Jurusan Sistem Informasi INSTITUT TEKNOLOGI SEPULUH NOPEMBER SURABAYA 2009

“ EVALUASI KEAMANAN INFORMASI MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI) BERDASARKAN SNI ISO/IEC 27001:2009 STUDI KASUS: BIDANG APLIKASI DAN TELEMATIKA DINAS KOMUNIKASI DAN INFORMATIKA SURABAYA “ Oleh : Moch. Rashid Ridho 5208100011

INSTITUT TEKNOLOGI SEPULUH NOPEMBER SURABAYA 2009

Jurusan Sistem Informasi

Agenda Presentasi  Pendahuluan  Latar Belakang  Permasalahan  Batasan masalah  Tujuan  Manfaat  Tinjauan Pustaka  Metode Penelitian  Hasil Penelitian dan Analisis Data  Perbaikan Keamanan Informasi  Jadwal Kegiatan  Daftar Pustaka

INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012

Pendahuluan  LATAR BELAKANG  Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik.  Dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).


Pendahuluan (cont)  Penyelenggara Pelayanan Publik harus menerapkan Tata Kelola Keamanan Informasi secara andal dan aman serta bertanggung jawab sesuai dengan ketentuan Pasal 15 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.  Sejak tahun 2008 Kementerian Kominfo telah menyelenggarakan sosialisasi dan bimbingan teknis (bimtek) untuk meningkatkan kesadaran akan pentingnya keamanan informasi.  Bimtek menjelaskan metode atau cara melakukan penilaian mandiri (self assessment) menggunakan alat bantu indeks KAMI yang telah disusun Direktorat Keamanan Informasi - Kementerian Kominfo.


Pendahuluan (cont)  Dari hasil sosialisasi dan bimtek keamanan informasi tersebut, diketahui bahwa mayoritas instansi peserta belum memiliki atau sedang menyusun kerangka kerja keamanan informasi yang memenuhi standar SNI ISO/IEC 27001.  Beberapa instansi yang telah memiliki dokumentasi sistem manajemen keamanan informasi juga belum mengetahui apakah kerangka kerja yang mereka bangun telah memenuhi persyaratan standar SNI ISO/IEC 27001 karena belum menjalani audit secara independen.  Dari pemaparan diatas, perlu diadakannya tindak lanjut untuk mengawal dan memonitoring keamanan informasi pada instansi pemerintah dengan menggunakan aplikasi KAMI.  Hasil ini nantinya bisa memberikan gambaran mengenai kesiapan dan kematangan keamanan informasi serta tindak lanjut dari hasil penilaian yang telah dilakukan.


Pendahuluan (cont)  Rumusan Masalah Rumusan masalah yang akan diselesaikan dalam pengerjaan tugas akhir ini meliputi:  Bagaimana melakukan evaluasi kesiapan keamanan sistem informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya ?  Bagaimana melakukan penilaian terhadap kesiapan keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya ?  Bagaimana meningkatkan tingkat kelengkapan dan kematangan keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya ?


Pendahuluan (cont)  Batasan Masalah Batasan pemasalahan dalam tugas akhir ini adalah:  Evaluasi ini hanya mencakup lingkup keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya  Evaluasi ini menggunakan Indeks Keamanan Informasi (KAMI) oleh Kementerian Kominfo berdasarkan Standart SNI ISO/IEC 27001:2009  Tugas Akhir ini tidak membahas mengenai TIK secara keseluruhan, hanya mencakup pada bagian keamanan informasi mengenai tata kelola, pengelolaan resiko, kerangka kerja, pengelolaan asset dan teknologi yang digunakan


Pendahuluan (cont)  Tujuan Tugas Akhir Tujuan dari tugas akhir ini antara lain adalah sebagai berikut :  Untuk mengetahui kebutuhan keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya.  Untuk mengetahui tingkat kematangan kesiapan keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya.  Agar dapat memberikan saran perbaikan untuk keamanan informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya.


Pendahuluan (cont)  Relevansi atau Manfaat Kegiatan Tugas Akhir  Mengetahui hasil pengukuran tingkat kematangan keamanan informasi menggunakan indeks keamanan informasi (Indeks KAMI)  Memberikan gambaran kepada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya mengenai kesiapan keamanan informasi pada instansi yang dikelola  Memberikan informasi kepada Kementerian Kominfo mengenai kematangan keamanan informasi pada instansi yang berada di daerah-daerah khususnya bidang aplikasi dan telematika Dinas Komunikasi dan Informatika dikota Surabaya.


Pendahuluan (cont)  Target Luaran Adapun target luaran yang diharapkan dengan adanya Tugas Akhir ini adalah sebagai berikut:  Hasil analisa menggunakan aplikasi KAMI  Saran perbaikan Keamanan Informasi berdasarkan indeks KAMI


Tinjauan Pustaka  Indeks KAMI Indeks KAMI adalah alat evaluasi untuk menganalisis tingkat kesiapan pengamanan informasi di instansi pemerintah.Alat evaluasi ini tidak ditujukan untuk menganalisis kelayakan atau efektivitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi. Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar SNI ISO/IEC 27001:2009. Hasil evaluasi indeks KAMI menggambarkan tingkat kematangan, tingkat kelengkapan penerapan SNI ISO/IEC 27001:2009 dan peta area tata kelola keamanan sistem informasi di instansi pemerintah. Sebagai gambaran, hasil evaluasi indeks KAMI dapat dilihat pada gambar dibawah ini.


