AUDIT KEAMANAN SISTEM INFORMASI PADA
BAGIAN DESKTOP MANAGEMENT BERDASARKAN
STANDAR ISO 27002:2005
DI PT. TELKOM DIVRE V JATIM
TUGAS AKHIR
Program Studi
S1 SISTEM INFORMASI
Oleh:
DIAN AYU PERMATA
08410100453
FAKULTAS TEKNOLOGI DAN INFORMATIKA
DAFTAR ISI
Halaman
ABSTRAK ... v
KATA PENGANTAR ... vi
DAFTAR ISI ... ix
DAFTAR TABEL ... xiii
DAFTAR GAMBAR ... xviii
DAFTAR LAMPIRAN ... xx
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang ... 1
1.2 Perumusan Masalah ... 5
1.3 Batasan Masalah ... 6
1.4 Tujuan ... 7
1.5 Sistematika Penulisan ... 7
BAB II LANDASAN TEORI ... 9
2.1 Audit ... 9
2.2 Sistem Informasi ... 12
2.3 Audit Keamanan Sistem Informasi ... 13
2.4 Desktop Management ... 14
2.5 Standar Sistem Manajemen Keamanan Informasi ... 15
2.5.2 Keputusan Direksi Perusahaan Perseroan (Persero) PT. Telekomunikasi Indonesia, Tbk. Nomor :
KD.57/HK-290/ITS-30/2006 ... 25
BAB III METODE PENELITIAN... 26
3.1 Tahap Perencanaan Audit Keamanan Sistem Informasi ... 34
3.1.1 Identifikasi Informasi Organisasi Perusahaan ... 35
3.1.2 Pemahaman Proses Bisnis ... 36
3.1.3 Penentuan Ruang Lingkup, Objek dan Tujuan Audit 37
3.1.4 Menentukan Klausul, Objektif Kontrol dan Kontrol . 37 3.1.5 Membuat dan Menyampaikan Engagement Letter .... 37
3.2 Tahap Persiapan Audit Keamanan Sistem Informasi ... 38
3.2.1 Penyusunan Audit Working Plan ... 38
3.2.2 Penyampaian Kebutuhan Data ... 38
3.2.3 Membuat Pernyataan ... 39
3.2.4 Melakukan Pembobotan Pernyataan ... 40
3.2.5 Membuat Pertanyaan... 41
3.3 Tahap Pelaksanaan Audit Keamanan Sistem Informasi ... 43
3.3.1 Melakukan Wawancara ... 43
3.3.2 Proses Pemeriksaan Data ... 45
3.3.3 Penyusunan Daftar Temuan Audit Keamanan Sistem Informasi dan Rekomendasi ... 46
3.3.4 Konfirmasi Daftar Temuan dan Rekomendasi ... 50
3.4 Tahap Pelaporan Audit Keamanan Sistem Informasi ... 51
Halaman 3.4.2 Penyusunan Draft Laporan Audit Keamanan Sistem
Informasi ... 51
3.4.3 Persetujuan Draft Laporan Audit Keamanan Sistem Informasi ... 52
3.4.4 Pertemuan Penutup atau Pelaporan Hasil Audit Keamanan Sistem Informasi ... 52
BAB IV HASIL DAN PEMBAHASAN... 53
4.1 Hasil Perencanaan Audit Keamanan Sistem Informasi ... 54
4.1.1 Hasil Identifikasi Informasi Organisasi Perusahaan .. 54
4.1.2 Hasil Pemahaman Proses Bisnis ... 58
4.1.3 Ruang Lingkup, Objek dan Tujuan Audit ... 60
4.1.4 Hasil Klausul, Objektif Kontrol dan Kontrol.. ... 64
4.1.5 Engagement Letter.. ... 68
4.2Hasil Persiapan Audit Keamanan Sistem Informasi ... 68
4.2.1 Hasil Penyusunan Audit Working Plan ... 68
4.2.2 Hasil Penyampaian Kebutuhan Data ... 69
4.2.3 Hasil Pernyataan ... 71
4.2.4 Hasil Pembobotan Pernyataan ... 76
4.2.5 Hasil Pertanyaan ... 87
4.3Hasil Pelaksanaan Audit Keamanan Sistem Informasi ... 97
4.3.1 Hasil Wawancara ... 97
4.3.2 Hasil Pemeriksaan Data ... 108
4.3.3 Hasil Temuan dan Rekomendasi ... 116
4.4Hasil Pelaporan Audit Keamanan Sistem Informasi ... 126
4.4.2 Hasil Penyusunan dan Persetujuan Draft Laporan
Audit Keamanan Sistem Informasi ... 126
4.4.3 Hasil Pertemuan Penutup atau Pelaporan Audit Keamanan Sistem Informasi ... 126
BAB V PENUTUP ... 127
5.1 Kesimpulan ... 127
5.2 Saran ... 128
DAFTAR PUSTAKA ... 129
DAFTAR TABEL
Halaman
Tabel 2.1 Peta PDCA dalam proses SMKI ... 17 Tabel 2.2 Ringkasan jumlah klausul kontrol keamanan, objektif
kontrol dan kontrol ... 20 Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC
27002:2005 ... 21 Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen KD.57 ... 28 Tabel 3.2 Pemetaan Gambaran Proses Audit Menurut Davis dan
Tahap Audit yang Dikembangkan ... 34 Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf ... 35 Tabel 3.4 Audit Working Plan Secara Keseluruhan ... 38 Tabel 3.5 Contoh Lampiran Kebutuhan Data Penunjang yang
Diperlukan Dalam Pelaksanaan Audit ... 39 Tabel 3.6 Contoh Pernyataan Pada Klausul 11 Dengan Kontrol 11.3.1
Penggunaan Password (Password Use) ... 40 Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan ... 40 Tabel 3.8 Contoh Pembobotan Pada Klausul 11 Dengan Kontrol
11.3.1 Penggunaan Password (Password Use) ... 41 Tabel 3.9 Contoh Pertanyaan Pada Klausul 11 Dengan Kontrol 11.3.1
Penggunaan Password (Password Use) ... 42 Tabel 3.10 Contoh Wawancara Klausul 11 Dengan Kontrol 11.3.1
Penggunaan Password (Password Use) ... 44 Tabel 3.11 Contoh Dokumen Pemeriksaan Data Audit Pada Klausul 11
Dengan Kontrol 11.3.1 Penggunaan Password (Password
Tabel 3.12 Contoh Lampiran Temuan dan Rekomendasi Pada Klausul
11 (Sebelas) Kontrol Akses ... 47 Tabel 4.1 Job Description Desktop Management PT.Telkom DIVRE
V Jatim ... 57
Tabel 4.2 Pemetaan Alur Proses Bisnis dan Identifikasi Masalah ... 61 Tabel 4.3 Pemetaan Permasalahan dan Ruang Lingkup Audit
Keamanan Sistem Informasi ... 63 Tabel 4.4 Pemetaan Klausul, Objektif Kontrol dan Kontrol yang
Digunakan ... 65 Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses
Kedisiplinan (Disciplinary Process) ... 72 Tabel 4.6 Pernyataan Klausul 9 Dengan Kontrol 9.1.1 Pembatas
Keamanan Fisik (Physical security perimeter) ... 74 Tabel 4.7 Pernyataan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan
Password (Password Use) ... 75 Tabel 4.8 Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses
Kedisiplinan (Disciplinary Process) ... 78 Tabel 4.9 Pembobotan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan
Keamanan Fisik (Physical security perimeter) ... 81 Tabel 4.10 Pembobotan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan
Password (Password Use) ... 84 Tabel 4.11 Hasil Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses
Kedisiplinan (Disciplinary Process) Dengan Nilai Bobot
Medium(0,4-0,69) dan High(0,7-1,0) ... 85 Tabel 4.12 Hasil Pembobotan Klausul 9 Dengan Kontrol 9.1.1
Pembatasan Keamanan Fisik (Physical security perimeter)
Dengan Nilai Bobot Medium(0,4-0,69) dan High(0,7-1,0) .... 86 Tabel 4.13 Hasil Pembobotan Klausul 11 Dengan Objektif k Kontrol
11.3.1 (penggunaan password (Password Use)) Dengan
Halaman
Tabel 4.14 Hasil Pertanyaan Klausul 8 Dengan Kontrol 8.2.3 Proses
Kedisiplinan (Disciplinary Process) ... 89 Tabel 4.15 Hasil Pertanyaan Klausul 9 Dengan Kontrol 9.1.1
