programmer sudah menggunakan kartu akses. Ruang programmer sudah dipasang CCTV Semua password email internal dipegang oleh div. IT. Semua password email exsternal dipegang oleh


Jarang

Rendah

Rendah

Jarang

Rendah

Rendah

Jarang

Rendah

Rendah

Sering

Sedang

Tinggi

Sering

Tinggi

Kritis



52

No Aset

8.

Website DI

9.

MRTG (Multi Router Traffic Grapher) 10. HRIS (Human Resources Information System) 11. Orlansoft

Deskripsi Risiko - Dampak Vulnerability Threats Dampak T5, T7 email yang keluar dan masuk banyak spam sehingga harus antri. V4, V9 T1, T3, Pengrusakan website T4, T5, yang dapat mencemarkan nama baik V4, V9 T1, T4, Hidup mati jaringan T5, T6, tidak terpantau T7 V1, V4, V9 T1, T4, Karyawan tidak dapat T5, T7 mengisi form absen

V4, V9

T1, T4, T5, T7

V1, V3, V4, V5, V9

T1, T4, T5, T7

13. Norton Antivirus V1, V3, V4, V9

T1, T4, T5, T7

14. Document Management (Integrator)

T1, T4, T5, T7

12. V-guard

V1, V4, V9

Kontrol existing


div. IT

Pintu ruang server sudah menggunakan kartu akses

Jarang

Rendah

Rendah

Pintu ruang TI sudah menggunakan kartu akses Pintu ruang server sudah menggunakan kartu akses

Jarang

Rendah

Rendah

Jarang

Rendah

Rendah

Pintu ruang server sudah menggunakan kartu akses Aplikasi rekaman Pintu ruang server CCTV akan terganggu sudah menggunakan kartu akses Komputer akan Pintu ruang server diserang virus sudah menggunakan kartu akses Terganggunya kinerja Pintu ruang server karyawan sudah menggunakan kartu akses

Jarang

Rendah

Rendah

Sering

Tinggi

Kritis

Jarang

Sedang

Sedang

Jarang

Sedang

Sedang

Terganggunya kinerja karyawan



53

No Aset

Deskripsi Risiko - Dampak Vulnerability Threats Dampak

1.

PT. XYZ – Bank V1, V2, V3, DEF V4, V5, V8, V9

T1, T4, T5, T7

2.

PT. XYZ - Bank GHI

V1, V2, V3, V4, V5, V8, V9

T4, T5, T7

3.

PT. XYZ – Bank V1, V2, V3, PQR V4, V5, V8, V9

T4, T5, T7

Aset Jejaring Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam

Kontrol existing


Ruang server lt. 2 gedung b sudah menggunakan kartu akses. Password administrator dipegang div. IT

Jarang

Tinggi

Tinggi

Ruang EDP lt. 5 gedung a sudah menggunakan kartu akses. administrator dipegang div. IT

Jarang

Tinggi

Tinggi

Ruang EDP lt. 5 gedung a sudah menggunakan kartu akses. administrator dipegang

Jarang

Tinggi

Tinggi



54

No Aset

4.

5.

Deskripsi Risiko - Dampak Vulnerability Threats Dampak pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang PT. XYZ – Bank V1, V2, V3, T4, T5, Proses pengiriman ABC V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang PT. XYZ – Bank V1, V2, V3, STU V4, V5, V8, V9

T4, T5, T7

Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang

Kontrol existing


div. IT

Ruang EDP lt. 5 Sering gedung a sudah menggunakan kartu akses. Password administrator dipegang oleh 2 orang dengan rincian password potongan pertama dipegang div.IT dan potongan kedua div. HRD Ruang EDP lt. 5 Jarang gedung a sudah menggunakan kartu akses. administrator dipegang div. IT

Tinggi

Kritis

Tinggi

Tinggi



55

No Aset

Kontrol existing

6.

Ruang EDP lt. 5 gedung a sudah menggunakan kartu akses. administrator dipegang div. IT

7.

1.

Deskripsi Risiko - Dampak Vulnerability Threats Dampak PT. XYZ – Bank V1, V2, V3, T4, T5, Proses pengiriman MNO V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang PT. XYZ - Bank V1, V2, V3, T4, T5, Proses pengiriman JKL V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Aset Lain-lain Orang V1, V2, V4, T3, T4, Kebocoran informasi V6, V9 T6, T7 dengan kesengajaan. Perngrusakan aset. Karyawan yang sudah resign masih bisa

Nilai Inherent Likelihood Impacts Risiko Jarang Tinggi Tinggi

Ruang EDP lt. 5 gedung a sudah menggunakan kartu akses. Administrator dipegang div. IT

Jarang

Tinggi

Tinggi

Hukuman bagi pelanggar. Monitoring dengan cctv.

Jarang

Tinggi

Tinggi



56

No Aset

Deskripsi Risiko - Dampak Vulnerability Threats Dampak masuk kewebmail

Kontrol existing




57

Tabel 5. 13 Rencana Kerja dan Nilai Residual Risk No Aset

1.

Server

2.

Cisco Router

3.

DVR

4.

Kamera CCTV

5.

Access point

6.

Firewall

7.

Switch

Deskripsi Risiko - Dampak Rencana Kerja Vulnerability Threats Dampak Aset Perangkat Keras V4, V5, V8 T5, T6, Kinerja karyawan RK-V4, RK-V5, RKT7 terganggu dan V8, RK-T5, RK-T6, kegiatan operasional RK-T7, RK-D1 terkendala. V5 T6, T7 jaringan akan lumpuh RK-V5, RK-T6, RKdan mengganggu T7, RK-D7 operasioanl V5 T6, T7 Hasil rekaman cctv RK-V5, RK-T6, RKtidak tersimpan T7, RK-D2 V5 T6 Pantauan terhadap RK-V5, RK-T6, RK-D3 situasi perusahaan tidak ada V5 T6 Pengrusakan fisik RK-V5, RK-T6, RK-D4 Access point. Karyawan tidak dapat menggunakan access point V5 T6, T7 Tidak ada penyaring RK-V5, RK-T6, RKinformasi yang keluar T7, RK-D6 dan masuk V5 T6, T7 Beberapa jaringan RK-V5, RK-T6, RKakan lumpuh dan T7, RK-D7 mengganggu

Nilai Residual Likelihood Impacts Risiko Jarang

Sedang

Sedang

Jarang

Rendah

Hilang

Jarang

Tinggi

Tinggi

Jarang

Sedang

Sedang

Jarang

Rendah

Hilang

Jarang

Rendah

Hilang

Jarang

Rendah

Hilang



58

No Aset

8.

Modem Dial up

9.

Pintu

10. PC, Laptop

1.

Ms. Windows

Deskripsi Risiko - Dampak Vulnerability Threats Dampak operasioanl perusahaan. V5 T6, T7 Koneksi dengan bank yang masih menggunakan dial up akan terganggu. V5 T6, T7 Ruangan penting dapat dimasuki dengan mudah oleh pihak yang tidak berwenang V5, V8 T5, T6 Terjadi penyebaran virus memalui PC dan laptop yang terhubung ke jaringan. User dapat mengambil informasi penting mengandalkan port USB yg terbuka IP conflict PC user dapat diakses oleh pihak yang tidak berwenang

V1, V3, V4, T1, T4,

Rencana Kerja

Nilai Residual Likelihood Impacts Risiko

RK-V5, RK-T6, RKV7, RK-D8

Jarang

Sedang

Sedang

RK-V5, RK-T6, RKT7, RK-D9

Jarang

Sedang

Sedang

RK-V5, RK-V8, RKT5, RK-T6, RK-D10, RK-D11, RK-D12, RKD13

Jarang

Sedang

Sedang

Jarang

Sedang

Sedang

Aset Perangkat Lunak File penting dalam RK-V1, RK-V3, RK-4,



59

No Aset server 2003

2.

Ms. Windows XP

3.

Redhat Linux

4.

Cent Os

5.

Ubuntu

Deskripsi Risiko - Dampak Vulnerability Threats Dampak V5, V9 T5, T7 server dapat dirubah oleh pihak yang tidak berwenang. Bukan OS asli sehingga tidak bisa diupdate. V1, V3, V5, T1, T4, Dapat diakses oleh V8, V9 T5, T7 pihak yang tidak berwenang. Bukan OS asli sehingga tidak bias diupdate V1,V8, V9 T1, T4, Hasil coding T5, T7 programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V8, V9 T1, T4, Hasil coding T5, T7 programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V8, V9 T1, T4, Hasil coding T5, T7 programmer serta

Rencana Kerja


RK-V5, RK-V9, RKT1, RK-T4, RK-T5, RK-T7, RK-D14, RKD15

RK-V1, RK-V3, RKV5, RK-V8, RK-V9, RK-T1, RK-T4, RKT5, RK-T7, RK-D13, RK-D15

Jarang

Sedang

Sedang

RK-V1, RK-V8, RKV9, RK-T1, RK-T4, RK-T5, RK-T7, RKD13

Jarang

Rendah

Hilang

RK-V1, RK-V8, RKV9, RK-T1, RK-T4, RK-T5, RK-T7, RKD13

Jarang

Rendah

Hilang

RK-V1, RK-V8, RKV9, RK-T1, RK-T4,

Jarang

Rendah

Hilang



60

No Aset

6.

Email internal

7.

Email Eksternal

8.

Website DI

9.

MRTG (Multi Router Traffic Grapher)

10. HRIS (Human Resources Information System) 11. Orlansoft

Deskripsi Risiko - Dampak Vulnerability Threats Dampak appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang. V1, V4, V9 T1, T2, Komunikasi internal T3, T4, terganggu karena T5, T7 banyak e-mail berulang. V1, V4, V9 T1, T2, Komunikasi eksternal T3, T4, terganggu karena T5, T7 email yang keluar dan masuk banyak spam sehingga harus antri. V4, V9 T1, T3, Pengrusakan website T4, T5, yang dapat mencemarkan nama baik V1, V4, V9 T1, T4, Hidup mati jaringan T5, T7 tidak terpantau

V1, V4, V9

T1, T4, T5, T7

Karyawan tidak dapat mengisi form absen

V4, V9

T1, T4,

Terganggunya kinerja

Rencana Kerja


RK-T5, RK-T7, RKD13

RK-V1, RK-V4, RKV9, RK-T1, RK-T2, RK-T3, RK-T4, RKT5, RK-T7, RK-D16 RK-V1, RK-V4, RKV9, RK-T1, RK-T2, RK-T3, RK-T4, RKT5, RK-T7, RK-D17

Jarang

Sedang

Sedang

Jarang

Tinggi

Tinggi

RK-V4, RK-V9, RKT1, RK-T3, RK-T5, RK-T7, RK-D18

Jarang

Rendah

Hilang

RK-V1, RK-V4, RKV9, RK-T1, RK-T4, RK-T5, RK-T7, RKD19 RK-V1, RK-V4, RKV9, RK-T1, RK-T4, RK-T5, RK-T7, RK-20

Jarang

Rendah

Hilang

Jarang

Rendah

Hilang

RK-V4, RK-V9, RK-

Jarang

Rendah

Hilang



61

No Aset

Deskripsi Risiko - Dampak Vulnerability Threats Dampak T5, T7 karyawan

12. V-guard

V1, V3, V4, T1, T4, V5, V9 T5, T7

Aplikasi rekaman CCTV akan terganggu

13. Norton Antivirus

V1, V3, V4, T1, T4, V9 T5, T7

Komputer akan diserang virus

14. Document Management (Integrator)

V1, V4, V9

Terganggunya kinerja karyawan

T1, T4, T5, T7

1.

