Audit Security Rumah Sakit

LAPORAN HASIL AUDIT
RUMAH SAKIT AL-ISLAM BANDUNG

Matakuliah Information Security Audit
Disusun Oleh :
Bebyta Eka Apriliyanti 1201124051
Devinta Amalia Suci 1201120130
Faisal Nuruz 1201120093
M. Garibaldi Mirza 1201120369
Muhammad Najib 1201120187
Rachma Kartika Andini 1201124301
ISA-A Kelompok 1
MANAJEMEN BISNIS TELEKOMUNIKASI INFORMATIKA

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS TELKOM
2015
KATA PENGANTAR
Assalamualaikum wr.wb
Segala puji bagi Allah SWT yang telah melimpahkan rahmat-Nya kepada kami sehingga
dapat menyelesaikan Laporan penelitian tentang Audit berdasarkan ISO 270001 pada Rumah
Sakit Al-Islam Bandung yang kami susun untuk melengkapi salah satu tugas dari mata kuliah
Information Security Audit (ISA).
Dalam laporan ini kami membahas hasil observasi dan wawancara yang berkaitan
dengan ISO 27001 yang terdiri dari Main Clause , Annex dan Risk Assesment . Dalam
menyelesaikan analisis ini, kami telah melakukan kerjasama kelompok yang terdiri dari 6 orang
dan mendapat bantuan dan masukan dari berbagai pihak dan sumber. Oleh karena itu, dalam
kesempatan ini penulis ingin menyampaikan terima kasih kepada:
1. Bapak Candiwan selaku Dosen mata kuliah Information Security Audit (ISA) yang telah
membimbing dan mengajarkan kepada kami mengenai tata cara dan pengetahuan untuk
melakukan audit dan segala yang berkaitan dengan audit.
2. Bapak Mulyahadi dan Bapak Asep sebagai Tim IT Rumah Sakit Al-Islam Bandung yang
telah membantu untuk memberikan informasi mengenai berbagai macam pertanyaan yang
diajukan oleh tim yang telah diterapkan dalam kegiatan proses bisnis di Rumah Sakit Al-
Islam Bandung.
3. Teman-teman kelas ISA A yang telah memberikan kritik dan saran yang mendukung dalam
proses pembuatan laporan ini ,sehingga menjadikan kami termotivasi dalam
menyelesaikan laporan
Laporan ini tidak menutup kemungkinan adanya kesalahan baik dari bentuk penyusunan
maupun materinya. Sangat diharapkan kritik konstruktif dari pembaca kami untuk perbaikan di
masa mendatang. Akhir kata semoga makalah ini dapat memberikan manfaat kepada kita semua.
Wassalamualaikum wr.wb
Bandung, 5 Mei 2015

Tim Penyusun
DAFTAR ISI
Kata Pengantar................................................................................... 2
2 | Page
Daftar Isi............................................................................................. 3
BAB I
1.1....................................................................................................Executi
ve Summary ............................................................................... 4
1.2....................................................................................................Latar
Belakang ..................................................................................... 4
1.3....................................................................................................Compa
ny Profile...................................................................................... 5
BAB II
2.1....................................................................................................Configu
ration Network.............................................................................12
2.2....................................................................................................Audit
Report
2.2.1.........................................................................................The
audit objective.....................................................................13
2.2.2.........................................................................................The
audit scope..........................................................................13
2.2.3.........................................................................................The
identification of the audit client...........................................13
2.2.4.........................................................................................The
identification of the audit team members............................14
2.2.5.........................................................................................The
dates and places of audit activities......................................14
2.2.6.........................................................................................The
audit criteria.........................................................................15
2.3....................................................................................................Audit
Analysis
2.3.1.........................................................................................Profil
Perusahaan..........................................................................15
2.3.2.........................................................................................Risk
Assesment (praktisi dan akademisi)....................................16
2.3.3.........................................................................................Main
Clause..................................................................................19
2.3.4.........................................................................................Annex
27001...................................................................................23
2.4......................................................................................................Audit
Findings
2.4.1.........................................................................................Hasil
Kuesioner.............................................................................37
2.4.2.........................................................................................Comfor
mity......................................................................................43
3 | Page
2.4.3.........................................................................................NonCo
mformity..............................................................................44
BAB III
3.1....................................................................................................Audit
Conclusion...................................................................................46
Others.................................................................................................47
Lampiran Scan Surat...........................................................................52
Lampiran Scan Kuesioner ...................................................................53
Bukti Gambar......................................................................................59
4 | Page
BAB I
PENDAHULUAN
1.1 Executive Summary
Audit atau pemeriksaan adalah evaluasi terhadap suatu organisasi,

sistem, proses, atau produk. Tujuannya adalah untuk melakukan verifikasi
bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan
standar, regulasi, dan praktik yang telah disetujui dan diterima. Pelaksanaan
audit disesuaikan dengan standar yang ditetapkan oleh setiap
perusahaan/instansi, pemerintah maupun internasional. Standar yang
digunakan dalam tugas ini adalah ISO/IEC 27001, atau lengkapnya "ISO/IEC
27001:2005 - Information technology - Security techniques - Information
security management systems Requirements.
Objek yang digunakan adalah Rumah Sakit Al-Islam Bandung yang

merupakan salah satu Rumah Sakit di Bandung yang menjadi kepercayaan
banyak masyarakat untuk menjaga kesehatan mereka. Pendirian RS Al Islam
yang berlokasi di Jl. Soekarno-Hatta No. 644 Kota Bandung adalah buah
pemikiran ibu-ibu yang tergabung dalam organisasi Badan Kerja Sama
Wanita Islam (BKSWI) Jawa Barat. Latar belakangnya dengan melihat
fenomena dan insiden pelanggaran keamanan yang terjadi di beberapa
rumah sakit di Indonesia. Pelaksanaan audit dilakukan dengan wawancara
dengan pihak IT berdasarkan Main Clause dan Annex dari ISO 27001, selain
itu tim juga melakukan analisis dengan menghitung nilai risiko ( Risk
Assesment ). Dilihat pula aspek-aspek keamanan infromasi yang terdiri dari
Confidentiality (kerahasiaan), Integrity (Integritas) dan Availability
(ketersediaan) Informasi.
1.2 Latar Belakang
5 | Page
Rumah Sakit merupakan sebuah institusi pelayanan kesehatan yang
menyelenggarakan pelayanan kesehatan yang menyediakan pelayanan
rawat inap, rawat jalan, dan gawat darurat dengan tujuan untuk
meningkatkan taraf kesehatan masyarakat. Dalam operasionalnya, terdapat
beberapa hal penting yang harus diperhatikan oleh Rumah Sakit, yaitu
Keamanan bangunan dan Keamanan informasi pasien (rekam medis). Kedua
hal tersebut merupakan hal yang harus diperhatikan, karena di Indonesia,
pernah terjadi kasus di dalam Rumah Sakit yang berkaitan dengan masalah
tersebut.
Adapun hal tersebut terbukti dalam kejadian-kejadian dan fenomena yang

pernah dialami beberapa rumah sakit, diantaranya :
a. Kasus penculikan bayi yang terjadi di Rumah Sakit Hasan Sadikin

Bandung yang disebabkan karena rendahnya pengamanan dalam
Rumah Sakit.
(sumber:
http://www.tempo.co/read/news/2014/03/31/058566649/Penculikan-
Bayi-YLKI-Akibat-Rumah-Sakit-Cuek, Diakses pada 24 Maret 2015 ).
b. Dugaan pembocoran rekam medis yang terjadi pada salah satu Rumah
Sakit di Banyumas, sehingga menyebabkan adanya pencemaran nama
baik bagi Rumah Sakit yang dituduh.
(sumber: http://koran.tempo.co/konten/2005/05/06/39578/Direktur-RS-
Jadi-Tersangka-Pembocoran-Rekam-Medis , Diakses pada 24 Maret
2015 ).
c. Kasus tertukarnya isi obat anestesi Buvanest Spinal dengan asam

traneksamat produksi PT Kalbe Farma. Sejauh ini, kasus tersebut
menyebabkan meninggalnya dua pasien di Rumah Sakit Siloam
Karawaci, Tangerang. Mentri Kesehatan memberikan sanksi atas
kejadian tersebut untuk RS Siloam dan PT Kalbe.
(sumber:
http://lipsus.kompas.com/topikpilihanlist/3446/1/kasus.anestesi.di.rs.sil
oam , Diakses pada 30 April 2015)
6 | Page
Dari beberapa kasus dan fenomena yang terjadi di beberapa rumah sakit di
Indonesia membuat tim ingin melakukan audit pada rumah sakit Al-Islam
Bandung untuk mengetahui apakah kejadian-kejadian seperti diatas pernah
dialami oleh Rumah Sakit Al-Islam Bandung sebagai objek. Rumah sakit Al-
Islam merupakan salah satu rumah sakit islam terbesar di Bandung, dimana
data pasien dan record mengenai privasi kesehatan yang penting harus
tersimpan demi menghindari adanya risiko dari pihak-pihak yang tidak
bertanggung jawab. Maka audit dilakukan dengan standard dan aturan yang
berlaku berdasarkan ISO 27001.
1.3 Company Profile

1.3.1 Sejarah Rumah Sakit
Rumah sakit Al-Islam merupakan salah satu Rumah Sakit di Bandung
yang menjadi kepercayaan banyak masyarakat untuk menjaga kesehatan
mereka. Pendirian RS Al Islam yang berlokasi di Jl. Soekarno-Hatta No. 644
Kota Bandung adalah buah pemikiran ibu-ibu yang tergabung dalam
organisasi Badan Kerja Sama Wanita Islam (BKSWI) Jawa Barat . Anggotanya
terdiri atas Ormas Kewanitaan Islam yang ada di Jawa Barat. Beliau adalah
Hj. Hadiyah Salim (Alm) , Hj. Tjahjati Setiatin Tahir (Alm) , Dr. KH. EZ.
Muttaqien (Alm) dan Prof. Drs. H Achmad Sadali (Alm).
RS Al Islam mulai dioperasikan pada 1 Agustus 1990. Pada saat itu luas
bangunan RS Al Islam Bandung masih sekitar 1.200 m2 dengan hanya
memiliki 28 tempat tidur.
Puji syukur kehadiran Allah SWT, karena dengan berkah-Nya, kepercayaan
masyarakat dari tahun ke tahun terus meningkat seiring dengan jumlah
donatur maupun pasien yang terus mengalir.
Pada tahun 1994 dibangun Gedung Firdaus, sehingga kapasitas tempat
tidur menjadi 90, menyusul kemudian Gedung Raudhoh untuk perawatan
VIP.
Alhamdullilah, ada bantuan pinjaman dari Islamic Development Bank (IDB)
sehingga pada tanggal 1 Nopember 1997 RSAI telah memiliki Gedung 6
Lantai Ibnu Sina, sehingga RSAI memiliki kapasitas 275 tempat tidur. Pada
Juli 2002 - Maret 2003 Gedung Rawat Jalan direnovasi menjadi tiga lantai. Di
7 | Page
tahun 2003 pula, RSAI memiliki fasilitas Medical Check Up Centre. Setahun
kemudian (Tahun 2004) Gedung Unit Gawat Darurat Direnovasi.
Pada tahun 2007, dilakukan pembangunan Rawat Inap Perinatologi dan
Rawat Intensif (HCU). Pada awal 2008, dilakukan pembangunan perkantoran,
ruang dokter, dan ruang kantor perawatan. Pertengahan 2008, dilakukan
renovasi dan refungsi gedung rawat inap Firdaus lantai 3. Pertengahan 2008-
2009, dibangun Gedung Pelayanan Rawat Jalan dan P3D UNISBA, Gedung
Pelayanan Rehabilitasi Medik dan Poliklinik Tumbuh Kembang Anak. Pada
2012 dibangun Gedung Pelayanan Hemodialisa dan Klinik Stroke
Kepemilikan Insani
Dokter Gigi 4 orang Radiografer 7 orang
Dokter Umum 14 orang Sanitarian 2 orang
Dokter Spesialis 20 orang Teknisi Elektromedis 1 orang
Perawat 360 orang Terapis Wicara 2 orang
Perawat Gigi 6 orang Ahli Gizi 7 orang
Bidan 26 orang Analis Kesehatan 19 orang
Perekam Medis 4 orang Manajemen 75 orang
8 | Page
1.3.2 Visi dan Misi
VISI
MENJADI RUMAH SAKIT YANG UNGGUL, TERPERCAYA DAN ISLAMI
MISI
Melaksanakan dan menerapkan nilai-nilai Islam ke dalam seluruh aspek
pelayanan maupun pengelolaan rumah sakit.
Mendukung dan membantu program pemerintah dalam bidang kesehatan
Melakukan kerjasama lintas sektoral dan ikut berperan aktif dalam upaya
meningkatkan derajat kesehatan masyarakat
Melaksanakan pelayanan kesehatan dengan memberi kepuasan kepada
konsumen sehingga melebihi apa yang diharapkan
Mengembangkan kemampuan dan meningkatkan kesejahteraan sumber
daya manusia yang dimiliki
MOTTO
Internal
Cepat , Ramah, Profesional dan Islami
External
Sahabat Anda Menuju Sehat Bermanfaat
1.3.3 Nilai-nilai Perusahaan