Pembatasan Keamanan Fisik (Physical security perimeter) . 91 Tabel 4.16 Hasil Pertanyaan Klausul 11 Dengan Kontrol 11.3.1
Penggunaan password (Password Use) ... 94 Tabel 4.17 Pemetaan Wawancara dengan Beberapa Narasumber ... 98
Tabel 4.18 Hasil Wawancara Klausul 8 Dengan Kontrol 8.2.3 Proses
Kedisiplinan (Disciplinary Process) ... 99 Tabel 4.19 Hasil Wawancara Klausul 9 Dengan Kontrol 9.1.1
Pembatasan Keamanan Fisik (Physical security perimeter) .. 101 Tabel 4.20 Hasil Wawancara Klausul 11 Dengan Kontrol 11.3.1
Penggunaan Password (Password Use) ... 106 Tabel 4.21 Hasil Pemeriksaan Data Pada Klausul 8 Dengan Kontrol
8.2.3 Proses Kedisiplinan (Disciplinary Process) ... 109 Tabel 4.22 Hasil Pemeriksaan Data Pada Klausul 9 Dengan Kontrol
9.1.1 Pembatas Keamanan Fisik (Physical security
perimeter) ... 111 Tabel 4.23 Hasil Pemeriksaan Data Pada Klausul 11 Dengan Kontrol
11.3.1 Penggunaan password (Password Use) ... 113 Tabel 4.24 Daftar Temuan dan Rekomendasi Pada Klausul 8 Dengan
Kontrol 8.2.3 Proses Kedisiplinan ... 118 Tabel 4.25 Daftar Temuan dan Rekomendasi Pada Klausul 9 Dengan
Kontrol 9.1.1 Pembatas Keamanan Fisik ... 121 Tabel 4.26 Daftar Temuan dan Rekomendasi Pada Klausul 11 Dengan
Halaman
Gambar 2.1 Gambaran Proses Audit ... 10
Gambar 2.2 Aspek Keamanan Informasi ... 14
Gambar 2.3 Relasi Antar Keluarga Standar SMKI ... 16
Gambar 3.1 Tahapan-Tahapan dalam Audit Keamanan Sistem Informasi ... 27
Gambar 3.2 Tahapan dalam Menentukan Temuan Audit dan Rekomendasi ... 47
Gambar 4.1 Tahapan-Tahapan dalam Audit Keamanan Sistem Informasi ... 53
Gambar 4.2 Struktur Organisasi Desktop Management di PT. Telkom DIVRE V Jatim ... 56
Gambar 4.3 Bisnis Proses Desktop Management ... 60
Gambar 4.4 Hasil potongan Engagement Letter ... 70
Gambar 4.5 Hasil Audit Working Plan ... 70
DAFTAR LAMPIRAN
Halaman
Lampiran 1 Engagement Letter... 130
Lampiran 2 Daftar Kebutuhan Data Audit ... 131
Lampiran 3 Pernyataan Audit ... 132
Lampiran 4 Pembobotan Pernyataan Audit ... 133
Lampiran 5 Hasil Pembobotan Pernyataan Audit ... 134
Lampiran 6 Pertanyaan Audit ... 135
Lampiran 7 Wawancara Audit ... 136
Lampiran 8 Program Pemeriksaan Data Audit ... 137
Lampiran 9 Temuan Dan Rekomendasi... 138
Lampiran 10 Persetujuan Draft Laporan Audit... 139
Lampiran 11 Penutup Laporan Audit... 140
Lampiran 12 Berita Acara Persetujuan Hasil Pembobotan Pernyataan ... 141
1
PENDAHULUAN
1.1 Latar Belakang
Perseroan Terbatas Telekomunikasi (PT Telkom) merupakan suatu Badan Usaha Milik Negara (BUMN) yang bergerak dalam bidang jasa telekomunikasi dan telah berdiri sejak tahun 1882. menyediakan sarana dan jasa layanan telekomunikasi kepada masyarakat luas sampai ke pelosok daerah di seluruh Indonesia. Perubahan besar terjadi pada tahun 1995 yang meliputi restrukturisasi internal, Kerjasama Operasi (KSO), dan Initial Public Offering (IPO). Sebagai hasil restrukturisasi, sejak 1 Juli 1995 organisasi PT Telkom terdiri dari 7 (tujuh) Divisi Regional dan 1 (satu) Divisi Network yang keduanya mengelola bidang usaha utama. PT Telkom DIVRE V JATIM merupakan salah satu dari 7 (tujuh) Divisi Regional yang terletak di JL. Ketintang no.156 Surabaya. Perkembangan terakhir pada tanggal 1 Februari 2013 PT Telkom baru saja melakukan Transformasi Organisasi (TO), dibagi menjadi dua divisi, yaitu Divisi Telkom Barat yang berkedudukan di Jakarta dan Divisi Telkom Timur (DTT) yang berkedudukan di Surabaya.
DIVRE V JATIM memiliki beberapa aset diantaranya aset piranti lunak, aset informasi, aset fisik dan aset layanan. Salah satu aset PT Telkom DIVRE V JATIM adalah Computer & Network Equipment Management System (CNEMAS) merupakan aset piranti lunak yang dimiliki oleh bagian desktop
management di Divisi Information System Service Support Management (ISSSM)
2
pihak ketiga, tetapi asli dari pihak PT Telkom sendiri dan telah beroperasi selama 3 tahun terakhir. Bagian desktop management memiliki tugas mendukung kebutuhan di bidang desktop dan fasilitas kerja pegawai seluruh Indonesia. Dengan adanya penanganan kebutuhan desktop di seluruh Indonesia, maka bagian
desktop management ini sangat berperan penting dalam memanajemen keamanan
informasi, karena pegawai di seluruh Indonesia akan mengirimkan dan mengakses data-data kebutuhan desktop serta fasilitas kerja dalam rentang waktu tertentu.
Pada bagian desktop management ini belum pernah dilakukan audit sebelumnya dan berdasarkan rekomendasi pihak perusahaan untuk dilakukan audit pada bagian desktop management. Apabila proses kerja pada bagian desktop
management mengalami suatu kendala dikhawatirkan akan berdampak pada
proses bisnis perusahaan, karena bagian desktop berperan penting dalam mendukung fasilitas kerja pegawai dan pemenuhan kebutuhan di bidang desktop untuk pegawai Telkom di seluruh Indonesia. Apabila terdapat kendala dalam pemenuhan kebutuhan fasilitas kerja para karyawan maka jelas akan menghambat kinerja pegawai Telkom dan merugikan perusahaan dalam hal waktu, dimana seharusnya waktu yang dapat digunakan untuk bekerja tetapi karyawan tersebut tidak dapat bekerja karena mengalami kendala yaitu belum terpenuhi fasilitas kerjanya seperti laptop dan perangkat desktop lainnya. Maka bagian desktop
management perlu diaudit dan diperkuat oleh dokumen Keputusan Direksi
desktop management membutuhkan evaluasi dan pemeriksaan tentang proses
manajemen resiko.
Audit yang digunakan dalam penelitian berdasarkan kebutuhan perusahaan tersebut adalah audit keamanan sistem informasi. Hal ini diperlukan untuk memenuhi Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi. Apabila bagian desktop management tidak memenuhi prosedur yang terdapat pada Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, dikhawatirkan akan menyebabkan resiko tidak adanya kerahasiaan (Confidentiality) data, keutuhan (Integrity) data, keamanan informasi, dan ketersediaan (Availability) data pada bagian desktop management. Untuk mengurangi terjadinya resiko tersebut dan mengetahui keamanan sistem informasi yang sedang berlangsung pada perusahaan, maka perlu dilakukan audit keamanan sistem informasi.
