Escolar Documentos
Profissional Documentos
Cultura Documentos
S1 / Jurusan Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya
email: 1)smile05_lia@yahoo.com 2)haryanto@stikom.edu 3)Ignatius@stikom.edu
Abstract: PT.AJBS is a company that works in providing items/machinery for industrial purposes.
PT.AJBS has many product lines Therefore, implementing a new and capable information system is a
must. The new system need to have modules such as invetory, transaction, customer & supplier data and
accounting journal. These modules need to be integratedto the new system, called Integrated Trading
System. In addition, information security management is important because company's information is an
important asset for the company. PT.AJBS need to audit their current information security system to find
out the level of security PT.AJBS has. ISO 27002 is the standard that PT.AJBS has to be met when
auditing. ISO 27002 standard is chosen because of its flexibility. It can be tailored according to the
company's needs, company's visions, company's security system requirement, business processes, human
resource needa and the structure of the organization, as well as information security system management.
The result of maturity level 2.49 is produced from the implementation of information security system
audit. The result is categorized to level 2, which is repeatable. This research also produces
reccomendations for PT.AJBS such as better information system processes and improvement in level of
information security
Keywords: audit, information security, ISO 27002
1
mengancam kerahasiaan perusahaan. Selain Agar audit keamanan sistem
itu dikhawatirkan dapat berdampak pada informasi dapat berjalan dengan baik
terjadinya penyalahgunaan informasi yang diperlukan suatu standar untuk melakukan
merugikan PT. AJBS dalam persaingan audit tersebut (Tanuwijaya dan Sarno,
dengan para kompetitor. Kendala lain yang 2010: 80). Menurut Sarno dan Iffano (2009:
ditemukan adalah kurangnya pemeliharaan 59) tidak ada acuan baku mengenai standar
terhadap fasilitas pemrosesan informasi apa yang akan digunakan atau dipilih oleh
yang dapat menyebabkan sistem menjadi perusahaan untuk melaksanakan audit
sering hang, jaringan down, hingga keamanan sistem informasi. Audit pada PT.
terbakarnya harddisk yang menyebabkan AJBS menggunakan standar ISO 27002.
hilangnya data perusahaan. Di samping itu, Standar ISO 27002 dipilih dengan
PT. AJBS juga belum memiliki aturan dan pertimbangan bahwa standar ini sangat
prosedur terhadap ancaman virus. Ancaman fleksibel dikembangkan tergantung pada
virus itu dapat menimbulkan gangguan kebutuhan organisasi, tujuan organisasi,
kinerja sistem informasi bahkan dapat persyaratan keamanan, proses bisnis,
mengacau keberlangsungan operasional PT. jumlah pegawai dan ukuran struktur
AJBS. organisasi. Selain itu, pertimbangan
Selama ini PT. AJBS belum pernah lainnya adalah ISO 27002 menyediakan
melakukan analisa penyebab terjadinya sertifikat implementasi Sistem Manajemen
permasalahan tersebut dan PT. AJBS tidak Keamanan Informasi (SMKI) yang diakui
mengetahui sampai di mana tingkat secara internasional yang disebut
keamanan sistem informasi yang milikinya. Information Security Management Sistem
Oleh karena itu PT. AJBS membutuhkan (ISMS) certification (Sarno dan Iffano,
evaluasi keamanan sistem informasi untuk 2009: 59-60).
menjaga keamanan sistem informasi yang Dengan adanya audit keamanan
dimilikinya. Evaluasi keamanan sistem sistem informasi pada PT. AJBS ini
informasi dapat dilakukan dengan audit diharapkan dapat mengukur tingkat
keamanan sistem informasi (Asmuni dan keamanan teknologi yang dimiliki PT.
Firdaus, 2005: 23). Keamanan informasi AJBS. Audit ini juga menghasilkan
ditujukan untuk menjaga aspek kerahasiaan rekomendasi untuk meningkatkan
(Confidentiality), keutuhan (Integrity) dan keamanan informasi pada perusahaan, serta
ketersediaan (Availability) dari Informasi menjadi acuan untuk memperoleh ISMS
(ISO/IEC 27002, 2005: 1). certification dengan standar ISO 27002,
2
sehingga menambah nilai tambah akan telah memelihara integritas data sehingga
kepercayaan pelanggan terhadap PT. AJBS. keduanya dapat diarahkan kepada
pencapaian tujuan bisnis secara efektif
dengan menggunakan sumber daya secara
efektif.
