Escolar Documentos
Profissional Documentos
Cultura Documentos
Disusun Oleh :
Bebyta Eka Apriliyanti 1201124051
Devinta Amalia Suci 1201120130
Faisal Nuruz 1201120093
M. Garibaldi Mirza 1201120369
Muhammad Najib 1201120187
Rachma Kartika Andini 1201124301
ISA-A Kelompok 1
2015
KATA PENGANTAR
Assalamualaikum wr.wb
Segala puji bagi Allah SWT yang telah melimpahkan rahmat-Nya kepada kami sehingga
dapat menyelesaikan Laporan penelitian tentang Audit berdasarkan ISO 270001 pada Rumah
Sakit Al-Islam Bandung yang kami susun untuk melengkapi salah satu tugas dari mata kuliah
Information Security Audit (ISA).
Dalam laporan ini kami membahas hasil observasi dan wawancara yang berkaitan
dengan ISO 27001 yang terdiri dari Main Clause , Annex dan Risk Assesment . Dalam
menyelesaikan analisis ini, kami telah melakukan kerjasama kelompok yang terdiri dari 6 orang
dan mendapat bantuan dan masukan dari berbagai pihak dan sumber. Oleh karena itu, dalam
kesempatan ini penulis ingin menyampaikan terima kasih kepada:
1. Bapak Candiwan selaku Dosen mata kuliah Information Security Audit (ISA) yang telah
membimbing dan mengajarkan kepada kami mengenai tata cara dan pengetahuan untuk
melakukan audit dan segala yang berkaitan dengan audit.
2. Bapak Mulyahadi dan Bapak Asep sebagai Tim IT Rumah Sakit Al-Islam Bandung yang
telah membantu untuk memberikan informasi mengenai berbagai macam pertanyaan yang
diajukan oleh tim yang telah diterapkan dalam kegiatan proses bisnis di Rumah Sakit Al-
Islam Bandung.
3. Teman-teman kelas ISA A yang telah memberikan kritik dan saran yang mendukung dalam
proses pembuatan laporan ini ,sehingga menjadikan kami termotivasi dalam
menyelesaikan laporan
Laporan ini tidak menutup kemungkinan adanya kesalahan baik dari bentuk penyusunan
maupun materinya. Sangat diharapkan kritik konstruktif dari pembaca kami untuk perbaikan di
masa mendatang. Akhir kata semoga makalah ini dapat memberikan manfaat kepada kita semua.
Wassalamualaikum wr.wb
DAFTAR ISI
Kata Pengantar................................................................................... 2
2 | Page
Daftar Isi............................................................................................. 3
BAB I
1.1....................................................................................................Executi
ve Summary ............................................................................... 4
1.2....................................................................................................Latar
Belakang ..................................................................................... 4
1.3....................................................................................................Compa
ny Profile...................................................................................... 5
BAB II
2.1....................................................................................................Configu
ration Network.............................................................................12
2.2....................................................................................................Audit
Report
2.2.1.........................................................................................The
audit objective.....................................................................13
2.2.2.........................................................................................The
audit scope..........................................................................13
2.2.3.........................................................................................The
identification of the audit client...........................................13
2.2.4.........................................................................................The
identification of the audit team members............................14
2.2.5.........................................................................................The
dates and places of audit activities......................................14
2.2.6.........................................................................................The
audit criteria.........................................................................15
2.3....................................................................................................Audit
Analysis
2.3.1.........................................................................................Profil
Perusahaan..........................................................................15
2.3.2.........................................................................................Risk
Assesment (praktisi dan akademisi)....................................16
2.3.3.........................................................................................Main
Clause..................................................................................19
2.3.4.........................................................................................Annex
27001...................................................................................23
2.4......................................................................................................Audit
Findings
2.4.1.........................................................................................Hasil
Kuesioner.............................................................................37
2.4.2.........................................................................................Comfor
mity......................................................................................43
3 | Page
2.4.3.........................................................................................NonCo
mformity..............................................................................44
BAB III
3.1....................................................................................................Audit
Conclusion...................................................................................46
Others.................................................................................................47
Lampiran Scan Surat...........................................................................52
Lampiran Scan Kuesioner ...................................................................53
Bukti Gambar......................................................................................59
4 | Page
BAB I
PENDAHULUAN
5 | Page
Rumah Sakit merupakan sebuah institusi pelayanan kesehatan yang
menyelenggarakan pelayanan kesehatan yang menyediakan pelayanan
rawat inap, rawat jalan, dan gawat darurat dengan tujuan untuk
meningkatkan taraf kesehatan masyarakat. Dalam operasionalnya, terdapat
beberapa hal penting yang harus diperhatikan oleh Rumah Sakit, yaitu
Keamanan bangunan dan Keamanan informasi pasien (rekam medis). Kedua
hal tersebut merupakan hal yang harus diperhatikan, karena di Indonesia,
pernah terjadi kasus di dalam Rumah Sakit yang berkaitan dengan masalah
tersebut.
(sumber:
http://www.tempo.co/read/news/2014/03/31/058566649/Penculikan-
Bayi-YLKI-Akibat-Rumah-Sakit-Cuek, Diakses pada 24 Maret 2015 ).
b. Dugaan pembocoran rekam medis yang terjadi pada salah satu Rumah
Sakit di Banyumas, sehingga menyebabkan adanya pencemaran nama
baik bagi Rumah Sakit yang dituduh.
(sumber: http://koran.tempo.co/konten/2005/05/06/39578/Direktur-RS-
Jadi-Tersangka-Pembocoran-Rekam-Medis , Diakses pada 24 Maret
2015 ).
(sumber:
http://lipsus.kompas.com/topikpilihanlist/3446/1/kasus.anestesi.di.rs.sil
oam , Diakses pada 30 April 2015)
6 | Page
Dari beberapa kasus dan fenomena yang terjadi di beberapa rumah sakit di
Indonesia membuat tim ingin melakukan audit pada rumah sakit Al-Islam
Bandung untuk mengetahui apakah kejadian-kejadian seperti diatas pernah
dialami oleh Rumah Sakit Al-Islam Bandung sebagai objek. Rumah sakit Al-
Islam merupakan salah satu rumah sakit islam terbesar di Bandung, dimana
data pasien dan record mengenai privasi kesehatan yang penting harus
tersimpan demi menghindari adanya risiko dari pihak-pihak yang tidak
bertanggung jawab. Maka audit dilakukan dengan standard dan aturan yang
berlaku berdasarkan ISO 27001.
7 | Page
tahun 2003 pula, RSAI memiliki fasilitas Medical Check Up Centre. Setahun
kemudian (Tahun 2004) Gedung Unit Gawat Darurat Direnovasi.
Pada tahun 2007, dilakukan pembangunan Rawat Inap Perinatologi dan
Rawat Intensif (HCU). Pada awal 2008, dilakukan pembangunan perkantoran,
ruang dokter, dan ruang kantor perawatan. Pertengahan 2008, dilakukan
renovasi dan refungsi gedung rawat inap Firdaus lantai 3. Pertengahan 2008-
2009, dibangun Gedung Pelayanan Rawat Jalan dan P3D UNISBA, Gedung
Pelayanan Rehabilitasi Medik dan Poliklinik Tumbuh Kembang Anak. Pada
2012 dibangun Gedung Pelayanan Hemodialisa dan Klinik Stroke
Kepemilikan Insani
Dokter Gigi 4 orang Radiografer 7 orang
Dokter Umum 14 orang Sanitarian 2 orang
Dokter Spesialis 20 orang Teknisi Elektromedis 1 orang
Perawat 360 orang Terapis Wicara 2 orang
Perawat Gigi 6 orang Ahli Gizi 7 orang
Bidan 26 orang Analis Kesehatan 19 orang
Perekam Medis 4 orang Manajemen 75 orang
8 | Page
1.3.2 Visi dan Misi
VISI
MENJADI RUMAH SAKIT YANG UNGGUL, TERPERCAYA DAN ISLAMI
MISI
Melaksanakan dan menerapkan nilai-nilai Islam ke dalam seluruh aspek
pelayanan maupun pengelolaan rumah sakit.