4
Kedua kebijakan sekuriti/keamanan sistem informasi tersebut menggunakan referensi utama yaitu ISO/IEC 17799:2005.
Selain menggunakan standar ketentuan yang ada yaitu KD. 57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, penelitian ini juga menggunakan referensi yang ada pada standar ISO 27002:2005 sebagai standar yang paling baru diterapkan menggantikan standar lama ISO 17799:2005. ISO 27002 menyediakan rekomendasi best practice terhadap manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk proses implementasi, dan pemeliharaan Information Security Management Systems (ISMS) pada suatu organisasi. Standar ini tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang tepat sesuai kebutuhannya. Standar ini sangat fleksibel digunakan karena sangat tergantung dari kebutuhan organisasi, tujuan organisasi, persyaratan keamanan, proses bisnis dan dalam implementasinya bisa sangat tergantung kebutuhan organisasi.
Berdasarkan permasalahan yang ada dan engagement letter yang telah dibuat atas persetujuan antara dua belah pihak yakni manager desktop
management dan auditor, maka ada beberapa klausul yang digunakan sebagai
acuan untuk melakukan audit keamanan sistem informasi yaitu : 1. Keamanan Sumber Daya Manusia (Klausul 8)
2. Keamanan Fisik dan Lingkungan (Klausul 9)
3. Kontrol Akses (Klausul 11)
Klausul didapatkan berdasar kondisi permasalahan awal dari bagian
desktop management yang seharusnya terlindungi, dapat dilihat oleh karyawan
lain di bagian yang sama namun sebenarnya karyawan tersebut tidak memiliki akses untuk melihat informasi khusus yang bukan haknya. Karena setiap karyawan telah memiliki hak akses yang berbeda untuk melihat informasi yang dibutuhkan sesuai jobnya, maka klausul 11 yang digunakan untuk acuan kontrol akses. Lalu penempatan perangkat keras atau fisik yang kurang dilindungi dengan maksimal, maka klausul 9 yang digunakan untuk acuan keamanan fisik dan lingkungan. Karyawan yang tidak memenuhi ketentuan yang telah terdapat pada dokumen kebijakan perusahaan yaitu Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, maka klausul 8 yang menjadi acuan untuk keamanan sumber daya manusia. Batasan klausul tersebut berdasarkan kesepakatan bersama antara auditor dan manager desktop
management. Dengan adanya audit keamanan sistem informasi pada bagian
desktop management di PT Telkom DIVRE V JATIM melalui penyusunan Tugas
Akhir maka diharapkan dapat menghasilkan temuan audit yang berupa daftar temuan, hasil pengukuran untuk mengetahui rekomendasi perbaikan bagian
desktop management pada PT Telkom DIVRE V JATIM.
1.2Perumusan Masalah
Berdasarkan penjelasan pada latar belakang, maka perumusan masalah yang didapat adalah sebagai berikut :
1. Bagaimana melaksanakan audit keamanan sistem informasi pada bagian
desktop management PT Telkom DIVRE V JATIM, berdasarkan standar ISO
6
2. Bagaimana memberikan hasil berupa temuan audit keamanan informasi yang dilakukan di bagian desktop management PT Telkom DIVRE V JATIM berdasarkan standar ISO 27002:2005?
1.3 Batasan Masalah
Berdasarkan perumusan masalah di atas, maka tujuan dalam audit keamanan sistem informasi ini, agar tidak menyimpang dari tujuan yang akan dicapai maka pembahasan masalah dibatasi pada hal-hal sebagai berikut:
1. Standar pelaksanaan audit keamanan sistem informasi yang digunakan mengacu pada ISO 27002 : 2005 dan dokumen Keputusan Direksi Perusahaan Perseroan(Persero) PT Telekomunikasi Indonesia, Tbk Nomor: KD.57/HK-290/ITS-30/2006 .
2. Periode data yang digunakan untuk audit keamanan sistem informasi, Januari 2011 sampai 2013.
3. Tidak dilakukan penilaian resiko secara terperinci, melainkan hanya dengan melakukan wawancara untuk mengetahui resiko yang menonjol pada bagian
Desktop Management
4. Tidak menggunakan data mengenai proses penyeleksian karyawan karena seluruh data penyeleksian karyawan terdapat di Telkom Pusat kota Bandung 5. Klausul yang digunakan telah disesuaikan dengan kesepakatan auditor dan
Manager desktop management dan terlampir pula pada dokumen engagement
letter yaitu:
c. Klausul 11 : Kontrol Akses
1.4 Tujuan
Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah :
1. Menyusun dan mendokumentasikan hasil audit keamanan sistem informasi pada bagian desktop management di PT Telkom DIVRE V JATIM berdasarkan standar ISO 27002:2005 dan dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor: KD.57/HK-290/ITS-30/2006.
2. Mengevaluasi temuan audit kemanan sistem informasi yang ada, dan selanjutnya dapat dijadikan perbaikan untuk bagian desktop management pada PT Telkom DIVRE V JATIM.
1.5 Sistematika Penulisan
Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam 5 (lima) bab, yaitu:
BAB I : PENDAHULUAN
Pada bab ini membahas tentang latar belakang masalah, rumusan masalah serta batasan terhadap masalah yang akan dibahas, tujuan dari pembahasan masalah yang diangkat, dan sistematika penulisan laporan tugas akhir ini.
BAB II : LANDASAN TEORI
8
sistem informasi, audit keamanan sistem informasi, desktop
management, standar sistem manajemen keamanan informasi, ISO/IEC
27002:2005.
BAB III : METODE PENELITIAN
Pada bab ini berisi penjelasan mengenai langkah-langkah yang dilakukan dalam audit keamanan sistem informasi pada bagian desktop
management di PT Telkom DIVRE V Jatim yang meliputi perencanaan
audit, persiapan audit, pelaksanaan audit serta pelaporan audit.
BAB IV : HASIL DAN PEMBAHASAN
Pada bab ini dibahas tentang analisa dan evaluasi hasil temuan serta rekomendasi dari kegiatan audit keamanan sistem informasi pada bagian desktop management di PT Telkom DIVRE V Jatim.
BAB V : PENUTUP
9
LANDASAN TEORI
2.1Audit
Penggunaan istilah audit telah banyak dipakai di berbagai disiplin ilmu, mulai dari keuangan, pemerintahan hingga Teknologi Informasi (TI). Adapun definisi audit menurut Sarno (2009a:171) adalah:
“Audit merupakan proses atau aktivitas yang sistematik, independen dan
terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan”.
Dari pendapat Sarno diatas dapat disimpulkan bahwa audit mengandung arti aktivitas yang berlangsung secara sistematik atau terarah, independen atau mandiri dan terdokumentasi artinya ada rekam jejak, temuan atau bukti.
10
Gambar 2.1 Gambaran Proses Audit (Sumber: Davis dkk, 2011:42)
Menurut Davis dkk (2011:42) beberapa tahapan audit seperti yang terlihat pada gambar 2.1, setiap tahapan-tahapan akan dijelaskan sebagai berikut :
1. Planning
Sebelum melakukan audit terlebih dahulu harus menentukan rencana meninjau bagaimana audit dilakukan. Jika proses perencaaan dilakukan secara efektif, maka dapat membentuk tim audit yang dapat berjalan dengan baik. Sebaliknya, jika itu dilakukan dengan buruk serta pekerjaan dimulai tanpa rencana yang jelas tanpa arah, upaya tim audit dapat mengakibatkan kegagalan tujuan dari proses perencaaan adalah menentukan tujuan dan ruang lingkup audit, yaitu harus menentukan apa yang akan dicapai.
2. Fieldwork and Documentation
cukup informasi bagi orang untuk dapat memahami apa yang dilakukan dan tersampainya kesimpula yang sama seperti auditor.