PT. XYZ - Bank DEF

V1, V2, V3, T4, T5, V4, V5, V8, T7 V9

2.

PT. XYZ - Bank GHI

V1, V2, V3, T4, T5, V4, V5, V8, T7

Aset Jejaring Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank

Rencana Kerja T1, RK-T4, RK-T5, RK-T7, RK-D1 RK-V1, RK-V3, RKV4, RK-V5, RK-V9, T1, RK-T4, RK-T5, RK-T7, RK-D21 RK-V1, RK-V3, RKV4, RK-V9, T1, RKT4, RK-T5, RK-T7, RK-D22 RK-V1, RK-V4, RKV9, T1, RK-T4, RKT5, RK-T7, RK-D1


Jarang

Tinggi

Tinggi

Jarang

Rendah

Hilang

Jarang

Rendah

Hilang

RK-V1, RK-V2, RKV3, RK-V4, RK-V5, RK-V8, RK-V9, RKT4, RK-T5, RK-T7, RK-D23

Jarang

Sedang

Sedang

RK-V1, RK-V2, RKV3, RK-V4, RK-V5,

Jarang

Sedang

Sedang



62

No Aset

3.


4.


Deskripsi Risiko - Dampak Vulnerability Threats Dampak V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang V1, V2, V3, T4, T5, Proses pengiriman V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang V1, V2, V3, T4, T5, Proses pengiriman V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah

Rencana Kerja


RK-V8, RK-V9, RKT4, RK-T5, RK-T7, RK-D23


Jarang

Sedang

Sedang


Jarang

Tinggi

Tinggi



63

No Aset

5.


6.


7.

PT. XYZ - Bank JKL

Deskripsi Risiko - Dampak Vulnerability Threats Dampak oleh pihak yang tidak berwenang V1, V2, V3, T4, T5, Proses pengiriman V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang V1, V2, V3, T4, T5, Proses pengiriman V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang V1, V2, V3, T4, T5, Proses pengiriman V4, V5, V8, T7 informasi dari bank V9 akan terganggu sehingga terjadi

Rencana Kerja



Jarang

Sedang

Sedang


Jarang

Sedang

Sedang

RK-V1, RK-V2, RKV3, RK-V4, RK-V5, RK-V8, RK-V9, RKT4, RK-T5, RK-T7,

Jarang

Sedang

Sedang



64

No Aset

1.

Orang

Deskripsi Risiko - Dampak Vulnerability Threats Dampak penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Aset Lain-Lain V1, V2, V4, T3, T4, Kebocoran informasi V6, V9 T6, T7 dengan kesengajaan. Perngrusakan aset. Karyawan yang sudah resign masih bisa masuk kewebmail

Rencana Kerja


RK-D23

RK-V1, RK-V2, RKV4, RK-V6, RK-V9, RK-T3, RK-T4, RKT6, RK-T7, RK-D25, RK-D26

Jarang

Sedang

Sedang



65

Tabel 5. 14 Risk Register No

Aset

PIC

Deskripsi Risiko - Dampak Vulnerability

Threats

Kontrol existing Dampak

Nilai Inherent L

I

Risk Appetite R

Nilai Residual L

I

R

Rencana kerja

Target selesai

Aset Perangkat Keras 1.

Server

IT Acc EDP Appd

V4, V5, V8

T5, T6, T7

Kinerja karyawan terganggu dan kegiatan operasional terkendala.

2.

Cisco Router

IT

V5

T6, T7

jaringan akan lumpuh dan mengganggu

Pintu Ruang server dan ruang transfer EDP sudah menggunaka n kartu akses. setiap ruang server diberi CCTV Ruang server sudah dilengkapi UPS dan pendingin. Ada log untuk yang masuk ke ruang server tetapi tidak pernah diisi. Pintu ruang server sudah menggunaka n kartu

Sedang

Sedang

Tinggi

Mitigate

Jarang

Sedang

Sedang

RK-V4, RK-V5, RK-V8, RK-T5, RK-T6, RK-T7, RK-D1

Segera

Jarang

Rendah

Rendah

Accept

Jarang

Rendah

Hilang

RK-V5, RK-T6, RK-T7, RK-D7

Tahun Berikutnya



66

No

Aset

PIC


Threats

3.

DVR

IT

V5

T6, T7

4.

Kamera CCTV

GA

V5

T6

5.

Access point

IT

V5

T6

6.

Firewall

IT

V5

T6, T7

Kontrol existing Dampak operasioanl Hasil rekaman cctv tidak tersimpan.

Pantauan terhadap situasi perusahaan tidak ada. Pengrusakan fisik Access point. Karyawan tidak dapat menggunaka n access point Tidak ada penyaring informasi yang keluar dan masuk.

Nilai Inherent

Risk Appetite

L

I

R

Sering

Tinggi

Kritis

Jarang

Tinggi

Ditaruh ditempat yang sulit dijangkau. Ada beberapa access point

Jarang

Pintu ruang server sudah menggunaka n kartu akses

Jarang

akses. Pintu ruang server sudah menggunaka n kartu akses dan pintu gudang sudah menggunaka n kunci Ditaruh ditempat yang sulit dijangkau.

Nilai Residual

Rencana kerja

Target selesai

L

I

R

Mitigate

Jarang

Tinggi

Tinggi


Segera

Tinggi

Mitigate

Jarang

Sedang

Sedang

RK-V5, RK-T6, RK-D3

Segera

Rendah

Rendah

Accept

Jarang

Rendah

Hilang

RK-V5, RK-T6, RK-D4

Tahun Berikutnya

Rendah

Rendah

Accept

Jarang

Rendah

Hilang


Tahun Berikutnya



67

No

Aset

PIC

Deskripsi Risiko - Dampak

Kontrol existing

Vulnerability

Threats

Dampak

7.

Switch

IT

V5

T6, T7

Beberapa jaringan akan lumpuh dan mengganggu operasioanl perusahaan.

8.

Modem Dial up

EDP

V5

T6, T7

9.

Pintu

GA

V5

T6, T7

10.

PC, Laptop

IT

V5, V8

T5, T6

Koneksi dengan bank yang masih menggunaka n dial up akan terganggu. Ruangan penting dapat dimasuki dengan mudah oleh pihak yang tidak berwenang Terjadi penyebaran virus memalui PC dan laptop yang

Nilai Inherent

Risk Appetite

L

I

R

Ada bebrapa switch yang hanya diberi box pengaman dan ditaruh di luar ruang server Ruang EDP lt. 5 gedung a sudah menggunaka n kartu akses.

Jarang

Sedang

Sedang

Jarang

Tinggi

Akses menggunaka n kartu

Jarang

Setiap PC dipasang aplikasi security administrato r

Jarang

Nilai Residual

Rencana kerja

Target selesai Tahun Berikutnya

L

I

R

Accept

Jarang

Rendah

Hilang


Tinggi

Mitigate

Jarang

Sedang

Sedang

RK-V5, RK-T6, RK-V7, RK-D8

Segera

Tinggi

Tinggi

Mitigate

Jarang

Sedang

Sedang


Segera

Tinggi

Tinggi

Mitigate

Jarang

Sedang

Sedang

RK-V5, RK-V8, RK-T5, RK-T6, RKD10,

Segera



68

No

Aset

PIC


Threats


Nilai Inherent L

I

Risk Appetite R

Nilai Residual L

I

Rencana kerja R

terhubung ke jaringan. User dapat mengambil informasi penting mengandalk an port USB yg terbuka IP conflict PC user dapat diakses oleh pihak yang tidak berwenang

1.

Ms. Windows server 2003

IT

V1, V3, V4, V5, V9

T1, T4, T5, T7

File penting dalam server dapat dirubah oleh pihak yang tidak berwenang. Bukan OS asli sehingga tidak bisa diupdate.

Target selesai

RKD11, RKD12, RK-D13

Aset perangkat lunak Bukan Ms. Jarang Tinggi Windows asli. Hampir semua password administrato r menggunaka n nama divisi masing-

Tinggi

Mitigate

Jarang

Sedang

Sedang

RK-V1, RK-V3, RK-4, RK-V5, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RKD14, RK-D15

Segera



69

No

Aset

PIC


Threats


2.

Ms. Windows XP

IT

V1, V3, V5, V8, V9

T1, T4, T5, T7

Dapat diakses oleh pihak yang tidak berwenang. Bukan OS asli sehingga tidak bias diupdate

3.

Redhat Linux

Prog & appd

V1, V8, V9

T4, T5, T7

Hasil coding programmer serta appdev dapat diakses atau

masing. Tidak pernah dilakukan pergantian password. Pintu Ruang server dan ruang EDP sudah menggunaka n kartu akses Bukan windows XP asli. Beberapa PC yang menggunaka n windows xp sudah dihardening dengan benar Pintu masuk programmer sudah menggunaka n kartu

Nilai Inherent

Risk Appetite

L

I

R

Jarang

Sedang

Sedang

Jarang

Rendah

Rendah

Accept

Accept

Nilai Residual L

I

R

Jarang

Sedang

Sedang

Jarang

Rendah

Hilang

Rencana kerja

Target selesai

RK-V1, RK-V3, RK-V5, RK-V8, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RKD13, RK-D15 RK-V1, RK-V8, RK-V9, RK-T1, RK-T4,

Tahun Berikutnya

Tahun Berikutnya



70

No

Aset

PIC


Threats

Kontrol existing Dampak dirusak oleh pihak yang tidak berwenang.

4.

Cent Os

Prog & appd

V1, V8, V9

T4, T5, T7

Hasil coding programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang.

5.

Ubuntu

Prog & appd

V1, V8, V9

T4, T5, T7

Hasil coding programmer serta appdev dapat diakses atau dirusak oleh pihak yang tidak berwenang.

6.

Email

IT

V1, V4, V9

T1, T2, T3, T4, T5, T7

Komunikasi internal

Nilai Inherent L

akses. Ruang programmer sudah dipasang CCTV Pintu masuk programmer sudah menggunaka n kartu akses. Ruang programmer sudah dipasang CCTV Pintu masuk programmer sudah menggunaka n kartu akses. Ruang programmer sudah dipasang CCTV Semua password

I

Risk Appetite R

Nilai Residual L

I

Rencana kerja

Target selesai

R RK-T5, RK-T7, RK-D13

Jarang

Rendah

Rendah

Accept

Jarang

Rendah

Hilang

RK-V1, RK-V8, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RK-D13

Tahun Berikutnya

Jarang

Rendah

Rendah

Accept

Jarang

Rendah

Hilang

RK-V1, RK-V8, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RK-D13

Tahun Berikutnya

Sering

Sedang

Tinggi

Mitigate

Jarang

Sedang

Sedang

RK-V1, RK-V4,

Segera



71

No

Aset

PIC


Threats

internal


Nilai Inherent L

terganggu karena banyak email berulang.

email internal dipegang oleh div. IT.

I

Risk Appetite R

7.

Email Eksternal

IT

V1, V4, V9

T1, T2, T3, T4, T5, T7

Komunikasi eksternal terganggu karena email yang keluar dan masuk banyak spam sehingga harus antri.