Tinjauan Pustaka


Tinjauan Pustaka  Standart SNI ISO/IEC 27001:2009 Standart SNI ISO/IEC 27001:2009 “Teknologi informasi – Teknik keamanan – Sistem manajemen keamanan informasi - Persyaratan” disusun secara adopsi identik terhadap ISO 27001:2005, Information technology – Security techniques – Information security management systems – Requirement, dengan metode terjemahan oleh Panitia Teknis PK 03-02 Sistem Manajemen Mutu yang dibentuk oleh BSN. SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrolkontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.


Tinjauan Pustaka

Standar menyatakan persyaratan utama yang harus dipenuhi menyangkut:  Sistem manajemen keamanan informasi (kerangka kerja, proses dan dokumentasi)  Tanggung jawab manajemen  Audit internal SMKI  Manajemen tinjau ulang SMKI  Peningkatan berkelanjutan


Tinjauan Pustaka Disamping persyaratan utama di atas, standar ini mensyaratkan penetapan sasaran kontrol dan kontrol-kontrol keamanan informasi meliputi 11 area pengamanan sebagai berikut:            

Kebijakan keamanan informasi Organisasi keamanan informasi Manajemen aset Sumber daya manusia menyangkut keamanan informasi Keamanan fisik dan lingkungan Komunikasi dan manajemen operasi Akses kontrol Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi Pengelolaan insiden keamanan informasi Manajemen kelangsungan usaha (business continuity management) Kepatuhan


Tinjauan Pustaka Namun, pada buku "Pedoman Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik", Kondisi keamanan yang akan dievaluasi meliputi 5 (lima) area berikut:     

Tata Kelola Keamanan Informasi Manajemen Risiko Keamanan Informasi Kerangka Kerja Pengelolaan Keamanan Informasi Pengelolaan Aset Informasi Teknologi Keamanan Informasi


Metode Penelitian Studi pendahuluan - Studi pustaka - Observasi - Wawancara

Tahapan penelitian

Perumusan Masalah

Penetapan tujuan penelitian

Tahap pendahuluan penelitian Studi Literatur

Studi Lapangan

Pengumpulan Data - Profil Dinas Komunikasi dan Informatika - Proses bisnis Dinas Komunikasi dan Informatika

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Mendefinisikan ruang lingkup

Tahap evaluasi kesiapan keamanan informasi

Menetapkan Peran atau Tingkat Kepentingan TIK di Instansi Menilai Kelengkapan Pengamanan 5 Area

Mengkaji Hasil Indeks KAMI

---------------------------------------------------------------------------Analisa dan pembahasan perbaikan keamanan informasi

Tahap analisa dan kesimpulan Hasil - Dokumen TA Hasil analisa menggunakan KAMI dan - Saran perbaikan keamanan informasi terhadap Dinas Kominfo kota Surabaya


Pelaksanaan Pendahuluan TA (Tahap Pendahuluan Penelitian)

 Sidang Proposal

: 26 Maret 2012

 Pengumpulan data dan informasi terkait Dinas Komunikasi dan Informasi (Website surabaya.go.id dan Kominfo)

: 27 - 8 April 2012

 Pembuatan dokumen penilaian evaluasi

: 9 - 15 April 2012


Pelaksanaan Evaluasi TA (Tahap Evaluasi Kesiapan Keamanan Informasi)

 Menganalisa Dokumen Hasil Risk Assement dan SOP Penerapan SMKI (ISO 27001)

: 16 - 22 April 2012

 Pelatihan BIMTEK Indeks KAMI

: 17 - 18 April 2012

 Menganalisa Dokumen Hasil ICT Pura Kota Surabaya

: 23 - 29 April 2012

 Menyusun hasil evaluasi dan Buku Tugas Akhir

: 01 - 13 Mei 2012

 Menganalisa Dokumen Manajemen Mutu ISO 9001 : 2008  Persiapan sidang Progress

: 14 - 27 Mei 2012


: 28 – 11 Juni ‘12

Pelaksanaan evaluasi TA (Tahap Analisa dan Kesimpulan)

 Menganalisa hasil penilaian yang telah dilakukan

: 14-16 Juni 2012

 Membuat saran perbaikkan

: 18-24 Juni 2012

 Menyelesaikan buku TA & persiapan sidang akhir

: 24-30 Juni 2012



Persiapan dan perlengkapan survei



Kegiatan Analisa Di Dinas Kominfo

Kegiatan BIMTEK KAMI



Kondisi Server Dinkominfo

Ruang Kantor Dinkominfo INSTITUT TEKNOLOGI SEPULUH NOVEMBER 2012




Dokumen Sumber Informasi (Offline)



Dokumen Sumber Informasi (Online)

http://www.surabaya.go.id/ http://jdih.surabaya.go.id/

http://dinkominfo.surabaya. go.id/

https://lpse.surabaya.go.id


Apa Itu KAMI??? Indeks KAMI adalah alat evaluasi untuk menganalisa tingkat kesiapan pengamanan informasi di Instansi pemerintah. Ada 6 area yg akan dievaluasi :      

Peran TIK di dalam Instansi Tata Kelola Keamanan Informasi Pengelolaan Risiko Keamanan Informasi Kerangka Kerja Keamanan Informasi Pengelolaan Aset Informasi, dan Teknologi dan Keamanan Informasi


AREA PERAN DAN TINGKAT KEPENTINGAN TIK DI DINAS KOMINFO


Paramater Penilaian Peran dan Tingkat Kepentingan TIK di Instansi


Area Peran dan Tingkat Kepentingan TIK di Instansi (Tahap wawancara dan pengamatan)

Jawaban : Kritis 1.1

Karakteristik Instansi Total anggaran tahunan yang dialokasikan untuk TIK A. Rp. 20 Milyard atau lebih B. Rp. 8 Milyard sampai dengan Rp. 20 Milyard C. Rp. 3 Milyard sampai dengan Rp 8 Milyard D. Rp. 1 Milyard sampai dengan Rp. 3 Milyard E. Kurang dari Rp. 1 Milyard

Kritis

4

A.