3. Issues Discovery and Validation
Pada tahap ini auditor harus menentukan dan melakukan perbaikan pada daftar isu-isu yang potensial untuk memastikan isu-isu yang valid pada relevan. Auditor harus mendiskusikan isu-isu potensial dengan pelanggan secepat mungkin. Selain memvalidasi bahwa fakta-fakta telah benar, maka perlu memvalidasi bahwa resiko yang disajikan oleh masalah ini cukup signifikan memiliki nilai untuk pelaporan dan pengalamatan.
4. Solution Development
Setelah mengidentifikasikan isu-isu potensial di wilayah yang sedang dilakukan audit dan telah memvalidasi fakta dan resiko, maka dapat dilakukan rencanan untuk mengatasi setiap masalah. Tentu, hanya mengangkat isu-isu yang tidak baik bagi perusahaan dan isu isu yang benar benar harus ditangani. Tiga pendekatan umum yang digunakan untuk mengembangkan tindakan dalam menangani masalah audit
a. Pendekatan rekomendasi b.Pendekatan respon manajemen c. Pendekatan Solusi
5. Report Drafting and Issuance
12
a. Untuk auditor dan perusahaan yang diaudit, berfungsi sebagai catatan audit, hasilnya, dan rencana rekomendasi yang dihasilkan
b.Untuk manajemen senior dan komite audit, berfungsi sebagai “kartu laporan” pada daerah yang telah diaudit.
6. Issue Tracking
Audit belum benar-benar lengkap sampai isu yang diangkat dalam audit tersebut diselesaikan. Departemen harus mengembangkan suatu proses dimana anggotanya dapat melacak dan mengikuti sampai isu terselesaikan. Auditor yang melakukan atau memimpin audit bertanggung jawab untuk menindak lanjuti poin dari audit seperti tanggal jatuh tempo untuk setiap pendekatan dari audit yang dihasilkan.
2.2Sistem Informasi
“Sistem adalah sekelompok dua atau lebih komponen-komponen yang
saling berkaitan (inter-related) atau subsistem-subsistem yang bersatu untuk mencapai tujuan yang sama (common purpose).” (Gondodiyoto, 2007:106)
“Informasi berarti hasil suatu proses yang terorganisasi, memiliki arti dan berguna bagi orang yang menerimanya .” adapun menurut James Hall pada
bukunya (diterjemahkan oleh Amir Abadi Jusuf, 2001, p 14):”Informasi
menyebabkan pemakai melakukan suatu tindakan yang dapat ia lakukan atau tidak dilakukan. Informasi ditentukan oleh efeknya pada pemakai, bukan oleh bentuk fisiknya.” (Gondodiyoto, 2007:110)
terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu dan bertujuan untuk mengolah data menjadi informasi. (Gondodiyoto, 2007:112)
2.3 Audit Keamanan Sistem Informasi
Di sisi lain kita juga mengenal istilah “audit keamanan”, adapun yang dimaksud dengan “audit keamanan adalah suatu proses atau kejadian yang
memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua keadaan dari perlindungan yang ada, dan untuk memverifikasi apakah perlindungan yang ada berjalan dengan baik.”(Ahmad,2012:27)
Dari pengertian diatas dapat di garis bawahi bahwa audit keamanan tujuan utamanya adalah memberikan perlindungan sesuai dengan kebijakan dan standar keamanan yang ada serta memverifikasi apakah perlindungan sudah berjalan dengan baik. Oleh karena itu, suatu hal yang penting untuk memahami dan mengimplementasikan audit keamanan pada sistem informasi yang digunakan. Penerapan audit keamanan sistem informasi dimaksudkan untuk mengatasi segala masalah dan kendala baik secara teknis maupun non teknis. Terdapat tiga kriteria mendasar dari keamanan teknologi informasi yang harus diaudit kemanannya menurut (Ahmad, 2012 : 4), yaitu:
a. Kerahasiaan (confidentiality): Informasi bersifat rahasia dan harus
dilindungi terhadap keterbukaan dari yang tidak berhak atau berkepentingan. b. Ketersediaan (availability): Layanan, fungsi sistem teknologi informasi, data
dan informasi harus tersedia bagi penggunaa saat diperlukan.
c. Integritas (integrity) :Data harus komplit dan tidak diubah. Dalam teknologi informasi, kata ”informasi” terkait dengan ”data”. Hilangnya integritas
14
Gambar 2.2 Aspek Keamanan Informasi (Sumber: Sarno, 2009a:37)
2.4 Desktop Management
Desktop management merupakan bagian dari ISSSM (Information
System Service Support Management), sedangkan ISSSM merupakan unit dari
Divisi ISC(Information System Center). Desktop management merupakan bagian yang mendukung fasilitas kerja pegawai Telkom dan kebutuhan di bidang desktop untuk wilayah seluruh Indonesia. Beberapa kebutuhan desktop tersebut diantaranya adalah PC, laptop, layar proyektor, printer, dan lain lain.(wawancara pada tanggal 10 Desember 2012)
Seperti yang telah dijelaskan pada latar belakang masalah terdahulu,
desktop management mempunyai peranan yang sangat penting dalam
memanagement keamanan informasi data-data kebutuhan desktop serta fasilitas kerja PT Telkom di seluruh Indonesia. Apabila keamanan sistem informasi pada
desktop management tidak dilindungi maka akan terjadi penyalahgunaan
password yang beurjung pada penyalahgunaan akses pada aplikasi, memanipulasi
data serta pencurian data oleh pihak yang tidak betanggung jawab.“Suatu
Hal tersebut diperlihatkan dengan keberadaan sejumlah kasus kejahatan komputer yang dilakukan secara sengaja, contohnya :pencurian data, aktivitas spionase, percobaan hacking, tindakan vandalism. Ancaman serupa juga disebabkan karena kejadian lain seperti bencana alam, misalnya: banjir, gempa bumi, tsunami dan kebakaran.”(Sarno,2009a:28)
2.5 Standar Sistem Manajemen Keamanan Informasi
Sejak tahun 2005, International Organization for Standardization (ISO) atau organisasi Internasional untuk standarisasi telah mengembangkan sejumlah standar tentang Information Security Management System (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari :
a. ISO/IEC 27000:2009-ISMS Overview and Vocabulary
Dokumen definisi-definisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.
b. ISO/IEC 27001:2005-ISMS Requirements
Berisi persyaratan standar yang harus dipenuhi untuk membangun SMKI. c. ISO/IEC 27002:2005-Code of Practice for ISMS
Terkait dengan dokumen ISO 27001, namun dalam dokumen ini berisi panduan praktis (code of practice) teknik keamanan informasi.
d. ISO/IEC 27003:2010-ISMS Implementation Guidance
Berisi matriks dan metode pengukuran keberhasilan implementasi SMKI. e. ISO/IEC 27004:2009-ISMS Measurements
16
f. ISO/IEC 27005:2008-Infromation Security Risk Management Dokumen panduan pelaksanaan manajemen resiko.
g. ISO/IEC 27006:2007-ISMS Certification Body Requirements Dokumen panduan untuk sertifikasi SMKI perusahaan. h. ISO/IEC 27007-Guidelines for ISMS Auditing
Dokumen panduan audit SMKI perusahaan.
ISO 27000 Overview and Vocabulary
ISO 27004 Measurements
ISO 27006 Certification Body
Requirements
ISO 27002 Code of Practice
ISO 27007 Audit Guidelines ISO 27001
Requirements
ISO 27005 Risk Management ISO 27003
Implementation Guidance
Termi
nologi
Per
syara
tan
Umum
Panduan Umu
m
Gambar 2.3 Relasi Antar Keluarga Standar SMKI (Sumber Ahmad,2012:13)
Adapun penjelasan dari standar ISMS tersebut dijelaskan sebagai berikut :
a. ISO/IEC 27000:2009 – ISMS Overview and Vocabulary
Standar ini dirilis tahun 2009, memuatprinsip-prinsip dasar Information
Security Management System, definisi sejumlah istilah penting dan hubungan
tahap pengembangan. Hubungan antar standar keluarga ISO 27000 dapat dilihat pada gambar 3.
b. SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan Informasi SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi(SMKI). Standar ini bersifat independen terhadap produk teknologi masyarakat penggunaan pendekatan manajeman berbasis risiko,dan dirancang untuk menjamin agar kontrol- kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.