Mendukung dan membantu program pemerintah dalam bidang kesehatan
Melakukan kerjasama lintas sektoral dan ikut berperan aktif dalam upaya
meningkatkan derajat kesehatan masyarakat
Melaksanakan pelayanan kesehatan dengan memberi kepuasan kepada
konsumen sehingga melebihi apa yang diharapkan
Mengembangkan kemampuan dan meningkatkan kesejahteraan sumber
daya manusia yang dimiliki
MOTTO
Internal
Cepat , Ramah, Profesional dan Islami
External
Sahabat Anda Menuju Sehat Bermanfaat
Budaya
RS Al-Islam Bandung adalah sarana kami untuk beramal dengan ikhlas
untuk mencari ridla Allah SWT.
Kesungguhan, kejujuran, keramahan, loyalitas, disiplin dan inovatif, adalah
karakter kami.
Meningkatkan profesionalisme adalah bagian hidup kami.
Efektifitas dan efisiensi selalu kami upayakan tanpa meninggalkan azas
kemanusiaan.
Kepuasan konsumen adalah prioritas kami.
Berprasangka baik dan memuliakan orang lain adalah jiwa kami.
Kesabaran, keterbukaan, ketauladanan dan keadilan adalah watak
kepemimpinan kami.
9 | Page
Gambar 1.1
Falsafah RS Al-
Islam
Bandung
(Sumber : data
primer hasil
observasi RS Al-
Islam
Bandung )
Gambar 1.2
Logo RS Al-Islam
(Sumber : website http://www.rsalislam.com )
Rumah sakit Al-Islam Bandung merupakan rumah sakit islam terbesar di
Bandung. Dimana mereka memiliki asas-asas dan aturan yang berpegang
teguh pada keislaman. Logo dari Rumah sakit al-islam berdesain simple
dimana terdapat bulan sabit merah dengan background hitam yang
berarti berasaskan tauhid dan mengutamakan keselamatan pasien
dengan cinta pada islam. Dan hidup bermanfaat dengan unggul
terpercaya dan islam.
10 | P a g e
1.3.5 Prestasi dan Akreditasi Rumah Sakit Al-Islam Bandung
Prestasi
Rumah sakit Al-Islam Bandung memiliki banyak prestasi di dunia kesehatan
dan rumah sakit untuk menunjukkan keunggulannya , diantaranya :
11 | P a g e
Akreditasi
17.
1.3.6 Struktur Organisasi
1. Bagian IT
2. Bidang Pelayanan Medis 1
3. Bidang Pelayanan Medis 2
4. Bidang Pelayanan Umum
5. Bidang Administrasi Umum
6. Bidang Keuangan dan Administrasi
7. Bidang Rumah tangga
8. Wakil Direktur, dan
9. Komite
12 | P a g e
19. Bagian IT tidak masuk dalam struktur Organisasi tetapi bagian IT
sudah termasuk dibawah Wakil Direktur Umum dan Keuangan.
13 | P a g e
20.
21. BAB 2
22. PERENCANAAN AUDIT
23.
24.
25. Gambar 2.1
26. Konfigurasi Jaringan RS Al-Islam Bandung
1. Saat ini RS Al-Islam Bandung tidak menyewa ISP dari luar, namun pihak
Rumah Sakit mengembangkan sendiri jaringannya melalui divisi IT nya.
2. RS Al-Islam Bandung menggunakan jaringan LAN untuk
mengkomunikasikan data pada computer client setiap bagian di rumah
sakit. Datanya terhubung juga untuk manajemen rumah sakit, front office,
back office dan pihak eksternal seperti investor.
28. RS Al-Islam Bandung belum mengembangkan VLAN yang bisa
mendukung kenyamanan pasien/tamu apabila menggunakan
gadget/mobile
3. Perangkat untuk penggunaan LAN yang digunakan oleh RS.Al-Islam
Bandung diantaranya :
a) Komputer server
b) Work station
c) UTP
d) LAN Card
e) Switch
f) Router
2.2 The Audit Objective
29. Audit atau pemerikasaan merupakan dapat diartikan sebagai
suatu evaluasi terhadap suatu organisasi, sistem, proses atau produk.
Audit dilkakuan dengan tujuan untuk melakukan verifikasi bahwa subjek
dari audit telah diselesaikan atau sesuai dengan standar, regulasi dan
praktik yang telah disetujui dan diterima.
30. Dalam lingkup information security management system,
audit dilakukan untuk mengukur dan mengevaluasi pengendalian internal
dalam hal perlindungan sistem. Tujuan audit pada information security
management system adalah :
a. Mendapat kesimpulan mengenai kesesuaian aspek aplikasi
pengamanan informasi dengan karakteristik informasi, yaitu
confidentiality, integrity dan availability.
b. Memeriksa apakah peraturan-peraturan yang dibuat telah diterapkan
oleh semua pihak dalam organisasi.
c. Melihat performa dari penerapan Information Security Management
System dengan memperhatikan effectiveness dan efficiency.
31. Audit yang dilaksanakan pada RS Al Islam Bandung ini
bertujuan untuk megidentifikasi keseluruhan kegiatan, program dan
aktivitas yang berhubungan dengan information security management
system yang dikelola oleh pihak RS Al Islam agar dapat mencapai tujuan
seperti yang telah dijelaskan di atas. Selain itu, audit ini dilakukan untuk
mengetahui apa saja yang tidak sesuai dengan peraturan yang telah
ditetapkan, sehingga RS Al Islam dapat melakukan evaluasi dan
memperbaiki sistem keamanannya.
2.3 Audit Scope
32. Ruang lingkup audit menunjukkan luas (area) dari tujuan audit, yaitu
membatasi lingkup apa saja yang akan diaudit, bagian apa saja yang
diaudit, dan standar apa yang digunakan. Pada laporan ini, yang diaudit
adalah keamanan informasi yang ada di Rumah Sakit Al-Islam Bandung.
2.4 The Identification of Audit Clients
Audit Client Name : RS Al Islam Bandung
Audit Client Address : Jl. Soekarno-Hatta, No. 644 Bandung
Audit Client Speaker : Bapak Mulyahadi dan Bapak Asep ( Divisi IT
)
33.
2.5 Audit Team Members
34. The Identification of The Audit Team Members
35. Lead Auditor : Faishal Nuruz Zuhri
36. Vice Lead Auditor : Muhammad Hizbun Najib
37. Member :
38. Bebyta Eka Apriliyanti
39. Devinta Amalia Suci
40. M. Garibaldi Mirza N
41. Rachma Kartika Andini
42.
2.6 Audit Activities
43. Date 44. Place 45. Hour Spent 46. Informa
tion (%)
47. 20 48. Ruang 49. 1,5 hour 50. 45%
Februari 2015 Kantor IT RS.Al- interview
Islam Bandung
51. 27 April 52. Ruang 53. 1 hour 54. 55%
2015 Kantor IT RS.Al- interview
Islam Bandung
2.7 Audit Criteria
55.
a) Main Clause 27001
b) Annex 27001
56.
2.8 Audit Analisis
57. Profil Perusahaan
58.
N 59. ITEM 60. SATUAN
61.
62. Perusahaan 63.
A
64.
66. Rumah Sakit
65. Nama Perusahaan
Al-Islam
67.
68. Jumlah pegawai total 69. 547 orang
70.
71. Jumlah pegawai IT 72. 6 orang
73.
74. Persentasi budget untuk IT
75. 7%
dari total anggaran
76.
77. Layanan yang dijual 78. Jasa Kesehatan
79.
80. Jumlah pelanggan sesuai
81.
layanan
82.
83. Usia perusahaaan 84. 25 Tahun
85.
86. Mayoritas rentang usia 87. 24 tahun 55
pegawai (staff) tahun
88.
89. 90.
91.
92. Rumah Sakit 93.
96. 1000/hari
94.
95. Jumlah rata2 pasien per rawat jalan
bulan 97. 30/hari rawat
inap
98. 99. Jumlah pasien yg 100. 1000/hari
menggunakan layanan per rawat jalan
101. 30/hari rawat
bulan :
inap
102.
103. Jumlah pegawai rumah sakit
104. 547 orang
(dokter, staff, suster dll)
105. 107. 6 orang / 1%
106. Jumlah pegawai IT / persen
dari jumlah seluruh
pegawai yg menangani IT
pegawai
108.