Semua password email exsternal dipegang oleh div. IT

Sering

Tinggi

Kritis

8.

Website DI

IT

V4, V9

T1, T3, T4, T5,

Pengrusakan website yang dapat mencemarka n nama baik


Jarang

Rendah

9.

MRTG (Multi Router Traffic

IT

V4, V9

T1, T4, T5, T6, T7

Hidup mati jaringan tidak terpantau

Pintu ruang TI sudah menggunaka n kartu akses

Jarang

Rendah

Nilai Residual L

I

Rencana kerja

Target selesai

R

Mitigate

Jarang

Tinggi

Tinggi

Rendah

Accept

Jarang

Rendah

Hilang

Rendah

Accept

Jarang

Rendah

Hilang

RK-V9, RK-T1, RK-T2, RK-T3, RK-T4, RK-T5, RK-T7, RK-D16 RK-V1, RK-V4, RK-V9, RK-T1, RK-T2, RK-T3, RK-T4, RK-T5, RK-T7, RK-D17 RK-V4, RK-V9, RK-T1, RK-T3, RK-T5, RK-T7, RK-D18 RK-V1, RK-V4, RK-V9, RK-T1, RK-T4,

Segera

Tahun Berikutnya

Tahun Berikutnya



72

No

Aset

PIC


Threats


Nilai Inherent L

I

Risk Appetite R

Nilai Residual L

I

Rencana kerja

Target selesai

R

Grapher)

10.

HRIS (Human Resources Information System)

HRD

V1, V4, V9

T1, T4, T5, T7



Jarang

Rendah

Rendah

Accept

Jarang

Rendah

Hilang

11.

Orlansoft

ACC

V4, V9

T1, T4, T5, T7

Terganggun ya kinerja karyawan


Jarang

Rendah

Rendah

Accept

Jarang

Rendah

Hilang

12.

V-guard

IT

V1, V3, V4, V5, V9

T1, T4, T5, T7



Sering

Tinggi

Kritis

Mitigate

Jarang

Tinggi

Tinggi

13.

Antivirus

IT

V1, V3, V4, V9

T1, T4, T5, T7

Komputer akan

Pintu ruang server sudah

Jarang

Sedang

Sedang

Accept

Jarang

Rendah

Hilang

RK-T5, RK-T7, RK-D19 RK-V1, RK-V4, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RK-20 RK-V4, RK-V9, RK-T1, RK-T4, RK-T5, RK-T7, RK-D1 RK-V1, RK-V3, RK-V4, RK-V5, RK-V9, T1, RKT4, RKT5, RKT7, RKD21 RK-V1, RK-V3,

Tahun Berikutnya

Tahun Berikutnya

Segera

Tahun Berikutnya



73

No

Aset

PIC


14.

1.

Document Management (Integrator)

PT. XYZ Bank DEF

Threats


L

diserang virus

menggunaka n kartu akses


Prod

V1, V4, V9

T1, T4, T5, T7

Terganggun ya kinerja karyawan

EDP

V1, V2, V3, V4, V5, V8, V9

T1, T4, T5, T7

Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan

Nilai Inherent

Jarang

I

Sedang

Aset jejaring Ruang Jarang Tinggi server lt. 2 gedung b sudah menggunaka n kartu akses. Password administrato r dipegang div. IT

Risk Appetite R

Nilai Residual L

I

Rencana kerja

Target selesai

R

Sedang

Accept

Jarang

Rendah

Hilang

Tinggi

Mitigate

Jarang

Sedang

Sedang

RK-V4, RK-V9, T1, RKT4, RKT5, RKT7, RKD22 RK-V1, RK-V4, RK-V9, T1, RKT4, RKT5, RKT7, RKD1 RK-V1, RK-V2, RK-V3, RK-V4, RK-V5, RK-V8, RK-V9, RK-T4, RK-T5, RK-T7, RK-D23

Tahun Berikutnya

Segera



74

No

Aset

PIC


Threats

2.

PT. XYZ Bank GHI

EDP

V1, V2, V3, V4, V5, V8, V9

T4, T5, T7

3.


EDP

V1, V2, V3, V4, V5, V8, V9

T4, T5, T7

Kontrol existing Dampak dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi

Nilai Inherent

Risk Appetite

L

I

R

Ruang EDP lt. 5 gedung a sudah menggunak an kartu akses. administrat or dipegang div. IT

Jarang

Tinggi

Tinggi

Ruang EDP lt. 5 gedung a sudah menggunak an kartu akses. administrat or dipegang

Jarang

Tinggi

Tinggi

Nilai Residual

Rencana kerja

Target selesai

L

I

R

Mitigate

Jarang

Sedang

Sedang

RK-V1, RK-V2, RK-V3, RK-V4, RK-V5, RK-V8, RK-V9, RK-T4, RK-T5, RK-T7, RK-D23

Segera

Mitigate

Jarang

Sedang

Sedang

RK-V1, RK-V2, RK-V3, RK-V4, RK-V5, RK-V8, RK-V9, RK-T4,

Segera



75

No

Aset

PIC


4.


EDP

V1, V2, V3, V4, V5, V8, V9

Threats

T4, T5, T7

Kontrol existing Dampak penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang

Nilai Inherent L

I

Risk Appetite R

Nilai Residual L

I

Rencana kerja R

div. IT

Ruang EDP lt. 5 gedung a sudah menggunaka n kartu akses. Password administrato r dipegang oleh 2 orang dengan rincian password potongan pertama dipegang div.IT dan potongan kedua div. HRD

Target selesai

RK-T5, RK-T7, RK-D23

Sering

Tinggi

Kritis

Mitigate

Jarang

Sedang

Sedang


Segera



76

No

Aset

PIC

Deskripsi Risiko - Dampak

Kontrol existing

Vulnerability

Threats

Dampak Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi

5.


EDP

V1, V2, V3, V4, V5, V8, V9

T4, T5, T7

6.


EDP

V1, V2, V3, V4, V5, V8, V9

T4, T5, T7

Nilai Inherent

Risk Appetite

L

I

R


Jarang

Tinggi

Tinggi


Jarang

Tinggi

Tinggi

Nilai Residual

Rencana kerja

Target selesai

L

I

R

Mitigate

Jarang

Sedang

Sedang


Segera

Mitigate

Jarang

Sedang

Sedang


Segera



77

No

Aset

PIC


Threats

7.

PT. XYZ Bank JKL

EDP

V1, V2, V3, V4, V5, V8, V9

T4, T5, T7

1.

Orang

HRD

V1, V2, V4, V6, V9

T3, T4, T6, T7

Kontrol existing Dampak dapat diambil dan dirubah oleh pihak yang tidak berwenang Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam pencetakan. Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang Kebocoran informasi dengan kesengajaan. Perngrusaka

Ruang EDP lt. 5 gedung a sudah menggunak an kartu akses. Administrat or dipegang div. IT

Nilai Inherent

Risk Appetite

L

I

R

Jarang

Tinggi

Tinggi

Tinggi

Aset Lain-lain Hukuman Jarang Tinggi bagi pelanggar. Monitoring dengan

Nilai Residual

Rencana kerja

Target selesai

L

I

R

Mitigate

Jarang

Sedang

Sedang


Segera

Mitigate

Jarang

Sedang

Sedang

RK-V1, RK-V2, RK-V4, RK-V6,

Segera



78

No

Aset

PIC


Threats

Kontrol existing Dampak n aset. Karyawan yang sudah resign masih bisa masuk kewebmail

Nilai Inherent L

I

Risk Appetite R

cctv.

Nilai Residual L

I

Rencana kerja

Target selesai

R RK-V9, RK-T3, RK-T4, RK-T6, RK-T7, RKD25, RK-D26



79

5.3.4 Mengembangkan Kontrol Yang dimaksud dengan Mengembangkan kontrol disini adalah dengan mengidentifikasi kontrol yang sudah ada pada aset-aset keamanan informasi lalu dikembangkan sehingga didapat kontrol baru yang dapat mengurangi risiko yang terjadi. Rencana kerja dan nilai residual risk dapat dilihat pada tabel 5.13. 5.4 Menetapkan Kontrol Setelah mengetahui risiko-risiko yang harus diperbaiki, selanjutnya dipilih kontrol yang akan digunakan untuk mengurangi nilai risiko. Untuk menetapkan control dapat dilihat dari hasil identifikasi kerawanan, ancaman dan dampak. Tabel 5. 15 Kontrol ISO 27001 untuk Kerawanan No

Kerawanan

Kontrol

ISO

Rencana kerja

Kode

Melakukan sosialisasi terhadap pengguna untuk mengikuti pedoman pengamanan yang baik dalam pemilihan dan penggunaan password.

RKV1

Melakukan perlindungan untuk penangan dan penyimpanan informasi dari pengungkapan yang yidak sah atau penyalahgunaan.

RKV2

27001 1

2

Persyaratan sharing User password, responsibilities pengamanan identitas dan hak akses user yang tidak tepat. Misalnya : password default, password ditulis pada kertas yang menempel dimonitor, sharing akun dan password atau account dan password digunakan bersamaan. Informasi cetak Media Handling (hardcopy) maupun non cetak (softcopy) yang ditaruh atau disimpan ditempat yang tidak tepat. Misalnya : informasi softcopy ditaruh di hardisk



80

No

Kerawanan

Kontrol

ISO

Rencana kerja

Kode

Melakukan pengujian system informasi yang sesuai guna menyesuaikan criteria acceptance sistem informasi yang baru, upgrade, dan versi baru Menetapkan dan menjalankan prosedur untuk pemantauan panggunaan fasilitas informasi.penggunaan sistem

RKV3

Membuat sebuah prosedur yang mengatur tentang pengendalian instalasi perangkat yang terkait dengan sistem operasional Membuat prosedur pemeliharaan barang untuk memastikan ketersediaan dan integritas layanan Melakukan metoda identifikasi peralatan dan otentikasi user Membuat kebijakan teleworking

RKV5.1

Menghapus seluruh hak akses user yang telah berhenti, maksimal sehari setelah status user dilaporkan secara resmi Membuat konfigurasi, Pembatasan terhadap sistem aplikasi dan fungsinya sesuai dengan kebijakan yang ada.

RKV6.3

27001

3

4

5

6

7

komputer bukan di file server Patching (update) yang terlambat atau versi yang sudah lama dan ketinggalan

System planning and acceptance

Proses pemeliharaan (maintenance) dan pengawasan (monitoring) tidak berjalan dan tidak terpantau. Perangkat lunak dan perangkat keras sudah habis lifetimenya serta sparepart yang sudah tidak di support oleh vendor

Monitoring

Ada IP public yang bisa diakses karyawan atau user dari jarak jauh. Misalnya : Ada beberapa server yang dapat diakses melalui web

Network Access control

Konfigurasi sistem yang masih mengikuti bawaan pabrik, sehingga password mudah ditebak.

Application and Information access control

Security of system files

Equipment security

Mobile computing and teleworking Terminating or change employment

RKV4

RKV5.2

RKV6.1 RKV6.2

RKV7



81

No

Kerawanan

Kontrol

ISO

Rencana kerja

Kode

Network access control

Melakukan pengendalian akses secara fisik dan logical terhadap diagnostic dan configuration port

RKV8

User Access Management

Peninjauan hak akses pengguna secara regular dengan menggunakan proses formal.