Standar ini dikembangkan dengan pendekatan proses sebagai suatu model bagi penetapan, penerapan, pengoprasian, pemantauan, tinjau ulang (review), pemeliharaan dan peningkatan suatu SMKI. Model PLAN – DO – CHECK–ACT (PDCA) diterapkan terhadap struktur keseluruhan proses SMKI. Dalam model PDCA, keseluruhan proses SMKI dapat dipetakan seperti Tabel 2.1.
Tabel 2.1 Peta PDCA dalam Proses SMKI (Sumber:Ahmad, 2012:15) PDCA dalam Proses SMKI
1. PLAN (Menetapkan SMKI)
Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola resiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dari sasaran
2. DO (Menerapkan dan mengoperasikan SMKI)
18
Tabel 2.1 Peta PDCA dalam Proses SMKI (Sumber:Ahmad, 2012:15) PDCA dalam Proses SMKI
3. CHECK (Memantau dan melakukan tinjau ulang SMKI)
Mengkaji dan mengukur kinerja proses terhadap kebijakan, sasaran, praktek-praktek dalam menjalankan SMKI dan melaporkan hasilnya kepada manajemen untuk ditinjau efektivitasnya
4. ACT (Memelihara dan meningkatkan SMKI)
Melakukan tindakan perbaikan dan pencegahan, berdasarkan hasil evaluasi, audit internal dan tinjauan manajemen tentang SMKI atau kegiatan pemantauan lainnya untuk mencapai peningkatan yang
berkelanjutan.
c. ISO/IEC 27002:2005 – Code of Practice for ISMS
ISO/IEC 27002 berisi panduan ISO IEC 17799 tahun 2005, resmi dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara resmi diubah menjadi ISO IEC 27002 tahun 2005. Konten tersebut masih persis sama. Standar ISO IEC 17799:2005 (sekarang dikenal sebagai ISO IEC 27002:2005) dikembangkan oleh IT Security Subcommittee (SC 27) dan
Technical Committee on Information Technology (ISO/IEC JTC 1) (ISO
27002, 2005).
d. ISO/IEC 27003:2010 – ISMS Implementation Guidance
Tujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagi perancangan dan penerapan SMKI agar memenuhi persyaratan ISO 27001. Standar ini menelaskan proses pembangunan SMKI meliputi pengarsipan, perancangan dan penyusunan atau pengembangan SMKI yang digambarkan sebagai suatu kegiatan proyek.
Standar ini menyediakan penyusunan dan penggunaan teknik pengukuran untuk mengkaji efektivitas penerapan SMKI dan kontrol sebagaimana disyaratkan ISO/IEC 27001. Standar ini juga membentu organisasi dalam mengukur ketercapaian sasaran keamanan yang ditetapkan.
f. ISO/IEC 27005:2008 – Information Security Risk Management
Standar ini menyediakan panduan bagi kegiatan manajemen risiko keamanan informasi dalam suatu organisasi, khususnya dalam rangka mendukung persyaratan- persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001. Standar ini diterbitkan pada bulan Juni 2008.
g. ISO/IEC 27006:2007 – Prasyarat Badan Audit dan Sertifikasi
Standar ini menetapkan persyaratan dan memberikan panduan bagi organisasi yang memiliki kewenangan untuk melakukan audit dan sertifikasi SMKI.Standar ini utamanya dimaksudkan untuk mendukung porses akreditasi Badan Sertifikasi ISO/IEC 27001 oleh Komite Akreditasi dari negara masing-masing.
h. ISO/IEC 27007 – Guidelines for ISMS Auditing
Standar ini memaparkan panduan bagaimana melakukan audit SMKI perusahaan.
2.5.1 ISO/IEC 27002:2005
20
control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol
keamanan/ kontrol (controls) yang dapat dilihat dalam Tabel 2.2.
Tabel 2.2 Ringkasan Jumlah Klausul Kontrol Keamanan, Objektif Kontrol dan Kontrol (Sumber: Sarno, 2009a:187)
Klausul
Jumlah
Objektif Kontrol Kontrol
5 1 2
6 2 11
7 2 5
8 3 9
9 2 13
10 10 31
11 7 25
12 6 16
13 2 5
14 1 5
15 3 10
Jumlah : 11 Jumlah : 39 Jumlah : 133
ISO 27002:2005 berisi panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan.Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam ISO/IEC 27002.
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 Klausul: 8 Keamanan Sumber Daya Manusia
Kategori Keamanan Utama: 8.1 Sebelum menjadi pegawai
Objektif Kontrol:
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk
meminimalkan resiko pencurian atau kesalahan dalam penggunaan fasilitas informasi.
8.1.1 Aturan dan tanggung jawab keamanan
Kontrol:
Aturan-aturan dan tanggung jawab dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasi sesuai dengan kebijakan Keamanan Informasi organisasi. Kategori Keamanan Utama: 8.2 Selama menjadi pegawai
Objektif Kontrol:
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami Keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang dihadapi oleh organisasi.
8.2.3 Proses kedisiplinan
Kontrol:
Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi. Kategori Keamanan Utama: 8.3 Pemberhentian atau pemindahan pegawai
Objektif Kontrol:
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindah dilakukan sesuai prosedur yang benar.
8.3.1 Tanggung jawab pemberhentian
Kontrol:
22
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)
Klausul: 9 Keamanan fisik dan lingkungan Kategori Keamanan Utama: 9.1 Wilayah aman
Objektif Kontrol:
Untuk mencegah akses fisik tanpa hak, kerusakan dan ganguan terhadap Informasi dan perangkatnya dalam organisasi.
9.1.1 Pembatasan keamanan fisik
Kontrol:
Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi.
9.1.2 Kontrol masuk fisik
Kontrol:
Wilayah aman (secure) harus dilindungi dengan kontrol akses masuk yang memadai untuk memastikan hanya orang yang berhak saja dibolehkan masuk.
Kategori Keamanan Utama: 9.2 Keamanan Peralatan
Objektif Kontrol:
Untuk mencegah kehilangan, kerusakan, pencurian atau ketidakberesan aset dan gangguan terhadap aktivitas organisasi.
9.2.1 Letak peralatan dan pengamanannya
Kontrol:
Semua peralatan harus ditempatkan dengan tepat dan dilindungi untuk mengurangi resiko dari ancaman dan bahaya dari lingkungan sekitar atau kesempatan untuk diakses dari orang- orang yang tidak berhak.
9.2.3 Keamanan pengkabelan
Kontrol:
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)
Klausul: 11 Kontrol Akses
Kategori Keamanan Utama: 11.1 Persyaratan bisnis untuk akses control
Objektif Kontrol:
Untuk mengontrol akses Infromasi.
11.1.1 Kebijakan kontrol akses
Kontrol:
Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses. Kategori Keamanan Utama: 11.2 Manajemen akses user
Objektif Kontrol:
Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak.
11.2.3 Manajemen password user
Kontrol:
Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses.
11.2.4 Tinjauan terhadap hak akses user
Kontrol:
Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk
akses.Manajemen harus melakukan tinjauan ulang terhadap hak akses user secara berkala melalui proses yang formal.
Kategori Keamanan Utama: 11.3 Tanggung jawab pengguna (user)
Objektif Kontrol:
Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi
11.3.1 Penggunaan
Password
Kontrol:
24
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)
Kategori Keamanan Utama: 11.3 Tanggung jawab pengguna (user)
Objektif Kontrol:
Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi
yang baik dalam pemilihan dan penggunaan
password.