Falsafah
Beriman kepada Allah dengan berpegang kepada Al-Quran dan Al-Hadist
sebagai landasan utama, bekerja profesional (wa amilu shoolihaati) dalam
suatu team work (wa tawaa shaubilhaqi wa tawaa shaubishabri).
Budaya
RS Al-Islam Bandung adalah sarana kami untuk beramal dengan ikhlas
untuk mencari ridla Allah SWT.
Kesungguhan, kejujuran, keramahan, loyalitas, disiplin dan inovatif, adalah
karakter kami.
Meningkatkan profesionalisme adalah bagian hidup kami.
Efektifitas dan efisiensi selalu kami upayakan tanpa meninggalkan azas
kemanusiaan.
Kepuasan konsumen adalah prioritas kami.
Berprasangka baik dan memuliakan orang lain adalah jiwa kami.
Kesabaran, keterbukaan, ketauladanan dan keadilan adalah watak
kepemimpinan kami.
9 | Page
Gambar 1.1
Falsafah RS Al-
Islam
Bandung
(Sumber : data
primer hasil
observasi RS Al-
Islam
Bandung )
1.3.4 Logo Rumah Sakit
Gambar 1.2
Logo RS Al-Islam
(Sumber : website http://www.rsalislam.com )
Rumah sakit Al-Islam Bandung merupakan rumah sakit islam terbesar di
Bandung. Dimana mereka memiliki asas-asas dan aturan yang berpegang
teguh pada keislaman. Logo dari Rumah sakit al-islam berdesain simple
dimana terdapat bulan sabit merah dengan background hitam yang
berarti berasaskan tauhid dan mengutamakan keselamatan pasien
dengan cinta pada islam. Dan hidup bermanfaat dengan unggul
terpercaya dan islam.
10 | P a g e
1.3.5 Prestasi dan Akreditasi Rumah Sakit Al-Islam Bandung
Prestasi
Rumah sakit Al-Islam Bandung memiliki banyak prestasi di dunia kesehatan
dan rumah sakit untuk menunjukkan keunggulannya , diantaranya :
1994 Juara III RS Sayang Bayi Tingkat Propinsi Jawa Barat.

1995 Juara II RS Sayang Bayi Swasta Tingkat Propinsi Jawa Barat.
1995 P2ASI Baby Friendly dari WHO dan UNICEF
1997 Penampilan Kinerja Terbaik III Tingkat Nasional
1997 Juara I RS Swasta Tingkat Propinsi Jawa Barat
1998 Terakreditasi Penuh 5 Standar Pelayanan
2000 Penampilan Kinerja Terbaik III Tingkat Nasional
2003 RSU Berprestasi Tingkat Kota Bandung
2003 Terakreditasi untuk 12 Standar Pelayanan
2004 Peringkat I Lomba Kebersihan dan KesLing antar RS seKota
Bandung
2004 Mendapat Sertifikat Sarana Kesehatan Pemeriksa Kesehatan
Calon Tenaga Kerja Indonesia yg akan bekerja ke Luar Negeri
2006 Penghargaan Paramakarya Dharmartha Husada dari PERSI Pusat.
2007 Peringkat I Perusahaan Pembina Terbaik Tenaga Kerja Perempuan
Tingkat Propinsi Jawa Barat
2009 Mendapat Sertifikat Jaminan Sosial Tenaga Kerja dari Depnaker
2009 Dalam proses peningkatan kelas menjadi kelas B oleh DepKes.
2009 Juara I RS Sayang Ibu Bayi tingkat tingkat Propinsi Jawa Barat
dan Juara II tingkat Nasional.
2011 Terakreditasi Lulus Tingkat Lengkap (16 Pelayanan)
2011 Penghargaan Zero Accident Award (DisNaKer)
2012 Bandung Service Excelence Champion ( Mark Plus Inc)
11 | P a g e
Akreditasi
Rumah Sakit Al Islam Bandung telah mendapatkan akreditasi 'Lulus

Tingkat Lengkap' dari Komisi Akreditasi Rumah Sakit.
Sertifikat tersebut diberikan oleh Komisi Akreditasi Rumah Sakit sebagai
pengakuan bahwa rumah sakit telah memiliki standar pelayanan rumah
sakit yang meliputi :
1. Administrasi dan Manajemen 9. Pelayanan Laboratorium
2. Pelayanan Medis 10. Pelayanan Kamar Operasi
3. Pelayanan Gawat Darurat 11. Pelayanan Pengendalian Infeksi

di Rumah Sakit
4. Pelayanan Keperawatan
12. Pelayanan Perinatal Risiko Tinggi
5. Rekam Medis
13. Pelayanan Rehabilitasi Medik
6. Pelayanan Farmasi
14. Pelayanan Gizi
7. K3
15. Pelayanan Intensif
8. Pelayanan Radiologi
16. Pelayanan Darah
17.
1.3.6 Struktur Organisasi
18. Didalam struktur Organisasi Rumah Sakit Al-Islam Bandung, bidang-

bidang yang berkepentingan dengan Sistem Informasi Rumah sakit
diantaranya adalah :
1. Bagian IT
2. Bidang Pelayanan Medis 1
3. Bidang Pelayanan Medis 2
4. Bidang Pelayanan Umum
5. Bidang Administrasi Umum
6. Bidang Keuangan dan Administrasi
7. Bidang Rumah tangga
8. Wakil Direktur, dan
9. Komite
12 | P a g e
19. Bagian IT tidak masuk dalam struktur Organisasi tetapi bagian IT
sudah termasuk dibawah Wakil Direktur Umum dan Keuangan.
13 | P a g e
20.
21. BAB 2
22. PERENCANAAN AUDIT
23.
2.1 Configuration Network
24.
25. Gambar 2.1
26. Konfigurasi Jaringan RS Al-Islam Bandung
27. Konfigurasi jaringan di RS Al-Islam Bandung dapat dilihat seperti