LANDASAN TEORI
Sistem Informasi Keamanan Informasi
Sistem informasi adalah kombinasi dari Keamanan Informasi adalah penjagaan
teknologi informasi dan aktivitas, yang informasi dari seluruh ancaman yang
3
(control objectives) dan 133 kontrol sehingga pengidentifikasian maturity
keamanan/ kontrol (controls) level mengacu pada kerangka kerja
COBIT atau CCMI (Capability
Cobit 4.1 Marturity Model For Integration).
COBIT dikembangkan oleh IT Model yang digunakan untuk
Governance Institute (ITGI), yang mengendalikan proses teknologi
merupakan bagian dari Information informasi yang terdiri dari
System Audit and Kontrol Association pengembangan suatu metode penilaian
(ISACA). sehingga suatu organisasi dapat
mengukur dirinya sendiri dari non-
Pemetaan ISO 27002 dengan COBIT 4.1 eksisten ke tingkat optimal (value 0
Metode ISO 27002 digunakan untuk sampai dengan value 5).
mengidentifikasi tingkat kematangan
penerapan pengamanan dengan METODOLOGI PENELITIAN
kategorisasi yang mengacu pada Langkah-langkah pelaksanaan audit
kerangka kerja COBIT atau CCMI keamanan sistem informasi mencangkup:
(Capability Marturity Model For 1. Perencanaan dan persiapan audit sistem
penilaian atau metode evaluasi dan penetapan resiko jika kontrol tersebut
tidak dipenuhi. Kontrol didesain untuk
(Gunawan dan Suhono, 2006: 135),
4
memberikan kepastian bahwa tindakan Pelaksanaan audit kepatutan menghasilkan
manajerial yang dilakukan dapat dokumen wawancara, bukti-bukti audit,
memberikan kepastian bahwa tujuan bisnis temuan audit dan nilai tingkat kematangan
akan dicapai dan kejadian yang tidak tiap kontrol keamanan. Dokumen
diinginkan akan dapat dicegah, dideteksi, wawancara diperoleh saat prosedur
dan diperbaiki (Sarno, 2009). Tabel 1 pembuatan pertanyaan dari pernyataan yang
merupakan pemetaan dari pedoman yang sebelumnya dibuat. Bukti-bukti dan temuan
digunakan terhadap klausul-klausul ISO audit diperoleh saat dilakukan wawancara
27002. kepada perusahaan. Setelah didapatkan
bukti-bukti dan temuan audit tersebut
Tabel 1 Pemetaan Klausul ISO 27002 kemudian dievaluasi dan dianalisa lalu
Klausul Deskripsi
8 Keamanan SDM menentukan nilai tingkat kemampuan tiap-
9 Keamanan Fisik dan Lingkungan
tiap kontrol keamanan.
10 Manajemen Komunikasi dan
Operasi Contoh kerangka kerja perhitungan nilai
11 Kontrol Akses
13 Manajemen Kejadian Keamanan maturity level dapat dilihat pada Tabel 2,
Informasi untuk contoh hasil perhitungan tingkat
14 Manajemen Kelangsungan Bisnis
kemampuan dapat dilihat pada Tabel 3 dan
Pelaksanaan Audit Kepatutan dan contoh representasi hasilnya ke dalam
Penentuan Maturity Level digram radar dapat dilihat pada Gambar 1.