Kategori Keamanan Utama: 11.4 Kontrol Akses jaringan
Objektif Kontrol:
Untuk mencegah akses tanpa hak ke dalam layanan jaringan
11.4.1
Kebijakan
penggunaan layanan jaringan
Kontrol:
Pengguna seharusnya hanya disediakan akses terhadaplayanan yang telah secara spesifik diotorifikasi dalam penggunaannya. Kategori Keamanan Utama: 11.5 Kontrol Akses Sistem Operasi
Objektif Kontrol:
Untuk mencegah akses tanpa hak ke sistem operasi.
11.5.3 Sistem Manajemen
Password
Kontrol:
Sistem yang digunakan untuk mengelola password harus interaktif dan harus dipastikan passwordnya berkualitas.
Kategori Keamanan Utama: 11.6 Kontrol Akses Informasi dan aplikasi
Objektif Kontrol:
Untuk mencegah akses tanpa hak terhadap Informasi yang terdapat di dalam aplikasi.
11.6.1 Pembatasan akses Informasi
Kontrol:
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)
Kategori Keamanan Utama: 11.7 Komputasi bergerak dan bekerja dari lain tempat
(teleworking)
Objektif Kontrol:
Untuk memastikan Keamanan Informasi saat menggunakan fasilitas komputasi bergerak atau bekerja darilaintempat.
11.7.1
Komunikasi dan terkomputerisasi yang bergerak
Kontrol:
Kebijakan secara formal seharusnya ditempatkan dan pengukuran keamanan yang sesuai seharusnya diadopsi untuk melindungi resiko dari penggunaan fasilitas komunikasi dan komputer yang bergerak.
2.5.2 Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi
Indonesia, Tbk. Nomor : KD.57/HK-290/ITS-30/2006
Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia dengan nomor : KD.57/HK-290/ITS-30/2006 merupakan dokumen tentang kebijakan sekuriti sistem informasi yang digunakan oleh bagian Desktop
Management sebagai pedoman dalam melaksanakan segala kegiatan yang
berhubungan dengan keamanan informasi.
26
BAB III
METODE PENELITIAN
Pada Bab III akan dilakukan pembahasan dimulai dengan profil perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapan-tahapan audit yang akan dilaksanakan. Dapat dilihat pada Gambar 3.1.
Studi literartur yang digunakan dalam metode penelitian ini adalah ISO 27002:2005 dan regulasi dari perusahaan yaitu dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006. Pada standar ISO 27002 dan dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 terdapat beberapa kesamaan dalam panduan implementasi audit yang dapat dilihat pada Tabel 3.1.
Sitem Informasi (R. Sarno Iffano) objek audit & tujuan audit 4.Penentuan klausul, objektif 4. Konfirmasi temuan dan rekomendasi audit
Pelaporan Audit
1.Permintaan tanggapan atas daftar temuan audit
2.Penyusunan draft laporan audit 3.Persetujuan draft laporan audit 4.Pelaporan hasil audit
Hasil Perencanaan Audit 1.Profil perusahaan, visi misi PT.Telkom DIVRE V Jatim, profil
Desktop Management, Struktur
Organisasi Desktop Management, deskripsi pekerjaan di Desktop
Management
2. Alur proses bisnis desktop
management
3.Ruang lingkup, objek audit & tujuan audit
4.Hasil pemilihan klausul,objektif kontrol dan kontrol
5.Engagement Letter
Hasil Persiapan Audit 1.Audit Working Plan untuk merencanakan dan memantau pelaksanaan audit
2.Kebutuhan data yang diperlukan auditor
3.Pernyataan yang dibuat oleh auditor
4.Tingkat pembobotan masing-masing pernyataan
5.Daftar pertanyaan dari pernyataan yang dibuat oleh auditor
1.Hasil Permintaan Tanggapan Atas Temuan Audit
2.Penyusunan dan persetujuan Draft laporan Audit
3.Pertemuan penutup, notulen pertemuan penutup audit
Planning
Fieldwork and Documentation
Fieldwork and Documentation , Issues Discovery and Validation,
Solution Development
Report Drafting and Issuance , Issue Tracking
Keterangan :
Referensi dari Davis
Tahap Pengembangan Langkah Audit
28
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006
Sekuriti Sumber Daya Manusia
Pasal 13 Sebelum Penugasan
Dalam pasal 13 ini mengatur tentang pengelolaan SDM serta proses
screening pada calon karyawan serta
pekerja kontrak dan mitra kerja yang harus menandatangani Term and
Conditions.
Pasal 14
Selama Penugasan
Dalam pasal 14 ini mengatur tentang pemahaman Security Awareness yang cukup untuk menjalani prosedur sekuriti dalam pekerjaannya dan untuk
meminimalisir terjadinya human
eror.
Klausul 8 Keamanan Sumber Daya Manusia
Kategori Keamanan Utama: 8.1 (Berelasi dengan Pasal 13 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Sebelum menjadi pegawai Objektif Kontrol:
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga
memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimalkan resiko pencurian atau kesalahan dalam penggunaan fasilitas informasi.
8.1.1 Aturan dan tanggung jawab
keamanan 8.1.2 Seleksi
8.1.3 Persyaratan dan Kondisi yang harus dipenuhi oleh pegawai
Kategori Keamanan Utama: 8.2 (Berelasi dengan Pasal 14 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Selama Menjadi Pegawai Objektif Kontrol:
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Dalam pasal 15 ini mengatur tentang tata cara pemberhentian atau
penggantian tugas karyawan, hak akses yang diberikan pada
karyawan, serta pengembalian aset apabila sudah tidak bekerja.
memahami Keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang
dihadapi oleh organisasi.
8.2.1 Tanggung jawab manajemen 8.2.2 Pendidikan dan pelatihan Keamanan Informasi
8.2.3 Proses kedisiplinan
Kategori Keamanan Utama: 8.3 (Berelasi dengan Pasal 15 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindah dilakukan sesuai prosedur yang benar.
8.3.1 Tanggung jawab pemberhentian 8.3.2 Pengembalian aset-aset
8.3.3 Penghapusan hak akses
2.
Bab VI
Sekuriti Fisik dan Lingkungan Aset Informasi
Pasal 16 Area Aman
Klausul 9 Keamanan Fisik dan Lingkungan
Kategori Keamanan Utama: 9.1 (Berelasi dengan Pasal 16 dari Dokumen Keputusan Direksi
30
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Dalam pasal 16 ini mengatur tentang area aman harus diberi batas fisik, hanya dapat dimasuki oleh personil yang memiliki hak akses serta didesain dengan mempertimbangkan aspek sekuriti.
Pasal 17 Sekuriti Perangkat Teknologi
Informasi
Dalam pasal 17 ini mengatur tentang perangkat teknologi informasi harus ditempatkan di lokasi yang aman, serta kabel daya dan kabel
komunikasi harus dilindungi dari kerusakan
Wilayah Aman
Objektif Kontrol:
Untuk mencegah akses fisik tanpa hak, kerusakan dan ganguan terhadap Informasi dan perangkatnya dalam organisasi.
9.1.1 Pembatasan Keamanan Fisik 9.1.2 Kontrol Masuk Fisk
9.1.3 Keamanan kantor, ruang dan fasilitasnya
9.1.4 Perlindungan terhadap ancaman
dari luar dan lingkungan sekitar 9.1.5 Bekerja di wilayah aman
9.1.6 Akses publik, tempat pengiriman dan penurunan barang
Kategori Keamanan Utama: 9.2 (Berelasi dengan Pasal 17 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Keamanan Peralatan 9.2.1 Letak peralatan dan
pengamanannya 9.2.2 Utilitas pendukung
9.2.3 Keamanan pengkabelan
9.2.4 Pemeliharaan peralatan 9.2.5 Keamanan peralatan diluar
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Dalam pasal 34 ini mengatur tentang prosedur kontrol akses sistem
informasi, pemberian dan
pencabutan hak akses, serta alokasi
password yang harus dikelola untuk
memaksimumkan perlindungan terhadap sistem, aplikasi dan data.
Pasal 35 Tanggung Jawab Pengguna
Dalam pasal 35 ini mengatur tentang tanggung jawab pengguna untuk melindungi aset informasi, pengguna harus bertanggung jawab untuk memelihara kontrol akses yang diberikan serta pengguna harus menjamin bahwa perangkat yang sedang tidak dikontrol memiliki proteksi yang memadai.
