TA : Audit Keamanan Sistem Informasi Pada Bagian Desktop Management Berdasarkan Standar ISO 27002:2005 di PT. Telkom Divre V Jatim.

(1)

AUDIT KEAMANAN SISTEM INFORMASI PADA

BAGIAN DESKTOP MANAGEMENT BERDASARKAN

STANDAR ISO 27002:2005

DI PT. TELKOM DIVRE V JATIM

TUGAS AKHIR

Program Studi

S1 SISTEM INFORMASI

Oleh:

DIAN AYU PERMATA

08410100453

FAKULTAS TEKNOLOGI DAN INFORMATIKA

(2)

DAFTAR ISI

Halaman

ABSTRAK ... v

KATA PENGANTAR ... vi

DAFTAR ISI ... ix

DAFTAR TABEL ... xiii

DAFTAR GAMBAR ... xviii

DAFTAR LAMPIRAN ... xx

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Perumusan Masalah ... 5

1.3 Batasan Masalah ... 6

1.4 Tujuan ... 7

1.5 Sistematika Penulisan ... 7

BAB II LANDASAN TEORI ... 9

2.1 Audit ... 9

2.2 Sistem Informasi ... 12

2.3 Audit Keamanan Sistem Informasi ... 13

2.4 Desktop Management ... 14

2.5 Standar Sistem Manajemen Keamanan Informasi ... 15

(3)

2.5.2 Keputusan Direksi Perusahaan Perseroan (Persero) PT. Telekomunikasi Indonesia, Tbk. Nomor :

KD.57/HK-290/ITS-30/2006 ... 25

BAB III METODE PENELITIAN... 26

3.1 Tahap Perencanaan Audit Keamanan Sistem Informasi ... 34

3.1.1 Identifikasi Informasi Organisasi Perusahaan ... 35

3.1.2 Pemahaman Proses Bisnis ... 36

3.1.3 Penentuan Ruang Lingkup, Objek dan Tujuan Audit 37

3.1.4 Menentukan Klausul, Objektif Kontrol dan Kontrol . 37 3.1.5 Membuat dan Menyampaikan Engagement Letter .... 37

3.2 Tahap Persiapan Audit Keamanan Sistem Informasi ... 38

3.2.1 Penyusunan Audit Working Plan ... 38

3.2.2 Penyampaian Kebutuhan Data ... 38

3.2.3 Membuat Pernyataan ... 39

3.2.4 Melakukan Pembobotan Pernyataan ... 40

3.2.5 Membuat Pertanyaan... 41

3.3 Tahap Pelaksanaan Audit Keamanan Sistem Informasi ... 43

3.3.1 Melakukan Wawancara ... 43

3.3.2 Proses Pemeriksaan Data ... 45

3.3.3 Penyusunan Daftar Temuan Audit Keamanan Sistem Informasi dan Rekomendasi ... 46

3.3.4 Konfirmasi Daftar Temuan dan Rekomendasi ... 50

3.4 Tahap Pelaporan Audit Keamanan Sistem Informasi ... 51

(4)

Halaman 3.4.2 Penyusunan Draft Laporan Audit Keamanan Sistem

Informasi ... 51

3.4.3 Persetujuan Draft Laporan Audit Keamanan Sistem Informasi ... 52

3.4.4 Pertemuan Penutup atau Pelaporan Hasil Audit Keamanan Sistem Informasi ... 52

BAB IV HASIL DAN PEMBAHASAN... 53

4.1 Hasil Perencanaan Audit Keamanan Sistem Informasi ... 54

4.1.1 Hasil Identifikasi Informasi Organisasi Perusahaan .. 54

4.1.2 Hasil Pemahaman Proses Bisnis ... 58

4.1.3 Ruang Lingkup, Objek dan Tujuan Audit ... 60

4.1.4 Hasil Klausul, Objektif Kontrol dan Kontrol.. ... 64

4.1.5 Engagement Letter.. ... 68

4.2Hasil Persiapan Audit Keamanan Sistem Informasi ... 68

4.2.1 Hasil Penyusunan Audit Working Plan ... 68

4.2.2 Hasil Penyampaian Kebutuhan Data ... 69

4.2.3 Hasil Pernyataan ... 71

4.2.4 Hasil Pembobotan Pernyataan ... 76

4.2.5 Hasil Pertanyaan ... 87

4.3Hasil Pelaksanaan Audit Keamanan Sistem Informasi ... 97

4.3.1 Hasil Wawancara ... 97

4.3.2 Hasil Pemeriksaan Data ... 108

4.3.3 Hasil Temuan dan Rekomendasi ... 116

4.4Hasil Pelaporan Audit Keamanan Sistem Informasi ... 126

(5)

4.4.2 Hasil Penyusunan dan Persetujuan Draft Laporan

Audit Keamanan Sistem Informasi ... 126

4.4.3 Hasil Pertemuan Penutup atau Pelaporan Audit Keamanan Sistem Informasi ... 126

BAB V PENUTUP ... 127

5.1 Kesimpulan ... 127

5.2 Saran ... 128

DAFTAR PUSTAKA ... 129

(6)

DAFTAR TABEL

Halaman

Tabel 2.1 Peta PDCA dalam proses SMKI ... 17 Tabel 2.2 Ringkasan jumlah klausul kontrol keamanan, objektif

kontrol dan kontrol ... 20 Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC

27002:2005 ... 21 Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen KD.57 ... 28 Tabel 3.2 Pemetaan Gambaran Proses Audit Menurut Davis dan

Tahap Audit yang Dikembangkan ... 34 Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf ... 35 Tabel 3.4 Audit Working Plan Secara Keseluruhan ... 38 Tabel 3.5 Contoh Lampiran Kebutuhan Data Penunjang yang

Diperlukan Dalam Pelaksanaan Audit ... 39 Tabel 3.6 Contoh Pernyataan Pada Klausul 11 Dengan Kontrol 11.3.1

Penggunaan Password (Password Use) ... 40 Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan ... 40 Tabel 3.8 Contoh Pembobotan Pada Klausul 11 Dengan Kontrol

11.3.1 Penggunaan Password (Password Use) ... 41 Tabel 3.9 Contoh Pertanyaan Pada Klausul 11 Dengan Kontrol 11.3.1

Penggunaan Password (Password Use) ... 42 Tabel 3.10 Contoh Wawancara Klausul 11 Dengan Kontrol 11.3.1

Penggunaan Password (Password Use) ... 44 Tabel 3.11 Contoh Dokumen Pemeriksaan Data Audit Pada Klausul 11

Dengan Kontrol 11.3.1 Penggunaan Password (Password

(7)

Tabel 3.12 Contoh Lampiran Temuan dan Rekomendasi Pada Klausul

11 (Sebelas) Kontrol Akses ... 47 Tabel 4.1 Job Description Desktop Management PT.Telkom DIVRE

V Jatim ... 57

Tabel 4.2 Pemetaan Alur Proses Bisnis dan Identifikasi Masalah ... 61 Tabel 4.3 Pemetaan Permasalahan dan Ruang Lingkup Audit

Keamanan Sistem Informasi ... 63 Tabel 4.4 Pemetaan Klausul, Objektif Kontrol dan Kontrol yang

Digunakan ... 65 Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses

Kedisiplinan (Disciplinary Process) ... 72 Tabel 4.6 Pernyataan Klausul 9 Dengan Kontrol 9.1.1 Pembatas

Keamanan Fisik (Physical security perimeter) ... 74 Tabel 4.7 Pernyataan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan

Password (Password Use) ... 75 Tabel 4.8 Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses

Kedisiplinan (Disciplinary Process) ... 78 Tabel 4.9 Pembobotan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan

Keamanan Fisik (Physical security perimeter) ... 81 Tabel 4.10 Pembobotan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan

Password (Password Use) ... 84 Tabel 4.11 Hasil Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses

Kedisiplinan (Disciplinary Process) Dengan Nilai Bobot

Medium(0,4-0,69) dan High(0,7-1,0) ... 85 Tabel 4.12 Hasil Pembobotan Klausul 9 Dengan Kontrol 9.1.1

Pembatasan Keamanan Fisik (Physical security perimeter)

Dengan Nilai Bobot Medium(0,4-0,69) dan High(0,7-1,0) .... 86 Tabel 4.13 Hasil Pembobotan Klausul 11 Dengan Objektif k Kontrol

11.3.1 (penggunaan password (Password Use)) Dengan

(8)

Halaman

Tabel 4.14 Hasil Pertanyaan Klausul 8 Dengan Kontrol 8.2.3 Proses

Kedisiplinan (Disciplinary Process) ... 89 Tabel 4.15 Hasil Pertanyaan Klausul 9 Dengan Kontrol 9.1.1

Pembatasan Keamanan Fisik (Physical security perimeter) . 91 Tabel 4.16 Hasil Pertanyaan Klausul 11 Dengan Kontrol 11.3.1

Penggunaan password (Password Use) ... 94 Tabel 4.17 Pemetaan Wawancara dengan Beberapa Narasumber ... 98

Tabel 4.18 Hasil Wawancara Klausul 8 Dengan Kontrol 8.2.3 Proses

Kedisiplinan (Disciplinary Process) ... 99 Tabel 4.19 Hasil Wawancara Klausul 9 Dengan Kontrol 9.1.1

Pembatasan Keamanan Fisik (Physical security perimeter) .. 101 Tabel 4.20 Hasil Wawancara Klausul 11 Dengan Kontrol 11.3.1

Penggunaan Password (Password Use) ... 106 Tabel 4.21 Hasil Pemeriksaan Data Pada Klausul 8 Dengan Kontrol

8.2.3 Proses Kedisiplinan (Disciplinary Process) ... 109 Tabel 4.22 Hasil Pemeriksaan Data Pada Klausul 9 Dengan Kontrol

9.1.1 Pembatas Keamanan Fisik (Physical security

perimeter) ... 111 Tabel 4.23 Hasil Pemeriksaan Data Pada Klausul 11 Dengan Kontrol

11.3.1 Penggunaan password (Password Use) ... 113 Tabel 4.24 Daftar Temuan dan Rekomendasi Pada Klausul 8 Dengan

Kontrol 8.2.3 Proses Kedisiplinan ... 118 Tabel 4.25 Daftar Temuan dan Rekomendasi Pada Klausul 9 Dengan

Kontrol 9.1.1 Pembatas Keamanan Fisik ... 121 Tabel 4.26 Daftar Temuan dan Rekomendasi Pada Klausul 11 Dengan

(9)

Halaman

Gambar 2.1 Gambaran Proses Audit ... 10

Gambar 2.2 Aspek Keamanan Informasi ... 14

Gambar 2.3 Relasi Antar Keluarga Standar SMKI ... 16

Gambar 3.1 Tahapan-Tahapan dalam Audit Keamanan Sistem Informasi ... 27

Gambar 3.2 Tahapan dalam Menentukan Temuan Audit dan Rekomendasi ... 47

Gambar 4.1 Tahapan-Tahapan dalam Audit Keamanan Sistem Informasi ... 53

Gambar 4.2 Struktur Organisasi Desktop Management di PT. Telkom DIVRE V Jatim ... 56

Gambar 4.3 Bisnis Proses Desktop Management ... 60

Gambar 4.4 Hasil potongan Engagement Letter ... 70

Gambar 4.5 Hasil Audit Working Plan ... 70

(10)

DAFTAR LAMPIRAN

Halaman

Lampiran 1 Engagement Letter... 130

Lampiran 2 Daftar Kebutuhan Data Audit ... 131

Lampiran 3 Pernyataan Audit ... 132

Lampiran 4 Pembobotan Pernyataan Audit ... 133

Lampiran 5 Hasil Pembobotan Pernyataan Audit ... 134

Lampiran 6 Pertanyaan Audit ... 135

Lampiran 7 Wawancara Audit ... 136

Lampiran 8 Program Pemeriksaan Data Audit ... 137

Lampiran 9 Temuan Dan Rekomendasi... 138

Lampiran 10 Persetujuan Draft Laporan Audit... 139

Lampiran 11 Penutup Laporan Audit... 140

Lampiran 12 Berita Acara Persetujuan Hasil Pembobotan Pernyataan ... 141

(11)

1

PENDAHULUAN

1.1 Latar Belakang

Perseroan Terbatas Telekomunikasi (PT Telkom) merupakan suatu Badan Usaha Milik Negara (BUMN) yang bergerak dalam bidang jasa telekomunikasi dan telah berdiri sejak tahun 1882. menyediakan sarana dan jasa layanan telekomunikasi kepada masyarakat luas sampai ke pelosok daerah di seluruh Indonesia. Perubahan besar terjadi pada tahun 1995 yang meliputi restrukturisasi internal, Kerjasama Operasi (KSO), dan Initial Public Offering (IPO). Sebagai hasil restrukturisasi, sejak 1 Juli 1995 organisasi PT Telkom terdiri dari 7 (tujuh) Divisi Regional dan 1 (satu) Divisi Network yang keduanya mengelola bidang usaha utama. PT Telkom DIVRE V JATIM merupakan salah satu dari 7 (tujuh) Divisi Regional yang terletak di JL. Ketintang no.156 Surabaya. Perkembangan terakhir pada tanggal 1 Februari 2013 PT Telkom baru saja melakukan Transformasi Organisasi (TO), dibagi menjadi dua divisi, yaitu Divisi Telkom Barat yang berkedudukan di Jakarta dan Divisi Telkom Timur (DTT) yang berkedudukan di Surabaya.

DIVRE V JATIM memiliki beberapa aset diantaranya aset piranti lunak, aset informasi, aset fisik dan aset layanan. Salah satu aset PT Telkom DIVRE V JATIM adalah Computer & Network Equipment Management System (CNEMAS) merupakan aset piranti lunak yang dimiliki oleh bagian desktop

management di Divisi Information System Service Support Management (ISSSM)

(12)

2

pihak ketiga, tetapi asli dari pihak PT Telkom sendiri dan telah beroperasi selama 3 tahun terakhir. Bagian desktop management memiliki tugas mendukung kebutuhan di bidang desktop dan fasilitas kerja pegawai seluruh Indonesia. Dengan adanya penanganan kebutuhan desktop di seluruh Indonesia, maka bagian

desktop management ini sangat berperan penting dalam memanajemen keamanan

informasi, karena pegawai di seluruh Indonesia akan mengirimkan dan mengakses data-data kebutuhan desktop serta fasilitas kerja dalam rentang waktu tertentu.

Pada bagian desktop management ini belum pernah dilakukan audit sebelumnya dan berdasarkan rekomendasi pihak perusahaan untuk dilakukan audit pada bagian desktop management. Apabila proses kerja pada bagian desktop

management mengalami suatu kendala dikhawatirkan akan berdampak pada

proses bisnis perusahaan, karena bagian desktop berperan penting dalam mendukung fasilitas kerja pegawai dan pemenuhan kebutuhan di bidang desktop untuk pegawai Telkom di seluruh Indonesia. Apabila terdapat kendala dalam pemenuhan kebutuhan fasilitas kerja para karyawan maka jelas akan menghambat kinerja pegawai Telkom dan merugikan perusahaan dalam hal waktu, dimana seharusnya waktu yang dapat digunakan untuk bekerja tetapi karyawan tersebut tidak dapat bekerja karena mengalami kendala yaitu belum terpenuhi fasilitas kerjanya seperti laptop dan perangkat desktop lainnya. Maka bagian desktop

management perlu diaudit dan diperkuat oleh dokumen Keputusan Direksi

(13)

desktop management membutuhkan evaluasi dan pemeriksaan tentang proses

manajemen resiko.