gambar dibawah ini. Ilustrasi konfigurasi RS Al-Islam didapatkan melalui
asumsi yang disesuaikan dengan penjelasan dari bagian IT.
1. Saat ini RS Al-Islam Bandung tidak menyewa ISP dari luar, namun pihak
Rumah Sakit mengembangkan sendiri jaringannya melalui divisi IT nya.
2. RS Al-Islam Bandung menggunakan jaringan LAN untuk
mengkomunikasikan data pada computer client setiap bagian di rumah
sakit. Datanya terhubung juga untuk manajemen rumah sakit, front office,
back office dan pihak eksternal seperti investor.
28. RS Al-Islam Bandung belum mengembangkan VLAN yang bisa
mendukung kenyamanan pasien/tamu apabila menggunakan
gadget/mobile
3. Perangkat untuk penggunaan LAN yang digunakan oleh RS.Al-Islam
Bandung diantaranya :
a) Komputer server
b) Work station
c) UTP
d) LAN Card
e) Switch
f) Router
2.2 The Audit Objective
29. Audit atau pemerikasaan merupakan dapat diartikan sebagai
suatu evaluasi terhadap suatu organisasi, sistem, proses atau produk.
Audit dilkakuan dengan tujuan untuk melakukan verifikasi bahwa subjek
dari audit telah diselesaikan atau sesuai dengan standar, regulasi dan
praktik yang telah disetujui dan diterima.
30. Dalam lingkup information security management system,
audit dilakukan untuk mengukur dan mengevaluasi pengendalian internal
dalam hal perlindungan sistem. Tujuan audit pada information security
management system adalah :
a. Mendapat kesimpulan mengenai kesesuaian aspek aplikasi
pengamanan informasi dengan karakteristik informasi, yaitu
confidentiality, integrity dan availability.
b. Memeriksa apakah peraturan-peraturan yang dibuat telah diterapkan
oleh semua pihak dalam organisasi.
c. Melihat performa dari penerapan Information Security Management
System dengan memperhatikan effectiveness dan efficiency.
31. Audit yang dilaksanakan pada RS Al Islam Bandung ini
bertujuan untuk megidentifikasi keseluruhan kegiatan, program dan
aktivitas yang berhubungan dengan information security management
system yang dikelola oleh pihak RS Al Islam agar dapat mencapai tujuan
seperti yang telah dijelaskan di atas. Selain itu, audit ini dilakukan untuk
mengetahui apa saja yang tidak sesuai dengan peraturan yang telah
ditetapkan, sehingga RS Al Islam dapat melakukan evaluasi dan
memperbaiki sistem keamanannya.
2.3 Audit Scope
32. Ruang lingkup audit menunjukkan luas (area) dari tujuan audit, yaitu
membatasi lingkup apa saja yang akan diaudit, bagian apa saja yang
diaudit, dan standar apa yang digunakan. Pada laporan ini, yang diaudit
adalah keamanan informasi yang ada di Rumah Sakit Al-Islam Bandung.
2.4 The Identification of Audit Clients
Audit Client Name : RS Al Islam Bandung
Audit Client Address : Jl. Soekarno-Hatta, No. 644 Bandung
Audit Client Speaker : Bapak Mulyahadi dan Bapak Asep ( Divisi IT
)
33.
2.5 Audit Team Members
34. The Identification of The Audit Team Members
35. Lead Auditor : Faishal Nuruz Zuhri
36. Vice Lead Auditor : Muhammad Hizbun Najib
37. Member :
38. Bebyta Eka Apriliyanti
39. Devinta Amalia Suci
40. M. Garibaldi Mirza N
41. Rachma Kartika Andini
42.
2.6 Audit Activities
43. Date 44. Place 45. Hour Spent 46. Informa
tion (%)
47. 20 48. Ruang 49. 1,5 hour 50. 45%
Februari 2015 Kantor IT RS.Al- interview
Islam Bandung
51. 27 April 52. Ruang 53. 1 hour 54. 55%
2015 Kantor IT RS.Al- interview
Islam Bandung
2.7 Audit Criteria
55.
a) Main Clause 27001
b) Annex 27001
56.
2.8 Audit Analisis
57. Profil Perusahaan
58.
N 59. ITEM 60. SATUAN
61.
62. Perusahaan 63.
A
64.
66. Rumah Sakit
65. Nama Perusahaan
Al-Islam
67.
68. Jumlah pegawai total 69. 547 orang
70.
71. Jumlah pegawai IT 72. 6 orang
73.
74. Persentasi budget untuk IT
75. 7%
dari total anggaran
76.
77. Layanan yang dijual 78. Jasa Kesehatan
79.
80. Jumlah pelanggan sesuai
81.
layanan
82.
83. Usia perusahaaan 84. 25 Tahun
85.
86. Mayoritas rentang usia 87. 24 tahun 55
pegawai (staff) tahun
88.
89. 90.
91.
92. Rumah Sakit 93.
96. 1000/hari
94.
95. Jumlah rata2 pasien per rawat jalan
bulan 97. 30/hari rawat
inap
98. 99. Jumlah pasien yg 100. 1000/hari
menggunakan layanan per rawat jalan
101. 30/hari rawat
bulan :
inap
102.
103. Jumlah pegawai rumah sakit
104. 547 orang
(dokter, staff, suster dll)
105. 107. 6 orang / 1%
106. Jumlah pegawai IT / persen
dari jumlah seluruh
pegawai yg menangani IT
pegawai
108.
109. Risk Assessment ( Praktisi )
110. ASSET 111. THREA 112. VULNA 113. 114. CONTROL 115. 116.
T BILITY PROBABI IMPACT RISK
LITY
117. 118. 120. 121. 122. 123. 124. 125. 126. 127. 128. 129. 130.
ASSE ASSET THREA SEVE VULNAB SEV L S EXISTING ANNEX R RI
T VAL T R ILIT E CONTR IS
UA I Y R OL O2
TIO T I 70
N Y T 01
119. Y
(CIA) O
F O
F
T
H V
R U
E L
A N
T E
R
A
B
I
L
I
T
Y
131. 132. 133. 134. 135. 136. 137. 138. 139. 140. 141. 142. 143.
144. S 145.3+ 146.Keb 147.3 148.Tida 149.3 150. 151. 152.Adanya 153.A.1 154.Laya 155. 156.
er 2+ aka k M 1 alat 7 nan 6 Me
v 2 ran ada pemada Inf intern
er =7 , Insta m api or et
ge lasi ringan ma terga
mp Fire (APAR) tio nggu
a Dete di n
bu ctor, ruanga sec
mi , Eath n. urit
ban quar y
jir ke asp
Dete ect
ctor , s of
dan bus
Siste ine
m ss
Moti con
on tin
Dete uit
ctor y
thief ma
na
ge
me
nt
157.U 158.2+ 159.He 160.2 161.Kabe 162.3 163. 164. 165.Proses 166. A. 167.Siste 168. 169.
P 3+ wa l M 2 Kontrol 17 m 9
S 3= n pelin rutin Inf Oper Me
8 pen dung Secara or asi
ger terb manual ma Ruma
at uat terhada tio h
(tik dari p area n Sakit
us) mate sekitar sec terga
ri UPS urit nggu
yang oleh y jika
mud Pegawai asp terjad
ah di Teknisi ect i mati
kerat dan s of listrik
oleh Satpam bus
tikus Rumah ine
Sakit ss
con
tin
uit
y
ma
na
ge
me
nt
170.Pe 171.2+ 172.Pen 173.3 174.Tida 175.2 176. 177. 178.Kunci 179.A.1 180.kehila 181. 182.
ra 2+ curi k M 1 perizina 1 ngan 4 Lo
n 3= an mela n Phy peran
gk 7 Ker kuka masuk sic gkat
at usa n akses al komp
K kan peng komput an uter
o ama er d yang
m nan En dapat
p seca vir meng
ut ra on hamb
er fisik me at
sepe nta prose
rti l s
pem Sec pelay
berik urit anan
an y bisnis
kera karen
ngka a
trails peran
pada gkat
kom yang
pute hilan
r g
mem
butuh
kan
wakt
u
untuk
pemu
lihan
183.G 184.1+ 185.Mat 186.3 187.Keter 188.2 189. 190. 191.Staff 192.A.1 193.Laya 194. 195.
e 2+ i bata H 3 Teknisi 1 nan 1 Hig
ns 3= listr san rutin Phy Ruma
et 6 ik daya melaku sic h
taha kan al Sakit
n kontrol an secar
ener terhada d a
gy p En kesel
pada perform vir uruha
Gens a on n
et Genset me terga
nta nggu
l dan
Sec menu
urit runka
y n
prose
s
pertu
karan
Infor
masi
dan
data.
196.
197. ASSET 198. THREA 199. VULNA 200. 201. CONTROL 202. 203.
T BILITY PROBABI IMPACT RISK
LITY
204. 205. 207. 208. 209. 210. 211. 212. 213. 214. 215. 216. 217.
ASSE ASSET THREA SEVE VULNAB SEV L S EXISTING ANNEX R RI
T VAL T R ILIT E CONTR IS
UA I Y R OL O2
TIO T I 70
N Y T 01
206. Y
(CIA) O
F O
F
T
H V
R U
E L
A N
T E
R
A
B
I
L
I
T
Y
218.D 219.3+ 220.Pen 221.3 222.Kura 223.3 224. 225. 226.Memas 227.A.9 228.Prose 229. 230.
at 2+ curi ngny M 1 ang Acc s 7 Me
a 3= an a CCTV ess bisnis
b 8 peng Co di
as ama ntr ruma
e nan ol h
S fisik sakit
ys mau tidak
te pun berjal
m logic an
sepe lanca
rti r
encr karen
ypsi a
untu datab
k ase
mas terga
uk nggu,
ke baik
siste untuk
m intern
al
maup
un
ekste
rnal
231.
3. AFTER ACTION PLAN 4. RESIDUAL RISK
8. SEVER 9. PRO
11. RI
ITY BAB 10. RIS
1. Asset 2. ACTION PLAN SK
7. SEVERITY OF ILIT K
LE
OF RISK VULN Y SCO
VE
ERABI SCO RE
L
LTIY RE
13. Pemasangan APAR di 18. Lo
12. Server 14. 1 15. 1 16. 1 17. 7
setiap ruangan w
20. Menjaga Kebersihan
25. Lo
19. UPS Lokasi dan Pengontrolan 21. 1 22. 2 23. 1 24. 16
w
alat secara Rutin
26. Perangk
at
27. 28. 29. 30. 31. 32.
Kompute
r
34. Penambahan Daya tahan 39. Lo
33. Genset 35. 2 36. 1 37. 1 38. 12
Energi w
41. Mendesain ulang sistem
database dengan
menambahkan fitur
40. Databas enkripsi seperti
46. Lo
e cryptography dan 42. 1 43. 1 44. 1 45. 8
w
System melakukan pengamanan
fisik disekitar area
database untuk
menghindari pencurian
232.
233. Risk Assesment ( Akademisi )
235. 236. Low 237. Mediu 238. High
234. Threat m
240. 241. 242. 243. 244. 245. 246. 247. 248. 249.
Vulnerab L Me Hi L Me H L Me H
250.
251. Na 253. 254. 255. 256. 257. 258. 259. 260. 261. 262.
N
ma Aset
263. 264. Ge 266. 267. 268. 269. 270. 271. 272. 273. 274. 275.
1 nset 0 0 - - - - - - - -
277. Da 252.
276. 279. 280. 281. 282. 283. 284. 285. 286. 287. 288.
tabase Aset
2 0 0 - - - - - - - -
Sistem Va
290. Per lu
289. 292. 293. 294. 295. 296. 297. 298. 299. 300. 301.
angkat e
3 1 - - - - - - - 4 -
Komputer
302. 303. Se 305. 306. 307. 308. 309. 310. 311. 312. 313. 314.
4 rver 1 - - - 2 - - - - -
315. 316. UP 318. 319. 320. 321. 322. 323. 324. 325. 326. 327.
5 S 0 - 1 - - - - - - -
328.
329. Penjelasan :
Genset pada risk assessment secara praktisis memiliki high risk sedangkan secara akademisi memiliki nilai
low risk
Database Sistem pada risk assessment secara praktisis memiliki medium risk sedangkan secara akademisi
memiliki nilai low risk
Perangkat Komputer pada risk assessment secara praktisis memiliki low risk sedangkan secara akademisi
memiliki nilai high risk
Server pada risk assessment secara praktisis memiliki medium risk sedangkan secara akademisi memiliki
nilai low risk
UPS pada risk assessment secara praktisis memiliki medium risk sedangkan secara akademisi memiliki
nilai medium risk
330.
331. MAIN CLAUSE ISO 27001
334. 336.
YE Maturit
S y
332. Main Lev
Clausure 333. Pertanyaan o 335. Jawaban el
ISO27001 r 337.
(diisi 0
N sd
o 5)
339.
338. 4 Context of the organization
342. Apakah perusahaan 344. RS Al-Islam melakukan
341. Und
telah melakukan identifikasi permasalahan internal
erstanding
340. identifikasi permasalahan serta eksternal yang dilakukan
the 343. 345.
4 internal dan eksternal setiap 6 bulan sekali dengan audit
organizatio Yes 3
yang mempengaruhi intenal yang hasilnya
n and its
kemampuan perusahaan didokumentasikan dan
context
dalam mencapai tujuan? ditindaklanjuti action plannya.
356. Pihak yang berkepentingan
dengan sistem informasi RS Al-
354. Siapa saja pihak Islam yaitu bagian IT, Bid
yang berkepentingan 355. Pelayanan Medis 1 dan 2, Bid 357.
dengan sistem manajemen Yes Pelayanan Umum, Bid Administrasi 3
353. Und keamanan informasi? Umum, Bid Keuangan dan
erstanding Administrasi, Bid. Rumah tangga,
352.
the needs Wadir, Komite
4
and 374. Tidak persyaratan karena
expectatio pihak tersebut memang harus
ns 372. Apa saja berhubungan dengan sistem
persyaratan untuk pihak 373. informasi namun ada aturan-aturan 375.
yang berkepentingan No tertentu yang wajib dipatuhi 1
tersebut? contohnya PC yang digunakan
hanya untuk kepentingan bisnis
bukan yang lain
383. Det
ermining
384. Apakah organisasi
the scope
382. telah menetapkan batas- 386. Batasan-batasan telah
of the 385. 387.
4 batas keamanan dalam ditetapkan dan disesuaikan dengan
informatio 3
menetapkan ruang lingkup undang-undang khusus RS
n security
usahanya?
managem
ent system
398. Perusahaan tidak
395. Infor 396. apakah perusahaan
menetapkan standar keamanan
394. mation telah menetapkan standar
397. informasi namun mengikuti 399.
4 security informasion security?
No regulasi untuk industri rumah sakit 1
managem Apakah standar tersebut
swasta yang dikeluarkan oleh
ent system telah diimplementasikan?
pemerintah
412. 5. Leadership
414. Lea
417. Jajaran Top management
413. dership 415. apakah Top
416. seperti Direktur, Wadir, Komite SMF 418.
5 and management telah aware
Yes dan SPI telah aware dengan 3
Commitme terhadap kebutuhan ISMS?
kebutuhan ISMS
nt
423. Review terhadap kebijakan
yang telah dibuat dilakukan ketika
419. 421. apakah telah
420. Polic 422. terjadi kitidaksamaan dengan 424.
5 dilakukan review terhadap
y Yes regulasi pemerintah atau terjadi 3
kebijakan yang dibuat?
insiden yang dampaknya besar
terhadap bisnis
426. Org
427. apakah ISMS
anizational 429. Tidak karena RSAI hanya
425. organisasi sudah sesuai
roles, 428. mengikuti regulasi nasional yang 430.
5 dengan standar
responsibil No dikeluarkan oleh pemerintah untuk 1
Internasional yang
ities and industri RS swasta
berlaku?
authorities
431. 6. Planning
432. 433. Acti 434. apakah manajemen 435. 436. Ya manajemen telah 437.
6 ons to telah mengantisipasi isu- Yes mengantisipasi isu-isu terkait ISMS 1
isu terkait ISMS?
440. Apakah telah

442. Ya dilakukan penilaian dan
diadakan
441. evaluasi terhadap resiko di 443.
address penilaian/evaluasi
Yes perusahaan yang domainnya di 3
risk and terhadap risiko di
jajaran Top Management
opportuniti Perusahaan?
es 448. Kontrol terhadap resiko
446. bagaimana kontrol dilakukan dengan pengecekan
terhadap kemungkinan 447. setiap bulan terhadap aset dan 449.
risiko dan perbaikan akibat Yes resiko supaya pada saat audit 3
risiko? internal tidak muncul hasil yang
buruk
451. Infor
mation
security 452. bagaimana 454. Ya pelaksanaan kebijakan
450.
objectives pelaksanaan dari IS Policy 453. tentang keamanan informasi pasti 455.
6
and dan ada yang bertanggung Yes ada yang bertanggung-jawab yaitu 3
planning jawab? dari jajaran direksi
to achieve
them
456. 7. Support
457. 459. Bagaimana 461. Pengelolaan resources pada
458. Res 460. 462.
7 pengelolaan resource pada ISMS dikepalai oleh satu kepala
ources Yes 3
ISMS di organisasi? departemen IT
465. Apakah orang-orang 467. Ya, orang-orang yang bekerja
463. yang bekerja pada ISMS pada ISMS pasti memiliki
464. Com 466. 468.
7 adalah orang-orang yang kompetensi dan latar belakang
peteness Yes 3
berkompeten di pengetahuan mengenai keamanan
bidangnya? informasi
473. Ya, training dan
pengetahuan kebijakan biasanya
diberikan ketika divisi IT membuat
471. Apakah karyawan
469. aplikasi baru, dan pada saat
470. Awa mendapat training dan 472. 474.
7 mengenalkan aplikasi tersebut
reness pengetahuan tentang Yes 2
kepada karyawan yang akan
kebijakan?
menggunakannya, pihak IT selalu
memberikan pengetahuan
mengenai kebijakan yang berlaku
479. Komunikasi yang dilakukan
475. 477. Bagaimana sistem
476. Com 478. antara pihak eksternal dan internal 480.
7 komunikasi secara internal
munication Yes telah disinkronisasikan, agar tidak 2
dan eksternal terkait ISMS?
ada kesalahpahaman
485. Ya, setiap kegiatan yang
483. Apakah ISMS sudah
482. Doc berkaitan dengan ISMS
481. didokumentasikan,
umented 484. didokumentasikan, dan kontrol 486.
7 bagaimana kontrol
Informatio Yes yang dilakukan beruapa 4
terhadap dokumentasi
n penyimpanan pada database dan
ISMS berjalan?
dicek secara berkala
487. 8. Operation
489. Ope
490. Bagaimana 492. Kontrol dan pelaksanaan
488. rational
perencanaan dan kontrol 491. operasional ISMS telah memiliki 493.
8 Planning
pelaksanaan operasional Yes prosedur yang sudah dilaksanakan 4
and
ISMS? secara rutin
control
495. Infor
mation
494. 496. Apakah ada sistem
security 497. 498. Ada, sistem penilaian risiko 499.
8 penilaian risiko secara
risk Yes dilakukan setiap 6 bulan sekali 4
periodik?
assessmen
t
501. Infor
504. Ada, karena saat melakukan
500. mation 502. Apakah ada
503. penilaian resiko, telah dibuat 505.
8 Security perencanaan akan
Yes perencanaan tindakan untuk 3
risk treatment IS risk?
menangani resiko tersebut
treatment
506. 9. Performance Evaluation
508. Mon 511. Ya, misalnya pengontrolan
itor, jaringan setiap 1 bulan sekali,
509. Apakah Perusahaan
507. measurem selain itu pihak IT setiap hari
telah mengontrol dan 510. 512.
9 ent, melakukan pengontrolan perangkat
mengevaluasi performa Yes 4
analysis, komputer yang ada di rumah sakit
dari proses IS?
and sebanyak 2 unit untuk mencegah
evaluation hal-hal yang tidak diinginkan
517. Belum ada audit internal
513. 515. apakah sudah terkait ISMS, karena pihak RS Al
514. Inter 516. 518.
9 dilakukan internal audit Islam tidak menggunakan standar
nal audit No 0
terkait ISMS? ISO
523. Karena setiap kebijakan
519. 520. Man 521. review dari Top yang akan dikeluarkan berkaitan
522. 524.
9 agement management sudah dengan ISMS selalu melalui
Yes 3
review dilakukan terkait ISMS? tahapan review oleh top
management sebelum disahkan
525. 10. Improvement
530. Dalam penerapan ISMS pada
Rumah Sakit Al-Islam terdapat
527. Non 528. apakah ada punishment terhadap ketidak
526. conformity punishment terhadap patuhan atas pelanggaran
529. 531.
1 and ketidakpatuhan dan keamanan informasi yang
Yes 3
corrective perencanaan perbaikan dilakukan oleh semua pihak di
action terkait implementasi ISMS? bagian Rumah Sakit sesuai apa
yang telah di sepakati pada kontrak
awal bekerja
533. Cont 534. Apakah ada 536. Ya, pasti ada perencanaan
532.
inual perencanaan perbaikan 535. perbaikan terkait dengan masalah 537.
1
Improvem ISMS secara Yes ISMS untuk meningkatkan 4
ent berkelanjutan? performansi kerja
538.
539.
540.
541. Annex ISO 27001
542. ANNEX
548.
MATURI
546.
543. TY
544. Aspek 545. Pertanyaan Y 547. Jawaban
No LEVE
L1
sd 5
549.
550. Information security policies
A.5
551.
552. Management direction for information security
A.5.1
557. Kebijakan tentang
keamanan informasi (ISMS)
bersifat secara global dan
555. Bagaimana
sudah di publikasikan
kebutuhan perusahaan
553. 554. Policies 556. kepada seluruh bagian RS.
akan regulasi dan 558.
A.5.1. for information Ye Tidak melibatkan pihak
kebijakan tentang 3
1 security eksternal untuk melakukan
Information Security
pengamanannya,
Management System?
melainkan diserahkan
kepada bagian IT yang ada
di RS Al-Islam
563. Rumah sakit Al-
560. Review Islam Bandung telah
559. 561. Apakah dilakukan 562.
of the policies melakukan review 564.
A.5.1. review terhadap kebijakan Ye
for information terhadap kebijakan yang 4
2 yang dibuat?
security dibuat setiap 6 bulan
sekali
565.
566. Organization of information security
A.6
567.
568. Internal organization
A.6.1
573. Tanggungjawab
mengenai hal - hal yang
berkaitan dengan
keamanan informasi
seperti keamanan
database merupakan
tanggungjawab dari bagian
571. Apakah semua
570. Informati IT, namun pihak IT tidak
569. tanggung jawab 572.
on security memiliki konten data, 574.
A.6.1. keamanan informasi Ye
Roles and kepemilikan atas aset - 3
1 ditetapkan dan
responsibilities aset informasi diserahkan
dialokasikan ?
kepada unit - unit yang
bersangkutan. Unit - unit
tersebut memiliki otoritas
dan bertanggungjawab
atas perubahan (contoh :
input atau update)
informasi yang dimiliki
575.
576. Mobile devices and teleworking
A.6.2
577. 578. Mobile 579. Bagaimana tindakan 580. 581. Terdapat kebijakan 582.
A.6.2. device policy pengelolaan security Ye tentang pengelolaan 4
1 dengan perangkat mobile perangkat mobile dimana
pihak IT melarang adanya
akses oleh perangkat
mobile lain maupun install
sembarangan. Perangkat
komputer RS sudah di
setting agar tidak dapat
digunakan untuk dimasuki
perangkat mobile ataupun
USB (flashdisk tidak
dikenal), apabila ada yang
mencoba melanggar ada
tindakan penyitaan oleh IT
583.
584. Human resource security
A.7
585.
586. Prior to employment
A.7.1
Islam selalu melakukan
pengecekan latar belakang
terhadap karyawan yang
588. Screenin akan bekerja disana 592.
A.7.1. pengecekan latarbelakang Ye
g melalui lampiran berkas 4
1 dari karyawan?
kerja sebelumnya ataupun
pendidikannya, dengan
tambahan keterangan
SKCK dari kepolisian.
597. Tahap selanjutnya
setelah penerimanaan
karyawan yakni
penandatanganan kontrak
kerja dimana terdapat
pasal mengenai tanggung
595. Bagaimana
jawab untuk menjaga
593. 594. Terms perjanjian kontrak dengan 596.
keamanan segala 598.
A.7.1. and conditions karyawan terkait Ye
informasi dari Rumah Sakit 4
2 of employment tanggungjawab
Al-Islam dan terdapat
information security?
sanksi apabila terjadi
pelanggarannya. Kebijakan
tersebut telah diatur
dalam aturan RS untuk
seluruh jenis pekerjaan
yang ada di dalamnya.
599.
600. During employment
A.7.2
605. Karyawan memang
diwajibkan untuk
603. Apakah manajemen
melaksanakan kebijakan
601. 602. Manage mewajibkan karyawan 604.
informasi keamanannya, 606.
A.7.2. ment melakukan information Ye
misalnya yang memang 3
1 responsibilities security terkait kebijakan
setiap berkala pihak RS
yang dibuat?
melakukan pengingatan
untuk hal tersebut.
607. 608. Informati 609. Apakah karyawan 610. 611. Selalu diadakan 612.
A.7.2. on security mendapat training dan Ye training dan pelatihan 4
2 awareness, pengetahuan tentang tentang kebijakan untuk
education and kebijakan? seluruh user yang
training menggunakan terutama
untuk bagian unit-unit
bersangkutan. Hal tersebut
dilakukan setiap selesai
aplikasi baru dibuat. Yakni
seperti workshop,
pendampingan ,uji coba
dan pemantauan
penggunaan aplikasi baru
tersebut
617. Salah satu kebijakan

untuk karyawan yang
resign harus
menandatangani surat
keterangan resign yang
614. Terminati 615. Bagaimana
613. 616. terdiri dari surat
on or change kebijakan bagi karyawan 618.
A.7.3. Ye pernyataan
of employment yang resign dari 4
1 mengembalikan semua
responsibilities perusahaan?
asset dan
pemutusan/blokir user
,serta pencabutan legalitas
penggunaan fasilitas
rumah Sakit.
619.
620. Asset management
A.8
621.
622. Responsibility for assets
A.8.1
623. 624. Inventor 625. Bagaimana 626. 627. Aset aset yang 628.
A.8.1. y of assets pemeliharaan aset dalam Ye sering digunakan dan aset 3
1 Perusahaan? penting yang perlu
dilindungi dipisahkan dan
berbeda cara
maintenancenya. Aset
yang sering digunakan di
setiap unit merupakan
tanggung jawab
pemeliharaan oleh unit
tersebut, namun bisa
sudah masuk kebagian
teknis sistem merupakan
bagian tanggung jawab
dari divisi IT
633. Kepemilikan aset