Klausul 11 Kontrol Akses
Kategori Keamanan Utama: 11.1
Persyaratan bisnis untuk akses kontrol Objektif Kontrol:
Untuk mengontrol akses informasi.
11.1.1 Kebijakan kontrol akses
Kategori Keamanan Utama: 11.2 (Berelasi dengan Pasal 34 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Manajemen akses user Objektif Kontrol:
Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak.
11.2.1 Registrasi pengguna 11.2.2 Manajemen hak istimewa
11.2.3 Manajemen password user 11.2.4 Tinjauan terhadap hak akses user
Kategori Keamanan Utama: 11.3 (Berelasi dengan Pasal 35 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Tanggung jawab pengguna (user) Objektif Kontrol:
32
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Dalam pasal 36 ini mengatur tentang harus dilakukannya pengendalian akses ke layanan jaringan internal dan eksternal, unit pengelola teknologi informasi bertanggung jawab untuk menyusun prosedur implementasi layanan jaringan.
Pasal 37
Kontrol Akses Sistem Operasi
Dalam pasal 37 ini mengatur tentang pengendalian akses sistem operasi dilakukan dengan prosedur log-on untuk mengurangi akses yang tidak
pemrosesan Informasi.
11.3.1 Penggunaan password 11.3.2 Peralatan penggunaan yang
tanpa penjagaan
11.3.3 Kebijakan clear desk dan clear
screen
Kategori Keamanan Utama: 11.4 (Berelasi dengan Pasal 36 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Kontrol Akses Jaringan Objektif Kontrol:
Untuk mencegah akses tanpa hak ke dalam layanan jaringan.
11.4.1 Kebijakan penggunaan layanan jaringan 11.4.2 Otentikasi pengguna untuk
melakukan koneksi keluar
11.4.3 Identifikasi peralatan di dalam jaringan
11.4.4 Perlindungan remote
diagnosticdan konfigurasi port
11.4.5 Pemisahan dengan jaringan 11.4.6 Kontrol terhadap koneksi jaringan
11.4.7 Kontrol terhadap routing jaringan
Kategori Keamanan Utama: 11.5 (Berelasi dengan Pasal 37 dari Dokumen Keputusan Direksi
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No Kontrol Akses Aplikasi dan
Informasi
Dalam pasal 38 ini mengatur tentang akses terhadap informasi dan
aplikasi harus diatur berdasarkan prosedur.
Pasal 39
Mobile Computing dan
Teleworking Dalam pasal 39 ini mengatur tentang
seluruh perangkat mobile computing sedapat mungkin harus mengikuti prosedur keamanan yang berlaku.
Kontrol Akses Sistem Operasi Objektif Kontrol:
Untuk mencegah akses tanpa hak ke sistem operasi.
11.5.1 Prosedur Log-On yang aman 11.5.2 Identifikasi dan autentikasi
pengguna
11.5.3 Sistem Manajemen Password 11.5.4 Penggunaan utilitas sistem
diagnosticdan konfigurasi port
11.5.5 Sesi time-out
11.5.6 Batasan waktu koneksi
Kategori Keamanan Utama: 11.6 (Berelasi dengan Pasal 38 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Kontrol Akses Informasi dan aplikasi Objektif Kontrol:
Untuk mencegah akses tanpa hak terhadap Informasi yang terdapat di dalam aplikasi.
11.6.1 Pembatasan akses informasi 11.6.2 Pengisolasian sistem yang
sensitif
Kategori Keamanan Utama: 11.7 (Berelasi dengan Pasal 39 dari Dokumen Keputusan Direksi
34
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Komputasi bergerak dan bekerja dari lain tempat (teleworking)
Objektif Kontrol: Untuk memastikan Keamanan
Informasi saat menggunakan fasilitas komputasi bergerak atau bekerja darilaintempat.
No Davis Proses Pengembangannya
1 Planning Pada tahap planning ini masuk ke dalam tahap
perencanaan audit 2 Fieldwork and
Documentation
Pada tahap Fieldwork and Documentation ini masuk ke dalam tahap persiapan audit dan pelaksanaan audit
3 Issues Discovery and
Validation
Pada tahap Issues Discovery and Validation masuk ke dalam tahap pelaksanaan audit
4 Solution Development Pada tahap Solution Development ini masuk ke
dalam tahapan pelaksanaan audit 5 Report Drafting and
Issuance
Pada tahap Report Drafting and Issuance masuk ke dalam tahap pelaporan audit
6 Issue Tracking Pada tahap Issue Tracking masuk ke dalam tahap
pelaporan audit
3.1 Tahap Perencanaan Audit Keamanan Sistem Informasi
perusahaan, ruang lingkup dan tujuan yang telah ditentukan serta klausul yang telah ditentukan oleh kedua belah pihak.
3.1.1 Identifikasi Informasi Organisasi Perusahaan
Pada tahapan perencanaan audit, proses pertama yang dilakukan adalah mengidentifikasi informasi organisasi perusahaan yang diaudit dengan mempelajari dokumen-dokumen yang terkait dengan perusahaan. Dokumen tersebut berupa profil perusahaan PT Telkom Divre V Jatim, visi misi PT Telkom Divre V Jatim, profil bagian Desktop Management, struktur organisasi Desktop
Management serta deskripsi pekerjaan di Desktop Management. Langkah
selanjutnya adalah mencari informasi apakah sebelumnya perusahaan telah melaksanakan proses audit. Apabila pernah dilakukan audit, maka auditor perlu mengetahui dan memeriksa laporan audit sebelumnya.
Untuk menggali pengetahuan tentang informasi organisasi perusahaan langkah yang dilakukan adalah dengan cara mengetahui dan memeriksa dokumen-dokumen yang terkait dengan proses audit, wawancara manajemen dan staff, serta melakukan observasi. Salah satu contoh proses identifikasi informasi organisasi perusahaan dengan wawancara manajemen dan staff dapat dilihat pada Tabel 3.3.
Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf
Wawancara Permasalahan Pada
Desktop Management
Auditor : Dian Ayu P Auditee : Bpk Agus Widodo (Bagian Officer 2 administrasi & monitoring) & Pak Uyud (Bagian Officer 1 Desktop Operation & Lisensi) Tanggal : 10 Desember 2012 1. T: Apakah pada perusahaan ini khususnya di bagian Desktop
36
Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf (Lanjutan)
Wawancara Permasalahan Pada
Desktop Management
Auditor : Dian Ayu P Auditee : Bpk Agus Widodo (Bagian Officer 2 administrasi & monitoring) & Pak Uyud (Bagian Officer 1 Desktop Operation & Lisensi) Tanggal : 10 Desember 2012 2. 1. untuk audit atau keterikatan, misalnya seperti Bank regulasinya
adalah PBI/BI, apabila saham berdasarkan BEI/Bapepam? Apabila tidak ada regulasi khusus, dapatkah saya nantinya mengaudit pada bagian tertentu berdasarkan SOP atau kebijakan atau peraturan yg berlaku pada perusahaan ini?
3. J: Mengenai SOP (Standard Operating Procedure), hampir seluruh alur proses bisnis datanya tidak di sini tapi terdapat di Telkom Bandung. Namun terdapat satu bagian yang dapat anda audit karena masih bisa dilihat secara langsung proses kerjanya yaitu di bagian Desktop Management. Pada bagian tersebut terdapat aplikasi penyimpanan dokumen, serta prosedur standard keamanan untuk penggunaan password. 4. 2. T : Pada setiap perusahaan pasti terdapat beberapa aset berharga,
contoh : aset informasi, aset piranti lunak, aset fisik, aset layanan. Pada bagian Desktop Management , terdapat aset apa saja?