109. Risk Assessment ( Praktisi )
110. ASSET 111. THREA 112. VULNA 113. 114. CONTROL 115. 116.
T BILITY PROBABI IMPACT RISK
LITY
117. 118. 120. 121. 122. 123. 124. 125. 126. 127. 128. 129. 130.
ASSE ASSET THREA SEVE VULNAB SEV L S EXISTING ANNEX R RI
T VAL T R ILIT E CONTR IS
UA I Y R OL O2
TIO T I 70
N Y T 01
119. Y
(CIA) O
F O
F
T
H V
R U
E L
A N
T E
R
A
B
I
L
I
T
Y
131. 132. 133. 134. 135. 136. 137. 138. 139. 140. 141. 142. 143.
144. S 145.3+ 146.Keb 147.3 148.Tida 149.3 150. 151. 152.Adanya 153.A.1 154.Laya 155. 156.
er 2+ aka k M 1 alat 7 nan 6 Me
v 2 ran ada pemada Inf intern
er =7 , Insta m api or et
ge lasi ringan ma terga
mp Fire (APAR) tio nggu
a Dete di n
bu ctor, ruanga sec
mi , Eath n. urit
ban quar y
jir ke asp
Dete ect
ctor , s of
dan bus
Siste ine
m ss
Moti con
on tin
Dete uit
ctor y
thief ma
na
ge
me
nt
157.U 158.2+ 159.He 160.2 161.Kabe 162.3 163. 164. 165.Proses 166. A. 167.Siste 168. 169.
P 3+ wa l M 2 Kontrol 17 m 9
S 3= n pelin rutin Inf Oper Me
8 pen dung Secara or asi
ger terb manual ma Ruma
at uat terhada tio h
(tik dari p area n Sakit
us) mate sekitar sec terga
ri UPS urit nggu
yang oleh y jika
mud Pegawai asp terjad
ah di Teknisi ect i mati
kerat dan s of listrik
oleh Satpam bus
tikus Rumah ine
Sakit ss
con
tin
uit
y
ma
na
ge
me
nt
170.Pe 171.2+ 172.Pen 173.3 174.Tida 175.2 176. 177. 178.Kunci 179.A.1 180.kehila 181. 182.
ra 2+ curi k M 1 perizina 1 ngan 4 Lo
n 3= an mela n Phy peran
gk 7 Ker kuka masuk sic gkat
at usa n akses al komp
K kan peng komput an uter
o ama er d yang
m nan En dapat
p seca vir meng
ut ra on hamb
er fisik me at
sepe nta prose
rti l s
pem Sec pelay
berik urit anan
an y bisnis
kera karen
ngka a
trails peran
pada gkat
kom yang
pute hilan
r g
mem
butuh
kan
wakt
u
untuk
pemu
lihan
183.G 184.1+ 185.Mat 186.3 187.Keter 188.2 189. 190. 191.Staff 192.A.1 193.Laya 194. 195.
e 2+ i bata H 3 Teknisi 1 nan 1 Hig
ns 3= listr san rutin Phy Ruma
et 6 ik daya melaku sic h
taha kan al Sakit
n kontrol an secar
ener terhada d a
gy p En kesel
pada perform vir uruha
Gens a on n
et Genset me terga
nta nggu
l dan
Sec menu
urit runka
y n
prose
s
pertu
karan
Infor
masi
dan
data.
196.
197. ASSET 198. THREA 199. VULNA 200. 201. CONTROL 202. 203.
T BILITY PROBABI IMPACT RISK
LITY
204. 205. 207. 208. 209. 210. 211. 212. 213. 214. 215. 216. 217.
ASSE ASSET THREA SEVE VULNAB SEV L S EXISTING ANNEX R RI
T VAL T R ILIT E CONTR IS
UA I Y R OL O2
TIO T I 70
N Y T 01
206. Y
(CIA) O
F O
F
T
H V
R U
E L
A N
T E
R
A
B
I
L
I
T
Y
218.D 219.3+ 220.Pen 221.3 222.Kura 223.3 224. 225. 226.Memas 227.A.9 228.Prose 229. 230.
at 2+ curi ngny M 1 ang Acc s 7 Me
a 3= an a CCTV ess bisnis
b 8 peng Co di
as ama ntr ruma
e nan ol h
S fisik sakit
ys mau tidak
te pun berjal
m logic an
sepe lanca
rti r
encr karen
ypsi a
untu datab
k ase
mas terga
uk nggu,
ke baik
siste untuk
m intern
al
maup
un
ekste
rnal
231.
3. AFTER ACTION PLAN 4. RESIDUAL RISK
8. SEVER 9. PRO
11. RI
ITY BAB 10. RIS
1. Asset 2. ACTION PLAN SK
7. SEVERITY OF ILIT K
LE
OF RISK VULN Y SCO
VE
ERABI SCO RE
L
LTIY RE
13. Pemasangan APAR di 18. Lo
12. Server 14. 1 15. 1 16. 1 17. 7
setiap ruangan w
20. Menjaga Kebersihan
25. Lo
19. UPS Lokasi dan Pengontrolan 21. 1 22. 2 23. 1 24. 16
w
alat secara Rutin
26. Perangk
at
27. 28. 29. 30. 31. 32.
Kompute
r
34. Penambahan Daya tahan 39. Lo
33. Genset 35. 2 36. 1 37. 1 38. 12
Energi w
41. Mendesain ulang sistem
database dengan
menambahkan fitur
40. Databas enkripsi seperti
46. Lo
e cryptography dan 42. 1 43. 1 44. 1 45. 8
w
System melakukan pengamanan
fisik disekitar area
database untuk
menghindari pencurian
232.
233. Risk Assesment ( Akademisi )
235. 236. Low 237. Mediu 238. High
234. Threat m
240. 241. 242. 243. 244. 245. 246. 247. 248. 249.
Vulnerab L Me Hi L Me H L Me H
250.
251. Na 253. 254. 255. 256. 257. 258. 259. 260. 261. 262.
N
ma Aset
263. 264. Ge 266. 267. 268. 269. 270. 271. 272. 273. 274. 275.
1 nset 0 0 - - - - - - - -
277. Da 252.
276. 279. 280. 281. 282. 283. 284. 285. 286. 287. 288.
tabase Aset
2 0 0 - - - - - - - -
Sistem Va
290. Per lu
289. 292. 293. 294. 295. 296. 297. 298. 299. 300. 301.
angkat e
3 1 - - - - - - - 4 -
Komputer
302. 303. Se 305. 306. 307. 308. 309. 310. 311. 312. 313. 314.
4 rver 1 - - - 2 - - - - -
315. 316. UP 318. 319. 320. 321. 322. 323. 324. 325. 326. 327.
5 S 0 - 1 - - - - - - -
328.
329. Penjelasan :
Genset pada risk assessment secara praktisis memiliki high risk sedangkan secara akademisi memiliki nilai
low risk
Database Sistem pada risk assessment secara praktisis memiliki medium risk sedangkan secara akademisi
memiliki nilai low risk
Perangkat Komputer pada risk assessment secara praktisis memiliki low risk sedangkan secara akademisi
memiliki nilai high risk
Server pada risk assessment secara praktisis memiliki medium risk sedangkan secara akademisi memiliki
nilai low risk
UPS pada risk assessment secara praktisis memiliki medium risk sedangkan secara akademisi memiliki
nilai medium risk
330.
331. MAIN CLAUSE ISO 27001
334. 336.
YE Maturit
S y
332. Main Lev
Clausure 333. Pertanyaan o 335. Jawaban el
ISO27001 r 337.
(diisi 0
N sd
o 5)
339.
338. 4 Context of the organization
342. Apakah perusahaan 344. RS Al-Islam melakukan
341. Und
telah melakukan identifikasi permasalahan internal
erstanding
340. identifikasi permasalahan serta eksternal yang dilakukan
the 343. 345.
4 internal dan eksternal setiap 6 bulan sekali dengan audit
organizatio Yes 3
yang mempengaruhi intenal yang hasilnya
n and its
kemampuan perusahaan didokumentasikan dan
context
dalam mencapai tujuan? ditindaklanjuti action plannya.