Bukti Pendukung

Catatan Tambahan

Rp. 20 Milyard atau lebih, Dinas Kominfo mendapat anggaran dari APBD sebanyak Rp. 20 milyard atau lebih untuk keperluan TIK  Daftar anggaran dana APBD Pemerintah kota Surabaya (Rahasia)  Hasil wawancara Untuk dana TIK yang dikeluarkan oleh pemerintah kota surabaya lebih dari 20 Milyard dan digunakan untuk kebutuhan TIK Dinas – Dinas di pemerintahan kota Surabaya. Untuk kebutuhan Dinas Kominfo Surabaya dialokasikan dana sekitar 20 Milyard lebih dari APBD pemerintah kota Surabaya. Dana tersebut digunakan untuk biaya operasional, pembelian dan perawatan kebutuhan TIK untuk Dinas Kominfo.


Area Peran dan Tingkat Kepentingan TIK di Instansi (Tahap wawancara dan pengamatan)

Hasil Skor Peran dan Tingkat Kepentingan TIK di Instansi Tingkat Ketergantungan

45 Kritis

Kesimpulan : Penggunaan TIK merupakan satu-satunya cara untuk menjalankan proses kerja yang bersifat strategis atau berskala nasional.


Paramater Penilaian 5 Area Keamanan Informasi


Paramater Penilaian 5 Area Keamanan Informasi 

Dalam perencanaan  Sudah menjadi rencana resmi instansi dan akan dilaksanakan melalui kegiatan internal/proyek  Kebijakan/prosedur pengamanan dalam versi draft  Dalam penerapan atau diterapkan sebagian  Proyek/kegiatan sedang berjalan atau diterapkan secara bertahap  Kebijakan/prosedur sudah dirilis secara resmi tetapi masih tahap implementasi  Diterapkan secara menyeluruh  Sudah berjalan di seluruh area sesuai dengan ruang lingkup yang didefinisikan


AREA TATA KELOLA KEAMANAN INFORMASI


Area Tata Kelola Keamanan Informasi (Tahap wawancara dan pengamatan)

Jawaban : Diterapkan secara menyeluruh 2.1

II

1

Apakah pimpinan Instansi anda secara prinsip dan resmi bertanggungjawab terhadap pelaksanaan program keamanan informasi (misal yang tercantum dalam ITSP), termasuk penetapan kebijakan terkait? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan

Diterapkan secara menyeluruh

3

A.

Diterapkan secara menyeluruh, pimpinan pada Dinas Kominfo secara prinsip dan resmi bertanggung jawab terhadap pelaksanaan keamanan informasi

Bukti Pendukung

 

Tugas pokok dan fungsi Dinas Kominfo pada bidang Aplikasi dan Telematika Kebijakan Kepala Dinas, lampiran bukti B.8 Gambar No.38

Catatan Tambahan

Pimpinan instansi di Dinas Kominfo yaitu kepala Dinas Kominfo bertanggung jawab terhadap pelaksanaan program keamanan informasi yang diterapkan pada lingkungan Dinas. Untuk masing-masing bagian, setiap kepala bidang bertanggung jawab atas keamanan informasi di Dinas Kominfo. Lampiran bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI No. 6



Jawaban : Dalam penerapan / diterapkan sebagian 2.6

Bukti Pendukung

Catatan Tambahan

II

1

Apakah Instansi anda sudah mendefinisikan persyaratan / standar kompetensi dan keahlian pelaksana pengelolaan keamanan informasi? Dalam penerapan / A. Diterapkan secara menyeluruh 2 diterapkan sebagian B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan B. Dalam penerapan/diterapkan sebagian, di Dinas Kominfo masih dalam tahap mengimplementasikan sebagian dari definisi persyaratan khusus/standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi  Data Nominatif Pegawai Negeri Sipil Dinas Komunikasi dan Informatika Pemerintah kota Surabaya  Data Tenaga Kontrak 2011 Dinas Komunikasi dan Informatika  SOP Job Description pada ISO 9001:2008, lampiran bukti B.4 Dokumen SOP ISO 9001 : 2008 Gambar No. 21  Peraturan mengenai standart kompetensi, kesadaran dan pelatihan, lampiran bukti B.3 Dokumen Manual Mutu ISO 9001 : 2008 Gambar No. 12 Persyaratan / standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi dalam tahap diterapkan sebagian secara spesifik dan dalam bentuk dokumen tertulis yang dapat dijadikan acuan SOP dalam penerimaan pegawai untuk pengelolaan keamanan informasi. Kendala lain yang membuat hal ini tidak bisa dilakukan secara keseluruhan oleh dinas komunikasi dan informatika adalah kebijakan sentral dari pusat dalam proses penerimaan dan penyebaran PNS dilingkungan Dinas.