5. J : Ya aset-aset tersebut semuanya ada di sini. Di antaranya yaitu : Aset informasi :berupa dokumentasi prosedur standard keamanan untuk penggunaan password, Aset fisik :berupa fasilitas dari perusahaan yaitu PC, printer dan perabotan kantor lainnya, Aset piranti lunak :berupa aplikasi CNEMAS (Computer & Network Equipment Management System), Aset layanan :berupa pencahayaan, AC, dll
6. 3. T: Bagaimana penjelasan secara umum mengenai fungsi aplikasi tersebut?
7. J: CNEMAS merupakan suatu aset piranti lunak yang berfungsi untuk mengontrol pergerakan fasilitas kerja pegawai
3.1.2 Pemahaman Proses Bisnis
3.1.3 Penentuan Ruang Lingkup, Objek Audit dan Tujuan Audit
Proses ketiga pada tahapan perencanaan ini adalah mengidentifikasi ruang lingkup dan tujuan yang akan dibahas dalam audit kali ini. Penentuan ruang lingkup dilakukan dengan cara melakukan observasi, wawancara dan kuesioner pada bagian Desktop management. Pada proses ini, langkah yang selanjutnya dilakukan adalah mengidentifikasi tujuan yang berhubungan dengan kebutuhan audit keamanan sistem informasi. Output yang dihasilkan adalah hasil ruang lingkup, objek audit dan tujuan audit.
3.1.4 Menentukan Klausul, Objektif Kontrol dan Kontrol
Pada proses ini langkah yang dilakukan adalah menentukan objek mana saja yang akan diperiksa sesuai dengan permasalahan yang ada dan kebutuhan perusahaan. Menentukan klausul, objektif kontrol dan kontrol yang sesuai dengan kendala dan kebutuhan Desktop management. Klausul, objektif kontrol dan kontrol yang ditentukan harus berdasarkan kesepakatan antara auditor dengan
auditee dan disesuaikan dengan standar ISO 27002:2005. Output yang dihasilkan
adalah hasil pemilihan klausul yang akan diperiksa, objektif kontrol dan kontrol sesuai ISO 27002:2005 yang juga tertuang pada engagement letter.
3.1.5 Membuat dan Menyampaikan Engagement Letter
Pada tahap ini adalah membuat dan menyampaikan Engagement Letter atau surat perjanjian audit. Surat perjanjian audit adalah surat persetujuan antara kedua belah pihak yang bersangkutan yaitu auditor dengan manager Desktop
Management tentang syarat-syarat pekerjaan audit yang akan dilakukan oleh
38
manajemen dan auditor, lingkup audit dan ketentuan audit. Output yang dihasilkan adalah berupa dokumen Engagement Letter yang disepakati oleh kedua belah pihak.
3.2 Tahap Persiapan Audit Keamanan Sistem Informasi
Pada tahap ini langkah-langkah yang dilakukan yaitu: 1.) Melakukan penyusunan audit working plan, 2.) Penyampaian kebutuhan data, 3.) Membuat pernyataan, 4.) Melakukan pembobotan pernyataan dan 5.) Membuat pertanyaan.
3.2.1 Penyusunan Audit Working Plan
Audit working plan merupakan dokumen yang dibuat oleh auditor dan digunakan untuk merencanakan dan memantau pelaksanaan audit keamanan sistem informasi secara terperinci. Output yang dihasilkan adalah daftar susunan AWP dan dapat dilihat pada tabel 3.4
Tabel 3.4 Audit Working Plan Secara Keseluruhan
ID Task Name Duration Start Finish
1 Total Hari Audit 355 days Thu 3/27/14 Fri 7/31/15 2 Perencanaan Audit Sistem
Informasi 113 days Thu 3/2714 Fri 8/29/14
7 Persiapan Audit Sistem
Informasi 200 days Wed 8/6/14 Thu 5/7/15
13 Pelaksanaan Audit Sistem
Informasi 238 days Fri 9/5/14 Fri 7/31/15
18 Pelaporan Audit Sistem
Informasi 65 days Mon 5/4/15 Fri 7/31/15
3.2.2 Penyampaian Kebutuhan Data
secara efektif. Output yang dihasilkan adalah daftar penyampaian kebutuhan data perusahaan pada tampilan Tabel 3.5.
Tabel 3.5 Contoh Lampiran Kebutuhan Data Penunjang yang Diperlukan Dalam Pelaksanaan Audit
Lampiran Permintaan Kebutuhan Data/Dokumen
No. Data yang diperlukan
Ketersediaan Data
Keterangan
Tanda Tangan
Ada Tidak
ada Auditee Auditor
1 Profil perusahaan
2 Struktur organisasi Desktop
Management
3 Job description pegawai di
Desktop Management
4 Alur proses bisnis perusahaan
5 Dokumen kebijakan
keamanan sistem informasi 6 Dokumen prosedur Desktop
Management
3.2.3 Membuat Pernyataan
40
Tabel 3.6 Contoh Pernyataan Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)
PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Klausul 11.3 Tanggung Jawab Pengguna (User Respon sibilities)
ISO 27002 11.3.1 Penggunaan Password (Password Use)
Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam
pemilihan dan penggunaan password.
No. PERNYATAAN
1. Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password 2. Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau
password dalam keadaan bahaya
3. Terdapat larangan dalam pembuatan catatan password
4. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain 5. Terdapat pergantian password sementara pada saat pertama kali log-on 6. Terdapat pemilihan password secara berkualitas yang mudah diingat
7. Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama
3.2.4 Melakukan Pembobotan Pernyataan
Setelah membuat pernyataan, maka langkah selanjutnya adalah melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan dilakukan berdasarkan perhitungan yang dilakukan oleh (Niekerk dan Labuschagne dalam hastin 2012: 39), dengan membagi tingkat pembobotan dalam manajemen menjadi 3 (tiga), yaitu: rendah, cukup dan tinggi. Output yang dihasilkan adalah contoh tingkat kepentingan dalam pembobotan pernyataan pada
Tabel 3.7 dan salah satu contoh pembobotan yang ada dalam klausul 11 (sebelas) Kontrol Akses dapat dilihat pada Tabel 3.8.
Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan
(Sumber: Niekerk dan Labuschagne dalam Hastin, 2012:39)
Resiko Bobot Keterangan
Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan (Lanjutan) (Sumber: Niekerk dan Labuschagne dalam Hastin, 2012:39)
Resiko Bobot Keterangan
Cukup 0,40 - 0,69 Pernyataan tersebut mempunyai peranan cukup penting dalam proses sistem informasi
Tinggi 0,70 - 1,00 Pernyataan tersebut mempunyai peranan sangat penting dalam proses sistem informasi
Tabel 3.8 Contoh Pembobotan Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)
PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Klausul 11.3 Tanggung Jawab Pengguna (user)
ISO 27002 11.3.1 Penggunaan password
Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam
pemilihan dan penggunaan password.
No. PERNYATAAN
1. Adanya kesadaran dari diri sendiri untuk
menjaga kerahasiaan password 1
2.
Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya
0,6
3. Terdapat larangan dalam pembuatan
catatan password 0,8
4. Terdapat larangan untuk tidak membagi
satu password kepada pengguna lain 1
5. Terdapat pergantian password sementara
pada saat pertama kali log-on 1
6. Terdapat pemilihan password secara
berkualitas yang mudah diingat 0,6
7.
Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama
0,7
3.2.5 Membuat Pertanyaan
42
mewakili pernyataan pada saat dilakukan wawancara, observasi dan identifikasi dokumen. Output yang dihasilkan dalam membuat pertanyaan adalah daftar
pertanyaan dari pernyataan yang ada pada Tabel 3.9.
Tabel 3.9 Contoh Pertanyaan Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) ISO 27002 11.3.1 Penggunaan password
1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password
P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing?
J:
P: Apakah ada perintah tertulis yang menangani pentingnya menjaga kerahasiaan password?
J:
2 Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya
P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika dirasa sistem dalam keadaan bahaya?
J:
P: Apakah terdapat aturan secara tertulis atau secara lisan mengenai perintah pergantian sandi setiap kali ada kemungkinan keadaan bahaya?
J:
P: Apakah ada pencatatan perintah dalam pergantian password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya?
J: