AUDIT KEAMANAN SISTEM INFORMASI

BERDASARKAN STANDAR ISO 27002

(Studi Kasus: PT. Aneka Jaya Baut Sejahtera)
1)
Marliana Halim 2)Haryanto Tanuwijaya 3)Ignatius Adrian Mastan

S1 / Jurusan Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya
email: 1)smile05_lia@yahoo.com 2)haryanto@stikom.edu 3)Ignatius@stikom.edu

Abstract: PT.AJBS is a company that works in providing items/machinery for industrial purposes.
PT.AJBS has many product lines Therefore, implementing a new and capable information system is a
must. The new system need to have modules such as invetory, transaction, customer & supplier data and
accounting journal. These modules need to be integratedto the new system, called Integrated Trading
System. In addition, information security management is important because company's information is an
important asset for the company. PT.AJBS need to audit their current information security system to find
out the level of security PT.AJBS has. ISO 27002 is the standard that PT.AJBS has to be met when
auditing. ISO 27002 standard is chosen because of its flexibility. It can be tailored according to the
company's needs, company's visions, company's security system requirement, business processes, human
resource needa and the structure of the organization, as well as information security system management.
The result of maturity level 2.49 is produced from the implementation of information security system
audit. The result is categorized to level 2, which is repeatable. This research also produces
reccomendations for PT.AJBS such as better information system processes and improvement in level of
information security
Keywords: audit, information security, ISO 27002

Perseroan Terbatas Aneka Jaya Manajemen PT. AJBS saat ini

Baut Sejahtera (PT. AJBS) adalah sebuah belum mengetahui sampai di mana tingkat
perusahaan di bidang pengadaan keamanan sistem informasi yang
perlengkapan dan peralatan pendukung dimilikinya. Rahardjo (2005: 1)
industri. PT. AJBS memiliki jenis dan menyatakan bahwa masalah keamanan
jumlah produk yang besar, hal ini yang merupakan salah satu aspek penting dari
mengharuskan PT. AJBS untuk sebuah sistem informasi. Pentingnya nilai
menerapkan teknologi informasi yang sebuah informasi menyebabkan informasi
memadai. Pengelolaan inventori, transaksi, seringkali ingin diakses oleh orang-orang
data pelanggan, dan data supplier, serta tertentu secara ilegal. Hal ini dapat
keseluruhan pelaporan dan analisa menimbulkan kerugian bagi perusahaan
keuangan ditangani dalam sistem misalnya kerugian apabila sistem informasi
operasional yang terintegrasi yang bernama tidak bekerja selama kurun waktu tertentu,
Integrated Trading System (ITS). kerugian apabila ada kesalahan data atau
Pengelolaan keamanan informasi sangat informasi dan kehilangan data.
penting, karena seluruh informasi Sementara itu, selama penerapan
perusahaan merupakan aset berharga bagi aplikasi ITS ini telah terjadi beberapa
perusahaan. kendala antara lain ditemukannya beberapa
kasus penyalahgunaan password yang dapat

1
mengancam kerahasiaan perusahaan. Selain Agar audit keamanan sistem
itu dikhawatirkan dapat berdampak pada informasi dapat berjalan dengan baik
terjadinya penyalahgunaan informasi yang diperlukan suatu standar untuk melakukan
merugikan PT. AJBS dalam persaingan audit tersebut (Tanuwijaya dan Sarno,
dengan para kompetitor. Kendala lain yang 2010: 80). Menurut Sarno dan Iffano (2009:
ditemukan adalah kurangnya pemeliharaan 59) tidak ada acuan baku mengenai standar
terhadap fasilitas pemrosesan informasi apa yang akan digunakan atau dipilih oleh
yang dapat menyebabkan sistem menjadi perusahaan untuk melaksanakan audit
sering hang, jaringan down, hingga keamanan sistem informasi. Audit pada PT.
terbakarnya harddisk yang menyebabkan AJBS menggunakan standar ISO 27002.
hilangnya data perusahaan. Di samping itu, Standar ISO 27002 dipilih dengan
PT. AJBS juga belum memiliki aturan dan pertimbangan bahwa standar ini sangat
prosedur terhadap ancaman virus. Ancaman fleksibel dikembangkan tergantung pada
virus itu dapat menimbulkan gangguan kebutuhan organisasi, tujuan organisasi,
kinerja sistem informasi bahkan dapat persyaratan keamanan, proses bisnis,
mengacau keberlangsungan operasional PT. jumlah pegawai dan ukuran struktur
AJBS. organisasi. Selain itu, pertimbangan
Selama ini PT. AJBS belum pernah lainnya adalah ISO 27002 menyediakan
melakukan analisa penyebab terjadinya sertifikat implementasi Sistem Manajemen
permasalahan tersebut dan PT. AJBS tidak Keamanan Informasi (SMKI) yang diakui
mengetahui sampai di mana tingkat secara internasional yang disebut
keamanan sistem informasi yang milikinya. Information Security Management Sistem
Oleh karena itu PT. AJBS membutuhkan (ISMS) certification (Sarno dan Iffano,
evaluasi keamanan sistem informasi untuk 2009: 59-60).
menjaga keamanan sistem informasi yang Dengan adanya audit keamanan
dimilikinya. Evaluasi keamanan sistem sistem informasi pada PT. AJBS ini
informasi dapat dilakukan dengan audit diharapkan dapat mengukur tingkat
keamanan sistem informasi (Asmuni dan keamanan teknologi yang dimiliki PT.
Firdaus, 2005: 23). Keamanan informasi AJBS. Audit ini juga menghasilkan
ditujukan untuk menjaga aspek kerahasiaan rekomendasi untuk meningkatkan
(Confidentiality), keutuhan (Integrity) dan keamanan informasi pada perusahaan, serta
ketersediaan (Availability) dari Informasi menjadi acuan untuk memperoleh ISMS
(ISO/IEC 27002, 2005: 1). certification dengan standar ISO 27002,

2
sehingga menambah nilai tambah akan telah memelihara integritas data sehingga
kepercayaan pelanggan terhadap PT. AJBS. keduanya dapat diarahkan kepada
pencapaian tujuan bisnis secara efektif
dengan menggunakan sumber daya secara
efektif.
LANDASAN TEORI
Sistem Informasi Keamanan Informasi
Sistem informasi adalah kombinasi dari Keamanan Informasi adalah penjagaan
teknologi informasi dan aktivitas, yang informasi dari seluruh ancaman yang

menggunakan teknologi untuk mungkin terjadi dalam upaya untuk

memastikan atau menjamin kelangsungan
mendukung kinerja, manajemen dan
bisnis (business continuity), meminimasi
pembuatan keputusan (Beynon, 2004).
resiko bisnis (reduce business risk) dan
memaksimalkan atau mempercepat
Audit
pengembalian investasi dan peluang bisnis
Audit didefinisikan sebagai proses atau
(ISO/IEC 27001, 2005).
aktivitas yang sistematik, independen dan
terdokementasi untuk menemukan suatu
ISO 27002
bukti-bukti (audit evidence) dan dievaluasi
ISO 27002: 2005 berisi panduan yang
secara obyektif untuk menentukan apakah
menjelaskan contoh penerapan
telah memenuhi kriteria pemeriksaan
(audit) yang ditetapkan. Tujuan dari audit keamanan informasi dengan
adalah untuk memberikan gambaran menggunakan bentuk-bentuk kontrol
kondisi tertentu yang berlangsung di tertentu agar mencapai sasaran kontrol
perusahaan dan pelaporan mengenai yang ditetapkan. Bentuk-bentuk kontrol
pemenuhan terhadap sekumpulan standar yang disajikan seluruhnya menyangkut
yang terdefinisi (ISACA, 2006). 11 area pengamanan sebagaimana
ditetapkan di dalam ISO/IEC 27001.
Audit Sistem Informasi
Sarno dan Iffano (2009: 187)
Weber (Weber, 1999) mendefinisikan
mengatakan kontrol keamanan
Audit Sistem Informasi sebagai proses
berdasarkan ISO/IEC 27001 terdiri dari
pengumpulan dan pengevaluasian bukti
11 klausul kontrol keamanan (security
(evidence) untuk menentukan apakah
control clauses), 39 objektif kontrol
sistem informasi dapat melindungi aset,
serta apakah teknologi informasi yang ada