Hasil Total Nilai Evaluasi Tata Kelola

112

Tingkat Kematangan

III+


AREA PENGELOLAAN RESIKO KEAMANAN INFORMASI


Area Pengelolaan Resiko Keamanan Informasi (Tahap wawancara dan pengamatan)


Bukti Pendukung Catatan Tambahan

II

1 Apakah Instansi anda sudah menjalankan inisiatif analisa / kajian risiko keamanan informasi secara terstruktur terhadap aset informasi yang ada (untuk nantinya digunakan dalam mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian dari program Diterapkan secara 3 pengelolaan keamanan informasi)? menyeluruh A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan A. Diterapkan secara menyeluruh, Dinas Kominfo bidang aplikasi dan telematika sudah menjalankan inisiatif analisa / kajian risiko keamanan informasi secara terstruktur terhadap aset informasi yang ada (untuk nantinya digunakan mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian program pengelolaan keamanan informasi)  Dokumen Risk Assestment dan laporan mendalam keamanan informasi, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 1 Dinas Komunikasi dan informatika khususnya bidang aplikasi dan telematika sudah menjalankan inisiatif analisa / kajian risiko keamanan informasi secara terstruktur terhadap aset informasi yang ada (untuk nantinya digunakan dalam mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian dari program pengelolaan keamanan informasi). Dan hasil dari Risk Assestment menghasilkan sebuah SOP yang menjadi dokumen resmi Dinas Kominfo dalam menerapkan keamanan informasi sesuai ISO 27001 : 2005



Jawaban : Dalam penerapan/diterapkan sebagian 3.1

II

Bukti Pendukung

Catatan Tambahan

1

Apakah Instansi anda mempunyai program kerja pengelolaan risiko keamanan informasi yang terdokumentasi dan secara resmi digunakan? Dalam penerapan 2 A. Diterapkan secara menyeluruh / diterapkan B. Dalam penerapan / diterapkan sebagian sebagian C. Dalam perencanaan D. Tidak dilakukan B. Dalam penerapan / diterapkan sebagian, Dinas Kominfo bidang aplikasi dan telematika mempunyai program kerja pengelolaan risiko keamanan informasi yang terdokumentasi dan secara resmi digunakan.  Sebagian contoh tugas/ program kerja terkait pengelolaan resiko yang telah diterapkan oleh dinas kominfo khususnya bidang aplikasi dan telematika.  Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 2 Dokumen SOP keamanan informasi merupakan pedoman bagi bidang aplikasi dan telematika dalam pengelolaan resiko terkait keamanan informasi. Dari dokumen SOP kemanan informasi ini, kemudian diimplementasikan kedalam program kerja pengelolaan risiko keamanan informasi yang terdokumentasi dan ditugaskan kepada pihak staf selaku pelaksana program kerja.



Hasil Total Nilai Evaluasi Pengelolaan Risiko Keamanan Informasi Tingkat Kematangan


53 III

AREA KERANGKA KERJA KEAMANAN INFORMASI


Area Kerangka Kerja Keamanan Informasi (Tahap wawancara dan pengamatan)


Bukti Pendukung

Catatan Tambahan

II

1 Apakah aspek keamanan informasi yang mencakup pelaporan insiden, menjaga kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset tercantum dalam kontrak dengan pihak ketiga? Diterapkan secara 3 menyeluruh A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan A. Diterapkan secara menyeluruh, aspek keamanan informasi yang mencakup pelaporan insiden, menjaga kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset tercantum dalam kontrak dengan pihak ketiga.  Contoh surat kontrak dengan pegawai kontrak Dinas Kominfo bidang aplikasi dan telematika, B.6 Dokumen Kontrak Kerja Gambar No.30, No.31, No. 32 dan No 33  Pengumuman kebijakan keamanan informasi untuk bidang aplikasi dan telematika yang telah disahkan oleh kepala Dinas Komunikasi dan Informatika, lampiran bukti B.10 Dokumentasi ruangan kantor Aptel Gambar No. 38 Setiap ada pihak ketiga yang ingin mengakses, bekerjasama ataupun melakukan sebuah riset terdapat sebuah pemberitahuan ataupun kontrak tertulis dengan pihak ketiga mengenai menjaga kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset serta ancaman jika terdapat pihak ketiga yang melanggar.




Bukti Pendukung

Catatan Tambahan

II

1

Apakah kebijakan dan prosedur keamanan informasi sudah disusun dan dituliskan dengan jelas, dengan mencantumkan peran dan tanggungjawab pihak-pihak yang diberikan Dalam penerapan / wewenang untuk menerapkannya? diterapkan 2 A. Diterapkan secara menyeluruh sebagian B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan B. Dalam penerapan/diterapkan sebagian, kebijakan dan prosedur keamanan informasi sudah disusun dan dituliskan dengan jelas, dengan mencantumkan peran dan tanggungjawab pihak-pihak yang diberikan wewenang untuk menerapkannya  Dokumen Risk Assestment dan laporan mendalam keamanan informasi, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 1. Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 2 Pengimplementasian keamanan informasi berdasarkan SOP yang sudah dibuat telah menjadi dokumen resmi dari Keamanan Informasi bidang aplikasi dan telematika serta telah memasuki tahap pengimplementasian secara bertahap oleh bidang aplikasi dan telematika seperti prosedur peningkatan pelatihan pegawai dengan memberikan BIMTEK terkait keamanan informasi. Kemudian prosedur Business Continuity Planning (BCP) dengan membuat data center dan colocation jika terjadi sesuatu yang tidak diingikan seperti kegagalan sistem, bencana alam, kebakaran ataupun gempa yang bisa menghentikan proses.