356. Pihak yang berkepentingan
dengan sistem informasi RS Al-
354. Siapa saja pihak Islam yaitu bagian IT, Bid
yang berkepentingan 355. Pelayanan Medis 1 dan 2, Bid 357.
dengan sistem manajemen Yes Pelayanan Umum, Bid Administrasi 3
353. Und keamanan informasi? Umum, Bid Keuangan dan
erstanding Administrasi, Bid. Rumah tangga,
352.
the needs Wadir, Komite
4
and 374. Tidak persyaratan karena
expectatio pihak tersebut memang harus
ns 372. Apa saja berhubungan dengan sistem
persyaratan untuk pihak 373. informasi namun ada aturan-aturan 375.
yang berkepentingan No tertentu yang wajib dipatuhi 1
tersebut? contohnya PC yang digunakan
hanya untuk kepentingan bisnis
bukan yang lain
383. Det
ermining
384. Apakah organisasi
the scope
382. telah menetapkan batas- 386. Batasan-batasan telah
of the 385. 387.
4 batas keamanan dalam ditetapkan dan disesuaikan dengan
informatio 3
menetapkan ruang lingkup undang-undang khusus RS
n security
usahanya?
managem
ent system
398. Perusahaan tidak
395. Infor 396. apakah perusahaan
menetapkan standar keamanan
394. mation telah menetapkan standar
397. informasi namun mengikuti 399.
4 security informasion security?
No regulasi untuk industri rumah sakit 1
managem Apakah standar tersebut
swasta yang dikeluarkan oleh
ent system telah diimplementasikan?
pemerintah
412. 5. Leadership
414. Lea
417. Jajaran Top management
413. dership 415. apakah Top
416. seperti Direktur, Wadir, Komite SMF 418.
5 and management telah aware
Yes dan SPI telah aware dengan 3
Commitme terhadap kebutuhan ISMS?
kebutuhan ISMS
nt
423. Review terhadap kebijakan
yang telah dibuat dilakukan ketika
419. 421. apakah telah
420. Polic 422. terjadi kitidaksamaan dengan 424.
5 dilakukan review terhadap
y Yes regulasi pemerintah atau terjadi 3
kebijakan yang dibuat?
insiden yang dampaknya besar
terhadap bisnis
426. Org
427. apakah ISMS
anizational 429. Tidak karena RSAI hanya
425. organisasi sudah sesuai
roles, 428. mengikuti regulasi nasional yang 430.
5 dengan standar
responsibil No dikeluarkan oleh pemerintah untuk 1
Internasional yang
ities and industri RS swasta
berlaku?
authorities
431. 6. Planning
432. 433. Acti 434. apakah manajemen 435. 436. Ya manajemen telah 437.
6 ons to telah mengantisipasi isu- Yes mengantisipasi isu-isu terkait ISMS 1
isu terkait ISMS?
542. ANNEX
548.
MATURI
546.
543. TY
544. Aspek 545. Pertanyaan Y 547. Jawaban
No LEVE
L1
sd 5
549.
550. Information security policies
A.5
551.
552. Management direction for information security
A.5.1
557. Kebijakan tentang
keamanan informasi (ISMS)
bersifat secara global dan
555. Bagaimana
sudah di publikasikan
kebutuhan perusahaan
553. 554. Policies 556. kepada seluruh bagian RS.
akan regulasi dan 558.
A.5.1. for information Ye Tidak melibatkan pihak
kebijakan tentang 3
1 security eksternal untuk melakukan
Information Security
pengamanannya,
Management System?
melainkan diserahkan
kepada bagian IT yang ada
di RS Al-Islam
563. Rumah sakit Al-
560. Review Islam Bandung telah
559. 561. Apakah dilakukan 562.
of the policies melakukan review 564.
A.5.1. review terhadap kebijakan Ye
for information terhadap kebijakan yang 4
2 yang dibuat?
security dibuat setiap 6 bulan
sekali
565.
566. Organization of information security
A.6
567.
568. Internal organization
A.6.1
573. Tanggungjawab
mengenai hal - hal yang
berkaitan dengan
keamanan informasi
seperti keamanan
database merupakan
tanggungjawab dari bagian
571. Apakah semua
570. Informati IT, namun pihak IT tidak
569. tanggung jawab 572.
on security memiliki konten data, 574.
A.6.1. keamanan informasi Ye
Roles and kepemilikan atas aset - 3
1 ditetapkan dan
responsibilities aset informasi diserahkan
dialokasikan ?
kepada unit - unit yang
bersangkutan. Unit - unit
tersebut memiliki otoritas
dan bertanggungjawab
atas perubahan (contoh :
input atau update)
informasi yang dimiliki
575.
576. Mobile devices and teleworking
A.6.2
577. 578. Mobile 579. Bagaimana tindakan 580. 581. Terdapat kebijakan 582.
A.6.2. device policy pengelolaan security Ye tentang pengelolaan 4
1 dengan perangkat mobile perangkat mobile dimana
pihak IT melarang adanya
akses oleh perangkat
mobile lain maupun install
sembarangan. Perangkat
komputer RS sudah di
setting agar tidak dapat
digunakan untuk dimasuki
perangkat mobile ataupun
USB (flashdisk tidak
dikenal), apabila ada yang
mencoba melanggar ada
tindakan penyitaan oleh IT
583.
584. Human resource security
A.7
585.
586. Prior to employment
A.7.1
591. Rumah sakit Al-
Islam selalu melakukan
pengecekan latar belakang
terhadap karyawan yang
587. 589. Apakah dilakukan 590.
588. Screenin akan bekerja disana 592.
A.7.1. pengecekan latarbelakang Ye
g melalui lampiran berkas 4
1 dari karyawan?
kerja sebelumnya ataupun
pendidikannya, dengan
tambahan keterangan
SKCK dari kepolisian.
597. Tahap selanjutnya
setelah penerimanaan
karyawan yakni
penandatanganan kontrak
kerja dimana terdapat
pasal mengenai tanggung
595. Bagaimana
jawab untuk menjaga
593. 594. Terms perjanjian kontrak dengan 596.
keamanan segala 598.
A.7.1. and conditions karyawan terkait Ye
informasi dari Rumah Sakit 4
2 of employment tanggungjawab
Al-Islam dan terdapat
information security?
sanksi apabila terjadi
pelanggarannya. Kebijakan
tersebut telah diatur
dalam aturan RS untuk
seluruh jenis pekerjaan
yang ada di dalamnya.
599.
600. During employment
A.7.2
605. Karyawan memang
diwajibkan untuk
603. Apakah manajemen
melaksanakan kebijakan
601. 602. Manage mewajibkan karyawan 604.
informasi keamanannya, 606.
A.7.2. ment melakukan information Ye
misalnya yang memang 3
1 responsibilities security terkait kebijakan
setiap berkala pihak RS
yang dibuat?
melakukan pengingatan
untuk hal tersebut.
607. 608. Informati 609. Apakah karyawan 610. 611. Selalu diadakan 612.
A.7.2. on security mendapat training dan Ye training dan pelatihan 4
2 awareness, pengetahuan tentang tentang kebijakan untuk
education and kebijakan? seluruh user yang
training menggunakan terutama
untuk bagian unit-unit
bersangkutan. Hal tersebut
dilakukan setiap selesai
aplikasi baru dibuat. Yakni
seperti workshop,
pendampingan ,uji coba
dan pemantauan
penggunaan aplikasi baru
tersebut
713.
714. System and application access control
A.9.4
719. Dalam menerapkan
password yang aman
untuk akses user maka
dilakukan penggantian
717. Bagaimana password untuk setiap 6
715. 716. Password 718.
manajemen password dan bulan sekali. Dengan 720.
A.9.4. management Ye
memastikan password ukuran passwrod tidak 4
3 system
yang berkualitas? dibatasi, dan password
tidak mudah dikenali pihak
lain. Menggunakan
campuran password text
dan number
721.
722. Cryptography
A.10
723.
724. Cryptographic controls
A.10.1
729. Belum ada
ketetapan penggunaan
cryptography di Rumah
Sakit Al-Islam , hal ini
disebabkan karena pihak
726. Policy on 727. Bagaimana
725. 728. Rumah Sakit belum
the use of ketetapan penggunaan 730.
A.10.1 N membutuhkan aspek
cryptographic cryptography untuk 1
.1 bagian ini, belum spesifik
controls keamanan informasi?
dan belum semua. Baru
memiliki rencana untuk 1
bagian pembuatan
cryptography namun
belum dilakukan
731.