3
(control objectives) dan 133 kontrol sehingga pengidentifikasian maturity
keamanan/ kontrol (controls) level mengacu pada kerangka kerja
COBIT atau CCMI (Capability
Cobit 4.1 Marturity Model For Integration).
COBIT dikembangkan oleh IT Model yang digunakan untuk
Governance Institute (ITGI), yang mengendalikan proses teknologi
merupakan bagian dari Information informasi yang terdiri dari
System Audit and Kontrol Association pengembangan suatu metode penilaian
(ISACA). sehingga suatu organisasi dapat
mengukur dirinya sendiri dari non-
Pemetaan ISO 27002 dengan COBIT 4.1 eksisten ke tingkat optimal (value 0
Metode ISO 27002 digunakan untuk sampai dengan value 5).
mengidentifikasi tingkat kematangan
penerapan pengamanan dengan METODOLOGI PENELITIAN
kategorisasi yang mengacu pada Langkah-langkah pelaksanaan audit
kerangka kerja COBIT atau CCMI keamanan sistem informasi mencangkup:
(Capability Marturity Model For 1. Perencanaan dan persiapan audit sistem

Integration). Tingkat kematangan ini informasi.

2. Pelaksanaan audit sistem informasi.
nantinya akan digunakan sebagai alat
3. Pelaporan audit sistem informasi.
untuk melaporkan pemetaan dan
pemeringkatan kesiapan keamanan
IMPLEMENTASI DAN HASIL
informasi di PT. AJBS.
Penentuan Ruang Lingkup Audit
Keamanan Sistem Informasi
Maturity Level
Penentuan ruang lingkup audit keamanan
ISO 17799 memberikan kontrol
sistem informasi dilakukan dengan cara
keamanan tetapi tidak bagaimana menentukan objektif kontrol yang akan
kontrol itu dikembangkan atau diatur. digunakan. Perusahaan perlu melakukan
Ini disebabkan ISO bukan standar teknis pemilihan terhadap kontrol-kontrol yang
juga bukan untuk teknologi tertentu. ada dengan memperhatikan kebutuhan
Oleh karena itu tidak ada mekanisme organisasinya, bagaimana cara penerapan

penilaian atau metode evaluasi dan penetapan resiko jika kontrol tersebut
tidak dipenuhi. Kontrol didesain untuk
(Gunawan dan Suhono, 2006: 135),