Hasil Total Nilai Evaluasi Kerangka Kerja Tingkat Kematangan


123 II+

AREA PENGELOLAAN ASET KEAMANAN INFORMASI


Area Pengeloaan Aset Keamanan Informasi (Tahap wawancara dan pengamatan)


II

1 Apakah tersedia daftar inventaris aset informasi yang lengkap dan akurat? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan


3

A.

Diterapkan secara menyeluruh, tersedia daftar inventaris aset informasi yang lengkap dan akurat

Bukti Pendukung



Daftar inventaris Dinas Kominfo Surabaya bidang APTEL, lampiran bukti B.14 Data dari PPT, PDF, dll Gambar No. 56

Catatan Tambahan

Dinas Kominfo Surabaya bidang APTEL telah memiliki daftar inventaris aset informasi yang didokumentasikan dan diupdate.




II

Bukti Pendukung

2 Apakah konstruksi ruang penyimpanan perangkat pengolah informasi penting menggunakan rancangan dan material yang dapat menanggulangi risiko kebakaran dan dilengkapi dengan fasilitas pendukung Dalam (deteksi kebakaran/asap, pemadam api, pengatur suhu penerapan/ditera 2 dan kelembaban) yang sesuai? pkan sebagian A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan B. Dalam penerapan/ diterapkan sebagian, konstruksi ruang penyimpanan perangkat pengolah informasi penting menggunakan rancangan dan material yang dapat menanggulangi risiko kebakaran dan dilengkapi dengan fasilitas pendukung (deteksi kebakaran/asap, pemadam api, pengatur suhu dan kelembaban) yang sesuai  Prosedur Server, lampiran bukti B.4 Dokumen SOP ISO 9001 : 2008 Gambar No. 15

Catatan Tambahan

Dinas Kominfo khususnya bidang aplikasi dan telematika telah memiliki sertifikasi ISO 9001 : 2008 terkait manajemen mutu yaitu SOP mengenai manajemen server



Jawaban : Dalam perencanaan

5.20

III

Bukti Pendukung Catatan Tambahan

2 Prosedur penghancuran data/aset yang sudah tidak diperlukan A. Diterapkan secara menyeluruh Dalam 1 B. Dalam penerapan/ diterapkan sebagian perencanaan C. Dalam perencanaan D. Tidak dilakukan C. Dalam perencanaan, Dinas Kominfo bidang aplikasi dan telematika menerapkan prosedur penghancuran data/aset yang sudah tidak diperlukan  Draf Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 2 Dinas Komunikasi dan Informatika bidang aplikasi dan telematika telah memiliki SOP keamanan informasi resmi terkait prosedur penghancuran data/aset yang sudah tidak diperlukan yaitu SOP Pemusnahan Media Back Up



Hasil Total Nilai Evaluasi Pengelolaan Aset Tingkat Kematangan


120 II

AREA TEKNOLOGI & KEAMANAN INFORMASI


Area Teknologi & Keamanan Informasi (Tahap wawancara dan pengamatan)


III

2 Apakah sistem dan aplikasi yang digunakan sudah menerapkan pembatasan waktu akses termasuk otomatisasi proses timeouts, lockout setelah kegagalan login,dan penarikan akses? A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan A.

Bukti Pendukung

Catatan Tambahan


3

Diterapkan secara menyeluruh, semua sistem dan aplikasi yang digunakan sudah menerapkan pembatasan waktu akses termasuk otomatisasi proses timeouts, lockout setelah kegagalan login,dan penarikan akses

Percobaan akses pada website JDIH, lampiran bukti B.13 Data dari Website Gambar No.52  Percobaan akses di server dan client menerapkan sistem otomatisasi proses timeout. Dinas Kominfo bidang aplikasi dan telematika telah menerapkan sistem pembatasan waktu akses termasuk otomatisasi proses timeouts, lockout setelah kegagalan login. 




Bukti Pendukung

Catatan Tambahan

II

1 Apakah jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/keutuhan konfigurasi? Dalam penerapan/ A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian 2 diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan B. Dalam penerapan/ diterapkan sebagian, jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/keutuhan konfigurasi  Draf Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 2  Dokumen SOP ISO 9001:2008, lampiran bukti B.4 Dokumen SOP ISO 9001 : 2008 Gambar No. 13  Lampiran bukti jadwal check list perawatan ruangan APTEL B.5 Dokumen Laporan SOP ISO 9001 : 2008 Gambar No. 27 Dinas Kominfo khususnya bidang aplikasi dan telematika telah memiliki jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/keutuhan konfigurasi yaitu draf SOP tindakan perbaikkan dan pencegahan. Untuk SOP ISO 9001:2008, terdapat SOP yang mengatur pengembangan dan pemeliharaan aplikasi



Hasil Total Nilai Evaluasi Teknologi dan Keamanan Informasi Tingkat Kematangan


90 II+

Grafik Hasil Penilaian KAMI (Tahap wawancara dan pengamatan)


Grafik Hasil Penilaian KAMI (Tahap wawancara dan pengamatan)