RKV9

27001 8

9

Beberapa PC belum dihardening dengan benar. Misalnya : port USB yang masih terbuka, user dapat mengganti IP. Password yang tidak dirubah secara berkala

Tabel 5. 16 Kontrol ISO 27001 untuk ancaman No Ancaman

Kontrol

ISO Rencana kerja

Kode

27001 1

Serangan virus, worm dan malware

Reporting information security events and weakness

2

Spam pada email yang menyebabkan email-email penting tertunda baik dalam pengiriman maupun penerimaan Penerobosan sistem oleh pihak eksternal

Exchane of information

3

4

Penerobosan sistem oleh pihak internal

Mengurangi dampak akibat serangan virus dengan cara Melakukan implementasi dan penyusunan terhadap pelaporan kejadian, respon insiden dan prosedur eskalasi Melakukan perlindungan informasi yang tepat dalam bentuk pesan elektronik.

RKT1

Termination or Melakukan penyesuaian change of dengan perubahan hak employment akses semua pegawai yang masa kerjanya sudah berakhir. Network Melakukan metode access control otentikasi yang tepat untuk mengendalikan akses pengguna. User access Mengendalikan alokasi management password dengan proses manajemen formal. Network Melakukan metode

RKT3.1

RKT2

RKT3.2

RKT4.1 RK-



82

No Ancaman

Kontrol

ISO Rencana kerja

Kode

27001 access control

5

Kegagalan sistem akibat kerusakan perangkat keras dan perangkat lunak

Equipment security

6

Pengrusakan aset secara fisik

Equipment security

7

Kartu akses yang terdaftar bisa digunakan siapa saja

Secure Area

otentikasi yang tepat untuk mengendalikan akses pengguna. Membuat prosedur pemeliharaan barang untuk memastikan ketersediaan dan integritas layanan Menempatkan atau melindungi peralatan untuk mengurangi risiko dari ancaman dan bahaya lingkungan serta peluang akses oleh pihak yang tidak berwenang. Membuat perimeter keamanan (batasan fisik seperti dinding, pintu masik ) untuk melindungi area yang berisi informasi dan fasilitas pengolahan informasi.

T4.2

RKT5

RKT6

RKT7

Tabel 5. 17 Kontrol ISO 27001 untuk Dampak No

Dampak

Kontrol ISO 27001 During Employment

1

Kinerja karyawan terganggu dan kegiatan operasional terkendala

2

Hasil rekaman cctv tidak tersimpan

Monitoring

3

Pantauan terhadap situasi perusahaan

Monitoring

Rencana Kerja

Kode

Melakukan pelatihan kepedulian, pendidikan dan pelatihan keamanan informasi untuk semua pegawai. Kegiatan pengguna dan kejadian keamanan informasi dijaga untuk membantu investigasi di masa yang akan datang Pemantauan penggunaan fasilitas

RKD1

RKD2

RKD3



83

No

Dampak

Kontrol 27001

ISO

tidak ada

Rencana Kerja

Kode

pengolahan informasi

4

Pengrusakan fisik Access point.

Equipment security

5

Karyawan tidak dapat menggunakan access point

Responsibilities for asset

6

Tidak ada penyaring informasi yang keluar dan masuk

Network Access Control

7

Beberapa jaringan akan lumpuh dan mengganggu operasional perusahaan


8

Koneksi dengan bank yang masih menggunakan dial up akan terganggu


9

Ruangan penting dapat dimasuki dengan mudah oleh pihak yang tidak berwenang

Secure Areas

10

Terjadi penyebaran virus memalui PC dan laptop yang terhubung ke


Menempatkan atau melindungi peralatan untuk mengurangi risiko dari ancaman dan bahaya lingkungan serta peluang akses oleh pihak yang tidak berwenang. Penggunaan informasi dan aset yang dapat diterima terkait dengan fasilitas pengolahan informasi. Segresi jaringan menggunakan mekanisme perimeter keamanan yang sesuai Menerapkan pengendalian routing dalam jaringan untuk memastikan koneksi jaringan dan aliran informasi tidak mengganggu jaringan yang vital. Menetapkan pengendalian routing berdasarkan skema sumber dan tujuan yang dikenal. Membuat perimeter keamanan (batasan fisik seperti dinding, pintu masuk ) untuk melindungi area yang berisi informasi dan fasilitas pengolahan informasi. Me8mbuat identifikasi peralatan secara otomatis guna mengotentikasi koneksi lokasi dan

RKD4

RKD5

RKD6

RKD7

RKD8

RKD9

RKD10



84

No

Dampak

Kontrol 27001

ISO

jaringan. 11

User dapat mengambil informasi penting mengandalkan port USB yg terbuka

Network access control

12

IP conflict


13

PC user dapat diakses oleh pihak yang tidak berwenang

User access management

14

File penting dalam server dapat dirubah oleh pihak yang tidak berwenang.


15

Bukan OS asli sehingga tidak bisa diupdate.


16

Komunikasi internal terganggu karena banyak e-mail yang berulang

Exchange information

of

17

Komunikasi eksternal terganggu karena email yang keluar dan masuk banyak spam sehingga harus antri.

Exchange Information

of

18

Pengrusakan website yang dapat mencemarkan nama baik

Electronic commerce services

Rencana Kerja jenis peralatan secara spesifik. Mengendalikan akses secara fisik dan logical terhadap diagnostic dan configutaion port

Kode

RKD11

Melakukan metode otentikasi yang tepat untuk mengendalikan akses pengguna. Mengendalikan alokasi password dengan proses manajemen formal. Peninjauan hak akses pengguna secara regular dengan menggunakan proses formal. Melakukan pengujian sistem informasi yang sesuai guna menyesuaikan criteria acceptance sistem informasi yang baru, upgrade, dan versi baru Melakukan perlindungan informasi yang tepat dalam bentuk pesan elektronik. Melakukan perlindungan informasi yang tepat dalam bentuk pesan elektronik.

RKD12

Melakukan integritas informasi yang tersedia pada sistem yang digunakan untuk umum guna

RKD18

RKD13

RKD14

RKD15

RKD16

RKD17



85

No

Dampak

Kontrol 27001

ISO

19

Hidup mati jaringan tidak terpantau

Monitoring

20


Responsibilities for asset

21


Application and Information access control

22

Komputer akan diserang virus

Reporting information security events and weakness

23

Proses pengiriman informasi dari bank akan terganggu sehingga terjadi penundaan dalam percatakan.


External Parties

24

Informasi dapat diambil dan dirubah oleh pihak yang tidak berwenang


25

Kebocoran informasi yang disengaja

During employment

Rencana Kerja melindungi dan mencegah modifikasi yang tidak sah. Menetapkan dan menjalankan prosedur untuk pemantauan panggunaan fasilitas informasi. Penggunaan informasi dan aset yang dapat diterima terkait dengan fasilitas pengolahan informasi. Melakukan isolasi terhadap terhadap lingkungan aplikasi sistem yang sensitif Melakukan implementasi dan penyusunan terhadap pelaporan kejadian, respon insiden dan prosedur eskalasi Melakukan pengendalian akses dan persyaratan dalam aplikasi bisnis untuk jaringan yang digunakan bersama. Melakukan identifikasi terhadap risiko informasi organisasi dari proses bisnis yang melibatkan pihakpihak eksternal Peninjauan hak akses pengguna secara regular dengan menggunakan proses formal. Melakukan pelatihan kepedulian, pendidikan dan pelatihan keamanan informasi untuk semua

Kode

RKD19

RKD20

RKD21

RKD22

RKD23.1

RKD23.2

RKD24

RKD25



86

No

Dampak

Kontrol 27001

ISO

26

Karyawan yang sudah resign masih bisa masuk kewebmail

Terminating or Change of employment.

Rencana Kerja pegawai. Melakukan penyesuaian dengan perubahan hak akses semua pegawai yang masa kerjanya sudah berakhir.

Kode

RKD26

5.5 Menetapkan Kebijakan dan Prosedur Disini akan dibuat kebijakan, prosedur, instruksi dan dokumentasi yang nantinya akan digunakan sebagai acuan dalam penerapan beberapa kontrol yang terkait dengan masalah-masalah yang dihadapi PT. XYZ.

Gambar 5. 5 Struktur Dokumentasi ISMS

5.5.1 Kebijakan, Prosedur, Instruksi dan Dokumentasi Hasil dari pemetaan kontrol ISO 27001 terhadap kerawanan dan ancaman didapatkan beberapa kebijakan, prosedur dan instruksi yang seharusnya ada. Kebijakan, prosedur dan instruksi tersebut dapat dilihat pada pemetaan berikut. Universitas Indonesia


87

Tabel 5. 18 Kebijakan, Prosedur, Instruksi dan Dokumentasi No

Kontrol ISO 27001

1.

User responsibilities

2.

Media Handling

3.


4.

Monitoring

Kebijakan, Prosedur dan Instruksi serta dokumentasi 1. User diinstruksikan untuk mengikuti pedoman pengamanan yang baik dalam pemilihan dan penggunaan password 2. User diinstruksikan untuk memastikan peralatan yang ditinggal sudah terlindungi dengan tepat. Misalnya log off saat meninggalkan komputer. 3. Membuat kebijakan clear desk terhadap kertas dan media penyimpanan yang dapat dipindahkan. 4. Membuat kebijakan clear screen untuk fasilitas pengolahan informasi. 1. Membuat prosedur untuk manajemen media yang dapat dipindahkan. Misalnya disk, memory card. 2. Membuat instruksi dokumentasi dan definisi terhadap media yang dapat dipindahkan. 3. Membuat prosedur pemusnahan media yang tidak diperlukan 4. Membuat prosedur penanganan dan penyimpanan informasi. 5. Membuat dokumentasi sistem yang sudah terlindungi atas akses yang tidak sah. 1. Membuat dokumentasi yang disesuaikan dan diproyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja sistem. 2. Membuat dokumentasi sistem informasi yang baru, yang sudah diupgrade dan versi baru yang sdah diuji. 1. Membuat dokumentasi log audit untuk membantu investigasi di masa mendatang. 2. Membuat prosedur pemantauan penggunaan fasilitas pengolahan informasi. 3. Membuat dokumentasi hasil pemantauan dan pengawasan yang diperlukan berdasarkan tingkat risiko. 4. Membuat prosedur pengamanan fasilitas log dan informasi log hasil pemantauan dan pengawasan dari gangguan dan akses yang tidak sah. 5. Melakukan dokumentasi kegiatan sistem administrator dan operator dan dianalisa secara regular. 6. Membuat dokumentasi kesalahan dalam melakukan log audit dan dokumentasi log Universitas Indonesia


88

No

Kontrol ISO 27001

5.

Security of system files

6.

Equipment security

7.