Audit yang digunakan dalam penelitian berdasarkan kebutuhan perusahaan tersebut adalah audit keamanan sistem informasi. Hal ini diperlukan untuk memenuhi Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi. Apabila bagian desktop management tidak memenuhi prosedur yang terdapat pada Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, dikhawatirkan akan menyebabkan resiko tidak adanya kerahasiaan (Confidentiality) data, keutuhan (Integrity) data, keamanan informasi, dan ketersediaan (Availability) data pada bagian desktop management. Untuk mengurangi terjadinya resiko tersebut dan mengetahui keamanan sistem informasi yang sedang berlangsung pada perusahaan, maka perlu dilakukan audit keamanan sistem informasi.

(14)

4

Kedua kebijakan sekuriti/keamanan sistem informasi tersebut menggunakan referensi utama yaitu ISO/IEC 17799:2005.

Selain menggunakan standar ketentuan yang ada yaitu KD. 57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, penelitian ini juga menggunakan referensi yang ada pada standar ISO 27002:2005 sebagai standar yang paling baru diterapkan menggantikan standar lama ISO 17799:2005. ISO 27002 menyediakan rekomendasi best practice terhadap manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk proses implementasi, dan pemeliharaan Information Security Management Systems (ISMS) pada suatu organisasi. Standar ini tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang tepat sesuai kebutuhannya. Standar ini sangat fleksibel digunakan karena sangat tergantung dari kebutuhan organisasi, tujuan organisasi, persyaratan keamanan, proses bisnis dan dalam implementasinya bisa sangat tergantung kebutuhan organisasi.

Berdasarkan permasalahan yang ada dan engagement letter yang telah dibuat atas persetujuan antara dua belah pihak yakni manager desktop

management dan auditor, maka ada beberapa klausul yang digunakan sebagai

acuan untuk melakukan audit keamanan sistem informasi yaitu : 1. Keamanan Sumber Daya Manusia (Klausul 8)

2. Keamanan Fisik dan Lingkungan (Klausul 9)

3. Kontrol Akses (Klausul 11)

Klausul didapatkan berdasar kondisi permasalahan awal dari bagian

(15)

desktop management yang seharusnya terlindungi, dapat dilihat oleh karyawan

lain di bagian yang sama namun sebenarnya karyawan tersebut tidak memiliki akses untuk melihat informasi khusus yang bukan haknya. Karena setiap karyawan telah memiliki hak akses yang berbeda untuk melihat informasi yang dibutuhkan sesuai jobnya, maka klausul 11 yang digunakan untuk acuan kontrol akses. Lalu penempatan perangkat keras atau fisik yang kurang dilindungi dengan maksimal, maka klausul 9 yang digunakan untuk acuan keamanan fisik dan lingkungan. Karyawan yang tidak memenuhi ketentuan yang telah terdapat pada dokumen kebijakan perusahaan yaitu Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, maka klausul 8 yang menjadi acuan untuk keamanan sumber daya manusia. Batasan klausul tersebut berdasarkan kesepakatan bersama antara auditor dan manager desktop

management. Dengan adanya audit keamanan sistem informasi pada bagian

desktop management di PT Telkom DIVRE V JATIM melalui penyusunan Tugas

Akhir maka diharapkan dapat menghasilkan temuan audit yang berupa daftar temuan, hasil pengukuran untuk mengetahui rekomendasi perbaikan bagian

desktop management pada PT Telkom DIVRE V JATIM.

1.2Perumusan Masalah

Berdasarkan penjelasan pada latar belakang, maka perumusan masalah yang didapat adalah sebagai berikut :

1. Bagaimana melaksanakan audit keamanan sistem informasi pada bagian

desktop management PT Telkom DIVRE V JATIM, berdasarkan standar ISO

(16)

6

2. Bagaimana memberikan hasil berupa temuan audit keamanan informasi yang dilakukan di bagian desktop management PT Telkom DIVRE V JATIM berdasarkan standar ISO 27002:2005?

1.3 Batasan Masalah

Berdasarkan perumusan masalah di atas, maka tujuan dalam audit keamanan sistem informasi ini, agar tidak menyimpang dari tujuan yang akan dicapai maka pembahasan masalah dibatasi pada hal-hal sebagai berikut:

1. Standar pelaksanaan audit keamanan sistem informasi yang digunakan mengacu pada ISO 27002 : 2005 dan dokumen Keputusan Direksi Perusahaan Perseroan(Persero) PT Telekomunikasi Indonesia, Tbk Nomor: KD.57/HK-290/ITS-30/2006 .

2. Periode data yang digunakan untuk audit keamanan sistem informasi, Januari 2011 sampai 2013.

3. Tidak dilakukan penilaian resiko secara terperinci, melainkan hanya dengan melakukan wawancara untuk mengetahui resiko yang menonjol pada bagian

Desktop Management

4. Tidak menggunakan data mengenai proses penyeleksian karyawan karena seluruh data penyeleksian karyawan terdapat di Telkom Pusat kota Bandung 5. Klausul yang digunakan telah disesuaikan dengan kesepakatan auditor dan

Manager desktop management dan terlampir pula pada dokumen engagement

letter yaitu:

(17)

c. Klausul 11 : Kontrol Akses

1.4 Tujuan

Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah :

1. Menyusun dan mendokumentasikan hasil audit keamanan sistem informasi pada bagian desktop management di PT Telkom DIVRE V JATIM berdasarkan standar ISO 27002:2005 dan dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor: KD.57/HK-290/ITS-30/2006.

2. Mengevaluasi temuan audit kemanan sistem informasi yang ada, dan selanjutnya dapat dijadikan perbaikan untuk bagian desktop management pada PT Telkom DIVRE V JATIM.

1.5 Sistematika Penulisan

Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam 5 (lima) bab, yaitu:

BAB I : PENDAHULUAN

Pada bab ini membahas tentang latar belakang masalah, rumusan masalah serta batasan terhadap masalah yang akan dibahas, tujuan dari pembahasan masalah yang diangkat, dan sistematika penulisan laporan tugas akhir ini.

BAB II : LANDASAN TEORI

(18)

8

sistem informasi, audit keamanan sistem informasi, desktop

management, standar sistem manajemen keamanan informasi, ISO/IEC

27002:2005.

BAB III : METODE PENELITIAN

Pada bab ini berisi penjelasan mengenai langkah-langkah yang dilakukan dalam audit keamanan sistem informasi pada bagian desktop

management di PT Telkom DIVRE V Jatim yang meliputi perencanaan

audit, persiapan audit, pelaksanaan audit serta pelaporan audit.

BAB IV : HASIL DAN PEMBAHASAN

Pada bab ini dibahas tentang analisa dan evaluasi hasil temuan serta rekomendasi dari kegiatan audit keamanan sistem informasi pada bagian desktop management di PT Telkom DIVRE V Jatim.

BAB V : PENUTUP

(19)

9

LANDASAN TEORI

2.1Audit

Penggunaan istilah audit telah banyak dipakai di berbagai disiplin ilmu, mulai dari keuangan, pemerintahan hingga Teknologi Informasi (TI). Adapun definisi audit menurut Sarno (2009a:171) adalah:

“Audit merupakan proses atau aktivitas yang sistematik, independen dan

terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan”.

Dari pendapat Sarno diatas dapat disimpulkan bahwa audit mengandung arti aktivitas yang berlangsung secara sistematik atau terarah, independen atau mandiri dan terdokumentasi artinya ada rekam jejak, temuan atau bukti.

(20)

10

Gambar 2.1 Gambaran Proses Audit (Sumber: Davis dkk, 2011:42)

Menurut Davis dkk (2011:42) beberapa tahapan audit seperti yang terlihat pada gambar 2.1, setiap tahapan-tahapan akan dijelaskan sebagai berikut :

1. Planning

Sebelum melakukan audit terlebih dahulu harus menentukan rencana meninjau bagaimana audit dilakukan. Jika proses perencaaan dilakukan secara efektif, maka dapat membentuk tim audit yang dapat berjalan dengan baik. Sebaliknya, jika itu dilakukan dengan buruk serta pekerjaan dimulai tanpa rencana yang jelas tanpa arah, upaya tim audit dapat mengakibatkan kegagalan tujuan dari proses perencaaan adalah menentukan tujuan dan ruang lingkup audit, yaitu harus menentukan apa yang akan dicapai.

