MAKALAH SEMINAR KERJA PRAKTEK PERANCANGAN AUDIT INTERNAL SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) BERDASARKAN STANDAR ISO/IEC 27001:2005 DI PT. BPR KARYAJATNIKA SADAYA Nugroho Arif Widodo1, Adian Fatchur Rochim, ST, MT2 Jurusan Teknik Elektro Fakultas Teknik Universitas Diponegoro Jl. Prof. Sudharto, Tembalang, Semarang, Indonesia
Abstrak : Keamanan informasi berarti melindungi informasi dan sistem informasi dari akses dan penggunaan yang tidak sah, kebocoran, gangguan, modifikasi dan kehancuran. Sebuah sistem manajemen keamanan informasi (SMKI) adalah seperangkat kebijakan berkaitan dengan manajemen keamanan informasi atau terkait dengan risiko TI. Prinsip yang mengatur di balik SMKI adalah bahwa organisasi harus merancang, menerapkan dan memelihara seperangkat kebijakan, proses dan sistem untuk mengelola risiko aset informasi mereka, sehingga memastikan tingkat risiko keamanan informasi yang dapat diterima. Audit SMKI sangat diperlukan agar terhindar dari kerugian akibat kehilangan data, kesalahan dalam pengambilan keputusan, resiko kebocoran data, penyalahgunaan komputer, kerugian akibat kesalahan proses perhitungan dan pemborosan dalam investasi. Untuk mengetahui bagaimana informasi keamanan yang sedang berlangsung di perusahaan, kebutuhan untuk audit sistem manajemen keamanan informasi di PT. BPR Karyajatnika Sadaya untuk memastikan bahwa keamanan informasi diimplementasikan sesuai dengan prosedur. Standar yang digunakan adalah ISO/IEC 27001:2005. Kata-kunci : Audit, Sistem Manajemen Keamanan Informasi, ISO/IEC 27001:2005
1. PENDAHULUAN 1.1 Latar Belakang Informasi adalah aset yang sangat penting bagi sebuah Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya. Kebocoran, kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun non-finansial bagi Bank. Dampak dimaksud tidak hanya terbatas pada Bank tersebut, namun juga nasabah, Bank lain dan bahkan terhadap sistem perbankan nasional. Mengingat pentingnya informasi, maka informasi harus dilindungi atau diamankan oleh seluruh personil di Bank. Pengamanan informasi sangat bergantung pada pengamanan terhadap semua aspek dan komponen TI terkait, seperti perangkat lunak, perangkat keras, jaringan, peralatan pendukung (misalnya sumber daya listrik, AC) dan sumber daya manusia (termasuk kualifikasi dan ketrampilan). Salah satu kebijakan yang dapat diambil oleh
1
Mahasiswa Jurusan Teknik Elektro UNDIP Dosen Jurusan Teknik Elektro UNDIP
2
perusahaan untuk mengatasi gangguan keamanan informasi adalah dengan menerapkan Sistem Manajemen Keamanan Informasi (SMKI) . Penerapan Sistem Manajemen Keamanan Informasi (SMKI) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat peran Teknologi Informasi dan Komunikasi (TIK) yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance). Dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan, keutuhan dan ketersediaan. Mengingat pentingnya informasi, maka kebijakan tentang pengamanan informasi harus
mencakup sekurang-kurangnya terdapat prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logical security, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi. Untuk itu diperlukan audit keamanan sistem informasi pada PT. BPR Karyajatnika Sadaya untuk memastikan keamanan informasi diterapkan sesuai dengan prosedur. Standar yang digunakan yaitu ISO/IEC 27001:2005. Beberapa hal penting yang patut dijadikan pertimbangan mengapa standar ISO 27001 dipilih karena dengan standar ini sangat fleksibel dikembangkan karena sangat tergantung dari kebutuhan organisasi, tujuan organisasi, persyaratan keamanan, proses bisnis dan jumlah pegawai dan ukuran struktur organisasi serta ISO/IEC 27001:2005 menyediakan sertifikat implementasi Sistem Manajemen Keamanan Informasi SMKI yang diakui secara internasional.
elektronik. Upaya perlindungan tersebut dimaksudkan untuk memastikan keberlanjutan bisnis, meminimalkan risiko yang mungkin terjadi dan memaksimalkan keuntungan yang didapat dari investasi dan kesempatan bisnis.
1.2 Tujuan
2.2 Manajemen Keamanan Informasi
Berdasarkan latar belakang diatas maka tujuan yang hendak dicapai adalah untuk mempelajari dan membuat panduan audit sistem manajemen keamanan informasi berdasarkan ISO/IEC 27001:2005, membuat dokumen kerja serta daftar periksa (checklist) untuk mempermudah pelaksanaan audit dan mempelajari contoh penggunaan dokumen-dokumen tersebut pada proses audit yang sesungguhnya.
Manajemen keamanan informasi merupakan salah satu bagian dari tim manajemen sebuah organisasi. Manajemen keamanan informasi memiliki karakteristik-karakteristik yang biasa disebut “six P’s.
1.3 Batasan Masalah Adapun pembatasan masalah dalam laporan ini yaitu sebagai berikut: 1. Hanya membahas perancangan audit Sistem Manajemen Keamanan Informasi ISO/IEC 27001:2005 di lingkungan PT. BPR Karyajatnika Sadaya tapi tidak membahas rincian implementasinya. 2. Dokumentasi SMKI yang dijadikan acuan adalah ISO27k ISMS Auditing Guideline release 1. 2. DASAR TEORI 2.1 Keamanan Informasi Keamanan informasi berkaitan dengan perlindungan aset berharga terhadap kehilangan, pengungkapan penyalahgunaan, atau kerusakan. Dalam konteks ini, "aset berharga" adalah informasi yang direkam, diproses, disimpan, dikirim atau diambil baik dari media elektronik atau non-
Organisasi keamanan informasi memiliki tiga aspek yang harus dipahami untuk bisa menerapkannya, aspek tersebut biasa disebut dengan CIA Triad Model, yang antara lain adalah: 1. Confidentiality (kerahasiaan). Merupakan aspek yang memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang. 2. Integrity (integritas). Merupakan aspek yang menjamin tidak adanya pengubahan data tanpa seizin pihak yang berwenang, menajaga keakuratan dan keutuhan informasi. 3. Availability (ketersediaan). Merupakan aspek yang memberi jaminan atas ketersediaan data saat dibutuhkan, kapanpun dan dimanapun.
2.3 Sistem Manajemen Keamanan Informasi Sistem Manajemen Keamanan Informasi (SMKI) adalah cara untuk melindungi dan mengelola informasi berdasarkan pendekatan risiko bisnis yang sistematis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara, dan meningkatkan keamanan informasi. SMKI adalah sebuah pendekatan organisasi untuk keamanan informasi 2.4 ISO/IEC 27001:2005 ISO/IEC 27001:2005 merupakan standar keamanan informasi yang menggantikan BS77992:2002 dan diterbitakan pada bulan Oktober 2005 oleh International Organization for Standarization dan International Electrotechnical Commission. Tujuan pembuatan standar ini adalah untuk menciptakan sebuah panduan pembuatan, penerapan, pelaksanaan, pengawasan, analisis, pemeliharaan, dan pendokumentasian Sistem Manajemen Keamanan Informasi (SMKI) yang dapat diacu oleh berabagai jenis organisasi, seperti perusahaan swasta, lembaga pemerintahan, dan organisasi nirlaba. ISO/IEC 27001:2005 didesain
untuk memastikan bahwa kendali keamanan yang dibuat untuk melindungi aset-aset informasi dan menciptakan kepercayaan dengan pihak-pihak yang terkait sudah memadai dan sesuai. 2.5 Perencanaan Audit Audit adalah proses pengumpulan dan penilaian bahan bukti tentang informasi untuk menentukan dan melaporkan kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan dan dilakukan oleh orang berkompeten dan independent. Aktivitas audit dilakukan untuk memastikan pengelolaan sistem informasi sehingga terarah dalam kerangka perbaikan berkelanjutan. Tahap perencanaan merupakan kegiatan audit yang sangat penting. Berhasil atau tidaknya pelaksanaan audit bergantung pada seberapa baik perencanaan dan persiapan yang dibuat sebelum audit dilaksanakan. Pada prinsipnya, dalam perencanaan dan persiapan audit, ada empat hal yang harus dilakukan, yaitu: 1. Memahami standar yang akan digunakan sebagai dasar untuk melakukan audit. 2. Memahami seluruh kebijakan, prosedur, instruksi kerja dan catatan yang terkait. 3. Membuat checklist audit, dan 4. Memberitahukan kepada auditee apa saja yang akan dilakukan dan harus disiapkan untuk pelaksanaan audit.