Proses
Sama
Nomor NILAI
DS12 Level Kedewasaan 0
Proses
No Pernyataan Bobot 0.00 0.33 0.66 1.00
1 Terdapat kebutuhan untuk
perlindungan fasilitas sumber daya 1.00 √ 1.00
komputer
2 Terdapat kebutuhan untuk
perlindungan fasilitas sumber daya 1.00 √ 1.00
komputer
Tingkat Total
Total Bobot 2.00 1.00 2.00
Kepatutan Nilai
Tabel 3 Contoh Hasil Maturity Level Klausul 9 Keamanan Fisik dan Lingkungan
Maturity Maturity Rata-Rata
Objektif Cobit IT
Kontrol Kemananan COBIT ISO Objektif
Kontrol Processes
4.1 27002 Kontrol
9.1 9.1.1 Pembatas Keamanan Fisik DS12 3.20 3.20
5
Wilayah 9.1.2 Kontrol Masuk Fisik DS12 2.99 2.99
Aman
9.1.3 Keamanan Kantor, Ruang,
DS12 3.13 3.13
dan Fasilitasnya
9.1.4 Perlindungan Terhadap
DS12 3.11 3.11
Ancaman Dari Luar dan Sekitar
Maturity Maturity Rata-Rata
Objektif Cobit IT
Kontrol Kemananan COBIT ISO Objektif
Kontrol Processes
4.1 27002 Kontrol
PO4 2.89
PO6 2.54
9.1 9.1.5 Bekerja di Wilayah Aman 2.56
AI3 1.65
Wilayah
DS12 3.17 2.95
Aman
(Lanjutan) 9.1.6 Akses Publik, Tempat DS5 1.90
Pengiriman, dan Penurunan 2.50
Barang DS12 3.10
9.2.1 Letak Peralatan dan DS5 1.90
2.51
Pengamanannya DS12 3.11
9.2.2 Utilitas Pendukung DS12 3.08 3.08
AI3 1.65
9.2 9.2.4 Pemeliharaan Peralatan DS12 3.08 2.43
Keamanan DS13 2.56 2.66
Peralatan 9.2.6 Keamanan untuk
Pembuangan atau Pemanfaatan DS11 2.43 2.43
Kembali Peralatan
PO6 2.54
9.2.7 Hak Pemanfaatan 2.87
DS12 3.20
Maturity Level Klausul 9 2.81
dilakukan, yang sebelumnya dievaluasi dan
dianalisa. Laporan hasil audit yang berupa
9.1.1…
4.00
9.2.7 … 9.1.2… temuan-temuan dan rekomendasi tersebut
9.2.62.00
… 9.1.3… digunakan sebagai saran untuk perbaikan
0.00
9.2.4… 9.1.4… kontrol keamanan.
9.2.2… 9.1.5… Setelah seluruh perhitungan selesai
9.2.1… 9.1.6…
didapatkan nilai maturity level dari rata-rata
Gambar 1 Contoh Representasi Nilai keseluruhan nilai klasul yang dapat dilihat
Maturity Level Klausul 9 Keamanan pada Tabel 4.
Fisik dan Lingkungan
Penentuan dan Penyusunan Hasil Audit Tabel 4 Hasil Maturity Level Seluruh
Sistem Informasi Klausul yang Digunakan
Maturity
Klausul Deskripsi
Hasil audit keamanan sistem informasi Level
8 Keamanan SDM 2.72
berupa temuan dan rekomendasi untuk
Keamanan Fisik dan
perusahaan. Temuan dan rekomendasi 9 2.81
Lingkungan
Manajemen
tersebut berasal dari hasil wawancara yang 10
Komunikasi dan
2.20
6
Operasi 2. Terdapat perimeter keamanan untuk
11 Kontrol Akses 2.26 melindungi ruang yang berisikan
Manajemen Kejadian
13 2.52 fasilitas pemrosesan informasi.
Keamanan Informasi
Manajemen 3. Terdapat penetapan persyaratan bisnis
14 2.43
Kelangsungan Bisnis
Nilai Maturity Level 2.49 untuk kontrol akses.
4. Terdapat tanggung jawab manajemen
Didapat representasi hasil maturity level pada pengelolaan kejadian keamanan
seluruh klausul pada Gambar 2 dan terlihat informasi.
bahwa Manajemen Aset dan Kejadian Sedangkan kondisi yang masih perlu
Keamanan Informasi memiliki nilai yang perbaikan yaitu:
belum baik, sehingga harus dimanajemen 1. Perjanjian kerahasiaan belum
ulang pada prosedur untuk mengelola dijabarkan secara detail dan
kontrol keamanannya.
spesifik.
2. Belum ada pelatihan-pelatihan terkait
Klaus… keamanan informasi, misalnya kriteria
5.00
4.00 password yang baik, pelatihan tentang
3.00
Klaus… Klaus…
2.00
1.00 antisipasi serangan virus, dan lain-lain.
0.00
Klaus… Klaus… 3. Belum dilakukan pengkajian ulang
dan pembaharuan hak akses secara
Klaus…
berkala. Pembaharuan hak akses
Gambar 2 Representasi Hasil Maturity
tidak diwajibkan secara berkala.
Level Seluruh Klausul
4. Banyak prosedur operasi yang
Penyusunan Temuan belum terdokumentasi, yaitu
Setelah dilakukan analisa dan evaluasi dari prosedur pemulihan, program start-
audit keamanan sistem informasi pada PT.
up, close-down, back-up, sistem
AJBS didapatkan beberapa kondisi yang
restart, penjadwalan pemeliharaan,
sesuai dengan kontrol keamananan pada
instruksi penanganan kesalahan atau
ISO 27002 yang telah ditetapkan. Beberapa
kondisi istimewa lain, pembatasan
kondisi tersebut yaitu:
1. Terdapat aturan mengenai tanggung
penggunaan fasilitas sistem, dll.
7
disusun rekomendasi guna perbaikan untuk 2. Terdapat kebijakan dan prosedur
kondisi-kondisi pada perusahaan yang yang belum terdokumentasi,
belum sesuai dengan prosedur. Beberapa bahkan ada beberapa tindakan
rekomendasi tersebut yaitu:
dalam perusahaan yang dilakukan
1. Menjabarkan perjanjian kerahasiaan
berdasarkan spontanitas dan tanpa
secara detail dan spesifik termasuk
ada aturan baku yang bersifat
menjaga kerahasiaan password.
formal.
2. Membuat modul-modul pelatihan dan
3. Nilai maturity level yang
mengadakan pelatihan pada karyawan
dihasilkan oleh PT. Aneka Jaya
mengenai keamanan informasi.
Baut Sejahtera yaitu 2.49 yang
3. Melakukan pengkajian ulang
termasuk pada kategori level 2
tentang hak akses masing-masing
yaitu repeatable. Hal tersebut
dan pembaharuan hak akses apabila
menandakan bahwa proses
terjadi pemindahan bagian maupun
keamanan sistem informasi pada
kenaikan jabatan sesuai dengan hak
PT. Aneka Jaya Baut Sejahtera
akses masing-masing.
telah dilakukan secara rutin, namun
belum berdasarkan aturan dan
Kesimpulan
Berdasarkan hasil audit keamanan sistem panduan formal.
informasi, maka didapat kesimpulan:
1. Penyalahgunaan password Saran
Beberapa saran yang dapat diberikan untuk
disebabkan karena peraturan
pengembangan lebih lanjut yaitu:
perusahaan yang kurang tegas dan
1. Audit keamanan sistem informasi
kurang spesififk untuk kerahasiaan
ini masih belum menggunakan
password, belum adanya perjanjian
keseluruhan klausul dan kontrol
atau pernyataan tertulis yang
keamanan yang ada pada ISO
ditandatangani untuk benar-benar
27002. Diharapkan dapat dilakukan
menjaga kerahasiaan password
audit keamanan sistem informasi
masing-masing, kurangnya
kembali dengan menggunakan
kesadaran serta pengetahuan
keseluruhan klausul dan kontrol
karyawan terhadap pentingnya
keamanan ISO 27002 setelah pihak
merahasiakan password.
8
perusahaan melakukan perbaikan ISO/IEC 27001: 2005.
Switzerland.
keamanan sistem informasinya.
2. Berdasarkan hasil audit keamanan Rahardjo, Budi. 2005. Keamanan
Sistem Informasi Berbasis
sistem informasi telah dilakukan, Internet. Bandung: PT. Insan
didapatkan pernyataan bahwa pihak Indonesia.
perusahaan belum pernah diaudit Sarno, Riyanarto. 2009. Audit Sistem &
dengan standar-standar lain. Untuk Teknologi Informasi. Surabaya:
ITS Press.
itu dapat dilakukan audit sistem
Sarno, R. dan Iffano, I. 2009. Sistem
informasi menggunakan standar Manajemen Keamanan Informasi.
lain selain ISO. Surabaya: ITS Press.
ISO/IEC.2005.Information Technology-
Security Techniques-Information
Security Management System