732. Physical and environmental security
A.11
733. 734. Secure areas
A.11.1 739. Dengan skala
tertentu terdapat
tingkatan untuk keamanan
area yang memiliki
informasi sensitif seperti
737. Bagaimana tingkat
735. 736. Physical 738. penyimpanan data pasien
keamanan area yang 740.
A.11.1 security Ye dan rumah sakit. Area
memiliki informasi yang 3
.1 perimeter tersebut masuk ke area
sensitif?
level ke 3 yang menjadi
pokok utama yakni
keamanan dalam
pemberian akses masuk
database
745. Telah dilakukan
pengamanan ruangan
,kantor dan fasilitas,
namun pengamanan
dilakukan oleh setiap unit
741. 742. Securing 743. Bagaimana 744.
kerja. Sesuai dengan 746.
A.11.1 offices, rooms pengamanan ruangan, Ye
wewenang siapa saja yang 3
.3 and facilities kantor dan fasilitas?
dibolehkan mengkases.
Area area penyimpanan
aset berharga dipisahkan
jauh dengan ruangan-
ruangan lainnya
751. Aset fisik yang
sangat berharga untuk
kemananan informasi telah
direncanakan
diimplementasikan dan
748. Protectin 749. Bagaimana
dilakukan maintenance.
747. g against melindungi physical asset 750.
Peletakan ruangan aset 752.
A.11.1 external and terhadap bencana alam Ye
dijauhkan dengan tempat- 4
.4 environmental atau kejadian yang
tempat berbahay yang
threats mengganggu?
sulit dijangkau pula oleh
orang-orang selain yang
berwenang. Seperti
ruangan backup, database,
dan servernya.
757. Kontrol pada tempat
753. 754. Delivery 755. Bagaimana kontrol 756. secure tertentu (akses
758.
A.11.1 and loading access point pada tempat- Ye point) dilakukan &
3
.6 areas tempat secure ? merupakan tanggung
jawab dari satpam
759.
760. Equipment
A.11.2
765. Selalu ada
pemeliharaan secara rutin
763. Bagaimana
761. 764. untuk 2 kali setiap harinya
762. Equipme pemeliharaan equipment 766.
A.11.2 Ye dengan tujuan
nt maintenance untuk 4
.4 menghindari risiko yang
keberlangsungannya?
tidak diigninkan Rumah
sakit
771. Belum ada kebijakan
untuk clear risk paper
769. Apakah ada
767. 768. Clear 770. namun untuk media
kebijakan clear desk untuk 772.
A.11.2 desk and clear N storage telah dilakukan,
papers dan pengahapusan 2
.9 screen policy namun pihak Rumah sakit
media storage?
sudah berfikir bahwa hal
tersebut dirasa perlu
773.
774. Operations security
A.12
775.
776. Operational procedures and responsibilities
A.12.1
777. 778. Docume 779. Apakah setiap 780.
781. Semua prosedur 782.
A.12.1 nted operating prosedur Ye
didokumentasikan 3
.1 procedures didokumentasikan?
785. Apakah dilakukan
783. 786. 787. Belum ada kontrol
784. Change kontrol information 788.
A.12.1 N management dikarenakan
management security ketika dilakukan 0
.2 lingkupnya kecil
change management?
790. Separati 793. Pengembangan dan
on of 791. Apakah testing dilakukan di
789. 792.
development, pengembangan, testing, ruangan IT. Untuk bagian 794.
A.12.1 Ye
testing and dan operasional operasional lingkungan di 2
.4
operational lingkungan dipisahkan? lakukan di setiap ruang
environments unit bisnis
795.
796. Protection from malware
A.12.2
801. Untuk melindungi
informasi dari serangan
797. 798. Controls 799. Bagaimana 800. malware ,tim IT Rumah
802.
A.12.2 against melindungi informasi dari Ye Sakit telah memasangkan
3
.1 malware serangan malware? antivirus Symatex dan
Kaspersky yang secara
automatically terupdate
803.
804. Backup
A.12.3
809. Informasi yang
meliputi segala proses
bisnis di Rumah Sakit
selalu di backup setiap
805. 807. Apakah dilakukan 808. harinya, hal ini guna
806. Informati 810.
A.12.3 backup informasi secara Ye menghindari kehilangan
on backup 4
.1 berkala? dan kerusakan data atau
bahkan penumpukan data
sehingga memperlambat
proses bisnis dihati
berikutnya
811.
812. Logging and monitoring
A.12.4
817. Untuk event
logging , tim IT rumah
815. Apakah dilakukan
sakit menerapkannya pada
event logging untuk
813. 816. bagian aplikasi,
814. Event merekam aktivitas user, 818.
A.12.4 Ye penyimpanan data sesuai
logging ekspektasi, kesalahan dan 3
.1 dengan penyimpanan user
information security
ID. Maka dapat diketahui
events?
dan dimonitor siapa saja
yang telah mengakses
823. Belum ada
821. Apakah dilakukan syncronisasi waktu secara
819. 822.
820. Clock sinkronisasi waktu otomatis untuk proses 824.
A.12.4 N
synchronisation terhadap information informasinya , prosesnya 1
.4
processing system? masih dilakukan secara
manual
825.
826. Control of operational software
A.12.5
831. Pada penerapan
implementasi instalasi
software dilakukan dengan
828. Installati 829. Bagaimana baik. Analisis dan design
827. 830.
on of software implementasi prosedur nya dilakukan dengan cara 832.
A.12.5 Ye
on operational untuk mengontrol instalasi komunikasi dengan user 3
.1
systems software? unit bisnis. Sedangkan
untuk testing dilakukan
oleh tim IT & melibatkan
user.
833.
834. Technical vulnerability management
A.12.6
839. Selalu ada
pengamanan dalam
perlakuan keamanan
836. Manage informasi seperti saat
835. 837. Apakah dilakukan 838.
ment of teknisi melakukan 840.
A.12.6 perlindungan informasi Ye
technical maintenance terhadap 2
.1 dari ancaman teknikal ?
vulnerabilities aset. Ancaman teknikal
dapat berupa akses
masuk, storage, transmisi
data, dan lain-lain
845. Belum ada
wewenang untuk instalasi
841. 842. Restrictio 843. Bagaimana aturan 844. software oleh user sendiri,
846.
A.12.6 ns on software instalasi software oleh N karena hak untuk
0
.2 installation user? mengatur instalasi
software dilakukan oleh
divisi IT langsung
847.
848. Information systems audit considerations
A.12.7
853. Rumah sakit telah
849. 850. Informati 851. Bagaimana 852. memiliki kesadaran untuk
854.
A.12.7 on systems kesadaran dan perecanaan Ye melakukan audit,
4
.1 audit controls audit dalam Perusahaan? contohnya dengan
melakukan audit internal
855.
856. Communications security
A.13
857.
858. Network security management
A.13.1
863. Network untuk
Rumah Sakit pada setiap
859. 861. Apakah network 862.
860. Network unit bisnis selalu dilakukan 864.
A.13.1 dikontrol untuk melindungi Ye
controls kontrol setiap 1 bulan 3
.1 informasi?
sekali untuk 1 segment
nerwork
869. Network service,
user dan sistem informasi
masih menjadi satu, belum
865. 867. Apakah network 868. dilakukan pemisahan.Ada
866. Segregat 870.
A.13.1 service, user, dan sistem N pembagian segmen
ion in networks 0
.3 informasi dipisah? network dengan
menggunakan blok IP
network (dengan white
list)
871. 872. Information transfer
A.13.2
877. Ada kebijakan
mengenai transfer
874. Informati informasi terhadap pihak-
873. 875. Bagaimana 876.
on transfer pihak tertentu yang 878.
A.13.2 kebijakan untuk keamanan Ye
policies and memang menjalin 3
.1 transfer informasi?
procedures hubungan dengan Rumah
Sakit. Informasi yang di
transfer berupa fisik.
880. Agreeme 881. Bagaimana
879. 882.
nts on kesepakatan informasi 884.
A.13.2 N 883. Belum Ada
information antara organisasi dengan 1
.2
transfer pihak ketiga?
889. Informasi yang
dilindungi dalam akses
email oleh Rumah Sakit
887. Bagaimana sudah dilakukan namun
885. 888.