Tata Kelola

98,24 %

Pengelolaan Risiko

Aspek Teknologi

83,33 %

77,94 % Kepatuhan ISO 27001/SNI Proses Penerapan Kerangka Kerja Dasar Responden

Pengelolaan Aset

Kerangka Kerja

78,43 %

87,23 %


PERBAIKKAN KEAMANAN INFORMASI


Area Tata Kelola Keamanan Informasi

Dari hasil saran perbaikkan point-point yang kurang pada area tata kelola keamanan informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi adalah sebagai berikut :  Efektifitas pengamanan dievaluasi secara berkala dengan melalui proses yang terstruktur.  Memperbaiki beberapa kelemahan dalam sistem manajemen tata kelola masih ditemukan sehingga dapat mengakibatkan dampak yang signifikan.  Meningkatkan tata kelola pengamanan yang sudah mematuhi ambang batas minimum standar atau persyaratan hukum yang terkait.  Meningkatkan kesadaran kepada semua pihak yang terlibat, untuk menyadari tanggungjawab mereka dalam pengamanan informasi.  Menerapkan seluruh persyaratan dan standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi keseluruh lingkup area kerja bidang aplikasi dan telematika.


Area Pengelolaan Resiko Keamanan Informasi

Dari hasil saran perbaikkan point-point yang kurang pada area pengelolaan resiko keamanan informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi adalah sebagai berikut :  Menerapkan secara menyeluruh pengelolaan resiko untuk menjadi bagian dari kriteria proses penilaian obyektif kinerja efektifitas pengamanan terhadap semua aktivitas IT bidang Aplikasi dan telematika.  Melaksanakan evaluasi secara menyeluruh terhadap program pengelolaan resiko keamanan informasi yang telah dilaksanakan.  Melakukan dokumentasi terhadap penyelesaian langkah mitigasi yang sudah diterapkan untuk mengetahui kondisi perkembangan status penyelesaian langkah mitigasi resiko dipantau secara berkala.


Area Kerangka Kerja Pengelolaan Keamanan Informasi

Dari hasil saran perbaikkan point-point yang kurang pada area kerangka kerja keamanan informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi adalah sebagai berikut :  Menerapkan secara menyeluruh kebijakan dan prosedur keamanan informasi terhadap semua aktivitas IT bidang aplikasi dan telematika.  Menerapkan secara menyeluruh proses penerapan perencanaan pemulihan bencana terhadap layanan TIK (disaster recovery plan) yang sudah didefinisikan komposisi, peran, wewenang dan tanggungjawab tim yang ditunjuk.  Melaksanakan evaluasi secara menyeluruh terhadap pengelolaan kebijakan dan prosedur keamanan informasi yang telah disusun dan dituliskan dengan jelas, dengan mencantumkan peran dan tanggungjawab pihak-pihak yang telah diberikan wewenang.  Melakukan dokumentasi dan pelaporan terhadap penerapan kerangka kerja keamanan informasi yang dipantau secara berkala.


Area Pengelolaan Aset Keamanan Informasi

Dari hasil saran perbaikkan point-point yang kurang pada area pengelolaan aset informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi adalah sebagai berikut :  Menerapkan secara menyeluruh proses penerapan definisi tingkatan akses yang berbeda dan matrix yang merekam alokasi akses pada bidang aplikasi dan telematika.  Menerapkan secara menyeluruh proses penerapan konstruksi ruang penyimpanan perangkat pengolah informasi penting menggunakan rancangan dan material yang dapat menanggulangi segala resiko yang akan terjadi.  Melaksanakan secara menyeluruh prosedur pengelolaan aset informasi.  Menerapkan sanksi atau denda yang telah dibuat, kepada semua pihak yang lalai dalam melaksanakan pengelolaan aset informasi.  Melaksanakan secara menyeluruh tata tertib penggunaan komputer, email, internet dan intranet serta peraturan pengamanan data pribadi.  Melakukan kajian terhadap pengelolaan aset informasi.  Melaksanakan secara menyeluruh dokumentasi dan pelaporan terhadap segala aktivitas pengelolaan aset informasi.


Area Teknologi dan Keamanan Informasi

Dari hasil saran perbaikkan point-point yang kurang pada area teknologi dan keamanan informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi adalah sebagai berikut :  Menerapkan secara menyeluruh proses penerapan konfigurasi standar untuk keamanan sistem bagi keseluruhan aset komputer dan perangkat jaringan, yang dimutakhirkan sesuai perkembangan dan kebutuhan pada bidang aplikasi dan telematika.  Menerapkan secara menyeluruh proses penerapan menerapkan pengamanan untuk mendeteksi dan mencegah penggunaan akses jaringan (termasuk jaringan nirkabel) yang tidak resmi.  Melaksanakan secara menyeluruh prosedur keamanan informasi.  Menerapkan sanksi atau denda yang telah dibuat, kepada semua pihak yang lalai dalam melaksanakan pengelolaan teknologi dan keamanan informasi.  Melaksanakan secara menyeluruh dokumentasi dan pelaporan terhadap segala aktivitas pengelolaan teknologi dan keamanan informasi.