Network Access control

Kebijakan, Prosedur dan Instruksi serta dokumentasi ditentukan berdasarkan tingkat risiko. 7. Membuat dokumentasi waktu yang sudah disingkronisasikan dengan sumber penunjuk waktu akurat yang sudah disepakati. 1. Membuat prosedur untuk mengendalikan instalasi perangkat lunak pada sistem operasional. 2. Membuat prosedur perlindungan informasi. 3. Membuat prosedur akses ke informasi 1. Membuat prosedur tempat perlindungan peralatan keamanan untuk melindungi dari ancaman oleh pihak yang tidak berwenang 2. Membuat prosedur sarana pendukung unhtuk melindungi peralatan dari kegagalan catu daya 3. Membuat prosedur pengamanan kabel dan jaringan yang membawa data informasi. 4. Membuat prosedur pemeliharaan peralatan untuk memastikan ketersediaan dan integritas layanan. 5. Membuat prosedur keamanan untuk melindungi peralatan yang berada diluar lokasi. 6. Membuat prosedur peralatan informasi penyimpanan yang memuat informasi sensitif dan perangkat lunak berlisensi telah dihapus sebelum dibuang. 7. Membuat prosedur yang mengatur peralatan, informasi atau perangkat lunak dibawa keluar lokasi. 1. Membuat kebijakan yang mengatur tentang jaringan dan service yang disediakan diatas jaringan. 2. Membuat dokumentasi user akses terhadap layanan yang diberikan dan kewenangan penggunaannya. 3. Membuat prosedur otentikasi untuk mengendalikan akses pengguna remot. 4. Membuat prosedur identifikasi peralatan secara otomatis mengotentikasi koneksi dan peralatan yang digunakan secara spesifik. 5. Membuat prosedur pengendalian akses fisik dan logical terhadap diagnostic dan konfigurasi port. 6. Membuat kebijakan pengelompokan layanan informasi, seperti memisahkan jaringan Universitas Indonesia


89

No

Kontrol ISO 27001

8.

Mobile computing and teleworking

9.

Terminating or change of employment

10. Application and Information access control 11. User Access Management

12. Reporting information security events and weakness

13. Electronic commerce services 14. Secure Area

Kebijakan, Prosedur dan Instruksi serta dokumentasi wireless terhadap jaringan internal dan umum. 7. Membuat kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis. Membuat kebijakan pengamanan yang tepat untuk melindungi risiko dari penggunaan fasilitas mobile computing dan teleworking. 1. Membuat prosedur pengakhiran atau perubahan pekerjaan 2. Membuat prosedur pengembalian aset organisasi ketika pekerjaan, kontrak dan perjanjian berakhir 3. Membuat prosedur penghapusan hak akses untuk karyawan ketika pekerjaan, kontrak dan perjanjian berakhir 1. M,embuat kebijakan pengendalian akses terhadap informasi dan fungsi sistem aplikasi 2. Membuat prosedur keamanan lingkungan untuk aplikasi yang sensitif 1. Membuat prosedur pendaftaran dan pembatalan dalam pemberian dan pencabutan akses terhadap seluruh layanan dan sistem informasi. 2. Membuat kebijakan penggunaan hak akses 3. Membuat kiebijakan dalam menjaga kerahasiaan password 4. Membuat prosedur penggantian password secara regular 1. Membuat prosedur pelaporan insiden, respon insiden dan prosedur eskalasi untuk mengamankan informasi yang terkena serangan virus 2. Membuat dokumentasi dan melaporkan setiap kelemahan atas sistem atau layanan Membuat prosedur perlindungan informasi yang termasuk dalam layanan electronic commerce yang memalui jaringan public. 1. Membuat prosedur perimeter keamanan fisik untuk melindungi area yang berisi informasi dan fasilitas informasi 2. Membuat dokumentasi karyawan yang diperbolehkan masuk ke daerah secure untuk memastikan hanya karyawan yang berwenang yang mempuinyai akses masuk 3. Membuat prosedur pengamanan fisik untuk kantor, ruangan dan fasilitas 4. Membuat dokumentasi perlindungan fisik Universitas Indonesia


90

No

Kontrol ISO 27001

Kebijakan, Prosedur dan Instruksi serta dokumentasi

5. 6.

15. Exchange of Information

1.

2. 3.

4. 5.

16. During Employment

1.

2.

3.

17. External Parties

1.

2.

3.

18. Responsibilities for assets

1.

terhadap kerusakan akibat dari bencana alam dan buatan manusia yang mungkin akan terjadi Membuat dokumentasi pedoman kerja dalam area yang aman Membuat dokumentasi titik akses public, seperti area bongkar muat dan titik lainnya dimana orang yang tidak berwenang dapat masuk kedalam lokasi. Membuat kebijakan dan prosedur pengendalian secara formal untuk melindungi pertukaran informasi. Melakukan dokumentasi perjanjian untuk pertukaran informasi pertukaran informasi. Membuat prosedur perlindungan untuk media yang memuat informasi terhadap akses yang tidak sah, penyalahgunaan atau kerusakan selama diluar batas fisik organisasi. Membuat prosedur perlindungan informasi dalam bentuk pesan elektronik. Membuat kebijakan dan prosedur untuk melindungi informasi yang berkaitan dengan interkoneksi sistem informasi bisnis Membuat instruksi guna menerapkan keamanan sesuai kebijakan dan prosedur yang sudah ditetapkan Melakukan dokumentasi pelatihan kepeduliaan dan kebijakan serta prosedur yang mutakhir secara regular. Melakukan kebijakan pendisiplinan untuk pegawai yang melakukan pelanggaran keamanan. Membuat prosedur penanganan risiko terhadap informasi organisasi dan fasilitas pengolahan informasi dari proses bisnis yang melibatkan pihak-pihak eksternal Melakukan dokumentasi persyaratan keamanan sebelum memberikan akses kepada pihak ketiga. Melakukan dokumentasi perjanjian dengan pihak ketiga yang meliputi pemberian hak akses, pengolahan, pengelolaan komunikasi dan informasi atau penambahan produk atau jasa. Melakukan dokumentasi semua aset dengan jelas dan inventaris semua aset penting. Universitas Indonesia


91

No

Kontrol ISO 27001

Kebijakan, Prosedur dan Instruksi serta dokumentasi 2. Membuat kebijakan kepemilikan aset. 3. Melakukan dokumentasi penggunaan aset.

5.5.2 Kebijakan dan Prosedur Keamanan Informasi yang Berlaku

PT. XYZ adalah perusahaan milik swasta yang bergerak dalam bisnis percetakan billing statement. PT. XYZ seharusnya mengadopsi ISO 27001/ISMS

(Information

Security

Management

System)

karena

menyangkut keamanan informasi beberapa bank di Indonesia. Saat ini ada beberapa kebijakan dan prosedur yang sudah ada antara lain :

1. Kebijakan Pemakaian Fasilitas Hardware dan Software Komputer PT. XYZ (16 Mei 2005). 2. Kebijakan Penggunaan Password PT. XYZ (16 Mei 2005). 3. Kebijakan Pemakaian Akses Internet PT. XYZ (16 Mei 2005). 4. Kebijakan Penggunaan E-mail Perusahaan (16 Mei 2005). 5. Prosedur Standar Keadaan Emergency/Darurat untuk Penanganan Serverserver di PT. XYZ (2003) 6. Prosedur Peenanganan Komplain (17 Desember 2007). 7. Prosedur Copy Data atau Program dan Restore Data atau Program (17 Desember 2007). 8. Prosedur Peminjaman dan Pengembalian Barang TI (17 Desember 2007). 9. Prosedur Pengadaan Barang TI (17 Desember 2007). 10. Prosedur Back-Up Data (17 Desember 2007). 11. Prosedur Pengamanan Data dan Pelaporan Insiden (9 Agustus 2011).

5.5.3 Kebijakan, Prosedur, Instruksi dan Dokumentasi yang belum diterapkan (direkomendasikan)

1.

Kebijakan clear desk dan clear screen.



92

2.

Kebijakan yang mengatur jaringan dan service yang disediakan atas jaringan.

3.

Kebijakan pengelompokan layanan informasi, seperti memisahkan jaringan wireless terhadap jaringan internal dan umum.

4.

Kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis.

5.

Kebijakan pengamanan untuk melindungi risiko dari penggunaan fasilitas mobile computing dan teleworking.

6.

Kebijakan pengendalian akses terhadap informasi dan fungsi sistem aplikasi

7.

Kebijakan penggunaan hak akses (sudah ada, kebijakan no 2)

8.

Kebijakan dalam menjaga kerahasiaan password

9.

Kebijakan pendisiplinan untuk pegawai yang melakukan pelanggaran keamanan

10. Kebijakan kepemilikan aset. 11. Kebijakan dan prosedur pengendalian secara formal untuk melindungi pertukaran informasi. 12. Kebijakan dan prosedur untuk melindungi informasi yang berkaitan dengan interkoneksi sistem informasi bisnis 13. Prosedur untuk manajemen media yang dapat dipindahkan 14. Prosedur pemusnahan media yang tidak diperlukan 15. Prosedur penanganan dan penyimpanan informasi. 16. Prosedur pemantauan penggunaan fasilitas pengolahan informasi. 17. Prosedur pengamanan fasilitas log dan informasi log hasil pemantauan dan pengawasan dari gangguan dan akses yang tidak sah. 18. Prosedur untuk mengendalikan instalasi perangkat lunak pada sistem operasional. 19. Prosedur perlindungan informasi 20. Prosedur akses ke informasi 21. Prosedur tempat perlindungan peralatan keamanan untuk melindungi dari ancaman oleh pihak yang tidak berwenang 22. Prosedur sarana pendukung untuk melindungi peralatan dari kegagalan catu daya Universitas Indonesia


93

23. Prosedur pengamanan kabel dan jaringan yang membawa data informasi. 24. Prosedur pemeliharaan peralatan untuk memastikan ketersediaan dan integritas layanan. 25. Prosedur keamanan untuk melindungi peralatan yang berada diluar lokasi. 26. Prosedur peralatan informasi penyimpanan yang memuat informasi sensitif dan perangkat lunak berlisensi telah dihapus sebelum dibuang. 27. Prosedur yang mengatur peralatan, informasi atau perangkat lunak dibawa keluar lokasi. 28. Prosedur otentikasi untuk mengendalikan akses pengguna remot. 29. Prosedur identifikasi peralatan secara otomatis mengotentikasi koneksi dan peralatan yang digunakan secara spesifik. 30. Prosedur pengendalian akses fisik dan logical terhadap diagnostic dan konfigurasi port. 31. Prosedur pengakhiran atau perubahan pekerjaan 32. Prosedur pengembalian aset organisasi ketika pekerjaan, kontrak dan perjanjian berakhir 33. Prosedur penghapusan hak akses untuk karyawan ketika pekerjaan, kontrak dan perjanjian berakhir 34. Prosedur keamanan lingkungan untuk aplikasi yang sensitif 35. Prosedur pendaftaran dan pembatalan dalam pemberian dan pencabutan akses terhadap seluruh layanan dan sistem informasi. 36. Prosedur penggantian password secara regular 37. Prosedur pelaporan insiden, respon insiden dan prosedur eskalasi untuk mengamankan informasi yang terkena serangan virus 38. Prosedur perlindungan informasi yang termasuk dalam layanan electronic commerce yang memalui jaringan publik. 39. Prosedur perimeter keamanan fisik untuk melindungi area yang berisi informasi dan fasilitas informasi 40. Prosedur pengamanan fisik untuk kantor, ruangan dan fasilitas



94

41. Prosedur perlindungan untuk media yang memuat informasi terhadap akses yang tidak sah, penyalahgunaan atau kerusakan selama diluar batas fisik organisasi. 42. Prosedur perlindungan informasi dalam bentuk pesan elektronik 43. Prosedur penanganan risiko terhadap informasi organisasi dan fasilitas pengolahan informasi dari proses bisnis yang melibatkan pihak-pihak eksternal 44. Instruksi untuk mengikuti pedoman pengamanan yang baik dalam pemilihan dan penggunaan password 45. Instruksi untuk memastikan peralatan yang ditinggal sudah terlindungi dengan tepat. Misalnya log off saat meninggalkan komputer. 46. Instruksi dokumentasi dan definisi terhadap media yang dapat dipindahkan. 47. Membuat instruksi guna menerapkan keamanan sesuai kebijakan dan prosedur yang sudah ditetapkan 48. Dokumentasi sistem yang sudah terlindungi atas akses yang tidak sah. 49. Dokumentasi yang disesuaikan dan diproyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja sistem. 50. Dokumentasi sistem informasi yang baru, yang sudah diupgrade dan versi baru yang sdah diuji. 51. Dokumentasi log audit untuk membantu investigasi di masa mendatang. 52. Dokumentasi hasil pemantauan dan pengawasan yang diperlukan berdasarkan tingkat risiko. 53. Dokumentasi kegiatan sistem administrator dan operator dan dianalisa secara regular. 54. Dokumentasi kesalahan dalam melakukan log audit dan dokumentasi log ditentukan berdasarkan tingkat risiko. 55. Dokumentasi waktu yang sudah disingkronisasikan dengan sumber penunjuk waktu akurat yang sudah disepakati. 56. Dokumentasi user akses terhadap layanan yang diberikan dan kewenangan penggunaannya.



95

57. Dokumentasi dan melaporkan setiap kelemahan atas sistem atau layanan 58. Dokumentasi karyawan yang diperbolehkan masuk ke daerah secure untuk memastikan hanya karyawan yang berwenang yang mempuinyai akses masuk 59. Dokumentasi perlindungan fisik terhadap kerusakan akibat dari bencana alam dan buatan manusia yang mungkin akan terjadi 60. Dokumentasi pedoman kerja dalam area yang aman 61. Dokumentasi titik akses publik, seperti area bongkar muat dan titik lainnya dimana orang yang tidak berwenang dapat masuk kedalam lokasi. 62. Dokumentasi perjanjian untuk pertukaran informasi pertukaran informasi 63. Dokumentasi pelatihan kepeduliaan dan kebijakan serta prosedur yang mutakhir secara regular. 64. dokumentasi persyaratan keamanan sebelum memberikan akses kepada pihak ketiga. 65. Dokumentasi perjanjian dengan pihak ketiga yang meliputi pemberian hak akses, pengolahan, pengelolaan komunikasi dan informasi atau penambahan produk atau jasa. 66. Dokumentasi semua aset dengan jelas dan inventaris semua aset penting. 67. Dokumentasi penggunaan aset.



96

5.6 Statement Of Applicability Klausul

Kontrol

A5. SECURITY POLICY A5.1 Information Security Policy A.5.1.1 Information Security Policy Document A.5.1.2 Review of the Information security Policy

Implementasi

Justifikasi

Referensi

Satker/unit kerja

Tidak

Membuat dokumen kebijakan keamanan informasi Membuat dokumentasi hasil mereview kebijakan keamanan informasi

-

Mgtdev

-

Mgtdev

-

IT

-

IT

-

IT

-

IT

-

IT

-

IT

Tidak

A.6 ORGANIZATION OF INFOTMATION SECURITY A.6.1 Internal Organization A.6.1.1 Management commitment to Tidak Membuat dokumentasi komitmen information security manajemen terhadap keamanan informasi A.6.1.2 Information security Tidak Melakukan koordinasi keamanan coordination control informasi A.6.1.3 Allocation of information Tidak Menetapkan dengan jelas seluruh security responsibilities tanggung jawab keamanan informasi A.6.1.4 Authorization process for Tidak Menetapkan dengan jelas proses information processing otorisasi manajemen untuk facilities control fasilitas pengolahan informasi A.6.1.5 confidentiality agreements Tidak Membuat perjanjian kerahasiaan A.6.1.6

Contact with authorities

Tidak

Melakukan kontak dengan pihak berwenang yang relevan



97

Klausul

Kontrol

A.6.1.7

Contact with special interest groups

A.6.1.8

Independent review of information security A.6.2 External Parties A.6.2.1 Identification of risks related to external parties

Implementasi Tidak

Tidak

Ya

A.6.2.2

Addressing security when dealing with customers

Ya

A.6.2.3

Addressing security in third party agreements

Ya

A.7 ASSET MANAGEMENT A.7.1 Responsibilies for Assets A.7.1.1 Inventory of asset

Ya

Justifikasi

Referensi

Satker/unit kerja

Melakukan kontak dengan kelompok khusus atau forum ahli keamanan informasi Melakukan kajian independen terhadap keamanan informasi

-

IT

-

IT

Membuat prosedur penanganan risiko terhadap informasi organisasi dan fasilitas pengolahan informasi dari proses bisnis yang melibatkan pihakpihak eksternal Melakukan dokumentasi persyaratan keamanan sebelum memberikan akses kepada pihak ketiga Melakukan dokumentasi perjanjian dengan pihak ketiga yang meliputi pemberian hak akses, pengolahan, pengelolaan komunikasi dan informasi atau penambahan produk atau jasa

Impacts

Mgtdev

Impacts

IT

Impacts

IT

Melakukan dokumentasi semua aset dengan jelas dan inventaris

Impacts

IT Universitas Indonesia


98

Klausul

Kontrol

Implementasi

A.7.1.2

Ownership of assets

Ya

A.7.1.3

Acceptable use of assets

Ya

A.7.2 Information Classification A.7.2.1 Classification guidelines A.7.2.2 Information labeling and handling

Justifikasi semua aset penting Membuat kebijakan kepemilikan aset Melakukan dokumentasi penggunaan aset.

Referensi

Satker/unit kerja

Impacts

Mgtdev

Impacts

IT

Tidak Tidak

Melakukan pedoman klasifikasi Membuat prosedur untuk pelabelan dan penanganan informasi

-

IT Mgtdev

A.8 HUMAN RESOPURCES SECURITY A.8.1 Prior to Employment A.8.1.1 Roles and responsibilities

Tidak

-

HRD

A.8.1.2

Tidak

Mendokumentasihan peran dan tanggung jawab Melakukan verifikasi latar belakang calon pegawai Membuat syarat dan aturan kepegawaian

-

HRD

-

HRD

Membuat instruksi guna menerapkan keamanan sesuai kebijakan dan prosedur yang sudah ditetapkan Melakukan dokumentasi pelatihan kepeduliaan dan kebijakan serta prosedur yang mutakhir secara

Impacts

IT

Impacts

IT

Screening

A.8.1.3

Terms and conditions of employment A.8.2 During Employment A.8.2.1 Management responsibilities

Ya

A.8.2.2

Ya

Information security awareness, education and training

Tidak



99

Klausul

Kontrol

Implementasi

A.8.2.3

Disciplinary prosess

Ya

A.8.3 Termination or Change of Employment A.8.3.1 Termination responsibilities Ya

A.8.3.2

A.8.3.3

Return of assets

Removal of access rights

Ya

Ya

A.9 PHYSICAL AND ENVIRONMENTAL SECURITY A.9.1 Secure Areas A.9.1.1 Physical security parameters Ya

A.9.1.2

Physical entry controls

Ya

Justifikasi

Referensi

regular. Melakukan kebijakan Impacts pendisiplinan untuk pegawai yang melakukan pelanggaran keamanan

Satker/unit kerja

Mgtdev

Membuat prosedur pengakhiran atau perubahan pekerjaan

Vulnerability,

Mgtdev

Membuat prosedur pengembalian aset organisasi ketika pekerjaan, kontrak dan perjanjian berakhir Membuat prosedur penghapusan hak akses untuk karyawan ketika pekerjaan, kontrak dan perjanjian berakhir

Vulnerability,

Membuat prosedur perimeter keamanan fisik untuk melindungi area yang berisi informasi dan fasilitas informasi Membuat dokumentasi karyawan yang diperbolehkan masuk ke daerah secure untuk memastikan hanya karyawan yang berwenang yang mempuinyai akses masuk

Threats, Impacts

Mgtdev

Threats, Impacts

IT

Threats, Impacts Mgtdev

Threats, Impacts Vulnerability,

Mgtdev

Threats, Impacts



100

Klausul

Kontrol

Implementasi Ya

A.9.1.3

Securing offices, rooms and facilities

A.9.1.4

Protecting againt external and environmental threats

Ya

A.9.1.5

Working in secure areas

Ya

A.9.1.6

Public access, delivery and loading areas

Ya

A.9.2 Equipment Security A.9.2.1 Equipment siting and protection

Ya

A.9.2.2

Ya

A.9.2.3

Supporting utilities

Cabling securities

Ya

Justifikasi

Referensi

Satker/unit kerja

Membuat prosedur pengamanan fisik untuk kantor, ruangan dan fasilitas Membuat dokumentasi perlindungan fisik terhadap kerusakan akibat dari bencana alam dan buatan manusia yang mungkin akan terjadi Membuat dokumentasi pedoman kerja dalam area yang aman Membuat dokumentasi titik akses public, seperti area bongkar muat dan titik lainnya dimana orang yang tidak berwenang dapat masuk kedalam lokasi.

Threats, Impacts

Mgtdev

Threats, Impacts

IT

Threats, Impacts

IT

Threats, Impacts

IT

Membuat prosedur tempat perlindungan peralatan keamanan untuk melindungi dari ancaman oleh pihak yang tidak berwenang Membuat prosedur sarana pendukung unhtuk melindungi peralatan dari kegagalan catu daya Membuat prosedur pengamanan kabel dan jaringan yang membawa data informasi

Vulnerability,

Mgtdev


Mgtdev


Mgtdev

Threats, Impacts Universitas Indonesia


101

Klausul

Kontrol

A.9.2.4

Equipment maintenance

Implementasi Ya

Justifikasi

Membuat prosedur pemeliharaan peralatan untuk memastikan ketersediaan dan integritas layanan A.9.2.5 Security of equipment off Ya Membuat prosedur keamanan premises untuk melindungi peralatan yang berada diluar lokasi A.9.2.6 Secure disposal or re-use of Ya Membuat prosedur peralatan equipment informasi penyimpanan yang memuat informasi sensitif dan perangkat lunak berlisensi telah dihapus sebelum dibuang A.9.2.7 Removal of property Ya Membuat prosedur yang mengatur peralatan, informasi atau perangkat lunak dibawa keluar lokasi A.10 COMMUNICATION AND OPERATIONS MANAGEMENT A.10.1 Operational Procedures and Responsibilities A.10.1.1 Documented operating Tidak Membuat dokumentasi prosedur procedures operasi A.10.1.2 Change management Tidak Membuat dokumentasi perubahan terhadap fasilitas dan sistem pengolahan informasi A.10.1.3 Segregation of duties Tidak Melakukan pemishan tugas dan lingkup tanggung jawab A.10.1.4 Separation of development, test Tidak Melakukan pemisahan terhadap

Referensi

Satker/unit kerja

Vulnerability,

Mgtdev


Mgtdev


Mgtdev

Threats, Impacts

Vulnerability,

Mgtdev

Threats, Impacts

-

Mgtdev

-

Mgtdev

-

Mgtdev

-



102

Klausul

Kontrol

Implementasi

and operational facilies

A.10.2.3

Monitoring and review of third party services Managing changes to third party services