886. Electroni perlindungan informasi belum confident, masih 890.
A.13.2 Ye
c messaging dengan penggunaan dianggap perlindungan 2
.3
email? secara sederhana dengan
membatasi pengiriman
email, dan masuknya
email.
891. 892. Confiden 893. Apakah 894. 895. Kesepakatan non- 896.
A.13.2 tially or non- kesepakatan non- Ye disclosure direview setiap 4
.4 disclosure disclosure direview secara 3 hingga 5 tahun sekali
agreements berkala dan untuk medis yang telah
didokumentasikan? diatur di Undang-Undang
khusus Rumah Sakit.
Sedangkan untuk
dokumntasi salah satunya
dengan menggunakan
CCTV untuk lokasi yang
memang harus diawasi
897.
898. System acquisition, development and maintenance
A.14
899.
900. Security requirements of information systems
A.14.1
905. Analisis dan
spesifikasi kebutuhan
902. Informati dilakukan oleh setiap
901. on security 903. Bagaimana analisis 904. anggota tim IT apabila
906.
A.14.1 requirements dan spesifikasi kebutuhan Ye terdapat laporan
4
.1 analysis and keamanan informasi? munculnya kendala dalam
specification pengamanan informasi
untuk yang berhubungan
dengan jaringan.
911. Belum ada
perlindungan aplikasi pada
908. Securing public networks, karena
907. 909. Bagaimana 910.
application rumah sakit tidak memiliki 912.
A.14.1 perlindungan aplikasi pada N
services on aplikasi yang digunakan 0
.2 public networks?
public networks oleh public (pasien) dan
saat ini hanya memiliki
website saja.
913.
914. Security in development and support processes
A.14.2
919. Setiap unit
computer di Rumah Sakit
dimaintenance oleh bagian
IT. Tidak ada aturan baku
915. 916. System 917. Bagaimana aturan 918. yang tertulis mengenai
920.
A.14.2 change control dan prosedur perubahan Ye perubahan sistem dan
2
.2 procedures sistem dan software ? software. Perubahan dan
penggunaan sistem dan
software dilakukan sesuai
kebutuhan dan akan
dicatat sebagai inventaris.
925. Setiap software
yang ada di Rumah Sakit
selalu dikontrol oleh
bagian IT setiap 6 bulan
922. Restrictio sekali, namun apabila ada
921. 924.
ns on changes 923. Apakah dilakukan kendala dan kerusakan itu 926.
A.14.2 Ye
to software kontrol terhadap software? dilakukan secara 4
.4
packages kondisional. Ada beberapa
software yang terpasang
telah disetting untuk
update automatically,
misalkan antivirus.
931. Kriteria lulus testing
adalah apabila sistem
927. 928. System 930.
929. Bagaimana kriteria yang dibuat sesuai dengan 932.
A.14.2 Acceptance Ye
sistem lulus testing? permintaan user dan 2
.9 Testing
kebutuhan akan
penggunaannya.
933.
934. Test data
A.14.3
939. Testing yang
dilakukan di RS Al-Islam
Bandung khusus
937. Apakah testing pada
935. 938. dikembangkan oleh tim IT,
936. Protectio data dilakukan secara 940.
A.14.3 Ye jadi prosedur dan
n of test data benar, dilindungi dan 3
.1 pelaksanaan telah
dikontrol?
disesuaikan dan jauh lebih
terkontrol daripada
ditangani oleh pihak ketiga
941.
942. Supplier relationships
A.15
943.
944. Information security in supplier relationships
A.15.1
949. Ada perjanjian
dengan pemasok karena
untuk dapat melakukan
947. Apakah perjanjian supply barang diadakan
946. Informati
dengan pemasok harus tender dahulu, setelah
945. on and 948.
mencakup persyaratan tahapan tender dilakukan 950.
A.15.1 communication Ye
untuk mengatasi maka muncul satu 3
.3 technology
risiko keamanan perusahaan pemenang
supply chain
informasi ? dan apply non-disclosure
agreement demi
mengamankan keamanan
informasi
951.
952. Supplier service delivery management
A.15.2
957. Ya karena setiap
954. Monitori pengiriman barang datang
953. 955. Apakah perusahaan 956.
ng and review ada petugas yang 958.
A.15.2 secara teratur memonitor Ye
of supplier fungsinya sebagai check 4
.1 pemasok ?
services barang dan stok yang
masuk
959. 960. Information security incident management
A.16
961.
962. Management of information security incidents and improvements
A.16.1
965. Bisakah pegawai 967. Iya bisa , mereka
964. Reportin Perusahaan melaporkan bisa langsung
963. 966.
g information kelemahan keamanan melaporkannya pada pihak 968.
A.16.1 Ye
security informasi yang mereka IT apabila mereka 4
.3
weaknesses rasakan pada merasakan ada kelemahan
perusahaan ? keamanan informasi
970. Learning
969. from 971. Pernahkah terjadi 972.
973. Pernah jadi namun 974.
A.16.1 information insiden keamanan Ye
hal itu berupa data fisik 4
.6 security informasi ?
incident
975.
976. Information security aspects of business continuity management
A.17
977.
978. Information security continuity
A.17.1
983. Apabila terjadi
bencana alam pihak rumah
980. Planning 981. Bagaimana rencana
979. 982. sakit sudah menempatkan
information Rumah sakit apabila 984.
A.17.1 Ye aset krusial ditempat yang
security terjadi bencana 3
.1 terpisah serta terhalang
continuity alam/bukan alam?
oleh gedung lain tetapi
tetap pada wilayah RS
986. Impleme 987. Apakah ada
985. nting catatan-catatan terdahulu 988.
989. iya ada catatan 990.
A.17.1 information mengenai masalah- Ye
kehilangan aset 4
.2 security masalah terkait IS yang
continuity terjadi di RS?
991.
992. Redundancies
A.17.2
994. Availabili
995. Apakah fasilitas
993. ty of 996. 997. Iya sudah lengkap ,
untuk memproses 998.
A.17.2 information Ye Semua informasi ada
informasi di Rumah Sakit 3
.1 processing dalam Medical Record.
sudah lengkap?
facilities
999.
1000. Compliance
A.18
1001.
1002. Compliance with legal and contractual requirements
A.18.1
1004. Identifica 1007. Aturan internal ada
tion of 1005. Apakah ada dan diatur oleh ketetapan
1003. 1006.
applicable aturan/undang-undang direksi, kemudian yang 1008.
A.18.1 Ye
legislation and tertentu mengenai IS di mengenai RS mengikuti UU 4
.1
contractual Perusahaan? No. 44 Tahun 2009 tentang
requirements rumah sakit
1013. Asset krusial
1011. Bagaimana cara diletakkan secara
1009. 1012.
1010. Protectio Perusahaan melindungi tersendiri dan terpisah 1014.
A.18.1 Ye
n of records aset fisik & non-fisiknya serta terhalang oleh 3
.3
dari bencana? gedung lain tetapi tetap
pada wilayah RS .
1015.
1016. Information security reviews
A.18.2
1018. Independ
1017. 1019. Apakah Perusahaan 1020.
ent review of 1021. Ya ada audit internal 1022.
A.18.2 melakukan review Ye
information setiap 6 bulan sekali 4
.1 independen terkait IS?
security.
1025. Apakah information
systems direview secara 1027. Ya, information
1023. 1024. Tecnical 1026.
periodik supaya system telah direview 1028.
A.18.2 compliance Ye
compliance dg kebijakan secara periodik yaitu 4
.3 review
dan standar keamanan setiap 6 bulan sekali
informasi organisasi.
1029.
1030.
2.9 Audit Findings
1031. PERBANDINGAN HASIL KUESIONER DAN KESIMPULAN
WAWANCARA ATAS MATURITY LEVEL ANNEX
1036.
1034. No
1032.Control A
1038.
N Obj n 1042. 1043.
Aspek 1040. Pernyataan
ecti n R An
1039. 1041.
1033. ves e
1035. x
1037.
1045.
A.5.
1047.
Kebi
Policies
jaka 1046. 1048. Manajemen/pimp
for
n A.5.
1044. infor inan menetapkan 1049. 1050.