Area Tata Kelola Keamanan Informasi

No 2.6

2.7

Kategori Kategori Status Point Evaluasi Tata Kelola Skor Kematangan Pengamanan / Kondisi Apakah Instansi anda sudah mendefinisikan persyaratan / standar kompetensi Dalam Penerapan / 3 II 1 Diterapkan dan keahlian pelaksana pengelolaan keamanan informasi? Sebagian 1. Menerapkan seluruh persyaratan dan standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi keseluruh lingkup area kerja bidang aplikasi dan telematika. Dengan cara menerapkan langkah sebagai berikut :  Melakukan seleksi secara selektif terhadap SDM yang akan diterima, dilihat dari :  CV  Pendidikan terakhir, minimal S1 Jurusan IT  Prestasi dan keahlian di bidang IT  Tes IQ dan Kepribadian  Sertifikat keahlian dibidang IT.  Penguasaan bahasa Saran Perbaikkan  Pendidikan dan pelatihan keamanan informasi. Ada beberapa alternatif pendidikan dan alternatif mengenai keamanan informasi, antara lain :  CISA (Certified Information Systems Auditor) Biaya ujian CISA sebesar USD 475. Informasi lengkap mengenai CISA bisa diakses di http://www.isaca.org. Secara teratur, ISACA mengadakan ujian CISA di Jakarta setiap 6 bulan.  CISSP dikeluarkan oleh International Information Systems Security Certification Consortium (ISC)². CISSP dengan membayar USD 550. Jika lulus ujian dan belum memiliki pengalaman selama 5 tahun di 2 CBK domain yang berbeda, orang tersebut masih berstatus CISSP Associate. Ujian diadakan setiap tahunnya dijakarta, Informasi lengkap mengenai CISSP bisa diakses di http://www.isc2.org II

Saran Perbaikkan

1

Apakah semua pelaksana pengamanan informasi di Instansi anda memiliki Dalam Penerapan/ 3 kompetensi dan keahlian yang memadai sesuai persyaratan / standar yang Diterapkan berlaku? Sebagian 1. Menerapkan secara menyeluruh pengamanan informasi di Instansi dengan memasukkan SDM yang memiliki kompetensi dan keahlian memadai sesuai persyaratan/standar yang berlaku. 2. Meningkatkan kesadaran semua pihak yang terlibat menyadari tanggungjawab mereka dalam pengamanan informasi.


Perbaikkan Keamanan Informasi

Meningkatkan awarness pegawai terhadap Keamanan Informasi


Perbaikkan Keamanan Informasi

Meningkatkan teknologi Keamanan Informasi


Internasional Information Systems Security Certification Consortium (ISC) ²  Berkantor pusat di Amerika Serikat , berdiri tahun

1988  Lembaga ini diakui untuk sertifikasi Standar Internasional dan Program pendidikan kelas dunia.  Memiliki lebih dari 75.000 anggota  Lembaga ini menyediakan surat sertifikasi para profesional di lebih dari 135 negara

Information Systems Audit and Contro; Association (ISACA)  ISACA berdiri pada tahun 1967

 Keanggotaan lebih dari 95.000 yang kuat di seluruh dunia.  Anggota tinggal dan bekerja di lebih dari 160 negara dan mencakup berbagai posisi yang berkaitan dengan IT profesional meilputi: auditor, konsultan, pendidik, IS keamanan profesional, regulator, petugas informasi kepala dan auditor internal.

Kesimpulan Kesimpulan yang dapat diambil dalam pengerjaan tugas akhir dengan studi kasus evaluasi kesiapan keamanan sistem informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya antara lain:  Dengan menggunakan aplikasi Indeks KAMI yang diterbitkan oleh Kementerian Komunikasi dan Informatika berdasarkan SNI ISO/IEC 27001:2009. Indeks KAMI digunakan untuk mengevaluasi tingkat kesiapan dan kematangan keamanan informasi pada instansi pemerintahan pada 5 area evaluasi keamanan.  Hasil analisis data menjelaskan bahwa ketergantungan bidang aplikasi dan telematika (Aptel) masuk dalam kategori kritis. Sedangkan untuk tingkat keamanan, aptel mendapatkan skor 498, skor ini masuk dalam kategori baik untuk mengimplementasikan standart ISO 27001.  Untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi. Bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya harus menerapkan seluruh prosedur dan kebijakan keamanan informasi pada seluruh area.


Saran Saran yang dapat diambil untuk perbaikan secara menyeluruh, dalam pengerjaan tugas akhir dengan studi kasus evaluasi kesiapan keamanan sistem informasi pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya dengan menerapkan tahap 5 D antara lain: 1. Dilaksanakan, bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya harus melaksanakan semua kebijakan dan prosedur keamanan informasi pada semua area. Hal ini bertujuan untuk memaksimalkan pencapaian dan tingkat kematangan keamanan informasi 2. Dimonitoring, setelah melakukan dan melaksanakan seluruh kebijakan dan prosedur yang ada. Bidang Aplikasi dan telematika harus selalu memonitoring segala aktivitas IT meliputi kinerja pegawai, kinerja hardware dan software pengamanan serta penerapan regulasi(sanksi dan hukuman) yang ada terkait keamanan informasi. 3. Dievaluasi, tahapan ini bertujuan untuk mengevaluasi setiap penerapan kebijakan dan prosedur terkait keamanan informasi. Evaluasi ini menilai efektifitas, kinerja, dan efisiensi terhadap segala aktivitas IT yang dilakukan 4. Diperbarui, tahapan ini merupakan langkah selanjutnya dari proses evaluasi penerapan kebijakan dan prosedur. Apabila dalam hasil evaluasi tersebut terdapat kekurangan baik dalam penerapan kebijakan, prosedur, teknologi dan SDM, maka perlu adanya tindakan pembaruan atau perbaikan. 5. Dokumentasi, tahap ini bertujuan untuk, melaporkan mencatat dan merekam segala aktivitas IT yang berhubungan dengan keamanan informasi.