4
memberikan kepastian bahwa tindakan Pelaksanaan audit kepatutan menghasilkan
manajerial yang dilakukan dapat dokumen wawancara, bukti-bukti audit,
memberikan kepastian bahwa tujuan bisnis temuan audit dan nilai tingkat kematangan
akan dicapai dan kejadian yang tidak tiap kontrol keamanan. Dokumen
diinginkan akan dapat dicegah, dideteksi, wawancara diperoleh saat prosedur
dan diperbaiki (Sarno, 2009). Tabel 1 pembuatan pertanyaan dari pernyataan yang
merupakan pemetaan dari pedoman yang sebelumnya dibuat. Bukti-bukti dan temuan
digunakan terhadap klausul-klausul ISO audit diperoleh saat dilakukan wawancara
27002. kepada perusahaan. Setelah didapatkan
bukti-bukti dan temuan audit tersebut
Tabel 1 Pemetaan Klausul ISO 27002 kemudian dievaluasi dan dianalisa lalu
Klausul Deskripsi
8 Keamanan SDM menentukan nilai tingkat kemampuan tiap-
9 Keamanan Fisik dan Lingkungan
tiap kontrol keamanan.
10 Manajemen Komunikasi dan
Operasi Contoh kerangka kerja perhitungan nilai
11 Kontrol Akses
13 Manajemen Kejadian Keamanan maturity level dapat dilihat pada Tabel 2,
Informasi untuk contoh hasil perhitungan tingkat
14 Manajemen Kelangsungan Bisnis
kemampuan dapat dilihat pada Tabel 3 dan
Pelaksanaan Audit Kepatutan dan contoh representasi hasilnya ke dalam
Penentuan Maturity Level digram radar dapat dilihat pada Gambar 1.

Tabel 2 Contoh Kerangka Kerja Perhitungan Maturity Level

Apakah sepakat?
Nama
Seluruhnya
tingkatan

Mengelola Lingkungan Fisik

tertentu
Sedikit
Dalam
Sekali
Tidak

Proses
Sama

Nomor NILAI
DS12 Level Kedewasaan 0
Proses
No Pernyataan Bobot 0.00 0.33 0.66 1.00
1 Terdapat kebutuhan untuk
perlindungan fasilitas sumber daya 1.00 √ 1.00
komputer
2 Terdapat kebutuhan untuk
perlindungan fasilitas sumber daya 1.00 √ 1.00
komputer
Tingkat Total
Total Bobot 2.00 1.00 2.00
Kepatutan Nilai

Tabel 3 Contoh Hasil Maturity Level Klausul 9 Keamanan Fisik dan Lingkungan
Maturity Maturity Rata-Rata
Objektif Cobit IT
Kontrol Kemananan COBIT ISO Objektif
Kontrol Processes
4.1 27002 Kontrol
9.1 9.1.1 Pembatas Keamanan Fisik DS12 3.20 3.20

5
 Wilayah 9.1.2 Kontrol Masuk Fisik DS12 2.99 2.99
Aman
9.1.3 Keamanan Kantor, Ruang,
DS12 3.13 3.13
dan Fasilitasnya
9.1.4 Perlindungan Terhadap
DS12 3.11 3.11
Ancaman Dari Luar dan Sekitar
Maturity Maturity Rata-Rata
Objektif Cobit IT
Kontrol Kemananan COBIT ISO Objektif
Kontrol Processes
4.1 27002 Kontrol
PO4 2.89
PO6 2.54
9.1 9.1.5 Bekerja di Wilayah Aman 2.56
AI3 1.65
Wilayah
DS12 3.17 2.95
Aman
(Lanjutan) 9.1.6 Akses Publik, Tempat DS5 1.90
Pengiriman, dan Penurunan 2.50
Barang DS12 3.10
9.2.1 Letak Peralatan dan DS5 1.90
2.51
Pengamanannya DS12 3.11
9.2.2 Utilitas Pendukung DS12 3.08 3.08
AI3 1.65
9.2 9.2.4 Pemeliharaan Peralatan DS12 3.08 2.43
Keamanan DS13 2.56 2.66
Peralatan 9.2.6 Keamanan untuk
Pembuangan atau Pemanfaatan DS11 2.43 2.43
Kembali Peralatan
PO6 2.54
9.2.7 Hak Pemanfaatan 2.87
DS12 3.20
Maturity Level Klausul 9 2.81
dilakukan, yang sebelumnya dievaluasi dan
dianalisa. Laporan hasil audit yang berupa
9.1.1…
4.00
9.2.7 … 9.1.2… temuan-temuan dan rekomendasi tersebut
9.2.62.00
… 9.1.3… digunakan sebagai saran untuk perbaikan
0.00
9.2.4… 9.1.4… kontrol keamanan.
9.2.2… 9.1.5… Setelah seluruh perhitungan selesai
9.2.1… 9.1.6…
didapatkan nilai maturity level dari rata-rata

Gambar 1 Contoh Representasi Nilai keseluruhan nilai klasul yang dapat dilihat
Maturity Level Klausul 9 Keamanan pada Tabel 4.
Fisik dan Lingkungan

Penentuan dan Penyusunan Hasil Audit Tabel 4 Hasil Maturity Level Seluruh
Sistem Informasi Klausul yang Digunakan
Maturity
Klausul Deskripsi
Hasil audit keamanan sistem informasi Level
8 Keamanan SDM 2.72
berupa temuan dan rekomendasi untuk
Keamanan Fisik dan
perusahaan. Temuan dan rekomendasi 9 2.81
Lingkungan
Manajemen
tersebut berasal dari hasil wawancara yang 10
Komunikasi dan
2.20

6
 Operasi 2. Terdapat perimeter keamanan untuk
11 Kontrol Akses 2.26 melindungi ruang yang berisikan
Manajemen Kejadian
13 2.52 fasilitas pemrosesan informasi.
Keamanan Informasi
Manajemen 3. Terdapat penetapan persyaratan bisnis
14 2.43
Kelangsungan Bisnis
Nilai Maturity Level 2.49 untuk kontrol akses.
4. Terdapat tanggung jawab manajemen
Didapat representasi hasil maturity level pada pengelolaan kejadian keamanan
seluruh klausul pada Gambar 2 dan terlihat informasi.
bahwa Manajemen Aset dan Kejadian Sedangkan kondisi yang masih perlu
Keamanan Informasi memiliki nilai yang perbaikan yaitu:
belum baik, sehingga harus dimanajemen 1. Perjanjian kerahasiaan belum
ulang pada prosedur untuk mengelola dijabarkan secara detail dan
kontrol keamanannya.
spesifik.
2. Belum ada pelatihan-pelatihan terkait
Klaus… keamanan informasi, misalnya kriteria
5.00
4.00 password yang baik, pelatihan tentang
3.00
Klaus… Klaus…
2.00
1.00 antisipasi serangan virus, dan lain-lain.
0.00
Klaus… Klaus… 3. Belum dilakukan pengkajian ulang
dan pembaharuan hak akses secara
Klaus…
berkala. Pembaharuan hak akses
Gambar 2 Representasi Hasil Maturity
tidak diwajibkan secara berkala.
Level Seluruh Klausul
4. Banyak prosedur operasi yang
Penyusunan Temuan belum terdokumentasi, yaitu
Setelah dilakukan analisa dan evaluasi dari prosedur pemulihan, program start-
audit keamanan sistem informasi pada PT.
up, close-down, back-up, sistem
AJBS didapatkan beberapa kondisi yang
restart, penjadwalan pemeliharaan,
sesuai dengan kontrol keamananan pada
instruksi penanganan kesalahan atau
ISO 27002 yang telah ditetapkan. Beberapa
kondisi istimewa lain, pembatasan
kondisi tersebut yaitu:
1. Terdapat aturan mengenai tanggung
penggunaan fasilitas sistem, dll.

jawab keamanan informasi pada

kontrak kerja pegawai. Penyusunan Rekomendasi
Berdasarkan dari temuan yang didapat dari
audit keamanan sistem informasi maka

7
disusun rekomendasi guna perbaikan untuk 2. Terdapat kebijakan dan prosedur
kondisi-kondisi pada perusahaan yang yang belum terdokumentasi,
belum sesuai dengan prosedur. Beberapa bahkan ada beberapa tindakan
rekomendasi tersebut yaitu:
dalam perusahaan yang dilakukan
1. Menjabarkan perjanjian kerahasiaan
berdasarkan spontanitas dan tanpa
secara detail dan spesifik termasuk
ada aturan baku yang bersifat
menjaga kerahasiaan password.
formal.
2. Membuat modul-modul pelatihan dan
3. Nilai maturity level yang
mengadakan pelatihan pada karyawan
dihasilkan oleh PT. Aneka Jaya
mengenai keamanan informasi.
Baut Sejahtera yaitu 2.49 yang
3. Melakukan pengkajian ulang
termasuk pada kategori level 2
tentang hak akses masing-masing
yaitu repeatable. Hal tersebut
dan pembaharuan hak akses apabila
menandakan bahwa proses
terjadi pemindahan bagian maupun
keamanan sistem informasi pada
kenaikan jabatan sesuai dengan hak
PT. Aneka Jaya Baut Sejahtera
akses masing-masing.
telah dilakukan secara rutin, namun
belum berdasarkan aturan dan
Kesimpulan
Berdasarkan hasil audit keamanan sistem panduan formal.
informasi, maka didapat kesimpulan:
1. Penyalahgunaan password Saran
Beberapa saran yang dapat diberikan untuk
disebabkan karena peraturan
pengembangan lebih lanjut yaitu:
perusahaan yang kurang tegas dan
1. Audit keamanan sistem informasi
kurang spesififk untuk kerahasiaan
ini masih belum menggunakan
password, belum adanya perjanjian
keseluruhan klausul dan kontrol
atau pernyataan tertulis yang
keamanan yang ada pada ISO
ditandatangani untuk benar-benar
27002. Diharapkan dapat dilakukan
menjaga kerahasiaan password
audit keamanan sistem informasi
masing-masing, kurangnya
kembali dengan menggunakan
kesadaran serta pengetahuan
keseluruhan klausul dan kontrol
karyawan terhadap pentingnya
keamanan ISO 27002 setelah pihak
merahasiakan password.

8
 perusahaan melakukan perbaikan ISO/IEC 27001: 2005.
Switzerland.
keamanan sistem informasinya.
2. Berdasarkan hasil audit keamanan Rahardjo, Budi. 2005. Keamanan
Sistem Informasi Berbasis
sistem informasi telah dilakukan, Internet. Bandung: PT. Insan
didapatkan pernyataan bahwa pihak Indonesia.
perusahaan belum pernah diaudit Sarno, Riyanarto. 2009. Audit Sistem &
dengan standar-standar lain. Untuk Teknologi Informasi. Surabaya:
ITS Press.
itu dapat dilakukan audit sistem
Sarno, R. dan Iffano, I. 2009. Sistem
informasi menggunakan standar Manajemen Keamanan Informasi.
lain selain ISO. Surabaya: ITS Press.

Tanuwijaya, H. dan Sarno, R. 2010.

Comparation of CobiT Maturity
Model and Structural Equation
Daftar Pustaka
Model for Measuring the
Beynon, D.P. 2004. E-Business. Alignment between University
Basingstoke: Palgrave. Academic Regulations and
Information Technology Goals,
Gunawan, H dan Suhono, R D. 2006. Studi International Journal of
ISO 17799:2005 Dan Systems Computer Science and Network
Security Engineering Capability Security, VOL.10 No.6, June
Maturity Model (SSE-CMM) Untuk
2010.
Keamanan Aplikasi Web. Bandung:
Institut Teknologi Bandung.
Weber, Ron. 2000. Information System
Information Technology Governance Control and Audit. New Jersey:
Institute. 2007. COBIT 4.10: Prentice Hall, Inc.
Control Objective, Management
Guidelines, Maturity Models.
United States of America: IT
Governance Institute.

ISACA. 2006. CISA Review Manual.

ISO/IEC. 2005. Information

Technology-Security
Techniques-Code of Practice for
Information Security
Management ISO/IEC 17799
(27002):2005. Switzerland.

ISO/IEC.2005.Information Technology-
Security Techniques-Information
Security Management System