Tidak Tidak

A.10.3 System Planning and Acceptance A.10.3.1 Capacity management

Ya

A.10.3.2

Ya

System acceptance

Referensi

Satker/unit kerja

Memastikan pengendalian keamanan, definisi jasa dan tingkat layanan Melakukan pemantauan dan pengkajian jasa pihak ketiga Melakukan pengelolaan perubahan terhadap jasa pihak ketiga

-

IT

-

IT

-

IT

Membuat dokumentasi yang disesuaikan dan diproyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja sistem Membuat dokumentasi sistem informasi yang baru, yang sudah diupgrade dan versi baru yang sdah diuji

Vulnerability, Impacts

IT

Vulnerability, Impacts

IT

-

IT

-

IT

pengembangan, pengujian dan operasional

A.10.2 Third Party Service Delivery Management A.10.2.1 Services delivery Tidak

A.10.2.2

Justifikasi

A.10.4 Protection Against Malicious and Mobile Code A.10.4.1 Control against malicious code Tidak Melakuakan pengendalian terhadap malicious code A.10.4.2 Control against mobile code Tidak Melakukan pengendalian terhadap mobile code



103

Klausul

Kontrol

Implementasi

Justifikasi

Referensi

Satker/unit kerja

A.10.5 Backup A.10.5.1 Information back-up

Tidak

Melakukan dokumentasi hasil back-up informasi

-

IT

A.10.6 Network Security Management A.10.6.1 Network controls

Tidak

-

IT

A.10.6.2

Tidak

Melakukan pengelolaan dan pengendalian jaringan Mengidentifikasi setiap perjanjian keamanan jaringan

-

IT

Membuat prosedur untuk manajemen media yang dapat dipindahkan. Misalnya disk, memory card Membuat prosedur pemusnahan media yang tidak diperlukan Membuat prosedur penanganan dan penyimpanan informasi. Membuat dokumentasi sistem yang sudah terlindungi atas akses yang tidak sah.

Vulnerability

Mgtdev

Vulnerability

Mgtdev

Vulnerability

Mgtdev

Vulnerability

IT

Membuat kebijakan dan prosedur pengendalian secara formal untuk melindungi pertukaran informasi Melakukan dokumentasi perjanjian untuk pertukaran

Threats, Impacts

Mgtdev

Threats, Impacts

IT

Security of network services

A.10.7 Media Handling A.10.7.1 Managements of removable media

Ya

A.10.7.2

Disposal of media

Ya

A.10.7.3

Information handling procedures Security of system documentation

Ya

A.10.7.4

Ya

A.10.8 Exchange of Information A.10.8.1 Information exchange policies and procedures

Ya

A.10.8.2

Ya

Exchange agreements



104

Klausul

Kontrol

Implementasi

A.10.8.3

Physical media in transit

Ya

A.10.8.4

Electronic messaging

Ya

A.10.8.5

Business information systems

Ya

A.10.9 Electronic Commerce Services A.10.9.1 Electronic commerce

Ya

A.10.9.2

On-line transaction

Tidak

A.10.9.3

Publicly available information

Tidak

Justifikasi informasi pertukaran informasi Membuat prosedur perlindungan untuk media yang memuat informasi terhadap akses yang tidak sah, penyalahgunaan atau kerusakan selama diluar batas fisik organisasi Membuat prosedur perlindungan informasi dalam bentuk pesan elektronik Membuat kebijakan dan prosedur untuk melindungi informasi yang berkaitan dengan interkoneksi sistem informasi bisnis Membuat prosedur perlindungan informasi yang termasuk dalam layanan electronic commerce yang memalui jaringan public. Membuat prosedur perlindungan yang termasuk dalam transaksi on-line Membuat prosedur perlindungan terhadap integritas informasi yang tersedia untuk umum

Referensi

Satker/unit kerja

Threats, Impacts

Mgtdev

Threats, Impacts

Mgtdev

Threats, Impacts

Mgtdev

Impacts

Mgtdev

Impacts

Mgtdev

Impacts

Mgtdev

A.10.10 Monitoring Universitas Indonesia


105

Klausul

Kontrol

A.10.10. 1

Audit logging

Implementasi Ya

A.10.10. 2

Monitoring system use

Ya

A.10.10. 3

Protection of log information

Ya

A.10.10. 4

Administrator and operator logs

Ya

A.10.10. 5

Fault logging

Ya

A.10.10. 6

Clock synchronization

Ya

A.11 ACCESS CONTROL A.11.1 Business Control for Access Control A.11.1.1 Access control policy

Tidak

Justifikasi

Referensi

Satker/unit kerja

Membuat dokumentasi log audit Vulnerability, Impacts untuk membantu investigasi di masa mendatang Membuat dokumentasi hasil Vulnerability, Impacts pemantauan dan pengawasan yang diperlukan berdasarkan tingkat risiko. Membuat prosedur pengamanan Vulnerability, Impacts fasilitas log dan informasi log hasil pemantauan dan pengawasan dari gangguan dan akses yang tidak sah. Melakukan dokumentasi kegiatan Vulnerability, sistem administrator dan operator Impacts dan dianalisa secara regular. Membuat dokumentasi kesalahan Vulnerability, dalam melakukan log audit dan Impacts dokumentasi log ditentukan berdasarkan tingkat risiko Membuat dokumentasi waktu Vulnerability, yang sudah disingkronisasikan Impacts dengan sumber penunjuk waktu akurat yang sudah disepakati.

IT

Melakukan dokumentasi

IT

-

IT

Mgtdev

IT

IT

IT



106

Klausul

Kontrol

Implementasi

Justifikasi

Referensi

Satker/unit kerja

Membuat prosedur pendaftaran dan pembatalan dalam pemberian dan pencabutan akses terhadap seluruh layanan dan sistem informasi Membuat kebijakan penggunaan hak akses

Vulnerability,

Mgtdev

Membuat kiebijakan dalam menjaga kerahasiaan password

Vulnerability,

Ya

Membuat prosedur penggantian password secara regular

Vulnerability, Threats,

Mgtdev

A.11.3 User Responsibilities A.11.3.1 Password use

Ya

Vulnerability

IT

A.11.3.2

Unattended user equipment

Ya

Vulnerability

IT

A.11.3.3

Clear desk and clear screen

Ya

User diinstruksikan untuk mengikuti pedoman pengamanan yang baik dalam pemilihan dan penggunaan password User diinstruksikan untuk memastikan peralatan yang ditinggal sudah terlindungi dengan tepat. Misalnya log off saat meninggalkan komputer Membuat kebijakan clear desk

Vulnerability

Mgtdev

kebijakan pengendalian akses A.11.2 User Access Management A.11.2.1 User registration

A.11.2.2

A.11.2.3

A.11.2.4

Privilege management

User password management

Review of user access rights

Ya

Ya

Ya

Threats, Impacts

Vulnerability,

Mgtdev

Threats, Impacts Mgtdev

Threats, Impacts



107

Klausul

Kontrol

Implementasi

policy

Ya

A.11.4.2

User authentication for external connections

Ya

Equipment identification in networks

Ya

Remote diagnostics and configuration port protection

Ya

Segreration in networks

Ya

A.11.4.4

A.11.4.5

Referensi

Satker/unit kerja

Vulnerability,

Mgtdev

terhadap kertas dan media penyimpanan yang dapat dipindahkan. Membuat kebijakan clear screen untuk fasilitas pengolahan informasi.

A.11.4 Network Access Control A.11.4.1 Policy on use of network services

A.11.4.3

Justifikasi

Membuat kebijakan yang mengatur tentang jaringan dan service yang disediakan diatas jaringan. Membuat prosedur otentikasi untuk mengendalikan akses pengguna remot Membuat prosedur identifikasi peralatan secara otomatis mengotentikasi koneksi dan peralatan yang digunakan secara spesifik Membuat prosedur pengendalian akses fisik dan logical terhadap diagnostic dan konfigurasi port Membuat kebijakan pengelompokan layanan informasi, seperti memisahkan jaringan wireless terhadap


Mgtdev


Mgtdev

Threats, Impacts

Vulnerability,

Mgtdev


Mgtdev

Threats, Impacts



108

Klausul

Kontrol

Implementasi

A.11.4.6

Network connection control

Ya

A.11.4.7

Network routing control

Ya

A.11.5 Operating System Access Control A.11.5.1 Secure log-on procedures

Tidak

A.11.5.2

Tidak

A.11.5.3

User identification and authentication Password management systems

A.11.5.4

Use of system utilities

Tidak

A.11.5.5

Session time-out

Tidak

A.11.5.6

Limitation of connection time

Tidak

Tidak

Justifikasi jaringan internal dan umum Membuat kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis. Membuat dokumentasi pengendalian routing berdasarkan skema sumber dan tujuan Melakukan pengendalian prosedur log-on Melakukan identifikasi dan otentifikasi terhadap id pengguna Melakukan pengelolaan password dan memastikan kualitas password Melakukan pengendalian atas program utility yang mampu mengesampingkan pengendalian sistem Membuat mekanisme sesi untuk yang tidak aktif dalam jangka waktu tertentu Melakukan pembatasan waktu koneksi untuk aplikasi yang berisiko tinggi

Referensi

Satker/unit kerja

Vulnerability,

Mgtdev


IT

Threats, Impacts -

IT

-

IT

-

IT

-

IT

-

IT

-

IT

A.11.6 Application and Information Access Control Universitas Indonesia


109

Klausul

Kontrol

A.11.6.1

Information access restriction

Justifikasi

Referensi

Satker/unit kerja

Membuat kebijakan pengendalian akses terhadap informasi dan fungsi sistem aplikasi Membuat prosedur keamanan lingkungan untuk aplikasi yang sensitif

Vulnerability,

Mgtdev

Membuat kebijakan pengamanan yang tepat untuk melindungi risiko dari penggunaan fasilitas mobile computing dan teleworking. A.11.7.2 Teleworking Ya Membuat kebijakan pengamanan yang tepat untuk melindungi risiko dari penggunaan fasilitas teleworking. A.12 INFORMATION SYSTEM ACQUISITION, DEVELOPMENT AND MAINTENANCE A.12.1 Security Requirements of Information Systems A.12.1.1 Security requirement analysis Tidak Melakukan analisis dan and specification spesifikasi persyaratan keamanan A.12.2 Correct Processing in Applications A.12.2.1 Input data validation Tidak Melakukan validasi informasi A.12.2.2 Control of internal processing Tidak Melakukan validasi untuk mendeteksi kerusakan informasi karena kesalahan pengolahan

Vulnerability

Mgtdev

Vulnerability

Mgtdev

-

IT

-

IT IT

A.11.6.2

Sensitive system isolation

A.11.7 Mobile Computing and Teleworking A.11.7.1 Mobile computing and communication

Implementasi Ya

Ya

Ya

Impacts Vulnerability,

Mgtdev

Impacts



110

Klausul

Kontrol

A.12.2.3

Message integrity

Implementasi Tidak

A.12.2.4

Output data validation

Tidak

A.12.3 Cryptographic Controls A.12.3.1 Policy on the use of cryptographic controls A.12.3.2 Key management

Tidak Tidak

A.12.4 Security of System Files A.12.4.1 Control of operational software

Ya

A.12.4.2

Ya

Protection of system test data

A.12.4.3

Access control to program Ya source code A.12.5 Security Indevelopment and Support Services A.12.5.1 Change control procedures Tidak A.12.5.2

A.12.5.3

Technical review of applications ofter operating system changes Restrictions on changes to software packages