Kea 1
1
man .
matio kebijakan keamanan 3 3
n informasi untuk institusi
an 1
securi
Infor
ty
mas
i
1055. Kebijakan
1053. keamanan informasi
A.5. tersebut 1057.
1051. 1052. 1054. 1056. 4
1 dikomunikasikan
2 5 1058.
. kepada pihak-pihak
1 terkait (staf, dosen,
mahasiswa, dsb)
1060.
1062.
A.6.
Informati
Org 1063. Pembagian peran
on
anis 1061. dan tanggung jawab
securi
asi A.6.
1059. ty atas keamanan 1064. 1065.
Kea 1
3
man .
Roles informasi ditetapkan 4 3
and dan dialokasikan
an 1
respo kepada pegawai terkait
Infor
nsibili
mas
ties
i
1069.
Informati
on 1070. Pelaksanaan
1068. manajemen proyek di
securi
A.6.
1066. 1067. ty in institusi 1071. 1072.
1
4
.
proje mempertimbangkan 2 -
ct aspek keamanan
5
mana informasi
geme
nt
1075. 1076. 1077. Penggunaan
A.6. Mobile
1073. 1074. perangkat mobile diatur 1078. 1079.
2 devic
5
. e oleh suatu kebijakan 5 4
1 policy keamanan informasi
1081. 1083.
A.7. Terms 1084. Perusahaan
Hum 1082. and menetapkan kontrak
an A.7. condi dengan pegawai atau
1080. 1085. 1086.
Res 1 tions kontraktor tekait
6 5 4
ourc . of tanggung jawab
es 2 empl keamanan informasi di
Sec oyme institusi
urity nt
1090.
Informati
on 1091. Pengadaan
securi Training untuk
1089.
ty
A.7. memberikan kesadaran
1087. 1088. aware 1092. 1093.
2 (awareness) pegawai
7 ness, 4 4
. akan kebijakan dan
educa
2 prosedur yang relevan
tion
and dengan pekerjaannya
traini
ng
1097.
Terminati
on or
chan 1098. Tugas dan
1096. tanggungjawab
ge
A.7.
1094. 1095. of keamanan informasi 1099. 1100.
3
8
.
empl bagi karyawan yang 4 4
oyme pensiun/berhenti diatur
1
nt dalam suatu kebijakan
respo
nsibili
ties
1102.
A.8.
1103. 1104.
Asse
A.8. Inventory 1105. Aset informasi
1101. t 1106. 1107.
1 of diidentifikasi dan
9 man 5 3
. asset dipelihara oleh institusi
age
1 s
men
t
1111.
1110. Classifica 1112. Informasi yang
1108. A.8. tion dimiliki institusi
1109. 1113. 1114.
1 2 of diklasifikasikan menurut 4 3
. infor legalitas, nilai, dan
1 matio sensitivitasnya
n
1115. 1116. 1117. 1118. 1119. Media penyimpan 1120. 1121.
1 A.8. Disposal informasi dimusnahkan 5 3
3 of dengan aman ketika
. medi tidak diperlukan lagi
2 a
25.
b) Dari control yang ada masih terdapat beberapa control yang belum
dilaksanakan seperti cryptography dan supplier relationship. Untuk
problem cryptography pihak Rumah Sakit memang belum melaksanakan
namun sudah memiliki perencanaan untuk penggunaan cryptography
sebagai salah satu perlindungan data. Sedangkan untuk relationship
supplier memang tidak di fasilitasi untuk menggunakan sistem.
26.
27. Conformity
28. Item 29. Analysis Conformity
30. A.5 Kebijakan 31. Terdapat review terkait kebijakan keamanan informasi setiap
Keamanan 6 bulan sekali (A.5.1.2)
Informasi
32. A.6 Organisasi 33. Terdapat kebijakan terkait pengelolaan perangkat mobile
Keamanan dimana pihak IT melarang adanya akses oleh perangkat
Informasi mobile lain ataupun install software secara sembarangan,
selain itu komputer di RS Al-Islam telah di setting sehingga
tidak dapat dimasuki perangkat mobile maupun USB. (A.6.2)
34. A.7 Keamanan Terdapat background checking dan penandatanganan kontrak
Sumber Daya kerja terhadap karyawan yang akan mulai bekerja di RS Al Islam
untuk menjaga keamanan informasi yang dimiliki oleh RS Al-
Islam (A.7.1)
Adanya training yang diberikan oleh pihak IT terhadap
karyawan RS Al-Islam ketika mengeluarkan aplikasi baru dan
adanya pemberitahuan mengenai kebijakan keamanan informasi
yang diterapkan pada RS Al Islam (A.7.2.2)
35. A.8 Manajemen 36. Adanya pemisahan kepemilikan aset (A.8.1.2)
Aset
37. A.9 Kontrol 38. Adanya kebijakan untuk mengubah password setiap 6 bulan
Akses sekali (A.9.4.3)
39. A.11 Keamanan Aset-aset yang berharga dan krusial diletakkan di tempat yang
fisik dan dijangkau dari orang-orang yang tidak memiliki otorisasi
Lingkungan (A.11.1.4)
Maintanance dari bagian IT dengan melakukan pemeriksaan
terhadap equipment yang digunakan untuk mendukung kegiatan
operasional RS Al Islam sebanyak 2 unit/hari (A.11.2.4)
40. A.12 Keamanan Terdapat backup data yang dilakukan setiap hari untuk
Operasional menghindari resiko yang tidak diinginkan (A.12.3.1)
Adanya pelaksanaan audit internal (A.12.7.1)
41. A.13 Keamanan 42. Terdapat review terhadap non-disclosure yang dilakukan
Komunikasi setiap 3 hingga 5 tahun sekali (A.13.2.4)
43. A.14 Akuisisi Adanya analisis dan spesifikasi kebutuhan yang dilakukan oleh
Sistem, setiap anggota IT RS Al Islam apabila terdapat laporan kendala
Pengembangan dalam penggunaan informasi yang berhubungan dengan jaringan
dan Pemeliharaan (A.14.1.1)
Adanya kontrol terhadap software yang dilakukan setiap 6 bulan
sekali (A.14.2.4)
44. A.15 Hubungan 45. Terdapat karyawan yang bertugas untuk mengecek barang dan
Supplier stok yang masuk (A.15.2.1)
46. A.16 Manajemen Adanya akses yang diberikan oleh pihak IT kepada karyawan
Insiden untuk melakukan pelaporan ketika merasakan kekurangan atau
Keamanan kelemahan keamanan informasi (A.16.1.3)
Informasi
47. A.18 Kepatuhan Adanya audit internal dan review terhadap sistem informasi
terhadap Aturan setiap 6 bulan sekali (A.18.2)
Legal dan
Kontraktual
48.
80. Saran
- Apabila pihak rumah sakit telah memiliki layanan sistem yang dapat
diakses oleh publik sebaiknya menggunakan perlindungan seperti
cryptography
- Apabila telah diterapkan sistem untuk supplier lebih baik melakukan
agreement dan perbatasan akses seperti yang telah diterapkan oleh
control-kontrol pada annex iso 27001
- Apabila RS mulai menginginkan perubahan sistem pelayanan dalam
penyimpanan hasil medis pasien secara database maka gunakan
sistem yang memang sesuai dengan kebutuhan dan memiliki tingkat
keamanan yang tinggi, salah satunya dengan karyawan IT yang lebih
berkompeten dan memberikan wawasan lebih ke setiap usernya.
2.10
81. OTHERS
82. Pertanyaan Tambahan
I. PERTANYAAN TAMBAHAN
83. 84. PERTANYAAN 85. 86. JAWABAN
N YA
a
t
a
u
T
I
D
A
K
87. 88. a. Apa ada problem utama 89. 90. Selama rumah
1 yang dihadapi mengenai Tid sakit ini berdiri hingga
keamanan informasi terkait sampai saat ini tidak ada
a
dengan layanan perusahaan kejadian apapun yang
yang diberikan kepada k berkaitan dengan
pelanggan? keamanan informasi.
Karena selama ini RS. Al-
Islam tidak menyediakan
sistem yang dapat
diakses oleh pelanggan
secara langsung. Untuk
kehilangan data fisik
berupa berkas pernah
terjadi namun hal
tersebut bukan masalah
yang berarti.
91. 92. b. Solusi apa yang 93. 94.
dilakukan oleh perusahaan Tid
untuk mengatasi problem
a
utama tsb?
k
95. 96. Ancaman Keamanan 97. 98.
2 informasi
100. a. Apa security 101. 102. Pernah jadi namun
breach/insiden yang pernah Ya hal itu berupa data fisik
terjadi?
104. b. Kapan? Apa 105. 106.
dampaknya? Tid
a
k
108. c. Bagaimana 109. 110.
penanganannya? Tid
a
k
112. d. Bagaimana cara 113. 114. Meningkatkan
mengindari agar tidak terjadi Ya sekuritas dan selalu
ancaman/insiden? memperbaharui sistem
116. e. Apa risiko/information 117.
security threat yang mungkin Ya 118. Pencurian data
terjadi?
120. f. Apakah risiko tersebut 121. 122. Low, karena
dikelompokkan pada tingkat : Ya tingkat keamanan yang
hight, medium dan Low? dilakukan oleh pihak IT
sudah menyeluruh dan
dimonitor setiap saat.
123. 124. Faktor-faktor pendorong 125. 126.
3 penerapan ISM
128. a. Business requirement 129. 130.
(alasan bisnis; misalnya risiko
keberlangsungan bisnis,
persyaratan tender, customer
trust)?
132. 1) Menambah keyakinan 133. 134. Jika mempunyai
keamanan organisasi ? Ya sistem untuk
penyimpanan data
apapun, maka tingkat
pencurian atau
kehilangan dapat
dikurangi. Contohnya,
data rekam medis yang
masih dicatat secara
manual, jadi untuk
mencari data tersebut
jika tertumpuk dan
sudah lama, akan sangat
sulit dicari, berbeda jika
data tersebut sudah
dikomputerisasi, tingkat
keamanan tinggi dan
pencarian data akan
sangat memudahkan.
136. 2) Persyaratan tender ? 137. 138. Metode penilaian
Ya terhadap kualifikasi ini
terdiri atas 2 metode,
yaitu Prakualifikasi dan
Pascakualifikasi.
Pascakualifikasi adalah
proses penilaian
kompetensi dan
kemampuan usaha serta
pemenuhan persyaratan
terhadap
perusahaan setelah pem
asukan dokumen
penawaran. Bahkan
untuk pelelangan umum
untuk pengadaan
barang/jasa
pemborongan/jasa
lainnya, sifatnya adalah
wajib. Prakualifikasi
adalah proses penilaian
kompetensi dan
kemampuan usaha serta
pemenuhan persyaratan
terhadap
perusahaan sebelum pe
masukan dokumen
penawaran. Artinya,
hanya perusahaan yang
memenuhi kualifikasi
yang dapat
memasukkan
penawaran.
140. 3) Customer trust ? 141. 142. jadi kalau
Ya misalkan data pasien
(rekam medis) dapat
terahasiakan oleh pihak
rumah sakit, maka
secara tidak langsung
pihak rumah sakit
mendapatkan nilai lebih
dari konsumen atau
pasiennya.
144. 4) Efisiensi management 145. 146. Jadi rumah sakit
resiko? Ya sudah menerapkan
management resiko, jadi
untuk resiko dari
ancaman atau
kerentanan yang ada
dan yang akan ada
dapat diminimalisir dan
atau terhindar dari
resiko tersebut.
148. b. Legal requirement 149. 150.
(adanya regulasi industri,
regulasi pemerintah)?
152. 1) Regulasi industri ? 153. 154. Karena Rumah
Ya Sakit Al-Islam termasuk
industri kesehatan maka
regulasi industry yang
dikeluarkan oleh pusat
diterapkan oleh pihak
rumah sakit untuk
mendorong
kerberlangsungan bisnis
dan meningkatkan
pelayanan rumah sakit.
156. 2) Regulasi pemerintah ? 157. 158. Karena rumah
Ya sakit al-islam termasuk
di wilayah bandung,
maka regulasi dari
pemerintah bandung
dan pemerintah pusat
(Indonesia) diterapkan
oleh pihak rumah sakit.
159. 160. Faktor-faktor penghambat 161. 162.
4 164. a. Dukungan/kesadaran 165. 166. Top management
top management terhadap Ya sangat mendukung
untuk meningkatkan
security?
sekuritas rumah sakit.
168. b. Budget/biaya yang 169. 170. Karena Rumah
dikeluarkan untuk sistem Ya Sakit Al-Islam ingin terus
berkembang, maka
keamanan?
untuk menambah
keamanan sistemnya
pihak rumah sakit selalu
mendukung untuk
pembelian barang atau
maintanance sistem.
172. c. Budaya organisasi 173. 174. Karena Rumah
apakah sudah security Ya Sakit Al-Islam selalu
mengadakan sosialisasi
awareness?
kepada seluruh
karyawan jika ada suatu
perubahan termasuk
tentang keamanan
rumah sakit.
176. d. Orang (SDM) yg 177. 178. SDM yang dimiliki
kompetensinya atau yg Ya oleh Rumah Sakit Al-
Islam sudah kompeten
mengerti standard? Atau weak
dan sudah
of experienced team? diklasifikasikan ke
bidangnya masing-
masing.
180. e. Apakah sistem yang 181. 182. Kalo secara
ada sudah memadai dan Ya internal untuk
penggunaan rumah sakit
dilengkapi dengan security?
sudah memadai karena
menggunakan metode
waterfall . Tetapi untuk
secara ISO belum
memadai.
184. f. Apakah ada resistant to 185. 186. Jika top
change? Ya management berganti,
maka regulasi yang
lama biasanya berubah
ataupun diperbaharui.
188. g. Indonesian Culture.? 189. 190. Karena tidak
terpengaruh
Tid kebudayaan indonesia,
a karena karyawan Rumah
Sakit Al-Islam bekerja
k
secara profesional.
191. 192. Aset 193. 194.
196. a. Aset apa saja yang 197.- Physical : Gedung Rumah
5
terdapat di perusahaan ini Ya Sakit, Ruang Server, Personal
Computer (PC), Smoke
(Physical, Logical, Administrasi)? 198.
Detector
199.- Logical : Database Karyawan,
200. Database Pasien
- Administrasi : Rekam Medis
Pasien
202. b. Adakah peraturan 203. 204. Semisal untuk
khusus mengenai aset informasi Ya akun karyawan, akun
tersebut tidak boleh
yang diperusahaan?
diberikan ataupun
dipinjamkan ke orang
lain, siapapun itu. Jadi
sifatnya harus rahasia.
206. c. Bagaimana cara 207. 208. Dengan cara
menghindari ancaman yang Ya pemanfaatan CCTV yang
ditempatkan ditempat
ada, baik ancaman secara alami
yang strategis dan
ataupun secara teknis? Satpam yang berjaga
selama 24 jam.
210. d. Terkait aset yang ada 211. - Public : Tempat Parkir,
dibagi kedalam kelompok apa Ya Ruang Tunggu, Ruang
Pendaftaran
saja seperti aset (public, - Internal: CCTV, PC, Server,
internal, rahasia)? Data Karyawan, Data
Pasien
- Rahasia: Rekam Medis
Pasien
213. e. Apakah ada pihak-pihak 214. 215. Karena jika semua
tertentu saja yang dapat Ya orang atau karyawan
dapat mengakses semua
mengakses semua aset
informasi maka dapat
informasi? menjadi sebuah
ancaman (pencurian
data). Jadi yang berhak
untuk mengakses semua
aset informasi yaitu top
menagement dan orang
IT.
217. f. Adakah prosedur untuk 218. 219. Contohnya untuk
membuang aset yang sudah Ya harddisk. Jika harddisk
yang pernah digunakan
tidak digunakan?
untuk menyimpan
database maka harddisk
tersebut tidak akan
dijual atau dibuang akan
tetapi harddsik tersebut
disimpan oleh rumah
sakit. Tetapi untuk aset
yang bersifat sekali
semisal kursi, maka
akan dijual.
220.
221.
222. LAMPIRAN 1
223. Bukti Scan Surat Pengantar Tugas
224.
225.
226.
227. LAMPIRAN 2
228. SCAN KUESIONER
229.
230.
231.
232.
233.
234.
235.
236.
237.
238.
239.
240.
241.
242.
243.
244. DOKUMENTASI WAWANCARA
247.
248.
249.
250.