2. Fieldwork and Documentation

(21)

cukup informasi bagi orang untuk dapat memahami apa yang dilakukan dan tersampainya kesimpula yang sama seperti auditor.

3. Issues Discovery and Validation

Pada tahap ini auditor harus menentukan dan melakukan perbaikan pada daftar isu-isu yang potensial untuk memastikan isu-isu yang valid pada relevan. Auditor harus mendiskusikan isu-isu potensial dengan pelanggan secepat mungkin. Selain memvalidasi bahwa fakta-fakta telah benar, maka perlu memvalidasi bahwa resiko yang disajikan oleh masalah ini cukup signifikan memiliki nilai untuk pelaporan dan pengalamatan.

4. Solution Development

Setelah mengidentifikasikan isu-isu potensial di wilayah yang sedang dilakukan audit dan telah memvalidasi fakta dan resiko, maka dapat dilakukan rencanan untuk mengatasi setiap masalah. Tentu, hanya mengangkat isu-isu yang tidak baik bagi perusahaan dan isu isu yang benar benar harus ditangani. Tiga pendekatan umum yang digunakan untuk mengembangkan tindakan dalam menangani masalah audit

a. Pendekatan rekomendasi b.Pendekatan respon manajemen c. Pendekatan Solusi

5. Report Drafting and Issuance

(22)

12

a. Untuk auditor dan perusahaan yang diaudit, berfungsi sebagai catatan audit, hasilnya, dan rencana rekomendasi yang dihasilkan

b.Untuk manajemen senior dan komite audit, berfungsi sebagai “kartu laporan” pada daerah yang telah diaudit.

6. Issue Tracking

Audit belum benar-benar lengkap sampai isu yang diangkat dalam audit tersebut diselesaikan. Departemen harus mengembangkan suatu proses dimana anggotanya dapat melacak dan mengikuti sampai isu terselesaikan. Auditor yang melakukan atau memimpin audit bertanggung jawab untuk menindak lanjuti poin dari audit seperti tanggal jatuh tempo untuk setiap pendekatan dari audit yang dihasilkan.

2.2Sistem Informasi

“Sistem adalah sekelompok dua atau lebih komponen-komponen yang

saling berkaitan (inter-related) atau subsistem-subsistem yang bersatu untuk mencapai tujuan yang sama (common purpose).” (Gondodiyoto, 2007:106)

“Informasi berarti hasil suatu proses yang terorganisasi, memiliki arti dan berguna bagi orang yang menerimanya .” adapun menurut James Hall pada

bukunya (diterjemahkan oleh Amir Abadi Jusuf, 2001, p 14):”Informasi

menyebabkan pemakai melakukan suatu tindakan yang dapat ia lakukan atau tidak dilakukan. Informasi ditentukan oleh efeknya pada pemakai, bukan oleh bentuk fisiknya.” (Gondodiyoto, 2007:110)

(23)

terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu dan bertujuan untuk mengolah data menjadi informasi. (Gondodiyoto, 2007:112)

2.3 Audit Keamanan Sistem Informasi

Di sisi lain kita juga mengenal istilah “audit keamanan”, adapun yang dimaksud dengan “audit keamanan adalah suatu proses atau kejadian yang

memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua keadaan dari perlindungan yang ada, dan untuk memverifikasi apakah perlindungan yang ada berjalan dengan baik.”(Ahmad,2012:27)

Dari pengertian diatas dapat di garis bawahi bahwa audit keamanan tujuan utamanya adalah memberikan perlindungan sesuai dengan kebijakan dan standar keamanan yang ada serta memverifikasi apakah perlindungan sudah berjalan dengan baik. Oleh karena itu, suatu hal yang penting untuk memahami dan mengimplementasikan audit keamanan pada sistem informasi yang digunakan. Penerapan audit keamanan sistem informasi dimaksudkan untuk mengatasi segala masalah dan kendala baik secara teknis maupun non teknis. Terdapat tiga kriteria mendasar dari keamanan teknologi informasi yang harus diaudit kemanannya menurut (Ahmad, 2012 : 4), yaitu:

a. Kerahasiaan (confidentiality): Informasi bersifat rahasia dan harus

dilindungi terhadap keterbukaan dari yang tidak berhak atau berkepentingan. b. Ketersediaan (availability): Layanan, fungsi sistem teknologi informasi, data

dan informasi harus tersedia bagi penggunaa saat diperlukan.

c. Integritas (integrity) :Data harus komplit dan tidak diubah. Dalam teknologi informasi, kata ”informasi” terkait dengan ”data”. Hilangnya integritas

(24)

14

Gambar 2.2 Aspek Keamanan Informasi (Sumber: Sarno, 2009a:37)

2.4 Desktop Management

Desktop management merupakan bagian dari ISSSM (Information

System Service Support Management), sedangkan ISSSM merupakan unit dari

Divisi ISC(Information System Center). Desktop management merupakan bagian yang mendukung fasilitas kerja pegawai Telkom dan kebutuhan di bidang desktop untuk wilayah seluruh Indonesia. Beberapa kebutuhan desktop tersebut diantaranya adalah PC, laptop, layar proyektor, printer, dan lain lain.(wawancara pada tanggal 10 Desember 2012)

Seperti yang telah dijelaskan pada latar belakang masalah terdahulu,

desktop management mempunyai peranan yang sangat penting dalam

memanagement keamanan informasi data-data kebutuhan desktop serta fasilitas kerja PT Telkom di seluruh Indonesia. Apabila keamanan sistem informasi pada

desktop management tidak dilindungi maka akan terjadi penyalahgunaan

password yang beurjung pada penyalahgunaan akses pada aplikasi, memanipulasi

data serta pencurian data oleh pihak yang tidak betanggung jawab.“Suatu

(25)

Hal tersebut diperlihatkan dengan keberadaan sejumlah kasus kejahatan komputer yang dilakukan secara sengaja, contohnya :pencurian data, aktivitas spionase, percobaan hacking, tindakan vandalism. Ancaman serupa juga disebabkan karena kejadian lain seperti bencana alam, misalnya: banjir, gempa bumi, tsunami dan kebakaran.”(Sarno,2009a:28)

2.5 Standar Sistem Manajemen Keamanan Informasi

Sejak tahun 2005, International Organization for Standardization (ISO) atau organisasi Internasional untuk standarisasi telah mengembangkan sejumlah standar tentang Information Security Management System (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari :

a. ISO/IEC 27000:2009-ISMS Overview and Vocabulary

Dokumen definisi-definisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.

b. ISO/IEC 27001:2005-ISMS Requirements

Berisi persyaratan standar yang harus dipenuhi untuk membangun SMKI. c. ISO/IEC 27002:2005-Code of Practice for ISMS

Terkait dengan dokumen ISO 27001, namun dalam dokumen ini berisi panduan praktis (code of practice) teknik keamanan informasi.

d. ISO/IEC 27003:2010-ISMS Implementation Guidance

Berisi matriks dan metode pengukuran keberhasilan implementasi SMKI. e. ISO/IEC 27004:2009-ISMS Measurements

(26)

16

f. ISO/IEC 27005:2008-Infromation Security Risk Management Dokumen panduan pelaksanaan manajemen resiko.

g. ISO/IEC 27006:2007-ISMS Certification Body Requirements Dokumen panduan untuk sertifikasi SMKI perusahaan. h. ISO/IEC 27007-Guidelines for ISMS Auditing

Dokumen panduan audit SMKI perusahaan.

ISO 27000 Overview and Vocabulary

ISO 27004 Measurements

ISO 27006 Certification Body

Requirements

ISO 27002 Code of Practice

ISO 27007 Audit Guidelines ISO 27001

Requirements

ISO 27005 Risk Management ISO 27003

Implementation Guidance

Termi

nologi

Per

syara

tan

Umum

Panduan Umu

m

Gambar 2.3 Relasi Antar Keluarga Standar SMKI (Sumber Ahmad,2012:13)

Adapun penjelasan dari standar ISMS tersebut dijelaskan sebagai berikut :

a. ISO/IEC 27000:2009 – ISMS Overview and Vocabulary

Standar ini dirilis tahun 2009, memuatprinsip-prinsip dasar Information

Security Management System, definisi sejumlah istilah penting dan hubungan

(27)

tahap pengembangan. Hubungan antar standar keluarga ISO 27000 dapat dilihat pada gambar 3.

b. SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan Informasi SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi(SMKI). Standar ini bersifat independen terhadap produk teknologi masyarakat penggunaan pendekatan manajeman berbasis risiko,dan dirancang untuk menjamin agar kontrol- kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.

Standar ini dikembangkan dengan pendekatan proses sebagai suatu model bagi penetapan, penerapan, pengoprasian, pemantauan, tinjau ulang (review), pemeliharaan dan peningkatan suatu SMKI. Model PLAN – DO – CHECK–ACT (PDCA) diterapkan terhadap struktur keseluruhan proses SMKI. Dalam model PDCA, keseluruhan proses SMKI dapat dipetakan seperti Tabel 2.1.

Tabel 2.1 Peta PDCA dalam Proses SMKI (Sumber:Ahmad, 2012:15) PDCA dalam Proses SMKI

1. _{PLAN (Menetapkan SMKI)}

Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola resiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dari sasaran

2. DO (Menerapkan dan mengoperasikan SMKI)

(28)

18

Tabel 2.1 Peta PDCA dalam Proses SMKI (Sumber:Ahmad, 2012:15) PDCA dalam Proses SMKI

3. CHECK (Memantau dan melakukan tinjau ulang SMKI)

Mengkaji dan mengukur kinerja proses terhadap kebijakan, sasaran, praktek-praktek dalam menjalankan SMKI dan melaporkan hasilnya kepada manajemen untuk ditinjau efektivitasnya

4. ACT (Memelihara dan meningkatkan SMKI)

Melakukan tindakan perbaikan dan pencegahan, berdasarkan hasil evaluasi, audit internal dan tinjauan manajemen tentang SMKI atau kegiatan pemantauan lainnya untuk mencapai peningkatan yang

berkelanjutan.

c. ISO/IEC 27002:2005 – Code of Practice for ISMS

ISO/IEC 27002 berisi panduan ISO IEC 17799 tahun 2005, resmi dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara resmi diubah menjadi ISO IEC 27002 tahun 2005. Konten tersebut masih persis sama. Standar ISO IEC 17799:2005 (sekarang dikenal sebagai ISO IEC 27002:2005) dikembangkan oleh IT Security Subcommittee (SC 27) dan

Technical Committee on Information Technology (ISO/IEC JTC 1) (ISO

27002, 2005).

d. ISO/IEC 27003:2010 – ISMS Implementation Guidance

Tujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagi perancangan dan penerapan SMKI agar memenuhi persyaratan ISO 27001. Standar ini menelaskan proses pembangunan SMKI meliputi pengarsipan, perancangan dan penyusunan atau pengembangan SMKI yang digambarkan sebagai suatu kegiatan proyek.

(29)

Standar ini menyediakan penyusunan dan penggunaan teknik pengukuran untuk mengkaji efektivitas penerapan SMKI dan kontrol sebagaimana disyaratkan ISO/IEC 27001. Standar ini juga membentu organisasi dalam mengukur ketercapaian sasaran keamanan yang ditetapkan.

f. ISO/IEC 27005:2008 – Information Security Risk Management

Standar ini menyediakan panduan bagi kegiatan manajemen risiko keamanan informasi dalam suatu organisasi, khususnya dalam rangka mendukung persyaratan- persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001. Standar ini diterbitkan pada bulan Juni 2008.

g. ISO/IEC 27006:2007 – Prasyarat Badan Audit dan Sertifikasi

Standar ini menetapkan persyaratan dan memberikan panduan bagi organisasi yang memiliki kewenangan untuk melakukan audit dan sertifikasi SMKI.Standar ini utamanya dimaksudkan untuk mendukung porses akreditasi Badan Sertifikasi ISO/IEC 27001 oleh Komite Akreditasi dari negara masing-masing.

h. ISO/IEC 27007 – Guidelines for ISMS Auditing

Standar ini memaparkan panduan bagaimana melakukan audit SMKI perusahaan.

2.5.1 ISO/IEC 27002:2005

(30)

20

control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol

keamanan/ kontrol (controls) yang dapat dilihat dalam Tabel 2.2.

Tabel 2.2 Ringkasan Jumlah Klausul Kontrol Keamanan, Objektif Kontrol dan Kontrol (Sumber: Sarno, 2009a:187)

Klausul

Jumlah

Objektif Kontrol Kontrol

5 1 2

6 2 11

7 2 5

8 3 9

9 2 13

10 10 31

11 7 25

12 6 16

13 2 5

14 1 5

15 3 10

Jumlah : 11 Jumlah : 39 Jumlah : 133

ISO 27002:2005 berisi panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan.Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam ISO/IEC 27002.

(31)

Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 Klausul: 8 Keamanan Sumber Daya Manusia

Kategori Keamanan Utama: 8.1 Sebelum menjadi pegawai

Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk

meminimalkan resiko pencurian atau kesalahan dalam penggunaan fasilitas informasi.

8.1.1 Aturan dan tanggung jawab keamanan

Kontrol:

Aturan-aturan dan tanggung jawab dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasi sesuai dengan kebijakan Keamanan Informasi organisasi. Kategori Keamanan Utama: 8.2 Selama menjadi pegawai

Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami Keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang dihadapi oleh organisasi.

8.2.3 Proses kedisiplinan

Kontrol:

Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi. Kategori Keamanan Utama: 8.3 Pemberhentian atau pemindahan pegawai

Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindah dilakukan sesuai prosedur yang benar.

8.3.1 Tanggung jawab pemberhentian

Kontrol:

(32)

22

Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)

Klausul: 9 Keamanan fisik dan lingkungan Kategori Keamanan Utama: 9.1 Wilayah aman

Objektif Kontrol:

Untuk mencegah akses fisik tanpa hak, kerusakan dan ganguan terhadap Informasi dan perangkatnya dalam organisasi.

9.1.1 Pembatasan keamanan fisik

Kontrol:

Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi.

9.1.2 Kontrol masuk fisik

Kontrol:

Wilayah aman (secure) harus dilindungi dengan kontrol akses masuk yang memadai untuk memastikan hanya orang yang berhak saja dibolehkan masuk.

Kategori Keamanan Utama: 9.2 Keamanan Peralatan

Objektif Kontrol:

Untuk mencegah kehilangan, kerusakan, pencurian atau ketidakberesan aset dan gangguan terhadap aktivitas organisasi.

9.2.1 Letak peralatan dan pengamanannya

Kontrol:

Semua peralatan harus ditempatkan dengan tepat dan dilindungi untuk mengurangi resiko dari ancaman dan bahaya dari lingkungan sekitar atau kesempatan untuk diakses dari orang- orang yang tidak berhak.

9.2.3 Keamanan pengkabelan

Kontrol:

(33)

Klausul: 11 Kontrol Akses

Kategori Keamanan Utama: 11.1 Persyaratan bisnis untuk akses control

Objektif Kontrol:

Untuk mengontrol akses Infromasi.

11.1.1 Kebijakan kontrol akses

Kontrol:

Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses. Kategori Keamanan Utama: 11.2 Manajemen akses user

Objektif Kontrol:

Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak.

11.2.3 Manajemen password user

Kontrol:

Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses.

11.2.4 Tinjauan terhadap hak akses user

Kontrol:

Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk

akses.Manajemen harus melakukan tinjauan ulang terhadap hak akses user secara berkala melalui proses yang formal.

