PERANCANGAN STANDAR OPERASIONAL PROSEDUR KEAMANAN SUMBER DAYA MANUSIA (SDM) BERDASARKAN ISO 27001:2005 (Studi Kasus : Fakultas Teknik Universitas Pasundan Bandung)
TUGAS AKHIR
Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, Program Studi Teknik Informatika, Universitas Pasundan Bandung oleh : Muhammad Wahyu Hernawan NRP : 12.304.0050
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNIK UNIVERSITAS PASUNDAN BANDUNG NOVEMBER 2016
LEMBAR PENGESAHAN LAPORAN TUGAS AKHIR
Telah diujikan dan dipertahankan dalam sidang sarjana program studi teknik informatika Universitas Pasundan Bandung, pada hari ini dan tanggal sidang sesuai berita acara sidang, tugas akhir dari : Nama Nrp.
: Muhammad Wahyu Hernawan :12.304.0050
Dengan judul : “PERANCANGAN STANDAR OPERASIONAL PROSEDUR KEAMANAN SUMBER DAYA MANUSIA (SDM) BERDASARKAN ISO 27001:2005” (Studi Kasus : Fakultas Teknik Universitas Pasundan Bandung)
Bandung, 23 November 2016 Menyetujui,
Pembimbing Utama
( Iwan Kurniawan .S,T, MT)
Pembimbing Pendamping
(Ferry Mulyanto .S,T, M.Kom)
LEMBAR PERNYATAAN KEASLIAN TUGAS AKHIR
Saya menyatakan dengan sesungguhnya bahwa : 1. Tugas akhir ini adalah benar-benar asli dan belum pernah diajukan untuk mendapatkan gelar akademik, baik di Universitas Pasundan Bandung maupun di Perguruan Tinggi lainnya. 2. Tugas akhir ini merupakan gagasan, rumusan dan penelitian saya sendiri, tanpa bantuan pihak lain kecuali arahan dari tim Dosen Pembimbing 3. Dalam tugas akhir ini tidak terdapat karya atau pendapat orang lain, kecuali bagianbagian tertentu dalam penulisan laporan Tugas Akhir yang saya kutip dari hasil karya orang lain telah dituliskan dalam sumbernya secara jelas sesuai dengan norma, kaidah, dan etika penulisan karya ilmiah, serta disebutkan dalam Daftar Pustaka pada tugas akhir ini. 4. Kakas, perangkat lunak, dan alat bantu lain dalam penelitian ini sepenuhnya menjadi tanggung jawab saya, bukan tanggung jawab universitas pasundan. Apabila di kemudian hari ditemukan seluruh atau sebagian laporan tugas akhir ini bukan hasil karya saya sendiri atau adanya plagiasi dalam bagian-bagian tertentu, saya bersedia menerima sangsi akademik, termasuk pencabutan gelar akademik yang saya sandang sesuai dengan norma yang berlaku di Universitas Pasundan, serta perundang-undangan lainnya.
Bandung, 23 November 2016 Yang membuat pernyataan,
Materai 6000
(Muhammad Wahyu Hernawan) Nrp. 12.304.0050
i
ABSTRAK Ada prinsip dalam dunia keamanan jaringan yang berbunyi, kekuatan sebuah rantai tergantung dari sambungan yang terlemah dalam sebuah sistem jaringan komputer? Ternyata jawabannya adalah manusia. Walaupun sebuah sistem telah dilindungi dengan piranti keras dan piranti lunak canggih penangkal serangan seperti firewalls, anti virus, dan lain sebagainya, tetapi jika manusia yang mengoperasikannya lalai, maka keseluruhan peralatan itu tidaklah ada artinya. Penyusunan SOP(Standar Operasional Prosedur) ini dirancang agar dapat membantu mengurangi masalah keamanan informasi organisasi, sehingga dapat meminimalisir terjadinya ancaman/resiko yang dapat merugikan pihak Fakultas Teknik Universitas Pasundan Bandung. Dalam menyelesaikan tugas akhir ini dilalukan beberapa tahapan yaitu mengidentifikasi masalah yang ada, melakukan studi literatur, menganalisis kemanan Sumber Daya Manusia saat ini dan merancang SOP(Standar Operasional Prosedur) berdasarkan permasalahan dan kebutuhan yang ditemukan. Hasil dari tugas akhir ini merupakan Perancangan SOP (Standar Operasional Prosedur) Keamanan Sumber Daya Manusia Berdasarkan ISO 27001:2005. SOP (Standar operasional Prosedur) ini diterapkan untuk menjaga kemanan informasi dari berbagai macam ancaman/resiko, rancangan yang telah dikerjakan diharapkan dapat berguna diwaktu yang akan datang dan dapat membantu pihak Fakultas teknik untuk menjaga kemanan informasi. Kata kunci : Fakultas Teknik, Keamanan, Sumber Daya Manusia, Informasi, SOP(Standar Operasional Prosedur), Ancaman/Resiko, Perancangan.