Tidak

Tidak

Justifikasi

Referensi

Satker/unit kerja

Memastikan keaslian dan perlindungan integritas pesan Memastikan informasi yang keluar dari apliaksi sudah tervalidasi

-

IT

-

IT

Membuat kebijakan tentang penggunaan kriptografi Melakukan key manajemen untuk teknik mkriptografi

-

Mgtdev

-

IT

Membuat prosedur untuk Vulnerability mengendalikan instalasi perangkat lunak pada sistem operasional Membuat prosedur perlindungan Vulnerability informasi Membuat prosedur akses ke Vulnerability informasi

Mgtdev

Membuat prosedur pengendalian perubahan Melakukan tinjauan teknis dari aplikasi setelah perubahan sistem operasi Melakukan kontrol atas perubahan perangkat luanak

Mgtdev

Mgtdev Mgtdev

IT



111

Klausul

Kontrol

A.12.5.4

Information leakage

A.12.5.5

Outsourced software development

Implementasi Tidak Tidak

Justifikasi

Referensi

Satker/unit kerja

Melakukan pengendalian guna mencegah kebocoran informasi Melakukan pemantauan pengembangan perangkat lunak yang di outsource-kan

-

IT

-

IT

-

IT

Threats, Impacts

Mgtdev

Threats, Impacts

IT

-

Mgtdev

-

IT

-

IT

A.12.6 Technical Vulnerability Management A.12.6.1 Control of technical Tidak Melakukan pengendalian vulnerabilities kerawanan A.13 INFORMATION SECURITY MANAGEMENT A.13.1 Reporting Information Security Events and Weakness A.13.1.1 Reporting information security Ya Membuat prosedur pelaporan events insiden, respon insiden dan prosedur eskalasi A.13.1.2 Reporting security weakness Ya Membuat dokumentasi dan melaporkan setiap kelemahan atas sistem atau layanan A.13.2 Management of Information Security Incidents And Improvements A.13.2.1 Responcibilities and procedures Tidak Memastikan tanggung jawab manajemen dan prosedur sudah ditetapkan A.13.2.2 Learning from information Tidak Melakukan pembelajaran atas security incidents insiden keamanan informasi A.13.2.3 Collection of evidence Tidak Melakukan pengumpulan bukti A.14 BUSINESS CONTINUITY MANAGEMENT A.14.1 Information Security Aspects of Business Continuity Management



112

Klausul

Kontrol

A.14.1.1

Including information security in the business continuity management process Business continuity and risk assessment

A.14.1.2

Implementasi Tidak

Tidak

A.14.1.3

Developing and implementing continuity plans including information security

Tidak

A.14.1.4

Business continuity planning framework Testing, maintaining and reassessing business continuity plans

Tidak

A.14.1.5

Tidak

A.15 COMPLIANCE A.15.1 Compliance With Legal Requirements A.15.1.1 Identification of applicable Tidak legislation A.15.1.2 Intellectual property rights Tidak

A.15.1.3

Protection of organizational records

Tidak

Justifikasi

Referensi

Satker/unit kerja

Melakukan pengembangan dan pemeliharaan untuk keberlangsungan bisnis Mengidentifikasi dan melakukan assessment risk terhadap kejadian yang menyebabkan gangguan terhadap proses bisnis Melakukan pengembangan dan penerapan rencana keberlangsungan termasuk keamanan informasi Membuat kerangka perencanaan keberlangsungan bisnis Melakukan pengujian, pemeliharaan dan penilaian terhadap rencana keberlangsungan bisnis

-

Mgtdev

-

IT

-

Mgtdev

-

Mgtdev

-

IT

Melakukan identifikasi terhadap peraturan hukum yang berlaku Memastikan kesesuaian penggunaan perangkat lunak yang memiliki hak paten Melakukan perlindungan terhadap kemungkinan kerusakan media

-

IT

-

IT

-



113

Klausul

Kontrol

Implementasi

Justifikasi

yang digunakan untuk merekam Melakukan perlindungan informasi dan kerahasiaan informasi pribadi A.15.1.5 Prevention of misuse of Tidak Melakukan pencegahan information processing penyalahgunaan fasilitas facilities pengolahan informasi A.15.1.6 Regulation of cryptographic Tidak Melakukan kontrol terhadap controls pengendalian kriptografi A.15.2 Compliance With Technical Policies and Standard and Technical Compliance A.15.2.1 Compliance with security Tidak Melakukan pemenuhan terhadap policies and standards kebijakan keamanan dan standar yang ada. A.15.2.2 Technical compliance checking Tidak Melakukan pengecekan kepatuhan A.15.1.4

Data protection and privacy of personal information

Tidak

A.15.3 Information System Audit Considerations A.15.3.1 Information systems audit Tidak controls A.15.3.2 Protection of information Tidak systems audit tools Implementasi : Ya

Melakukan pengendalian sistem audit Melakukan perlindungan terhadap alat audit informasi.

Referensi

Satker/unit kerja

-

IT

-

IT

-

IT

-

IT

-

IT

-

IT

-

IT

: Signifikan dan relevan terhadap kerawanan, ancaman dan dampak

Tidak : Tidak signifikan dan tidak relevan terhadap kerawanan, ancaman dan dampak



KESIMPULAN dan SARAN Kesimpulan Kesimpulan ini ditujukan untuk menjawab research question sebelumnya 1. Dari gap analisis yang ada, dapat disimpulkan bahwa kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan belum memenuhi aspek keamanan informasi karena aspek business continuity management belum diterapkan baik dalam kebijakan, prosedur maupun dokumentasinya, dan ke-10 aspek yang lain belum ada satupun aspek yang memenuhi kriteria keamanan informasi baik dari sisi kebijakan, prosedur, instruksi, maupun dokumentasi. 2. 11 Kebijakan dan prosedur yang ada belum dapat dikatakan best services terhadap keamanan informasi. Kebijakan dan prosedur yang ada belum pernah dikaji lebih lanjut dan cakupan dari 11 kebijakan dan prosedur yang ada belum mencerminkan aspek keamanan informasi dari ISO 27001/ISMS. 3. Rekomendasi kebijakan dan prosedur yang akan dibuat dapat meningkatkan keamanan informasi. Ada 67 kebijakan, prosedur, instruksi maupun dokumentasi yang didapatkan dari hasil identifikasi kerawanan, ancaman dan dampak dengan menggunakan Control objective dan control dari ISO 27001/ISMS. Dari 67 kebijakan, prosedur, instruksi maupun dokumentasi ini dapat diterapkan guna meningkat keamanan informasi, walaupun Control objective dan control dari ISO 27001/ISMS ini belum memenuhi 11 domain, 39 control objective dan 134 control ISO 27001/ISMS.

Saran Saran ini ditujukan untuk pengerjaan karya akhir berikutnya. 1. Dalam karya akhir ini dilakukan audit kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan, sehingga dalam pengerjaan karya akhir berikutnya sebaiknya dilakukan audit operasional serta audit kelayakan kebijakan dan prosedur. 2. Keamanan informasi dalam penelitian ini terfokus pada proses keamanan informasi perusahaan dan keamanan informasi pelanggan saat berada didalam 114



115

perusahaan. Keamanan informasi saat pengiriman oleh kurir tidak termasuk dalam penelitian, untuk itu diharapkan dalam penelitian berikutnya dapat focus pada keamanan informasi saat dilakukannya pengiriman oleh kurir.

Universitas indonesia


DAFTAR PUSTAKA

Arora, V. (2010). Comparing different information security standards : COBIT vs ISO 27001. Qatar: Carnegia Mellon University. Aygun, B. (2010). Unification of IT process Models into asimple framework supplemented by turkish web based application. Turki: Department of Information Systems. Badan Standarisasi Nasional. (n.d.). Teknologi Informasi-Teknik KeamananSistem Manajemen Keamanan Informasi-Persyaratan. Retrieved January 15, 2013,

from

www.itttelkom.ac.id/staf/faz/kuliah/kamsis/references/16137_SNI%20ISO%20IE C2027001_2009.PDF Bastian, I. (2007). Akuntansi Yayasan dan Lembaga Publik. Jakarta: Erlangga. Boynton, W. c., Johnson, R. N., & Kell, W. G. (2004). Modern Auditing (7 ed.). John Wiley & Sons Incorporated. Hidayat, M. N. (2011). Kajian Tata Kelola Keamanan Informasi Berdasarkan Information Security Management System (ISMS) ISO 27001:2005 untuk Outsourching Teknologi Informasi pada PT. Kereta Api Indonesia (Persero). jakarta: Jakarta : Program Studi Magister Teknologi Informasi Fasilkom UI. ISACA. (2010). Certified Information Security Manager : Review Manual 2011. Illinois: ISACA. IsecT Ltd. (2012, November 22). Information Security Standards. Retrieved Desember

17,

2012,

from

Information

Security

Standards:

www.iso27001security.com Justanieah, M. (2009). Information Security management systems an ISO 27001 introduction. Jeddah: ISACA. McLeod, R., & Schell, G. P. (2007). Sistem Informasi Manajemen (10 ed.). Jakarta: Salemba Empat. Mufadhol. (2009). Kerahasiaan dan keutuhan keamanan data dalam menjaga integritas dan keberadaan informasi data. Jurnal Transformatika, volume 6, No 2 , 80. 116



117

Nurdiaman, A. (2007). Pendidikan kewarganegaraan kecakapan berbangsa dan bernegara. Bandung: Pribumi mekar. Syafrizal, M. (2007). ISO 17799 : Standar Sistem Manajemen Keamanan Informasi. Seminar Nasional Teknologi 2007 (SNT 2007) , 10. Tampubolon, R. (2005). Risk and systems-based internal auditing. Jakarta: PT. Elex Media Computindo. Tim penyusun modul program pendidikan non gelar auditor sektor publik. (2007). Dasar-dasar audit internal sektor publik. jakarta: Sekolah tinggi akuntansi negara. Whitman, M. E., & Mattord, H. J. (2010). Management of Information Security,Third Edition. Boston: Course Technology.



LAMPIRAN

118



Lampiran 1 Hasil Wawancara



120

Kuesioner Keamanan Informasi

Kepada Yth: Dalam rangka memenuhi Karya Akhir pada Program Magister Teknologi Informasi, Universitas Indonesia, saya bermaksud melakukan penilaian terhadap tingkat keamanan informasi dilingkungan perusahaan. Demi tercapainya hasil yang diinginkan, mohon kesediaan Bapak/Ibu untuk mengisi kuesioner ini dengan lengkap. Semua hasil kuesioner ini bersifat rahasia dan hanya untuk keperluan akademis.

Petunjuk Pengisian :

Bapak/Ibu diharapkan untuk memberikan tanda silang (X) pada jawaban yang Bapak/Ibu anggap paling sesuai dengan keadaan yang ada sekarang.

Pilihan

Keterangan

None

Tidak ada dokumen keamanan informasi

Parsial

Ada

dokumen

keamanan

informasi,

tetapi

tidak

diterapkan Full

Ada dokumen keamanan informasi dan diterapkan

Atas perhatian dan partisipasi Bapak/Ibu, saya ucapkan terima kasih.

Jakarta, November 2012

Data Responden Nama/Inisial : HW Jenis Kelamin : Laki-laki Unit Kerja

: Div. IT



Lampiran 2 Hasil Observasi



ISMS PADA PT. XYZ KARYA AKHIR

Recommend Documents