Tahap Perencanaan Audit Keamanan Sistem Informasi

BAB III METODE PENELITIAN

3.1 Tahap Perencanaan Audit Keamanan Sistem Informasi

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)

Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk. Nomor : KD.57/HK-290/ITS-30/2006 ISO 27002:2005 3.

Komputasi bergerak dan bekerja dari lain tempat (teleworking)

Objektif Kontrol: Untuk memastikan Keamanan

Informasi saat menggunakan fasilitas komputasi bergerak atau bekerja darilaintempat.

11.7.1 Komunikasi dan

terkomputerisasi yang bergerak 11.7.2 Teleworking

Tabel 3.2 Pemetaan Gambaran Proses Audit Menurut Davis dan Tahap Audit yang Dikembangkan

No Davis Proses Pengembangannya

1 Planning ^{Pada tahap planning ini masuk ke dalam tahap}

perencanaan audit 2 ^{Fieldwork and}

Documentation

Pada tahap Fieldwork and Documentation ini masuk ke dalam tahap persiapan audit dan pelaksanaan audit

3 ^{Issues Discovery and}

Validation

Pada tahap Issues Discovery and Validation masuk ke dalam tahap pelaksanaan audit

4 Solution Development ^{Pada tahap Solution Development ini masuk ke}

dalam tahapan pelaksanaan audit 5 ^{Report Drafting and}

Issuance

Pada tahap Report Drafting and Issuance masuk ke dalam tahap pelaporan audit

6 Issue Tracking ^{Pada tahap Issue Tracking masuk ke dalam tahap}

pelaporan audit

3.1 Tahap Perencanaan Audit Keamanan Sistem Informasi

Pada tahap ini langkah-langkah yang dilakukan yakni 1.) Identifikasi Informasi organisasi perusahaan 2.) Pemahaman proses bisnis, 3.) Menentukan ruang lingkup, objek audit dan tujuan audit, 4.) Penentuan klausul, objektif kontrol dan kontrol, 5.) Membuat dan menyampaikan engagement letter. Dari tahapan tersebut akan menghasilkan pengetahuan tentang proses bisnis

perusahaan, ruang lingkup dan tujuan yang telah ditentukan serta klausul yang telah ditentukan oleh kedua belah pihak.

3.1.1 Identifikasi Informasi Organisasi Perusahaan

Pada tahapan perencanaan audit, proses pertama yang dilakukan adalah mengidentifikasi informasi organisasi perusahaan yang diaudit dengan mempelajari dokumen-dokumen yang terkait dengan perusahaan. Dokumen tersebut berupa profil perusahaan PT Telkom Divre V Jatim, visi misi PT Telkom Divre V Jatim, profil bagian Desktop Management, struktur organisasi Desktop

Management serta deskripsi pekerjaan di Desktop Management. Langkah

selanjutnya adalah mencari informasi apakah sebelumnya perusahaan telah melaksanakan proses audit. Apabila pernah dilakukan audit, maka auditor perlu mengetahui dan memeriksa laporan audit sebelumnya.

Untuk menggali pengetahuan tentang informasi organisasi perusahaan langkah yang dilakukan adalah dengan cara mengetahui dan memeriksa dokumen-dokumen yang terkait dengan proses audit, wawancara manajemen dan staff, serta melakukan observasi. Salah satu contoh proses identifikasi informasi organisasi perusahaan dengan wawancara manajemen dan staff dapat dilihat pada Tabel 3.3.

Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf

Wawancara Permasalahan Pada

Desktop Management

Auditor : Dian Ayu P Auditee : Bpk Agus Widodo (Bagian Officer 2 administrasi & monitoring) & Pak Uyud (Bagian Officer 1 Desktop Operation & Lisensi) Tanggal : 10 Desember 2012 1. T: Apakah pada perusahaan ini khususnya di bagian Desktop

Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf (Lanjutan)

Wawancara Permasalahan Pada

Desktop Management

Auditor : Dian Ayu P Auditee : Bpk Agus Widodo (Bagian Officer 2 administrasi & monitoring) & Pak Uyud (Bagian Officer 1 Desktop Operation & Lisensi) Tanggal : 10 Desember 2012 2. 1. untuk audit atau keterikatan, misalnya seperti Bank regulasinya

adalah PBI/BI, apabila saham berdasarkan BEI/Bapepam? Apabila tidak ada regulasi khusus, dapatkah saya nantinya mengaudit pada bagian tertentu berdasarkan SOP atau kebijakan atau peraturan yg berlaku pada perusahaan ini?

3. J: Mengenai SOP (Standard Operating Procedure), hampir seluruh alur proses bisnis datanya tidak di sini tapi terdapat di Telkom Bandung. Namun terdapat satu bagian yang dapat anda audit karena masih bisa dilihat secara langsung proses kerjanya yaitu di bagian Desktop Management. Pada bagian tersebut terdapat aplikasi penyimpanan dokumen, serta prosedur standard keamanan untuk penggunaan password. 4. 2. T : Pada setiap perusahaan pasti terdapat beberapa aset berharga,

contoh : aset informasi, aset piranti lunak, aset fisik, aset layanan. Pada bagian Desktop Management , terdapat aset apa saja?

5. J : Ya aset-aset tersebut semuanya ada di sini. Di antaranya yaitu : Aset informasi :berupa dokumentasi prosedur standard keamanan untuk penggunaan password, Aset fisik :berupa fasilitas dari perusahaan yaitu PC, printer dan perabotan kantor lainnya, Aset piranti lunak :berupa aplikasi CNEMAS (Computer & Network Equipment Management System), Aset layanan :berupa pencahayaan, AC, dll

6. 3. T: Bagaimana penjelasan secara umum mengenai fungsi aplikasi tersebut?

7. J: CNEMAS merupakan suatu aset piranti lunak yang berfungsi untuk mengontrol pergerakan fasilitas kerja pegawai

3.1.2 Pemahaman Proses Bisnis

Proses kedua pada tahapan perencanaan audit ini adalah mengetahui proses bisnis perusahaan sebelum dilakukan audit dengan cara memahami proses bisnis yang ada pada bagian Desktop Management. Output yang dihasilkan dalam proses ini adalah alur proses bisnis bagian Desktop Management.

3.1.3 Penentuan Ruang Lingkup, Objek Audit dan Tujuan Audit

Proses ketiga pada tahapan perencanaan ini adalah mengidentifikasi ruang lingkup dan tujuan yang akan dibahas dalam audit kali ini. Penentuan ruang lingkup dilakukan dengan cara melakukan observasi, wawancara dan kuesioner pada bagian Desktop management. Pada proses ini, langkah yang selanjutnya dilakukan adalah mengidentifikasi tujuan yang berhubungan dengan kebutuhan audit keamanan sistem informasi. Output yang dihasilkan adalah hasil ruang lingkup, objek audit dan tujuan audit.

3.1.4 Menentukan Klausul, Objektif Kontrol dan Kontrol

Pada proses ini langkah yang dilakukan adalah menentukan objek mana saja yang akan diperiksa sesuai dengan permasalahan yang ada dan kebutuhan perusahaan. Menentukan klausul, objektif kontrol dan kontrol yang sesuai dengan kendala dan kebutuhan Desktop management. Klausul, objektif kontrol dan kontrol yang ditentukan harus berdasarkan kesepakatan antara auditor dengan

auditee dan disesuaikan dengan standar ISO 27002:2005. Output yang dihasilkan

adalah hasil pemilihan klausul yang akan diperiksa, objektif kontrol dan kontrol sesuai ISO 27002:2005 yang juga tertuang pada engagement letter.

3.1.5 Membuat dan Menyampaikan Engagement Letter

Pada tahap ini adalah membuat dan menyampaikan Engagement Letter atau surat perjanjian audit. Surat perjanjian audit adalah surat persetujuan antara kedua belah pihak yang bersangkutan yaitu auditor dengan manager Desktop

Management tentang syarat-syarat pekerjaan audit yang akan dilakukan oleh

Dalam dokumen TA : Audit Keamanan Sistem Informasi Pada Bagian Desktop Management Berdasarkan Standar ISO 27002:2005 di PT. Telkom Divre V Jatim. (Halaman 44-48)