dipelihara. 2.7 Audit Sistem Manajemen KeamananInformasi Audit SMKI merupakan proses peninjauan dan pelaporan kinerja sebagian atau seluruh area dalam suatu organisasi yang dilakukan oleh auditor. Proses peninjauan dan pelaporan ini dilakukan secara independen oleh auditor yang memiliki kompetensi dalam audit SMKI. Disini, auditor berperan sebagai representasi stakeholder dari organisasi tersebut. Proses audit SMKI memiliki beberapa tahapan aktivitas, mulai dari penentuan ruang lingkup audit hingga penutupan kegiatan audit. Tahapan proses audit selengkapnya ditunjukkan oleh gambar berikut Scope
Fieldwork
Plan
Report
Analysis
Close
Gambar 2.1 Tahapan pelaksanaan audit
3. PEMBUATAN PANDUAN AUDIT INTERNAL SMKI 3.1 Pembuatan Borang Borang merupakan istilah untuk formulir kosong yang harus diisi oleh auditor dan auditee. Dalam proses audit internal ini, borang yang dibuat dibagi menjadi dua, yaitu dokumen audit dan checklist.
2.6 Audit Sistem Manajemen
3.2 Verifikasi
Audit Sistem Manajemen (SM) merupakan pemeriksaan dan penilaian secara sistematis, objektif, terdokumentasi dan mandiri untuk menetapkan apakah kegiatan Sistem Manajemen (dalam hal ini Sistem Manajemen Keamanan Informasi) dan hasil yang berkaitan dengan sistem manajemen tersebut telah sesuai dengan pengaturan yang direncanakan. Audit sistem manajemen juga merupakan pemeriksaan dan penilaian untuk mengetahui apakah pengaturan-pengaturan tersebut telah diterapkan secara efektif dan sesuai dengan komitmen, kebijakan, tujuan dan sasaran keamanan yang telah direncanakan atau ditetapkan untuk mencapai tujuan. Dengan pelaksanaan audit yang teratur dan terencana, maka ketidaksesuaian sistem manajemen keamanan informasi dapat dideteksi, sehingga tindak koreksi dan tindak pencegahan yang tepat dapat segera dilakukan. Selain itu, hasil audit juga merupakan masukan (input) yang sangat berguna dalam pelaksanaan tinjauan manajemen, sehingga efektivitas dan kesesuaian sistem manajemen keamanan informasi yang dimiliki suatu organisasi dapat
Checklist yang telah dibuat, diverifikasi dengan checklist yang sudah disediakan oleh tim implementor/konsultan ISO/IEC 27001:2005. Checklist yang disediakan oleh tim implementor/konsultan ISO/IEC 27001:2005 ini berupa gambaran umum dokumen apa saja yang harus ditinjau oleh auditor dan bukti-bukti seperti apa yang harus dicari. Checklist juga diperiksa untuk mengetahui aspek-aspek dalam PDCA untuk tiap-tiap klausul telah terpenuhi. 3.3 Pemetaan Checklist Setelah diverifikasi terhadap checklist yang dibuat menunjukkan bahwa checklist tersebut telah mempresentasikan ISO/IEC 27001:2005 dan PDCA, dilakukanlah pemetaan terhadap checklist tersebut. Pemetaan dilakukan untuk memasangkan antara pertanyaan-pertanyaan yang terdapat di dalam checklist tersebut dengan pihak-pihak yang akan dituju oleh pertanyaan tersebut. Dengan demikian,
saat audit SMKI internal berlangsung, auditor dapat dengan mudah meminta jawaban dan mencari buktibukti dari pihak yang dituju. 3.4 Perencanaan Audit di PT. BPR Karyajatnika Sadaya Perencanaan audit di PT. BPR Karyajatnika Sadaya terdiri dari enam tahapan utama dan masingmasing tahapan dibagi menjadi beberapa langkah. Tahapan-tahapan perencanaan audit di PT. BPR Karyajatnika Sadaya meliputi penentuan ruang lingkup dan survey, persiapan audit, pelaksanaan proses audit, analisis hasil audit, pelaporan audit dan penutupan kegiatan audit. Alur dari keenam tahapan tersebut dapat dilihat pada gambar berikut ini:
h. Formulir laporan ringkas audit internal, dan i. Formulir log status laporan audit internal 2. Secara garis besar audit dilaksanakan dalam enam langkah utama, yaitu menentukan ruang lingkup audit, merencanakan dan mempersiapkan audit, melaksanakan proses audit, melakukan analisis terhadap hasil pelaksanaan audit, melaporkan hasil audit dan menutup kegiatan audit. 4.2 Saran 1. Lebih lengkap dan spesifik dalam membuat checklist audit. 2. Membahas proses dari pembukaan sampe penutupan audit secara lebih mendetail.
Gambar 3.1 Diagram alir tata cara pelaksanaan audit
4. PENUTUP 4.1 Kesimpulan Kesimpulan yang dapat diambil dari pembuatan laporan kerja praktek ini adalah sebagai berikut: 1. Dokumen kerja yang dihasilkan dalam perencanaan audit SMKI untuk PT. BPR Karyajatnika Sadaya ini adalah sebagai berikut: a. Formulir daftar internal auditor b. Formulir jadwal pelaksanaan audit c. Formulir pemetaan checklist d. Formulir isian checklist e. Surat pemberitahuan audit internal f. Formulir daftar hadir g. Formulir laporan ketidaksesuaian (non-conformity)
DAFTAR PUSTAKA [1]
[2]
[3]
[4]
[5]
Arens, Alvin A., Randal J. Elder dan Mark Beasley. 2003. Auditing and Assurance Services: An Integrated Approach.
Calder, Alan., Steve Watkins. 2008. IT Governance - A Managers Guide to Data Security and ISO 27001 - ISO 27002 Direktorat Penelitian dan Pengaturan Perbankan. 2007. Pedoman Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum. Idranata, Iskandar. 2006. Terampil dan Sukses Melakukan Audit Mutu Internal ISO 9001:2000 Berdasarkan ISO 19011:2002. Bandung: Penerbit Alfabeta. ISMS Implementation Guide v 1.1. 2007.
ISO/IEC 27001:2005, Information Technology – Security Techniques -Information security management systems – Requirements [7] Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik. 2011. [8] Salazar, Vima. 2006. Management of Information Security Good Practice Note. [9] Syafrizal, Melvin. 2008. Information Security Management System (ISMS) Menggunakan ISO/IEC 27001:2005. [10] Team of volunteers ISO27k Implementers Forum. ISMS Auditing Guideline Release 1. 2008.
BIOGRAFI PENULIS NUGROHO ARIF WIDODO (L2F 008 071). Dilahirkan di Semarang, 26 Juni 1990, menempuh pendidikan dasar di SD Negeri Perumnas Banyumanik 03 Semarang, SMP Negeri 21 Semarang, SMA Negeri 04 Semarang. Saat ini masih menjadi Mahasiswa Jurusan Teknik Elektro Fakultas Teknik Universitas Diponegoro Semarang konsentrasi Teknik Informatika dan Komputer. Mengetahui dan Mengesahkan Dosen Pembimbing
[6]
Adian Fatchur Rochim ST.,MT. NIP. 197302261998021001
