Hasil Pernyataan - Hasil Persiapan Audit Keamanan Sistem Informasi

BAB IV HASIL DAN PEMBAHASAN

4.2 Hasil Persiapan Audit Keamanan Sistem Informasi

4.2.3 Hasil Pernyataan

Pada proses selanjutnya pada tahapan persiapan audit dilakukan dengan membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah ditetapkan berdasarkan standar ISO 27002. Pada setiap kontrol keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut.

Beberapa contoh pernyataan yaitu pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan (Disciplinary

Process), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol

(sebelas) Kontrol Akses dengan kontrol 11.3.1 penggunaan password (Password

Use) dapat dilihat pada Tabel 4.5, Tabel 4.6, Tabel 4.7 dan untuk selengkapnya

dapat dilihat pada Lampiran 3.

Dalam memenuhi kontrol audit pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan (Disciplinary

Process)) yaitu berupa proses kedisiplinan secara formal bagi seluruh pegawai

organisasi serta memiliki komitmen dalam menjaga keamanan informasi, maka dibutuhkan beberapa pernyataan yang sesuai. Untuk itu auditor harus mengetahui beberapa hal tentang proses kedisiplinan karyawan diantaranya yaitu :

a. Harus mengetahui bagaimana prosedur kedisiplinan seluruh karyawan khususnya untuk bagian Desktop Management

b. Harus mengetahui beberapa faktor dalam pertimbangan kedisiplinan formal c. Harus mengetahui konsekuensi untuk karyawan yang kurang memperhatikan

prosedur keamanan informasi dalam perusahaan.

Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan (Disciplinary Process)) di atas, maka didapatkan pernyataan seperti yang ada pada Tabel 4.5.

Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan

PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)

Klausul 8.2 Selama Menjadi Pegawai (During Employment)

8.2.3 Proses Kedisiplinan (Disciplinary Process)

Kontrol:

Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi.

No. PERNYATAAN

Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Lanjutan)

PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)

Klausul 8.2 Selama Menjadi Pegawai (During Employment)

8.2.3 Proses Kedisiplinan (Disciplinary Process)

Kontrol:

Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi.

No. PERNYATAAN

2. Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor

3. ^{Terdapat konsekuensi bagi karyawan yang cenderung mengabaikan prosedur} keamanan sistem informasi

Dalam memenuhi kontrol audit pada klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik (Physical

security perimeter)) yaitu pembatasan keamanan (dinding pembatas, kontrol kartu

akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan informasi dan perangkat pemrosesan informasi. Untuk itu auditor harus mengetahui banyak hal tentang pembatas keamanan tersebut diantaranya : a. Harus mengetahui batas perimeter yang jelas dan aman khususnya pada

tempat fasilitas pemrosesan informasi

b. Harus mengetahui bahwa pada akses menuju tempat kerja harus dibatasi hanya untuk personil dengan otorisasi

c. Harus mengetahui bahwa pada pintu darurat harus terpasang tanda bahaya dan benar benar tertutup rapat

d. Harus mengetahui bahwa setiap pengunjung atau orang yang menuju wilayah aman harus diawasi

Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1

(pembatas keamanan fisik (Physical security perimeter)) di atas, maka akan didapatkan pernyataan seperti yang ada pada Tabel 4.6.

Tabel 4.6 Pernyataan Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik (Physical security perimeter)

PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN)

Klausul 9.1 Wilayah Aman

9.1.1 Pembatasan keamanan fisik

Kontrol : Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga)

harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi.

No. PERNYATAAN

1. ^{Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman} secara fisik

2. ^{Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi.} 3. ^{Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya}

dan tertutup rapat.

4. ^{Pengunjung ke wilayah aman harus diawasi}

Dalam memenuhi kontrol audit pada klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password Use)) yaitu pengguna harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password, maka dibutuhkan beberapa pernyataan yang sesuai. Untuk itu auditor harus mengetahui banyak hal tentang penggunaan password tersebut diantaranya : a. Harus mengetahui seberapa besar kesadaran para karyawan untuk menjaga

password yang telah dimiliki

b. Harus mengetahui sikap karyawan apabila setiap ada kemungkinan sistem dalam bahaya, diharuskan untuk mengganti password

c. Harus mengetahui bahwa karyawan telah mematuhi larangan dalam pembuatan catatan password

d. Harus mengetahui kedisiplinan karyawan dalam menjaga password yang dimiliki agar tidak membagikan kepada yang tidak berhak

e. Harus mengetahui bahwa karyawan telah melakukan pergantian password sementara pada saat pertama kali log-on

f. Harus mengetahui bahwa karyawan telah memilih password yang berkualitas dan mudah untuk diingat

g. Harus mengetahui bahwa karyawan telah melakukan perubahan password secara berkala dan larangan menggunakan password yang lama

Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password Use)) di atas, maka akan didapatkan pernyataan seperti yang ada pada Tabel 4.7.

Tabel 4.7 Pernyataan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)

PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)

Klausul 11.3 Tanggung Jawab Pengguna (User Respon sibilities)

11.3.1 Penggunaan Password (Password Use)

Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan

dan penggunaan password.

No. PERNYATAAN

1. Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password 2. ^{Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau}

password dalam keadaan bahaya

3. Terdapat larangan dalam pembuatan catatan password

4. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain 5. Terdapat pergantian password sementara pada saat pertama kali log-on 6. Terdapat pemilihan password secara berkualitas yang mudah diingat

7. ^{Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan} larangan menggunakan password yang lama

Pernyataan berdasarkan standar ISO 27002:2005 digunakan untuk memudahkan auditor sebagai acuan membuat pertanyaan untuk wawancara audit

keamanan sistem informasi dari beberapa contoh klausul yaitu klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan (Disciplinary Process)) membahas proses kedisiplinan sehingga bila semua aspek kedisiplinan terdapat pada bagian Desktop Management maka dapat menjadi standar kedisiplinan sumber daya manusia pada Desktop Management, klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik (Physical security perimeter)) membahas tentang pembatas keamanan fisik sehingga bila semua aspek pembatas keamanan fisik terdapat pada bagian Desktop Management maka dapat menjadi standar pembatas keamanan fisik pada Desktop Management, klausul 11 (Sebelas) Kontrol Akses dengan kontrol 11.3.1 (Penggunaan Password (Password Use)) membahas tentang penggunaan password sehingga bila semua aspek penggunaan password terdapat pada bagian Desktop Management maka dapat menjadi standar kontrol akses pada Desktop Management.

Dalam dokumen TA : Audit Keamanan Sistem Informasi Pada Bagian Desktop Management Berdasarkan Standar ISO 27002:2005 di PT. Telkom Divre V Jatim. (Halaman 81-86)