ii
ABSTRACT There is a principle in the world of network security which reads, the strength of a chain depends on its weakest connection in a computer network system? Apparently the answer is human. Although the system has been protected with hardware and advanced software service attack such as firewalls, anti-virus, and so forth, but if people who operate negligent, the whole equipment that does not mean anything. SOP (Standard Operating Procedure) is designed to help reduce the problem of information security organization, so as to minimize threats / risks that could harm The University Engineering Faculty Pasundan Bandung. In completing this final task is passed several stages of identifying the existing problems, from the literature, analyzing the security Human Resources of current and designing SOP (Standard Operating Procedures) based on the problems and needs are found. The results of this thesis is SOP (Standard Operating Procedure) Security Human Resources Based on ISO 27001: 2005. SOP (standard operating procedure) is applied to maintain security in the Human Resources from various threats / risks, a draft that has been done is expected to be useful at a time when that will come to make it better so that it can assist the Faculty of techniques to maintain information security. Keywords:
Faculty of Engineering, Security, Human Resources, Information, SOP (Standard Operating Procedure), Threat / Risk, Design.
iii
KATA PENGANTAR
Puji dan syukur penulis panjatkan kepada Allah SWT karena atas izin dan kehendaknya-Nya laporan Tugas Akhir yang berjudul “Perancangan Standar Operasional Prosedur Keamanan Sumber Daya Manusia (SDM) Berdasarkan ISO 27001:2005 (Studi Kasus : Fakultas Teknik Universitas Pasundan Bandung)” dapat diselesaikan. Laporan ini disusun dan diajukan untuk memenuhi salah satu syarat kelulusan mata kuliah Tugas Akhir di Program Studi Teknik Informatika Universitas Pasundan Bandung. Dalam penyusunan laporan Tugas Akhir ini penulis menyadari banyak hambatan dan kesulitan namun berkat bimbingan, dorongan dari berbagai pihak akhirnya penulis dapat menyelesaikan Laporan Tugas Akhir ini dengan tepat waktu. Untuk itu penulis mengucapkan banyak terima kasih kepada : 1. Allah SWT yang telah memberikan kesehatan dan kelancaran sehingga penulis dapat menyelesaikan Laporan Tugas Akhir ini. 2. Kepada kedua Orang Tua, ibu dan bapa yang telah memberikan semangat dan motivasi serta doa yang tak ternilai. 3. Kepada Bapak Iwan Kurniawan, ST.,MT. selaku pembimbing utama yang selalu membimbing saya dalam pemahaman materi Tugas Akhir. 4. Kepada Bapak Ferry Mulyanto, ST.,M.kom. selaku pembimbing pendamping yang selalu membimbing saya dalam pemahaman materi Tugas Akhir. 5. Kepada seluruh dosen-dosen Teknik Informatika Universitas Pasundan Bandung yang telah memberikan ilmu kepada penulis. 6. Rekan-rekan Teknik Informatika 2012 Universitas Pasundan Bandung. 7. Semua pihak yang tidak dapat disebutkan satu-perstau atas bantuan dan dorongan sehingga dapat menyelesaikan Laporan Tugas Akhir ini. Penulis menyadari bahwa masih banyak kekurangan dari Lapoan Tugas Akhir ini, baik dari materi maupun teknik penyajiannya, mengingat kurangnya pengetahuan dan pengalaman penulis. Oleh karena itu, kritik dan saran yang membangun sangat penulis harapkan. Bandung, 23 November 2016
Penulis
iv
DAFTAR ISI
LEMBAR PERNYATAAN KEASLIAN TUGAS AKHIR ............................................................... i ABSTRAK ......................................................................................................................................... ii ABSTRACT .......................................................................................................................................iii KATA PENGANTAR .......................................................................................................................iv DAFTAR ISI .......................................................................................................................................v DAFTAR ISTILAH .......................................................................................................................... vii DAFTAR TABEL ............................................................................................................................ viii DAFTAR GAMBAR ......................................................................................................................... ix BAB 1 PENDAHULUAN .............................................................................................................. 1-1 1.1. Latar belakang ...................................................................................................................... 1-1 1.2. Identifikiasi Masalah ............................................................................................................ 1-1 1.3. Tujuan Tugas Akhir ............................................................................................................. 1-1 1.4. Lingkup Tugas Akhir ........................................................................................................... 1-2 1.5. Metodologi Tugas Akhir ...................................................................................................... 1-2 1.6. Sistematika Penulisan Tugas Akhir ..................................................................................... 1-3 BAB 2 LANDASAN TEORI .......................................................................................................... 2-1 2.1. Penelitian Terdahulu ............................................................................................................ 2-1 2.2. Keamanan Informasi ............................................................................................................ 2-1 2.3. Keamanan Sumber Daya Manusia ....................................................................................... 2-2 2.3.1. Selama menjadi pegawai ............................................................................................... 2-2 2.4. Kejahatan Komputer ............................................................................................................ 2-3 2.4.1. Keamanan yang berhubungan dengan orang (Personal Security) ................................. 2-3 2.4.2. Social Engineering ........................................................................................................ 2-3 2.4.3. Phishing Email .............................................................................................................. 2-4 2.4.4. Illegal Contents ............................................................................................................. 2-4 2.4.5. Data Forgery ................................................................................................................. 2-5 2.4.6. Cyber Espionage ........................................................................................................... 2-5 2.4.7. Infringements of privacy ............................................................................................... 2-5 2.5. ISO 27001 ............................................................................................................................ 2-5 2.5.1. Metode Pendekatan Proses............................................................................................ 2-6 2.5.2. Tahap Membangun SMKI............................................................................................. 2-7
v
2.6. Manajemen Resiko ............................................................................................................... 2-9 2.6.1. Penilaian Resiko ............................................................................................................ 2-9 2.6.2. Tujuan Penilaian Resiko ............................................................................................. 2-10 2.7. Standar Operasional Prosedur ............................................................................................ 2-11 2.7.1. Jenis Standar Operasional Prosedur ............................................................................ 2-11 2.7.2. Format Standar Operasional Prosedur ........................................................................ 2-11 BAB 3 SKEMA PENELITIAN ...................................................................................................... 3-1 3.1. Kerangka Tugas Akhir ......................................................................................................... 3-1
3.2. Skema Analisis..................................................................................................................... 3-2 3.3. Kondisi Saat Ini .................................................................................................................... 3-3 3.3.1. Aturan tidak Tertulis ..................................................................................................... 3-5 3.4. Penilaian Resiko Keamanan Sumber Daya Manusia ........................................................... 3-5 3.4.1. Identifikasi Aset ............................................................................................................ 3-5 3.4.2. Ancaman ....................................................................................................................... 3-6 3.4.3. Nilai Ancaman .............................................................................................................. 3-7 3.4.4. Peringkat Resiko Nilai Ancaman .................................................................................. 3-8 3.5. Kesimpulan Analisis ............................................................................................................ 3-9
BAB 4 PEMBANGUNAN PRODUK ............................................................................................ 4-1 4.1. GAP Analisis........................................................................................................................ 4-1 4.2. Persiapan Perancangan Dokumen SOP (Standar Operasional Prosedur) ............................ 4-2 4.3. Perancangan Dokumen SOP (Standar Operasional Prosedur) ............................................. 4-4 4.3.1. SOP Penggunaan Fasilitas Pemrosesan Informasi ........................................................ 4-4 4.3.2. SOP Keamanan Komputer Pegawai.............................................................................. 4-6 4.3.3. SOP Kedisiplinan Pegawai ........................................................................................... 4-8 BAB 5 KESIMPULAN DAN SARAN........................................................................................... 5-1 5.1. Kesimpulan .......................................................................................................................... 5-1
5.2. Saran .................................................................................................................................... 5-1 DAFTAR PUTAKA LAMPIRAN
vi
DAFTAR ISTILAH NO
DAFTAR ISTILAH
PENGERTIAN
1
Asset
Segala sesuatu yang mempunyai nilai.
2
Komputer (PC)
Alat yang dipakai untuk mengolah data menurut prosedur yang telah dirumuskan.