Kategori Keamanan Utama: 11.3 Tanggung jawab pengguna (user)

Objektif Kontrol:

Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi

11.3.1 Penggunaan

Password

Kontrol:

(34)

24

Kategori Keamanan Utama: 11.3 Tanggung jawab pengguna (user)

Objektif Kontrol:

Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi

yang baik dalam pemilihan dan penggunaan

password.

Kategori Keamanan Utama: 11.4 Kontrol Akses jaringan

Objektif Kontrol:

Untuk mencegah akses tanpa hak ke dalam layanan jaringan

11.4.1

Kebijakan

penggunaan layanan jaringan

Kontrol:

Pengguna seharusnya hanya disediakan akses terhadaplayanan yang telah secara spesifik diotorifikasi dalam penggunaannya. Kategori Keamanan Utama: 11.5 Kontrol Akses Sistem Operasi

Objektif Kontrol:

Untuk mencegah akses tanpa hak ke sistem operasi.

11.5.3 Sistem Manajemen

Password

Kontrol:

Sistem yang digunakan untuk mengelola password harus interaktif dan harus dipastikan passwordnya berkualitas.

Kategori Keamanan Utama: 11.6 Kontrol Akses Informasi dan aplikasi

Objektif Kontrol:

Untuk mencegah akses tanpa hak terhadap Informasi yang terdapat di dalam aplikasi.

11.6.1 Pembatasan akses Informasi

Kontrol:

(35)

Kategori Keamanan Utama: 11.7 Komputasi bergerak dan bekerja dari lain tempat

(teleworking)

Objektif Kontrol:

Untuk memastikan Keamanan Informasi saat menggunakan fasilitas komputasi bergerak atau bekerja darilaintempat.

11.7.1

Komunikasi dan terkomputerisasi yang bergerak

Kontrol:

Kebijakan secara formal seharusnya ditempatkan dan pengukuran keamanan yang sesuai seharusnya diadopsi untuk melindungi resiko dari penggunaan fasilitas komunikasi dan komputer yang bergerak.

2.5.2 Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi

Indonesia, Tbk. Nomor : KD.57/HK-290/ITS-30/2006

Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia dengan nomor : KD.57/HK-290/ITS-30/2006 merupakan dokumen tentang kebijakan sekuriti sistem informasi yang digunakan oleh bagian Desktop

Management sebagai pedoman dalam melaksanakan segala kegiatan yang

berhubungan dengan keamanan informasi.

(36)

26

BAB III

METODE PENELITIAN

Pada Bab III akan dilakukan pembahasan dimulai dengan profil perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapan-tahapan audit yang akan dilaksanakan. Dapat dilihat pada Gambar 3.1.

Studi literartur yang digunakan dalam metode penelitian ini adalah ISO 27002:2005 dan regulasi dari perusahaan yaitu dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006. Pada standar ISO 27002 dan dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 terdapat beberapa kesamaan dalam panduan implementasi audit yang dapat dilihat pada Tabel 3.1.

(37)

Sitem Informasi (R. Sarno Iffano) objek audit & tujuan audit 4.Penentuan klausul, objektif 4. Konfirmasi temuan dan rekomendasi audit

Pelaporan Audit

1.Permintaan tanggapan atas daftar temuan audit

2.Penyusunan draft laporan audit 3.Persetujuan draft laporan audit 4.Pelaporan hasil audit

Hasil Perencanaan Audit 1.Profil perusahaan, visi misi PT.Telkom DIVRE V Jatim, profil

Desktop Management, Struktur

Organisasi Desktop Management, deskripsi pekerjaan di Desktop

Management

2. Alur proses bisnis desktop

management

3.Ruang lingkup, objek audit & tujuan audit

4.Hasil pemilihan klausul,objektif kontrol dan kontrol

5.Engagement Letter

Hasil Persiapan Audit 1.Audit Working Plan untuk merencanakan dan memantau pelaksanaan audit

2.Kebutuhan data yang diperlukan auditor

3.Pernyataan yang dibuat oleh auditor

4.Tingkat pembobotan masing-masing pernyataan

5.Daftar pertanyaan dari pernyataan yang dibuat oleh auditor

1.Hasil Permintaan Tanggapan Atas Temuan Audit

2.Penyusunan dan persetujuan Draft laporan Audit

3.Pertemuan penutup, notulen pertemuan penutup audit

Planning

Fieldwork and Documentation

Fieldwork and Documentation , Issues Discovery and Validation,

Solution Development

Report Drafting and Issuance , Issue Tracking

Keterangan :

Referensi dari Davis

Tahap Pengembangan Langkah Audit

(38)

28

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006

Sekuriti Sumber Daya Manusia

Pasal 13 Sebelum Penugasan

Dalam pasal 13 ini mengatur tentang pengelolaan SDM serta proses

screening pada calon karyawan serta

pekerja kontrak dan mitra kerja yang harus menandatangani Term and

Conditions.

Pasal 14

Selama Penugasan

Dalam pasal 14 ini mengatur tentang pemahaman Security Awareness yang cukup untuk menjalani prosedur sekuriti dalam pekerjaannya dan untuk

meminimalisir terjadinya human

eror.

Klausul 8 Keamanan Sumber Daya Manusia

Kategori Keamanan Utama: 8.1 (Berelasi dengan Pasal 13 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Sebelum menjadi pegawai Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga

memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimalkan resiko pencurian atau kesalahan dalam penggunaan fasilitas informasi.

8.1.1 Aturan dan tanggung jawab

keamanan 8.1.2 Seleksi

8.1.3 Persyaratan dan Kondisi yang harus dipenuhi oleh pegawai

Selama Menjadi Pegawai Objektif Kontrol:

(39)

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)

No

Dalam pasal 15 ini mengatur tentang tata cara pemberhentian atau

penggantian tugas karyawan, hak akses yang diberikan pada

karyawan, serta pengembalian aset apabila sudah tidak bekerja.

memahami Keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang

dihadapi oleh organisasi.

8.2.1 Tanggung jawab manajemen 8.2.2 Pendidikan dan pelatihan Keamanan Informasi

8.2.3 Proses kedisiplinan

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindah dilakukan sesuai prosedur yang benar.

8.3.1 Tanggung jawab pemberhentian 8.3.2 Pengembalian aset-aset

8.3.3 Penghapusan hak akses

2.

Bab VI

Sekuriti Fisik dan Lingkungan Aset Informasi

Pasal 16 Area Aman

Klausul 9 Keamanan Fisik dan Lingkungan

(40)

30

No

Dalam pasal 16 ini mengatur tentang area aman harus diberi batas fisik, hanya dapat dimasuki oleh personil yang memiliki hak akses serta didesain dengan mempertimbangkan aspek sekuriti.

Pasal 17 Sekuriti Perangkat Teknologi

Informasi

Dalam pasal 17 ini mengatur tentang perangkat teknologi informasi harus ditempatkan di lokasi yang aman, serta kabel daya dan kabel

komunikasi harus dilindungi dari kerusakan

Wilayah Aman

Objektif Kontrol:

Untuk mencegah akses fisik tanpa hak, kerusakan dan ganguan terhadap Informasi dan perangkatnya dalam organisasi.

9.1.1 Pembatasan Keamanan Fisik 9.1.2 Kontrol Masuk Fisk

9.1.3 Keamanan kantor, ruang dan fasilitasnya

9.1.4 Perlindungan terhadap ancaman

dari luar dan lingkungan sekitar 9.1.5 Bekerja di wilayah aman

9.1.6 Akses publik, tempat pengiriman dan penurunan barang

Keamanan Peralatan 9.2.1 Letak peralatan dan

pengamanannya 9.2.2 Utilitas pendukung

9.2.3 Keamanan pengkabelan

9.2.4 Pemeliharaan peralatan 9.2.5 Keamanan peralatan diluar

(41)

No

Dalam pasal 34 ini mengatur tentang prosedur kontrol akses sistem

informasi, pemberian dan

pencabutan hak akses, serta alokasi

password yang harus dikelola untuk

memaksimumkan perlindungan terhadap sistem, aplikasi dan data.