Daftar Pustaka [1] Alexander, M. (2010). Excel Dashboard & Report. Hoboken: Wiley. [2] Alter, S. (1992). Information System: A Management Perspective. The Benjamin/Cummings Publishing Company, Inc. [3] Alter, S. (2002). The Information System: The Foundation of E-Business (4th ed.). New Jersey: Pearson Education, Inc. [4] Arbiansyah, G., Kristianto, D., Neneng. (2010). Pemetaan Model Tata Kelola Teknologi Informasi Yang Menunjang Strategi Dan Visi Oorganisasi Di Indonesia Pada Bank Swasta XYZ. Seminar Nasional Aplikasi Teknologi Informasi 2010 (SNATI 2010), (hal. 133-137). Yogyakarta. [5] Badan Standardisasi Nasional, 2. (2009, Februari 21). http://websisni.bsn.go.id/index.php?/sni_main/sni/detail_sni/10233. Dipetik Februari 21, 2012, dari websisni.bsn.go.id: http://websisni.bsn.go.id/index.php?/sni_main/sni/detail_sni/10233 [6] Basics of business intelligence. (2003). Dipetik February 2011, dari IBM: www03.ibm.com/systems/.../systems_storage_solutions_business_intelligence_pdf_business-intel.pdf [7] Bonar, George H., Hopwood, William S. (1993). Accounting Information System (5th ed.). PrenticeHall, Inc. [8] Carlson, T. (2001). Information Security Management: Understanding ISO 17799. Lucent Technologies Worldwide Services.


Daftar Pustaka [9] Detiknas. (2007). Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Jakarta: Depkominfo. [10] Few, S. (2006). Information Dashboard Design. Italy: Oreilly. [11] Gasperz, V. (2002). ISO 9001:2000 And Continual Quality Improvement. Jakarta: PT. Gramedia Pustaka Utama. [12] Gelinas, Ulric J., Oram, Allan E., Wiggins, William P. (1990). Accounting Information System. PWSKENT Publishing Company. [13] Guldentops, E., Van Grembergen, W., & De Haes, S. (2002). Control and Governance Maturity Survey: Establishing a reference benchmark and a self assesment tool. Information System Control Journal, 6 . [15] Hall, J. A. (2001). Accounting Information Systems (3rd ed.). South Western College Publishing. [16] Hisham, M. Haddad, Brunil, D. Romero. (2009). Asset Identification for Security Risk Assesment in Web Application. International Journal Of Software Engineering, IJSE , II. [17] Industry, M. o. (1999). Corporate approaches to IT Governance. Dipetik December 30, 2010, dari www.jipdec.or.jp/chosa/MITIBE/sld001.htm [18] ISO. (2005). ISO/IEC 17799. Switzerland: International Standard for Organization.


Daftar Pustaka [19] ITGI. (2001). Board Briefing on IT Governance. Dipetik December 28, 2010, dari www.itgi.org [20] ITGI. (2000). Control Objectives for Information and Related Technologies (COBIT) (3 ed.). USA. [21] Joan Hash, d. 2. (2012, Februari 19). http://csrc.nist.gov/publications/nistpubs/800-18-Rev1/sp80018-Rev1-final.pdf. Dipetik Februari 2012, 2012, dari csrc.nist.gov: http://csrc.nist.gov/publications/nistpubs/800-18-Rev1/sp800-18-Rev1-final.pdf [22] Jobbe, D., & Lancaster., G. (2009). Selling and sales management — 8th ed. Edinburgh Gate: Pearson Education Limited. [23] Kadir, A. (2003). Pengenalan Sistem Informasi. Yogyakarta: Penerbit ANDI. [24] Lucas, H. (2000). Information Technology for Management (7th ed.). Irwin/McGraw-Hill. [25] Malik, S. (2005). Enterprise dashboards : design and best practices for IT. Hoboken, New Jersey.: John Wiley & Sons, Inc. [26] Martin, E. (1999). Managing Information Technology What Managers Need to Know (3rd ed.). New Jersey: Pearson Education International. [27] Mattord, M. W. (2010). Management Of Information System. . Course Technology CENGAGE Learning.


Biodata Penulis

Penulis bernama lengkap Moch. Rashid Ridho, lahir di surabaya 20 September 1989. Penulis dalam pergaulannya dilingkungan sistem informasi biasa dipanggil “ridho”. Penulis menempuh pendidikan TK Al-Hidayah Surabaya, SD Negeri Kebonsari II/415 Surabaya, SMP Negeri 22 Surabaya, SMA Negeri 18 Surabaya, Penulis melanjutkan penddikan ke jenjang S1 di jurusan sistem informasi, fakultas teknologi informasi,institut teknologi sepuluh nopember surabaya memalui jalur PMDK Mandiri pada tahun 2008. Selama kuliah penulis aktif dalam organisasi Himpunan Mahasiswa Jurusan (HMJ), mengikuti UKM paduan suara ITS, aktif dalam kegiatan Latihan Keterampilan Manajemen Mahasiswa (LKMM) ITS dan memiliki kegiatan bisnis selama masa perkuliahan. Beberapa pencapaian prestasi penulis diantaranya adalah juara 2 kompetisi bisnis online jurusan sistem informasi (Siboy), juara 1 lomba kompetisi bisnis ITS, dan juara favorit lomba bisnis online yang diadakan oleh bank CIMB serta beberapa penghargaan lainnya. Jika terdapat pertanyaan mengenai tugas akhir ini, penulis dapat dihubungi melalui [email protected]


Jurusan Sistem Informasi INSTITUT TEKNOLOGI SEPULUH NOPEMBER SURABAYA 2009

Recommend Documents