secara umum adalah milik
629. 632.
630. Ownershi 631. Bagaimana Rumah Sakit. Namun hak 634.
A.8.1. Ye
p of assets kepemilikan aset tersebut? dan tanggung jawabnya 4
2
atas nama unit bagian
yang di Rumah Sakit
639. Dalam pelaksanaan
peraturan kerja terdapat
batasan atas kewenangan
tanggungjawab
637. Apakah karyawan
kepemilikan sementara
635. dan pihak luar 638.
636. Return of atas aset yang 640.
A.8.1. mengembalikan aset Ye
assets dipinjamkan oleh pihak 3
4 ketika mereka keluar dari
Rumah Sakit, namun harus
Perusahaan?
dikembalikan ketika
karyawan
dikeluarkan,dipecat atau
mengundurkan diri.
641.
642. Information classification
A.8.2
647. Pihak rumah sakit
melakukan klasifikasi atas
aset-aset yang dimiliki di
645. Bagaimana aset seluruh bagian rumah
643. 644. Classifica 646.
diklasifikasi terkait sakit, namun dalam 648.
A.8.2. tion of Ye
legalitas, nilai, prakteknya Rumah Sakit 3
1 information
sensitivitas? menganggap bahwa
semua set yang dimiliki itu
sangat penting. Baik aset
fisik maupun logic.
islam belum memiliki
prosedur dan SOP
menghandle aset aset
649. 651. Bagaimana 652. yang dimilikinya, mereka
650. Handling 654.
A.8.2. prosedur dalam N melakukan pengendalian
of assets 2
3 menghandle aset? dengan tanggungjawab
aset yang dimiliki oleh
setiap unit, bahkan hanya
sewaktu-waktu tidak
teratur.
655.
656. Media handling
A.8.3
661. Pihak Rumah Sakit
Al-Islam memiliki cara
tersendiri untuk
658. Manage 659. Bagaimana penghapusan media yang
657. 660.
ment of manajemen penghapusan tidak diperlukan dengan 662.
A.8.3. Ye
removable media yang tidak cara menginstall ulang 3
1
media diperlukan lagi? seluruhnya dan mengambil
hardisk didalamnya
dengan mengganti yang
baru.
667. Media yang tidak
663. 665. Apakah media 666. diperlukan dan dianggap
664. Disposal 668.
A.8.3. didisposed ketika tidak Ye merupakan aset yang
of media 3
2 diperlukan lagi? berbahaya akan
dihancurkan.
673. Terdapat
perlindungan yang khusus
mengenai media yang
671. Bagaimana
669. 672. berisi informasi dengan
670. Physical perlindungan terhadap 674.
A.8.3. Ye tidak melakukan install
media transfer media yang berisi 3
3 perangkat sembarangan,
informasi?
perlu dilakukan ceking.
Dan tidak diizinkan input
perangkat mobile.
675.
676. Access control
A.9
677.
678. Business requirements of access control
A.9.1
683. Seluruh
681. Bagaimana pengendalian akses dalam
679. kebijakan access control 682. segala kegiatan bisnis dan
680. Access 684.
A.9.1. terkait dengan kebutuhan Ye information security hanya
control policy 3
1 bisnis dan information diberikan wewenang
security? kebijakan dan dilakukan
oleh bagian IT
689. User dibatasi hak
686. Access 687. Apakah user aksesnya dengan kode
685. 688.
to networks diauthorized sehingga tertentu untuk melewati 690.
A.9.1. Ye
and network dibatasi yang dapat tahap authorize sehingga 3
2
services mengakses network? dapat menggunakan
jaringan Rumah Sakit
691.
692. User access management
A.9.2
697. Pemberian akses
695. Apakah ada
693. 694. User 696. dan pencabutan hak akses
kebijakan untuk formal 698.
A.9.2. registration and Ye user untuk jaringan Rumah
registration dan de- 3
1 de-registration Sakit wewenangnya hanya
registration?
dimiliki oleh pihak IT
703. Selalu ada
pembatasan akses user
untuk sistem tertentu,
misalkan sistem
pendaftaran pasien,
701. Apakah ada pembayaran, akses inpa,
699. 700. User 702.
pembatasan user untuk operasi dan rekam medis 704.
A.9.2. access Ye
mengakses informasi pada dari Rumah Sakit. Hanya 3
2 provisioning
sistem tertentu? user yang berwenang
memiliki akses dengan
keyword dan passwrod
tertentu yang dapat
menjalankan sistem
tersebut
705.
706. User responsibilities
A.9.3
707. 708. Use of 709. Bagaimana user 710. 711. Untuk memastikan 712.
A.9.3. secret dipastikan untuk Ye agar para user mengikuti 3
1 authentication mengikuti aturan aturan autentikasi secret
information autentikasi secret informasi dilakukan
informasi? pemisahan modul
(terdapat pada akses saat
log in ) . Modul yang
dimaksud adalah modul
per bagian divisi. Maka hal
tersebut merupakan kunci
dari authentikasi akses
informasi. Maka data data
yang dapat dikases adalah
data data medical record
oleh pihak yang login saja
713.
714. System and application access control
A.9.4
719. Dalam menerapkan
password yang aman
untuk akses user maka
dilakukan penggantian
717. Bagaimana password untuk setiap 6
715. 716. Password 718.
manajemen password dan bulan sekali. Dengan 720.
A.9.4. management Ye
memastikan password ukuran passwrod tidak 4
3 system
yang berkualitas? dibatasi, dan password
tidak mudah dikenali pihak
lain. Menggunakan
campuran password text
dan number
721.
722. Cryptography
A.10
723.
724. Cryptographic controls
A.10.1
729. Belum ada
ketetapan penggunaan
cryptography di Rumah
Sakit Al-Islam , hal ini
disebabkan karena pihak
726. Policy on 727. Bagaimana
725. 728. Rumah Sakit belum
the use of ketetapan penggunaan 730.
A.10.1 N membutuhkan aspek
cryptographic cryptography untuk 1
.1 bagian ini, belum spesifik
controls keamanan informasi?
dan belum semua. Baru
memiliki rencana untuk 1
bagian pembuatan
cryptography namun
belum dilakukan
731.
732. Physical and environmental security
A.11
733. 734. Secure areas
A.11.1 739. Dengan skala
tertentu terdapat
tingkatan untuk keamanan
area yang memiliki
informasi sensitif seperti
737. Bagaimana tingkat
735. 736. Physical 738. penyimpanan data pasien
keamanan area yang 740.
A.11.1 security Ye dan rumah sakit. Area
memiliki informasi yang 3
.1 perimeter tersebut masuk ke area
sensitif?
level ke 3 yang menjadi
pokok utama yakni
keamanan dalam
pemberian akses masuk
database
745. Telah dilakukan
pengamanan ruangan
,kantor dan fasilitas,
namun pengamanan
dilakukan oleh setiap unit
741. 742. Securing 743. Bagaimana 744.
kerja. Sesuai dengan 746.
A.11.1 offices, rooms pengamanan ruangan, Ye
wewenang siapa saja yang 3
.3 and facilities kantor dan fasilitas?
dibolehkan mengkases.
Area area penyimpanan
aset berharga dipisahkan
jauh dengan ruangan-
ruangan lainnya
751. Aset fisik yang
sangat berharga untuk
kemananan informasi telah
direncanakan
diimplementasikan dan
748. Protectin 749. Bagaimana
dilakukan maintenance.
747. g against melindungi physical asset 750.
Peletakan ruangan aset 752.
A.11.1 external and terhadap bencana alam Ye
dijauhkan dengan tempat- 4
.4 environmental atau kejadian yang
tempat berbahay yang
threats mengganggu?
sulit dijangkau pula oleh
orang-orang selain yang
berwenang. Seperti
ruangan backup, database,
dan servernya.
757. Kontrol pada tempat
753. 754. Delivery 755. Bagaimana kontrol 756. secure tertentu (akses
758.
A.11.1 and loading access point pada tempat- Ye point) dilakukan &
3
.6 areas tempat secure ? merupakan tanggung
jawab dari satpam
759.
760. Equipment
A.11.2
765. Selalu ada
pemeliharaan secara rutin
763. Bagaimana
761. 764. untuk 2 kali setiap harinya
762. Equipme pemeliharaan equipment 766.
A.11.2 Ye dengan tujuan
nt maintenance untuk 4
.4 menghindari risiko yang
keberlangsungannya?
tidak diigninkan Rumah
sakit
771. Belum ada kebijakan
untuk clear risk paper
769. Apakah ada
767. 768. Clear 770. namun untuk media
kebijakan clear desk untuk 772.
A.11.2 desk and clear N storage telah dilakukan,
papers dan pengahapusan 2
.9 screen policy namun pihak Rumah sakit
media storage?
sudah berfikir bahwa hal
tersebut dirasa perlu
773.
774. Operations security
A.12
775.
776. Operational procedures and responsibilities
A.12.1
777. 778. Docume 779. Apakah setiap 780.
781. Semua prosedur 782.
A.12.1 nted operating prosedur Ye
didokumentasikan 3
.1 procedures didokumentasikan?
785. Apakah dilakukan
783. 786. 787. Belum ada kontrol
784. Change kontrol information 788.
A.12.1 N management dikarenakan
management security ketika dilakukan 0
.2 lingkupnya kecil
change management?
790. Separati 793. Pengembangan dan
on of 791. Apakah testing dilakukan di
789. 792.
development, pengembangan, testing, ruangan IT. Untuk bagian 794.
A.12.1 Ye
testing and dan operasional operasional lingkungan di 2
.4
operational lingkungan dipisahkan? lakukan di setiap ruang
environments unit bisnis
795.
796. Protection from malware
A.12.2
801. Untuk melindungi
informasi dari serangan
797. 798. Controls 799. Bagaimana 800. malware ,tim IT Rumah
802.
A.12.2 against melindungi informasi dari Ye Sakit telah memasangkan
3
.1 malware serangan malware? antivirus Symatex dan
Kaspersky yang secara
automatically terupdate
803.
804. Backup
A.12.3
809. Informasi yang
meliputi segala proses
bisnis di Rumah Sakit
selalu di backup setiap
805. 807. Apakah dilakukan 808. harinya, hal ini guna
806. Informati 810.
A.12.3 backup informasi secara Ye menghindari kehilangan
on backup 4
.1 berkala? dan kerusakan data atau
bahkan penumpukan data
sehingga memperlambat
proses bisnis dihati
berikutnya
811.
812. Logging and monitoring
A.12.4
817. Untuk event
logging , tim IT rumah
815. Apakah dilakukan
sakit menerapkannya pada
event logging untuk
813. 816. bagian aplikasi,
814. Event merekam aktivitas user, 818.
A.12.4 Ye penyimpanan data sesuai
logging ekspektasi, kesalahan dan 3
.1 dengan penyimpanan user
information security
ID. Maka dapat diketahui
events?
dan dimonitor siapa saja
yang telah mengakses
823. Belum ada
821. Apakah dilakukan syncronisasi waktu secara
819. 822.
820. Clock sinkronisasi waktu otomatis untuk proses 824.
A.12.4 N
synchronisation terhadap information informasinya , prosesnya 1
.4
processing system? masih dilakukan secara
manual
825.
826. Control of operational software
A.12.5
831. Pada penerapan
implementasi instalasi
software dilakukan dengan
828. Installati 829. Bagaimana baik. Analisis dan design
827. 830.
on of software implementasi prosedur nya dilakukan dengan cara 832.
A.12.5 Ye
on operational untuk mengontrol instalasi komunikasi dengan user 3
.1
systems software? unit bisnis. Sedangkan
untuk testing dilakukan
oleh tim IT & melibatkan
user.
833.
834. Technical vulnerability management
A.12.6
839. Selalu ada
pengamanan dalam
perlakuan keamanan
836. Manage informasi seperti saat
ment of teknisi melakukan 840.
A.12.6 perlindungan informasi Ye
technical maintenance terhadap 2
.1 dari ancaman teknikal ?
vulnerabilities aset. Ancaman teknikal
dapat berupa akses
masuk, storage, transmisi
data, dan lain-lain
845. Belum ada
wewenang untuk instalasi
841. 842. Restrictio 843. Bagaimana aturan 844. software oleh user sendiri,
846.
A.12.6 ns on software instalasi software oleh N karena hak untuk
0
.2 installation user? mengatur instalasi
software dilakukan oleh
divisi IT langsung
847.
848. Information systems audit considerations
A.12.7
853. Rumah sakit telah
849. 850. Informati 851. Bagaimana 852. memiliki kesadaran untuk
854.
A.12.7 on systems kesadaran dan perecanaan Ye melakukan audit,
4
.1 audit controls audit dalam Perusahaan? contohnya dengan
melakukan audit internal
855.
856. Communications security
A.13
857.
858. Network security management
A.13.1
863. Network untuk
Rumah Sakit pada setiap
859. 861. Apakah network 862.
860. Network unit bisnis selalu dilakukan 864.
A.13.1 dikontrol untuk melindungi Ye
controls kontrol setiap 1 bulan 3
.1 informasi?
sekali untuk 1 segment
nerwork
869. Network service,
user dan sistem informasi
masih menjadi satu, belum
865. 867. Apakah network 868. dilakukan pemisahan.Ada
866. Segregat 870.
A.13.1 service, user, dan sistem N pembagian segmen
ion in networks 0
.3 informasi dipisah? network dengan
menggunakan blok IP
network (dengan white
list)
871. 872. Information transfer
A.13.2
877. Ada kebijakan
mengenai transfer
874. Informati informasi terhadap pihak-
873. 875. Bagaimana 876.
on transfer pihak tertentu yang 878.
A.13.2 kebijakan untuk keamanan Ye
policies and memang menjalin 3
.1 transfer informasi?
procedures hubungan dengan Rumah
Sakit. Informasi yang di
transfer berupa fisik.
880. Agreeme 881. Bagaimana
879. 882.
nts on kesepakatan informasi 884.
A.13.2 N 883. Belum Ada
information antara organisasi dengan 1
.2
transfer pihak ketiga?
889. Informasi yang
dilindungi dalam akses
email oleh Rumah Sakit
887. Bagaimana sudah dilakukan namun
885. 888.
886. Electroni perlindungan informasi belum confident, masih 890.
A.13.2 Ye
c messaging dengan penggunaan dianggap perlindungan 2
.3
email? secara sederhana dengan
membatasi pengiriman
email, dan masuknya
email.
891. 892. Confiden 893. Apakah 894. 895. Kesepakatan non- 896.
A.13.2 tially or non- kesepakatan non- Ye disclosure direview setiap 4
.4 disclosure disclosure direview secara 3 hingga 5 tahun sekali
agreements berkala dan untuk medis yang telah
didokumentasikan? diatur di Undang-Undang
khusus Rumah Sakit.
Sedangkan untuk
dokumntasi salah satunya
dengan menggunakan
CCTV untuk lokasi yang
memang harus diawasi
897.
898. System acquisition, development and maintenance
A.14
899.
900. Security requirements of information systems
A.14.1
905. Analisis dan
spesifikasi kebutuhan
902. Informati dilakukan oleh setiap
901. on security 903. Bagaimana analisis 904. anggota tim IT apabila
906.
A.14.1 requirements dan spesifikasi kebutuhan Ye terdapat laporan
4
.1 analysis and keamanan informasi? munculnya kendala dalam
specification pengamanan informasi
untuk yang berhubungan
dengan jaringan.
911. Belum ada
perlindungan aplikasi pada
908. Securing public networks, karena
907. 909. Bagaimana 910.
application rumah sakit tidak memiliki 912.
A.14.1 perlindungan aplikasi pada N
services on aplikasi yang digunakan 0
.2 public networks?
public networks oleh public (pasien) dan
saat ini hanya memiliki
website saja.
913.
914. Security in development and support processes
A.14.2
919. Setiap unit
computer di Rumah Sakit
dimaintenance oleh bagian
IT. Tidak ada aturan baku
915. 916. System 917. Bagaimana aturan 918. yang tertulis mengenai
920.
A.14.2 change control dan prosedur perubahan Ye perubahan sistem dan
2
.2 procedures sistem dan software ? software. Perubahan dan
penggunaan sistem dan
software dilakukan sesuai
kebutuhan dan akan
dicatat sebagai inventaris.
925. Setiap software
yang ada di Rumah Sakit
selalu dikontrol oleh
bagian IT setiap 6 bulan
922. Restrictio sekali, namun apabila ada
921. 924.
ns on changes 923. Apakah dilakukan kendala dan kerusakan itu 926.
A.14.2 Ye
to software kontrol terhadap software? dilakukan secara 4
.4
packages kondisional. Ada beberapa
software yang terpasang
telah disetting untuk
update automatically,
misalkan antivirus.
931. Kriteria lulus testing
adalah apabila sistem
927. 928. System 930.
929. Bagaimana kriteria yang dibuat sesuai dengan 932.
A.14.2 Acceptance Ye
sistem lulus testing? permintaan user dan 2
.9 Testing
kebutuhan akan
penggunaannya.
933.
934. Test data
A.14.3
939. Testing yang
dilakukan di RS Al-Islam
Bandung khusus
937. Apakah testing pada
935. 938. dikembangkan oleh tim IT,
936. Protectio data dilakukan secara 940.
A.14.3 Ye jadi prosedur dan
n of test data benar, dilindungi dan 3
.1 pelaksanaan telah
dikontrol?
disesuaikan dan jauh lebih
terkontrol daripada
ditangani oleh pihak ketiga
941.
942. Supplier relationships
A.15
943.
944. Information security in supplier relationships
A.15.1
949. Ada perjanjian
dengan pemasok karena
untuk dapat melakukan
947. Apakah perjanjian supply barang diadakan
946. Informati
dengan pemasok harus tender dahulu, setelah
945. on and 948.
mencakup persyaratan tahapan tender dilakukan 950.
A.15.1 communication Ye
untuk mengatasi maka muncul satu 3
.3 technology
risiko keamanan perusahaan pemenang
supply chain
informasi ? dan apply non-disclosure
agreement demi
mengamankan keamanan
informasi
951.
952. Supplier service delivery management
A.15.2
957. Ya karena setiap
954. Monitori pengiriman barang datang
953. 955. Apakah perusahaan 956.
ng and review ada petugas yang 958.
A.15.2 secara teratur memonitor Ye
of supplier fungsinya sebagai check 4
.1 pemasok ?
services barang dan stok yang
masuk
959. 960. Information security incident management
A.16
961.
962. Management of information security incidents and improvements
A.16.1
965. Bisakah pegawai 967. Iya bisa , mereka
964. Reportin Perusahaan melaporkan bisa langsung
963. 966.
g information kelemahan keamanan melaporkannya pada pihak 968.
A.16.1 Ye
security informasi yang mereka IT apabila mereka 4
.3
weaknesses rasakan pada merasakan ada kelemahan
perusahaan ? keamanan informasi
970. Learning
969. from 971. Pernahkah terjadi 972.
973. Pernah jadi namun 974.
A.16.1 information insiden keamanan Ye
hal itu berupa data fisik 4
.6 security informasi ?
incident
975.
976. Information security aspects of business continuity management
A.17
977.
978. Information security continuity
A.17.1
983. Apabila terjadi
bencana alam pihak rumah
980. Planning 981. Bagaimana rencana
979. 982. sakit sudah menempatkan
information Rumah sakit apabila 984.
A.17.1 Ye aset krusial ditempat yang
security terjadi bencana 3
.1 terpisah serta terhalang
continuity alam/bukan alam?
oleh gedung lain tetapi
tetap pada wilayah RS
986. Impleme 987. Apakah ada
985. nting catatan-catatan terdahulu 988.
989. iya ada catatan 990.
A.17.1 information mengenai masalah- Ye
kehilangan aset 4
.2 security masalah terkait IS yang
continuity terjadi di RS?
991.
992. Redundancies
A.17.2
994. Availabili
995. Apakah fasilitas
993. ty of 996. 997. Iya sudah lengkap ,
untuk memproses 998.
A.17.2 information Ye Semua informasi ada
informasi di Rumah Sakit 3
.1 processing dalam Medical Record.
sudah lengkap?
facilities
999.
1000. Compliance
A.18
1001.
1002. Compliance with legal and contractual requirements
A.18.1
1004. Identifica 1007. Aturan internal ada
tion of 1005. Apakah ada dan diatur oleh ketetapan
1003. 1006.
applicable aturan/undang-undang direksi, kemudian yang 1008.
A.18.1 Ye
legislation and tertentu mengenai IS di mengenai RS mengikuti UU 4
.1
contractual Perusahaan? No. 44 Tahun 2009 tentang
requirements rumah sakit
1013. Asset krusial
1011. Bagaimana cara diletakkan secara
1009. 1012.
1010. Protectio Perusahaan melindungi tersendiri dan terpisah 1014.
A.18.1 Ye
n of records aset fisik & non-fisiknya serta terhalang oleh 3
.3
dari bencana? gedung lain tetapi tetap
pada wilayah RS .
1015.
1016. Information security reviews
A.18.2
1018. Independ
1017. 1019. Apakah Perusahaan 1020.
ent review of 1021. Ya ada audit internal 1022.
A.18.2 melakukan review Ye
information setiap 6 bulan sekali 4
.1 independen terkait IS?
security.
1025. Apakah information
systems direview secara 1027. Ya, information
1023. 1024. Tecnical 1026.
periodik supaya system telah direview 1028.
A.18.2 compliance Ye
compliance dg kebijakan secara periodik yaitu 4
.3 review
dan standar keamanan setiap 6 bulan sekali
informasi organisasi.
1029.
1030.
2.9 Audit Findings
1031. PERBANDINGAN HASIL KUESIONER DAN KESIMPULAN
WAWANCARA ATAS MATURITY LEVEL ANNEX
1036.
1034. No
1032.Control A
1038.
N Obj n 1042. 1043.
Aspek 1040. Pernyataan
ecti n R An
1039. 1041.
1033. ves e
1035. x
1037.
1045.
A.5.
1047.
Kebi
Policies
jaka 1046. 1048. Manajemen/pimp
for
n A.5.
1044. infor inan menetapkan 1049. 1050.
Kea 1
1
man .
matio kebijakan keamanan 3 3
n informasi untuk institusi
an 1
securi
Infor
ty
mas
i
1055. Kebijakan
1053. keamanan informasi
A.5. tersebut 1057.
1051. 1052. 1054. 1056. 4
1 dikomunikasikan
2 5 1058.
. kepada pihak-pihak
1 terkait (staf, dosen,
mahasiswa, dsb)
1060.
1062.
A.6.
Informati
Org 1063. Pembagian peran
on
anis 1061. dan tanggung jawab
securi
asi A.6.
1059. ty atas keamanan 1064. 1065.
Kea 1
3
man .
Roles informasi ditetapkan 4 3
and dan dialokasikan
an 1
respo kepada pegawai terkait
Infor
nsibili
mas
ties
i
1069.
Informati
on 1070. Pelaksanaan
1068. manajemen proyek di
securi
A.6.
1066. 1067. ty in institusi 1071. 1072.
1
4
.
proje mempertimbangkan 2 -
ct aspek keamanan
5
mana informasi
geme
nt
1075. 1076. 1077. Penggunaan
A.6. Mobile
1073. 1074. perangkat mobile diatur 1078. 1079.
2 devic
5
. e oleh suatu kebijakan 5 4
1 policy keamanan informasi
1081. 1083.
A.7. Terms 1084. Perusahaan
Hum 1082. and menetapkan kontrak
an A.7. condi dengan pegawai atau
1080. 1085. 1086.
Res 1 tions kontraktor tekait
6 5 4
ourc . of tanggung jawab
es 2 empl keamanan informasi di
Sec oyme institusi
urity nt
1090.
Informati
on 1091. Pengadaan
securi Training untuk
1089.
ty
A.7. memberikan kesadaran
1087. 1088. aware 1092. 1093.
2 (awareness) pegawai
7 ness, 4 4
. akan kebijakan dan
educa
2 prosedur yang relevan
tion
and dengan pekerjaannya
traini
ng
1097.
Terminati
on or
chan 1098. Tugas dan
1096. tanggungjawab
ge
A.7.
1094. 1095. of keamanan informasi 1099. 1100.
3
8
.
empl bagi karyawan yang 4 4
oyme pensiun/berhenti diatur
1
nt dalam suatu kebijakan
respo
nsibili
ties
1102.
A.8.
1103. 1104.
Asse
A.8. Inventory 1105. Aset informasi
1101. t 1106. 1107.
1 of diidentifikasi dan
9 man 5 3
. asset dipelihara oleh institusi
age
1 s
men
t
1111.
1110. Classifica 1112. Informasi yang
1108. A.8. tion dimiliki institusi
1109. 1113. 1114.
1 2 of diklasifikasikan menurut 4 3
. infor legalitas, nilai, dan
1 matio sensitivitasnya
n
1115. 1116. 1117. 1118. 1119. Media penyimpan 1120. 1121.
1 A.8. Disposal informasi dimusnahkan 5 3
3 of dengan aman ketika
. medi tidak diperlukan lagi
2 a
1123. 1126. Kebijakan