Pasal 35 Tanggung Jawab Pengguna

Dalam pasal 35 ini mengatur tentang tanggung jawab pengguna untuk melindungi aset informasi, pengguna harus bertanggung jawab untuk memelihara kontrol akses yang diberikan serta pengguna harus menjamin bahwa perangkat yang sedang tidak dikontrol memiliki proteksi yang memadai.

Klausul 11 Kontrol Akses

Kategori Keamanan Utama: 11.1

Persyaratan bisnis untuk akses kontrol Objektif Kontrol:

Untuk mengontrol akses informasi.

11.1.1 Kebijakan kontrol akses

Manajemen akses user Objektif Kontrol:

Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak.

11.2.1 Registrasi pengguna 11.2.2 Manajemen hak istimewa

11.2.3 Manajemen password user 11.2.4 Tinjauan terhadap hak akses user

Tanggung jawab pengguna (user) Objektif Kontrol:

(42)

32

No

Dalam pasal 36 ini mengatur tentang harus dilakukannya pengendalian akses ke layanan jaringan internal dan eksternal, unit pengelola teknologi informasi bertanggung jawab untuk menyusun prosedur implementasi layanan jaringan.

Pasal 37

Kontrol Akses Sistem Operasi

Dalam pasal 37 ini mengatur tentang pengendalian akses sistem operasi dilakukan dengan prosedur log-on untuk mengurangi akses yang tidak

pemrosesan Informasi.

11.3.1 Penggunaan password 11.3.2 Peralatan penggunaan yang

tanpa penjagaan

11.3.3 Kebijakan clear desk dan clear

screen

Kontrol Akses Jaringan Objektif Kontrol:

Untuk mencegah akses tanpa hak ke dalam layanan jaringan.

11.4.1 Kebijakan penggunaan layanan jaringan 11.4.2 Otentikasi pengguna untuk

melakukan koneksi keluar

11.4.3 Identifikasi peralatan di dalam jaringan

11.4.4 Perlindungan remote

diagnosticdan konfigurasi port

11.4.5 Pemisahan dengan jaringan 11.4.6 Kontrol terhadap koneksi jaringan

11.4.7 Kontrol terhadap routing jaringan

(43)

No Kontrol Akses Aplikasi dan

Informasi

Dalam pasal 38 ini mengatur tentang akses terhadap informasi dan

aplikasi harus diatur berdasarkan prosedur.

Pasal 39

Mobile Computing dan

Teleworking Dalam pasal 39 ini mengatur tentang

seluruh perangkat mobile computing sedapat mungkin harus mengikuti prosedur keamanan yang berlaku.

Kontrol Akses Sistem Operasi Objektif Kontrol:

Untuk mencegah akses tanpa hak ke sistem operasi.

11.5.1 Prosedur Log-On yang aman 11.5.2 Identifikasi dan autentikasi

pengguna

11.5.3 Sistem Manajemen Password 11.5.4 Penggunaan utilitas sistem

diagnosticdan konfigurasi port

11.5.5 Sesi time-out

11.5.6 Batasan waktu koneksi

Kontrol Akses Informasi dan aplikasi Objektif Kontrol:

Untuk mencegah akses tanpa hak terhadap Informasi yang terdapat di dalam aplikasi.

11.6.1 Pembatasan akses informasi 11.6.2 Pengisolasian sistem yang

sensitif

(44)

34

No

Komputasi bergerak dan bekerja dari lain tempat (teleworking)

Objektif Kontrol: Untuk memastikan Keamanan

Informasi saat menggunakan fasilitas komputasi bergerak atau bekerja darilaintempat.

No Davis Proses Pengembangannya

1 Planning Pada tahap planning ini masuk ke dalam tahap

perencanaan audit 2 Fieldwork and

Documentation

Pada tahap Fieldwork and Documentation ini masuk ke dalam tahap persiapan audit dan pelaksanaan audit

3 Issues Discovery and

Validation

Pada tahap Issues Discovery and Validation masuk ke dalam tahap pelaksanaan audit

4 Solution Development Pada tahap Solution Development ini masuk ke

dalam tahapan pelaksanaan audit 5 Report Drafting and

Issuance

Pada tahap Report Drafting and Issuance masuk ke dalam tahap pelaporan audit

6 Issue Tracking Pada tahap Issue Tracking masuk ke dalam tahap

pelaporan audit

3.1 Tahap Perencanaan Audit Keamanan Sistem Informasi

(45)

perusahaan, ruang lingkup dan tujuan yang telah ditentukan serta klausul yang telah ditentukan oleh kedua belah pihak.

3.1.1 Identifikasi Informasi Organisasi Perusahaan

Pada tahapan perencanaan audit, proses pertama yang dilakukan adalah mengidentifikasi informasi organisasi perusahaan yang diaudit dengan mempelajari dokumen-dokumen yang terkait dengan perusahaan. Dokumen tersebut berupa profil perusahaan PT Telkom Divre V Jatim, visi misi PT Telkom Divre V Jatim, profil bagian Desktop Management, struktur organisasi Desktop

Management serta deskripsi pekerjaan di Desktop Management. Langkah

selanjutnya adalah mencari informasi apakah sebelumnya perusahaan telah melaksanakan proses audit. Apabila pernah dilakukan audit, maka auditor perlu mengetahui dan memeriksa laporan audit sebelumnya.

Untuk menggali pengetahuan tentang informasi organisasi perusahaan langkah yang dilakukan adalah dengan cara mengetahui dan memeriksa dokumen-dokumen yang terkait dengan proses audit, wawancara manajemen dan staff, serta melakukan observasi. Salah satu contoh proses identifikasi informasi organisasi perusahaan dengan wawancara manajemen dan staff dapat dilihat pada Tabel 3.3.

Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf

Wawancara Permasalahan Pada

Auditor : Dian Ayu P Auditee : Bpk Agus Widodo (Bagian Officer 2 administrasi & monitoring) & Pak Uyud (Bagian Officer 1 Desktop Operation & Lisensi) Tanggal : 10 Desember 2012 1. T: Apakah pada perusahaan ini khususnya di bagian Desktop

(46)

36

Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf (Lanjutan)

Wawancara Permasalahan Pada

Auditor : Dian Ayu P Auditee : Bpk Agus Widodo (Bagian Officer 2 administrasi & monitoring) & Pak Uyud (Bagian Officer 1 Desktop Operation & Lisensi) Tanggal : 10 Desember 2012 2. 1. untuk audit atau keterikatan, misalnya seperti Bank regulasinya

adalah PBI/BI, apabila saham berdasarkan BEI/Bapepam? Apabila tidak ada regulasi khusus, dapatkah saya nantinya mengaudit pada bagian tertentu berdasarkan SOP atau kebijakan atau peraturan yg berlaku pada perusahaan ini?

3. J: Mengenai SOP (Standard Operating Procedure), hampir seluruh alur proses bisnis datanya tidak di sini tapi terdapat di Telkom Bandung. Namun terdapat satu bagian yang dapat anda audit karena masih bisa dilihat secara langsung proses kerjanya yaitu di bagian Desktop Management. Pada bagian tersebut terdapat aplikasi penyimpanan dokumen, serta prosedur standard keamanan untuk penggunaan password. 4. 2. T : Pada setiap perusahaan pasti terdapat beberapa aset berharga,

contoh : aset informasi, aset piranti lunak, aset fisik, aset layanan. Pada bagian Desktop Management , terdapat aset apa saja?

5. J : Ya aset-aset tersebut semuanya ada di sini. Di antaranya yaitu : Aset informasi :berupa dokumentasi prosedur standard keamanan untuk penggunaan password, Aset fisik :berupa fasilitas dari perusahaan yaitu PC, printer dan perabotan kantor lainnya, Aset piranti lunak :berupa aplikasi CNEMAS (Computer & Network Equipment Management System), Aset layanan :berupa pencahayaan, AC, dll

6. 3. T: Bagaimana penjelasan secara umum mengenai fungsi aplikasi tersebut?