Sumber Daya Manusia
Mereka individu yang bekerja sebagai penggerak suatu organisasi, baik institusi
2
maupun perusahaan dan berfungsi sebagai aset yang harus dilatih dan dikembangkan kemampuannya. Hacker
3
Seorang yang mempunyai keinginan untuk mengetahui secara mendalam mengenai kerja suatu system, komputer atau jaringan komputer, sehingga menjadi orang yang ahli dalam bidang penguasaan sistem, komputer atau jaringan komputer.
Social Engineering 4
suatu teknik pencurian atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial.
5 6 7 8
Improvement
Improvement berasal dari kata improve yang artinya meningkat, dimana pada dasarnya meningkat adalah berubah menjadi lebih baik
Risk Mitigation
proses atau langkah- langkah yang untuk mengendalikan, mengevaluasi, pencegahan kembali dan control terhadap resiko yang terjadi.
Threat
Suatu potensi yang disebabkan oleh insiden yang tidak diinginkan yang mungkin membahayakan jalannya proses bisnis organisasi
Risk Assessment
Metode yang sistematis untuk menentukan apakah suatu organisasi memiliki resiko yang dapat diterima atau tidak.
Phising 9
Tindakan memperoleh informasi pribadi seperti User ID, Password dan data-data sensitif lainnya dengan menyamar sebagai orang atau organisasi yang berwenang melalui sebuah email
Spoofing
Teknik yang digunakan untuk memperoleh akses yang tidak sah ke suatu komputer atau informasi, dimana penyerang berhubungan dengan pengguna dengan berpura-
10
pura memalsukan bahwa mereka adalah host yang dapat dipercaya” hal ini biasanya dilakukan oleh seorang hacker/ cracker Illegal Contents
11
Merupakan kejahatan dengan memasukkan data atau informasi ke Internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum.
12
Data Forgery
Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scripless document melalui Internet.
Cyber Espionage 13
Merupakan kejahatan yang memanfaatkan jaringan Internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran.
Infringements Of Privacy 14
Kejahatan ini biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi yang tersimpan secara komputerisasi, yang apabila diketahui oleh orang lain maka dapat merugikan korban secara materil maupun immateril
vii
DAFTAR TABEL
Tabel 2. 1 Penelitian Terdahulu ...................................................................................................... 2-1 Tabel 2. 2 Matrix Nilai Resiko ........................................................................................................ 2-9 Tabel 3. 1 Skema Analisis............................................................................................................... 3-3 Tabel 3. 2 Keadaan Saat Ini di FT-UNPAS .................................................................................... 3-4 Tabel 3. 3 Aturan tidak tertulis di FT-UNPAS ............................................................................... 3-5 Tabel 3. 4 Aset Sumber Daya Manusia FT-UNPAS ....................................................................... 3-5 Tabel 3. 5 Aset Tetap FT-UNPAS .................................................................................................. 3-6 Tabel 3. 6 Identifikasi Ancaman ..................................................................................................... 3-6 Tabel 3. 7 Tingkat Kemungkinan Ancaman ................................................................................... 3-7 Tabel 3. 8 Tingkat Dampak Ancaman ............................................................................................ 3-7 Tabel 3. 9 Nilai Ancaman ............................................................................................................... 3-7 Tabel 3. 10 Peringkat Resiko Ancaman .......................................................................................... 3-8 Tabel 4. 1 Gap Analisis ................................................................................................................... 4-1 Tabel 4. 2 Persiapan Perancangan Dokumen SOP .......................................................................... 4-3
viii
DAFTAR GAMBAR
Gambar 1. 1 Metodologi Penelitian ............................................................................................... 1-2 Gambar 2. 1 Contoh Phishing Email .............................................................................................. 2-4 Gambar 2. 2 ISO/IEC 27001 Family............................................................................................... 2-6 Gambar 2. 3 Model PDCA dalam Proses SMKI............................................................................. 2-7 Gambar 2. 4 Tahapan penilaian resiko .......................................................................................... 2-10 Gambar 2. 5 Contoh SOP .............................................................................................................. 2-13 Gambar 3. 1 Kerangka Tugas Akhir ............................................................................................... 3-1 Gambar 3. 2 Skema Analisis ........................................................................................................... 3-2 Gambar 3. 3 Keadaan ruang kerja Pegawai .................................................................................... 3-3 Gambar 4. 1 SOP 01 Penggunaan fasilitas pemrosesan informasi ................................................. 4-5 Gambar 4. 2 SOP 02 Keamanan komputer pegawai ....................................................................... 4-7 Gambar 4. 3 SOP 03 Kedisiplinan pegawai .................................................................................... 4-9
ix