1124. 1125. tentang access control
A.9.
1122. A.9. Access
Acc ditetapkan sesuai 1127. 1128.
1 1 contr
ess
. ol dengan kebutuhan 5 3
Cont bisnis dan persyaratan
1 policy
rol keamanan informasi
1132. 1133. Proses formal
1131. User diterapkan untuk
1129. A.9. acces
1130. memberikan dan 1134. 1135.
1 2 s
. provis mencabut hak akses 5 3
2 ionin pengguna pada sistem
g tertentu
1139.
Use of
secre 1140. Setiap pengguna
1138. dipastikan untuk
t
1136. A.9.
1137. authe menjaga informasi 1141. 1142.
1 3
.
nticat otentikasi (password, 5 3
ion dsb) mereka dengan
1
infor aman
matio
n
1146.
1145. Informati 1147. Prosedur login
1143. A.9. on yang benar diterapkan
1144. 1148. 1149.
1 4 acces untuk pembatasan 5 -
. s akses pada informasi
1 restri dan sistem aplikasi
ction
1153.
1152. Policy on
1151. 1154. Penggunaan
A.1 the
A.10.
1150. 0 use of sistem kriptografi yang
Cryp 1155. 1156.
1 . crypt layak untuk keamanan
togr 1 1
1 ograp informasi ditetapkan
aph
. hic dalam suatu kebijakan
y
1 contr
ols
1159.
A.1 1160. 1161. Penggunaan,
1157. 0 Key perlindungan dan masa
1158. 1162. 1163.
1 . mana berlaku kunci (key) 0 -
1 geme kriptografi ditetapkan
. nt dalam suatu kebijakan
2
1164. 1165. 1166. 1167. 1168. Pengamanan 1169. 1170.
1 A.11. A.1 Securing ruangan, kantor dan 5 3
Phys 1 office fasilitas fisik lainnya
ical . s, dilakukan sesuai
& 1 room
prosedur tertentu
Envi . s and
ron
men
faciliti
tal 3
es
Sec
urity
1174.
Protectin
g
1173. again 1175. Perlindungan
A.1 st aset fisik dari bencana
1171. 1 exter
1172. alam, serangan dari 1176. 1177.
1 . nal
1 and luar, dan kejadian 5 4
. envir lainnya dirancang dan
4 onme diterapkan dengan baik
ntal
threat
s
1182. Perlindungan
1180. 1181. peralatan fisik
A.1 Equipme (komputer, server, dsb)
1178. 1 nt
1179. dilakukan untuk 1183. 1184.
2 . siting
2 and mengurangi risiko dari 5 -
. prote ancaman lingkungan,
1 ction hazard dan akses dari
yang tidak berhak
1188.
Separatio
n of
1186. 1187. devel
A.12 A.1 opme 1189. Proses
1185. Ope 2 nt, pengembangan, testing
1190. 1191.
2 ratio . testin dan operasional sistem 4 2
ns 1 g and dilakukan di lingkungan
Sec . opera terpisah
urity 4 tional
envir
onme
nts
1194.
1195. 1196. Perlindungan dari
A.1
Controls
1192. 2 serangan malware
1193. again 1197. 1198.
2 . dilakukan untuk
st 5 3
2 informasi-informasi
malw
. penting
are
1
1201.
A.1 1202. 1203. Proses backup
1199. 2 Informati
1200. dilakukan untuk 1204. 1205.
2 . on
3 backu informasi-informasi 5 4
. p yang penting
1
1208. 1210. Aktivitas user,
A.1 ekspektasi, kesalahan
1209.
1206. 2
1207. Event dan kejadian terkait 1211. 1212.
2 .
4
loggi keamanan informasi 3 3
ng direkam melalui event
.
1 logging
1216.
Installati
1215.
on of 1217. Prosedur instalasi
A.1
softw
1213. 2 tertentu diterapkan
1214. are 1218. 1219.
2 . untuk impelementasi
on 5 3
5 software pada sistem
opera
. operasional
tional
1
syste
ms
1222. 1223. 1224. Prosedur instalasi
A.1 Restrictio tertentu diterapkan
1220. 2 ns on
1221. untuk instalasi software 1225. 1226.
2 . softw
6 are yang dilakukan oleh 5 0
. install pengguna di
2 ation komputernya
1230.
1229. 1231. Persyaratan audit
Informati
A.1 di dalam institusi
on
1227. 2
1228. syste direncanakan dan 1232. 1233.
2 .
7
ms disetujui untuk 5 4
audit meminimalisir risiko
.
contr gangguan
1
ols
1235.
1236.
A.13.
A.1 1238. Jaringan
Com 1237.
1234. 3
mun Network komunikasi dikontrol 1239. 1240.
2 .
icati
1
contr dan dikelola untuk 5 3
on ols melindungi informasi
.
Sec
1
urity
1244.
Informati 1245. Prosedur dan
1243.
on kontrol terkait dilakukan
A.1
transf
1241. 3 untuk menjaga
1242. er 1246. 1247.
2 . keamanan transfer
polici 3 3
2 informasi melalui
es
. fasilitas komunikasi
and
1 institusi
proce
dures
1248. 1249. 1250. 1251. 1252. Analisa 1253. 1254.
3 A.14 A.1 Informati kebutuhan sistem 5 4
Syst 4 on informasi baru maupun
em . securi existing system juga
Acq 1 ty
mempertimbangkan
uisit . requir
ion, 1 emen kebutuhan keamanan
informasi
dev
elop ts
men analy
t, sis
and and
mai speci
ntan ficati
anc on
e
1257.
1258. 1259. Pengembangan
A.1
Secure
1255. 4 software dan sistem
1256. devel 1260. 1261.
3 . dalam organisasi
opme 5 -
2 mengikuti prosedur
nt
. tertentu
policy
1
1264.
A.1 1265. 1266. Penggunaan data
1262. 4 Protectio dalam proses testing
1263. 1267. 1268.
3 . n of sistem dilindungi dan 4 3
3 test dikendalikan dengan
. data benar
1
1272.
Addressi 1273. Aset informasi
1270. 1271. ng yang dapat diakses oleh
A.15 A.1 securi supplier dikendalikan
1269. Sup 5 ty
dan disepakati bersama 1274. 1275.
3 plier . within
Rela 1 suppli dalam suatu perjanjian 0 -
tion . er yang memuat
ship 2 agree persyaratan keamanan
ment informasi
s
1279.
1278. Monitorin
A.1 g and 1280. Institusi
1276. 5 revie memonitor, mereview,
1277. 1281. 1282.
3 . w of dan mengaudit supplier 5 4
2 suppli dalam hal penyampaian
. er layanannya
1 servic
es
1284.
A.16
Infor
mati 1285. 1287. Prosedur dan
1286. pembagian tanggung
on A.1
Responsi
1283. Sec 6 jawab diterapkan dalam
bilitie 1288. 1289.
3 urity . pengelolaan insiden
s and 5 -
Inci 1 keamanan informasi
proce
dent . agar konsisten dan
dures
Man 1 efektif
age
men
t
1293.
Reportin
1292. 1294. Pelaporan
g
A.1 kejadian keamanan
infor
1290. 6
1291. matio informasi dilakukan 1295. 1296.
3 .
1
n dengan cepat dan 5 -
securi melalui saluran/channel
.
ty yang memadai
2
event
s
1298.
1300.
A.17. 1299.
Planning 1301. Keberlangsungan
Busi A.1
infor keamanan informasi
ness 7
1297. matio
cont . direncanakan untuk 1302. 1303.
3 n
inuit 1 mengatasi jika suatu 5 3
securi
y . saat terjadi situasi yang
ty
man 1 merugikan
conti
gem
nuity
ent
1307.
1306. Availabilit
A.1 y of 1308. Fasilitas untuk
7 infor
1304. pemrosesan informasi
1305. . matio 1309. 1310.
3
2 dipastikan tersededia
n 5 3
. Proce sesuai dengan
1 ssing kebutuhan
faciliti
es
1314.
Identifica
tion
of 1315. Pengidentifikasia
1313.
applic n semua persyaratan
A.1
1312. able kontrak, regulasi, dan
8
1311. A.18 legisl
. undang-undang terkait 1316. 1317.
3 Com ation
1 keamanan informasi 5 4
plia and
. dilakukan untuk setiap
nce contr
1 sistem informasi di
actua
l institusi
requir
emen
ts
1321.
Complian 1322. Manager
1320.
ce mereview kesesuain
A.1
with proses dan prosedur
8
1318. securi
1319. . dengan kebijakan 1323. 1324.
4 ty
2 keamanan, standar dan 5 -
polici
. persyaratan keamanan
es
2 lainnya dalam area
and
stand tanggungjawabnya.
ards
1325.
a) Terdapat beberapa perbedaan atas hasil dari kuesioner dan kesimpulan
yang didapatkan dari hasil wawancara. Dari 40 item kuesioner terdapat
24 item penilaian maturity level yang berbeda. Diantaranya yang
memunculkan perbedaan signifikan terdapat pada aspek-aspek sebagai
berikut:
1. Policies for information security

2. Information security Roles and responsibilities
3. Mobile device policy
4. Terms and conditions of employment
5. Inventory of assets
6. Classification of information
7. Disposal of media
8. Access control policy
9. User access provisioning
10. Use of secret authentication information
11. Securing offices, rooms and facilities
12. Protecting against external and environmental threats
13. Separation of development, testing and operational
environments
14. Controls against malware
15. Information backup
16. Installation of software on
operational systems
17. Information systems audit controls
18. Network controls
19. Information security requirements analysis and specification
20. Protection of test data
21. Monitoring and review of supplier services
22. Planning information security continuity
23. Availability of information Processing facilities
24. Identification of applicable legislation and contractual
requirements
25.
b) Dari control yang ada masih terdapat beberapa control yang belum
dilaksanakan seperti cryptography dan supplier relationship. Untuk
problem cryptography pihak Rumah Sakit memang belum melaksanakan
namun sudah memiliki perencanaan untuk penggunaan cryptography
sebagai salah satu perlindungan data. Sedangkan untuk relationship
supplier memang tidak di fasilitasi untuk menggunakan sistem.
26.
27. Conformity
28. Item 29. Analysis Conformity
30. A.5 Kebijakan 31. Terdapat review terkait kebijakan keamanan informasi setiap
Keamanan 6 bulan sekali (A.5.1.2)
Informasi
32. A.6 Organisasi 33. Terdapat kebijakan terkait pengelolaan perangkat mobile
Keamanan dimana pihak IT melarang adanya akses oleh perangkat
Informasi mobile lain ataupun install software secara sembarangan,
selain itu komputer di RS Al-Islam telah di setting sehingga
tidak dapat dimasuki perangkat mobile maupun USB. (A.6.2)
34. A.7 Keamanan Terdapat background checking dan penandatanganan kontrak
Sumber Daya kerja terhadap karyawan yang akan mulai bekerja di RS Al Islam
untuk menjaga keamanan informasi yang dimiliki oleh RS Al-
Islam (A.7.1)
Adanya training yang diberikan oleh pihak IT terhadap
karyawan RS Al-Islam ketika mengeluarkan aplikasi baru dan
adanya pemberitahuan mengenai kebijakan keamanan informasi
yang diterapkan pada RS Al Islam (A.7.2.2)
35. A.8 Manajemen 36. Adanya pemisahan kepemilikan aset (A.8.1.2)
Aset
37. A.9 Kontrol 38. Adanya kebijakan untuk mengubah password setiap 6 bulan
Akses sekali (A.9.4.3)
39. A.11 Keamanan Aset-aset yang berharga dan krusial diletakkan di tempat yang
fisik dan dijangkau dari orang-orang yang tidak memiliki otorisasi
Lingkungan (A.11.1.4)
Maintanance dari bagian IT dengan melakukan pemeriksaan
terhadap equipment yang digunakan untuk mendukung kegiatan
operasional RS Al Islam sebanyak 2 unit/hari (A.11.2.4)
40. A.12 Keamanan Terdapat backup data yang dilakukan setiap hari untuk
Operasional menghindari resiko yang tidak diinginkan (A.12.3.1)
Adanya pelaksanaan audit internal (A.12.7.1)
41. A.13 Keamanan 42. Terdapat review terhadap non-disclosure yang dilakukan
Komunikasi setiap 3 hingga 5 tahun sekali (A.13.2.4)
43. A.14 Akuisisi Adanya analisis dan spesifikasi kebutuhan yang dilakukan oleh
Sistem, setiap anggota IT RS Al Islam apabila terdapat laporan kendala
Pengembangan dalam penggunaan informasi yang berhubungan dengan jaringan
dan Pemeliharaan (A.14.1.1)
Adanya kontrol terhadap software yang dilakukan setiap 6 bulan
sekali (A.14.2.4)
44. A.15 Hubungan 45. Terdapat karyawan yang bertugas untuk mengecek barang dan
Supplier stok yang masuk (A.15.2.1)
46. A.16 Manajemen Adanya akses yang diberikan oleh pihak IT kepada karyawan
Insiden untuk melakukan pelaporan ketika merasakan kekurangan atau
Keamanan kelemahan keamanan informasi (A.16.1.3)
Informasi
47. A.18 Kepatuhan Adanya audit internal dan review terhadap sistem informasi
terhadap Aturan setiap 6 bulan sekali (A.18.2)
Legal dan
Kontraktual
48.
49. Non Conformity
50. Item 51. Analysis Non

Conformity
52. A.14.1.2 Securing application 54. Belum ada perlindungan aplikasi
services on public networks (Maturity : pada public networks, karena rumah
0) sakit tidak memiliki aplikasi yang
53. digunakan oleh public (pasien) dan saat
ini hanya memiliki website saja.
55.
56. A.13.1.3 Segregation in networks 58. Network service, user dan sistem
(Maturity : 0) informasi masih menjadi satu, belum
57. dilakukan pemisahan.Ada pembagian
segmen network dengan menggunakan
blok IP network (dengan white list)
59.
60. A.12.6.2 Restrictions on software 62. Belum ada wewenang untuk
installation (Maturity :0) instalasi software oleh user sendiri,
61. karena hak untuk mengatur instalasi
software dilakukan oleh divisi IT
langsung
63.
64. A.12.1.2 Change management 67. Belum ada kontrol management
(Maturity :0) dikarenakan lingkupnya kecil
65. A.11.2.9 Clear desk and clear 68. Belum ada kebijakan untuk clear
screen policy (Maturity :2) risk paper namun untuk media storage
66. telah dilakukan, namun pihak Rumah
sakit sudah berfikir bahwa hal tersebut
dirasa perlu
69.
70. A.10.1.1 Policy on the use of 72. Belum ada ketetapan
cryptographic controls (Maturity :1) penggunaan cryptography di
71. Rumah Sakit Al-Islam , hal ini
disebabkan karena pihak Rumah
Sakit belum membutuhkan aspek
bagian ini, belum spesifik dan
belum semua. Baru memiliki
rencana untuk 1 bagian
pembuatan cryptography namun
belum dilakukan
73.
74.
75. BAB 3
76. KESIMPULAN dan SARAN
77. Audit Conclusion

78. Kesimpulan
79. Dari hasil Audit yang telah di lakukan oleh Kelompok kami, dapat
di ambil kesimpulan bahwa Sistem pengelolaan Informasi Manajemen
di Rumah Sakit Al-Islam Bandung sejauh ini cukup baik meskipun
pelayanan yang digunakan tidak seluruhnya computerize dan digital
karena masih kebanyakan manual. Sehingga masih ada beberapa
aspek yang masih harus di perhatikan oleh Rumah sakit ini ,namun
fokus yang paling utama dalam hal ini adalah Criptography agar proses
pengelolaan Informasi semakin meningkat Tingkat Kemananannya.
80. Saran
- Apabila pihak rumah sakit telah memiliki layanan sistem yang dapat
diakses oleh publik sebaiknya menggunakan perlindungan seperti
cryptography
- Apabila telah diterapkan sistem untuk supplier lebih baik melakukan
agreement dan perbatasan akses seperti yang telah diterapkan oleh
control-kontrol pada annex iso 27001
- Apabila RS mulai menginginkan perubahan sistem pelayanan dalam
penyimpanan hasil medis pasien secara database maka gunakan
sistem yang memang sesuai dengan kebutuhan dan memiliki tingkat
keamanan yang tinggi, salah satunya dengan karyawan IT yang lebih
berkompeten dan memberikan wawasan lebih ke setiap usernya.
2.10
81. OTHERS
82. Pertanyaan Tambahan
I. PERTANYAAN TAMBAHAN
83. 84. PERTANYAAN 85. 86. JAWABAN
N YA
a
t
a
u
T
I
D
A
K
87. 88. a. Apa ada problem utama 89. 90. Selama rumah
1 yang dihadapi mengenai Tid sakit ini berdiri hingga
keamanan informasi terkait sampai saat ini tidak ada
a
dengan layanan perusahaan kejadian apapun yang
yang diberikan kepada k berkaitan dengan
pelanggan? keamanan informasi.
Karena selama ini RS. Al-
Islam tidak menyediakan
sistem yang dapat
diakses oleh pelanggan
secara langsung. Untuk
kehilangan data fisik
berupa berkas pernah
terjadi namun hal
tersebut bukan masalah
yang berarti.
91. 92. b. Solusi apa yang 93. 94.
dilakukan oleh perusahaan Tid
untuk mengatasi problem
a
utama tsb?
k
95. 96. Ancaman Keamanan 97. 98.
2 informasi
100. a. Apa security 101. 102. Pernah jadi namun
breach/insiden yang pernah Ya hal itu berupa data fisik
terjadi?
104. b. Kapan? Apa 105. 106.
dampaknya? Tid
a
k
108. c. Bagaimana 109. 110.
penanganannya? Tid
a
k
112. d. Bagaimana cara 113. 114. Meningkatkan
mengindari agar tidak terjadi Ya sekuritas dan selalu
ancaman/insiden? memperbaharui sistem
116. e. Apa risiko/information 117.
security threat yang mungkin Ya 118. Pencurian data
terjadi?
120. f. Apakah risiko tersebut 121. 122. Low, karena
dikelompokkan pada tingkat : Ya tingkat keamanan yang
hight, medium dan Low? dilakukan oleh pihak IT
sudah menyeluruh dan
dimonitor setiap saat.
123. 124. Faktor-faktor pendorong 125. 126.
3 penerapan ISM
128. a. Business requirement 129. 130.
(alasan bisnis; misalnya risiko
keberlangsungan bisnis,
persyaratan tender, customer
trust)?
132. 1) Menambah keyakinan 133. 134. Jika mempunyai
keamanan organisasi ? Ya sistem untuk
penyimpanan data
apapun, maka tingkat
pencurian atau
kehilangan dapat
dikurangi. Contohnya,
data rekam medis yang
masih dicatat secara
manual, jadi untuk
mencari data tersebut
jika tertumpuk dan
sudah lama, akan sangat
sulit dicari, berbeda jika
data tersebut sudah
dikomputerisasi, tingkat
keamanan tinggi dan
pencarian data akan
sangat memudahkan.
136. 2) Persyaratan tender ? 137. 138. Metode penilaian
Ya terhadap kualifikasi ini
terdiri atas 2 metode,
yaitu Prakualifikasi dan
Pascakualifikasi.
Pascakualifikasi adalah
proses penilaian
kompetensi dan
kemampuan usaha serta
pemenuhan persyaratan
terhadap
perusahaan setelah pem
asukan dokumen
penawaran. Bahkan
untuk pelelangan umum
untuk pengadaan
barang/jasa
pemborongan/jasa
lainnya, sifatnya adalah
wajib. Prakualifikasi
adalah proses penilaian
kompetensi dan
kemampuan usaha serta
pemenuhan persyaratan
terhadap
perusahaan sebelum pe
masukan dokumen
penawaran. Artinya,
hanya perusahaan yang
memenuhi kualifikasi
yang dapat
memasukkan
penawaran.
140. 3) Customer trust ? 141. 142. jadi kalau
Ya misalkan data pasien
(rekam medis) dapat
terahasiakan oleh pihak
rumah sakit, maka
secara tidak langsung
pihak rumah sakit
mendapatkan nilai lebih
dari konsumen atau
pasiennya.
144. 4) Efisiensi management 145. 146. Jadi rumah sakit
resiko? Ya sudah menerapkan
management resiko, jadi
untuk resiko dari
ancaman atau
kerentanan yang ada
dan yang akan ada
dapat diminimalisir dan
atau terhindar dari
resiko tersebut.
148. b. Legal requirement 149. 150.
(adanya regulasi industri,
regulasi pemerintah)?
152. 1) Regulasi industri ? 153. 154. Karena Rumah
Ya Sakit Al-Islam termasuk
industri kesehatan maka
regulasi industry yang
dikeluarkan oleh pusat
diterapkan oleh pihak
rumah sakit untuk
mendorong
kerberlangsungan bisnis
dan meningkatkan
pelayanan rumah sakit.
156. 2) Regulasi pemerintah ? 157. 158. Karena rumah
Ya sakit al-islam termasuk
di wilayah bandung,
maka regulasi dari
pemerintah bandung
dan pemerintah pusat
(Indonesia) diterapkan
oleh pihak rumah sakit.
159. 160. Faktor-faktor penghambat 161. 162.
4 164. a. Dukungan/kesadaran 165. 166. Top management
top management terhadap Ya sangat mendukung
untuk meningkatkan
security?
sekuritas rumah sakit.
168. b. Budget/biaya yang 169. 170. Karena Rumah
dikeluarkan untuk sistem Ya Sakit Al-Islam ingin terus
berkembang, maka
keamanan?
untuk menambah
keamanan sistemnya
pihak rumah sakit selalu
mendukung untuk
pembelian barang atau
maintanance sistem.
172. c. Budaya organisasi 173. 174. Karena Rumah
apakah sudah security Ya Sakit Al-Islam selalu
mengadakan sosialisasi
awareness?
kepada seluruh
karyawan jika ada suatu
perubahan termasuk
tentang keamanan
rumah sakit.
176. d. Orang (SDM) yg 177. 178. SDM yang dimiliki
kompetensinya atau yg Ya oleh Rumah Sakit Al-
Islam sudah kompeten
mengerti standard? Atau weak
dan sudah
of experienced team? diklasifikasikan ke
bidangnya masing-
masing.
180. e. Apakah sistem yang 181. 182. Kalo secara
ada sudah memadai dan Ya internal untuk
penggunaan rumah sakit
dilengkapi dengan security?
sudah memadai karena
menggunakan metode
waterfall . Tetapi untuk
secara ISO belum
memadai.
184. f. Apakah ada resistant to 185. 186. Jika top
change? Ya management berganti,
maka regulasi yang
lama biasanya berubah
ataupun diperbaharui.
188. g. Indonesian Culture.? 189. 190. Karena tidak
terpengaruh
Tid kebudayaan indonesia,
a karena karyawan Rumah
Sakit Al-Islam bekerja
k
secara profesional.
191. 192. Aset 193. 194.
196. a. Aset apa saja yang 197.- Physical : Gedung Rumah
5
terdapat di perusahaan ini Ya Sakit, Ruang Server, Personal
Computer (PC), Smoke
(Physical, Logical, Administrasi)? 198.
Detector
199.- Logical : Database Karyawan,
200. Database Pasien
- Administrasi : Rekam Medis
Pasien
202. b. Adakah peraturan 203. 204. Semisal untuk
khusus mengenai aset informasi Ya akun karyawan, akun
tersebut tidak boleh
yang diperusahaan?
diberikan ataupun
dipinjamkan ke orang
lain, siapapun itu. Jadi
sifatnya harus rahasia.
206. c. Bagaimana cara 207. 208. Dengan cara
menghindari ancaman yang Ya pemanfaatan CCTV yang
ditempatkan ditempat
ada, baik ancaman secara alami
yang strategis dan
ataupun secara teknis? Satpam yang berjaga
selama 24 jam.
210. d. Terkait aset yang ada 211. - Public : Tempat Parkir,
dibagi kedalam kelompok apa Ya Ruang Tunggu, Ruang
Pendaftaran
saja seperti aset (public, - Internal: CCTV, PC, Server,
internal, rahasia)? Data Karyawan, Data
Pasien
- Rahasia: Rekam Medis
Pasien
213. e. Apakah ada pihak-pihak 214. 215. Karena jika semua
tertentu saja yang dapat Ya orang atau karyawan
dapat mengakses semua
mengakses semua aset
informasi maka dapat
informasi? menjadi sebuah
ancaman (pencurian
data). Jadi yang berhak
untuk mengakses semua
aset informasi yaitu top
menagement dan orang
IT.
217. f. Adakah prosedur untuk 218. 219. Contohnya untuk
membuang aset yang sudah Ya harddisk. Jika harddisk
yang pernah digunakan
tidak digunakan?
untuk menyimpan
database maka harddisk
tersebut tidak akan
dijual atau dibuang akan
tetapi harddsik tersebut
disimpan oleh rumah
sakit. Tetapi untuk aset
yang bersifat sekali
semisal kursi, maka
akan dijual.
220.
221.
222. LAMPIRAN 1
223. Bukti Scan Surat Pengantar Tugas
224.
225.
226.
227. LAMPIRAN 2
228. SCAN KUESIONER
229.
230.
231.
232.
233.
234.
235.
236.
237.
238.
239.
240.
241.
242.
243.
244. DOKUMENTASI WAWANCARA
245. Bersama Bp. Mulyahadi

246.
247.
248.
249.
250.
251. Ruangan Sistem Informasi RS. Al-Islam Bandung

252. (Gedung Barat Lt.4)

Audit Security Rumah Sakit

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Audit Security Rumah Sakit

Enviado por

Direitos autorais:

Formatos disponíveis

LAPORAN HASIL AUDIT

RUMAH SAKIT AL-ISLAM BANDUNG

MANAJEMEN BISNIS TELEKOMUNIKASI INFORMATIKA

Bandung, 5 Mei 2015

1.1 Executive Summary

Audit atau pemeriksaan adalah evaluasi terhadap suatu organisasi,

Objek yang digunakan adalah Rumah Sakit Al-Islam Bandung yang

1.2 Latar Belakang

Adapun hal tersebut terbukti dalam kejadian-kejadian dan fenomena yang

a. Kasus penculikan bayi yang terjadi di Rumah Sakit Hasan Sadikin

c. Kasus tertukarnya isi obat anestesi Buvanest Spinal dengan asam

1.3 Company Profile

1.3.3 Nilai-nilai Perusahaan

1.3.4 Logo Rumah Sakit

1994 Juara III RS Sayang Bayi Tingkat Propinsi Jawa Barat.

Rumah Sakit Al Islam Bandung telah mendapatkan akreditasi 'Lulus

1. Administrasi dan Manajemen 9. Pelayanan Laboratorium

2. Pelayanan Medis 10. Pelayanan Kamar Operasi

3. Pelayanan Gawat Darurat 11. Pelayanan Pengendalian Infeksi

18. Didalam struktur Organisasi Rumah Sakit Al-Islam Bandung, bidang-

2.1 Configuration Network

27. Konfigurasi jaringan di RS Al-Islam Bandung dapat dilihat seperti

440. Apakah telah

617. Salah satu kebijakan

633. Kepemilikan aset

1123. 1126. Kebijakan

1. Policies for information security

49. Non Conformity

50. Item 51. Analysis Non

77. Audit Conclusion

245. Bersama Bp. Mulyahadi

251. Ruangan Sistem Informasi RS. Al-Islam Bandung

Você também pode gostar