7. J: CNEMAS merupakan suatu aset piranti lunak yang berfungsi untuk mengontrol pergerakan fasilitas kerja pegawai

3.1.2 Pemahaman Proses Bisnis

(47)

3.1.3 Penentuan Ruang Lingkup, Objek Audit dan Tujuan Audit

Proses ketiga pada tahapan perencanaan ini adalah mengidentifikasi ruang lingkup dan tujuan yang akan dibahas dalam audit kali ini. Penentuan ruang lingkup dilakukan dengan cara melakukan observasi, wawancara dan kuesioner pada bagian Desktop management. Pada proses ini, langkah yang selanjutnya dilakukan adalah mengidentifikasi tujuan yang berhubungan dengan kebutuhan audit keamanan sistem informasi. Output yang dihasilkan adalah hasil ruang lingkup, objek audit dan tujuan audit.

3.1.4 Menentukan Klausul, Objektif Kontrol dan Kontrol

Pada proses ini langkah yang dilakukan adalah menentukan objek mana saja yang akan diperiksa sesuai dengan permasalahan yang ada dan kebutuhan perusahaan. Menentukan klausul, objektif kontrol dan kontrol yang sesuai dengan kendala dan kebutuhan Desktop management. Klausul, objektif kontrol dan kontrol yang ditentukan harus berdasarkan kesepakatan antara auditor dengan

auditee dan disesuaikan dengan standar ISO 27002:2005. Output yang dihasilkan

adalah hasil pemilihan klausul yang akan diperiksa, objektif kontrol dan kontrol sesuai ISO 27002:2005 yang juga tertuang pada engagement letter.

3.1.5 Membuat dan Menyampaikan Engagement Letter

Pada tahap ini adalah membuat dan menyampaikan Engagement Letter atau surat perjanjian audit. Surat perjanjian audit adalah surat persetujuan antara kedua belah pihak yang bersangkutan yaitu auditor dengan manager Desktop

Management tentang syarat-syarat pekerjaan audit yang akan dilakukan oleh

(48)

38

manajemen dan auditor, lingkup audit dan ketentuan audit. Output yang dihasilkan adalah berupa dokumen Engagement Letter yang disepakati oleh kedua belah pihak.

3.2 Tahap Persiapan Audit Keamanan Sistem Informasi

Pada tahap ini langkah-langkah yang dilakukan yaitu: 1.) Melakukan penyusunan audit working plan, 2.) Penyampaian kebutuhan data, 3.) Membuat pernyataan, 4.) Melakukan pembobotan pernyataan dan 5.) Membuat pertanyaan.

3.2.1 Penyusunan Audit Working Plan

Audit working plan merupakan dokumen yang dibuat oleh auditor dan digunakan untuk merencanakan dan memantau pelaksanaan audit keamanan sistem informasi secara terperinci. Output yang dihasilkan adalah daftar susunan AWP dan dapat dilihat pada tabel 3.4

Tabel 3.4 Audit Working Plan Secara Keseluruhan

ID Task Name Duration Start Finish

1 Total Hari Audit 355 days Thu 3/27/14 Fri 7/31/15 2 Perencanaan Audit Sistem

Informasi 113 days Thu 3/2714 Fri 8/29/14

7 Persiapan Audit Sistem

Informasi 200 days Wed 8/6/14 Thu 5/7/15

13 Pelaksanaan Audit Sistem

Informasi 238 days Fri 9/5/14 Fri 7/31/15

18 Pelaporan Audit Sistem

Informasi 65 days Mon 5/4/15 Fri 7/31/15

3.2.2 Penyampaian Kebutuhan Data

(49)

secara efektif. Output yang dihasilkan adalah daftar penyampaian kebutuhan data perusahaan pada tampilan Tabel 3.5.

Tabel 3.5 Contoh Lampiran Kebutuhan Data Penunjang yang Diperlukan Dalam Pelaksanaan Audit

Lampiran Permintaan Kebutuhan Data/Dokumen

No. Data yang diperlukan

Ketersediaan Data

Keterangan

Tanda Tangan

Ada Tidak

ada Auditee Auditor

1 Profil perusahaan

2 Struktur organisasi Desktop

Management

3 Job description pegawai di

4 Alur proses bisnis perusahaan

5 Dokumen kebijakan

keamanan sistem informasi 6 Dokumen prosedur Desktop

Management

3.2.3 Membuat Pernyataan

(50)

40

Tabel 3.6 Contoh Pernyataan Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)

PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)

Klausul 11.3 Tanggung Jawab Pengguna (User Respon sibilities)

ISO 27002 11.3.1 Penggunaan Password (Password Use)

Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam

pemilihan dan penggunaan password.

No. PERNYATAAN

1. Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password 2. Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau

password dalam keadaan bahaya

3. Terdapat larangan dalam pembuatan catatan password

4. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain 5. Terdapat pergantian password sementara pada saat pertama kali log-on 6. Terdapat pemilihan password secara berkualitas yang mudah diingat

7. Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama

3.2.4 Melakukan Pembobotan Pernyataan

Setelah membuat pernyataan, maka langkah selanjutnya adalah melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan dilakukan berdasarkan perhitungan yang dilakukan oleh (Niekerk dan Labuschagne dalam hastin 2012: 39), dengan membagi tingkat pembobotan dalam manajemen menjadi 3 (tiga), yaitu: rendah, cukup dan tinggi. Output yang dihasilkan adalah contoh tingkat kepentingan dalam pembobotan pernyataan pada

Tabel 3.7 dan salah satu contoh pembobotan yang ada dalam klausul 11 (sebelas) Kontrol Akses dapat dilihat pada Tabel 3.8.

Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan

(Sumber: Niekerk dan Labuschagne dalam Hastin, 2012:39)

Resiko Bobot Keterangan

(51)

Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan (Lanjutan) (Sumber: Niekerk dan Labuschagne dalam Hastin, 2012:39)

Resiko Bobot Keterangan

Cukup 0,40 - 0,69 Pernyataan tersebut mempunyai peranan cukup penting dalam proses sistem informasi

Tinggi 0,70 - 1,00 Pernyataan tersebut mempunyai peranan sangat penting dalam proses sistem informasi

Tabel 3.8 Contoh Pembobotan Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)

PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)

Klausul 11.3 Tanggung Jawab Pengguna (user)

ISO 27002 11.3.1 Penggunaan password

Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam

pemilihan dan penggunaan password.

No. PERNYATAAN

1. Adanya kesadaran dari diri sendiri untuk

menjaga kerahasiaan password 1

2.

Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya

0,6

3. Terdapat larangan dalam pembuatan

catatan password 0,8

4. Terdapat larangan untuk tidak membagi

satu password kepada pengguna lain 1

5. Terdapat pergantian password sementara

pada saat pertama kali log-on 1

6. Terdapat pemilihan password secara

berkualitas yang mudah diingat 0,6

7.

Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama

0,7

3.2.5 Membuat Pertanyaan

(52)

42

mewakili pernyataan pada saat dilakukan wawancara, observasi dan identifikasi dokumen. Output yang dihasilkan dalam membuat pertanyaan adalah daftar

pertanyaan dari pernyataan yang ada pada Tabel 3.9.

Tabel 3.9 Contoh Pertanyaan Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password

AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)

Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) ISO 27002 11.3.1 Penggunaan password

1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password

P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing?

J:

P: Apakah ada perintah tertulis yang menangani pentingnya menjaga kerahasiaan password?

J:

2 Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya

P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika dirasa sistem dalam keadaan bahaya?

J:

P: Apakah terdapat aturan secara tertulis atau secara lisan mengenai perintah pergantian sandi setiap kali ada kemungkinan keadaan bahaya?

J:

P: Apakah ada pencatatan perintah dalam pergantian password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya?

J: