TA : Audit Keamanan Sistem Informasi Manajemen Aset Berdasarkan Standar ISO 27002 (Studi Kasus: PT. Varia Usaha Beton).

(1)

AUDIT KEAMANAN SISTEM INFORMASI MANAJEMEN ASET BERDASARKAN STANDAR ISO 27002

(Studi Kasus: PT. Varia Usaha Beton)

TUGAS AKHIR

Nama : Hastin Istiqomah Ningtyas NIM : 08.41010.0148

Program : S1 (Strata Satu) Jurusan : Sistem Informasi

SEKOLAH TINGGI

MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER SURABAYA

(2)

DAFTAR ISI

Halaman

ABSTRAK ... vi

KATA PENGANTAR ... vii

DAFTAR ISI ... x

DAFTAR TABEL ... xiii

DAFTAR GAMBAR ... xv

DAFTAR LAMPIRAN ... xvii

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Perumusan Masalah ... 4

1.3 Batasan Masalah ... 4

1.4 Tujuan ... 9

1.5 Sistematika Penulisan ... 10

BAB II LANDASAN TEORI ... 12

2.1 Sistem Informasi ... 12

2.2 Sistem Informasi Manajemen ... 12

2.3 Manajemen Aset ... 13

2.4 Audit ... 15

2.5 Audit Sistem Informasi ... 15

2.6 Kemanan Sistem Informasi ... 17

2.7 ISO 27002 : 2005 ... 19

2.8 Cobit 4.1 ... 22

(3)

Halaman

2.10 Marturity Level ... 23

2.10.1 Marturity model 4.1 ... 25

2.11 Tahapan-Tahapan Dalam Audit Sistem Informasi ... 27

BAB III METODE PENELITIAN ... 34

3.1 Tahap Perencanaan Audit Sistem Informasi Manajemen Aset ... 34

3.1.1 Mengidentifikasi Proses Bisnis dan TI ... 34

3.1.2 Penentuan Ruang Lingkup Audit Sistem Informasi .. 35

3.1.3 Identification of core IT application and main IT relevant interfaces ... 35

3.2 Tahap Persiapan Audit Sistem Informasi ... 36

3.2.1 Penyusunan Audit Working Plan ... 36

3.2.2 Membuat Pernyataan... 37

3.2.3 Melakukan Pembobotan ... 38

3.2.4 Membuat Pertanyaan... 39

3.3 Tahap Pelaksanaan Audit Sistem Informasi ... 40

3.3.1 Pemeriksaan Data dan Bukti ... 41

3.3.2 Wawancara ... 42

3.3.3 Melakukan Uji Kematangan ... 43

3.3.4 Penentuan Temuan dan Rekomendasi ... 45

3.4 Tahap Pelaporan Audit Sistem Informasi ... 46

BAB IV HASIL DAN PEMBAHASAN ... 47

4.1 Hasil Perencanaan Audit Sistem Informasi ... 47

(4)

Halaman 4.1.2 Hasil Penentuan Ruang Lingkup dan Tujuan Audit

Sistem Informasi ... 50

4.1.3 Identification of core IT application and main IT relevant interfaces ... 51

4.2 Hasil Persiapan Audit Sistem Informasi ... 60

4.2.1 Hasil Penyusunan Audit Working Plan ... 60

4.2.2 Hasil Pembuatan Pernyataan ... 61

4.2.3 Hasil Pembuatan Pembobotan ... 62

4.2.4 Hasil Pembuatan Pertanyaan ... 63

4.3 Hasil Pelaksanaan Audit Sistem Informasi ... 64

4.3.1 Hasil Pemeriksaan Data dan Bukti... 64

4.3.2 Hasil Wawancara ... 66

4.3.3 Hasil Pelaksanaan Uji Kematangan ... 67

4.3.4 Hasil Penentuan Temuan dan Rekomendasi ... 86

4.4 Hasil Pelaporan Audit Sistem Informasi... 87

BAB V PENUTUP ... 89

5.1 Kesimpulan ... 89

5.2 Saran ... 90

DAFTAR PUSTAKA ... 91

(5)

DAFTAR TABEL

Halaman Tabel 2.1 Ringkasan jumlah Klausul Kontrol Keamanan, Objektif dan

Kontrol ... 23

Tabel 2.2 Pemetaan ISO 27002 dengan COBIT 4.1 ... 24

Tabel 2.3 Tingkat Kepentingan dalam Pembobotan Pernyataan ... 30

Tabel 3.1 Contoh Audit Working Plan... 36

Tabel 3.2 Contoh Pernyataan Pada ISO 27002 ... 37

Tabel 3.3 Contoh Pernyataan Pada COBIT 4.1 ... 37

Tabel 3.4 Contoh Pembobotan Pada ISO 27002 ... 38

Tabel 3.5 Contoh Pembobotan Pada COBIT 4.1 ... 39

Tabel 3.6 Tingkat Kepentingan dalam Pembobotan Pernyataan ... 39

Tabel 3.7 Contoh Pertanyaan pada ISO 27002 ... 40

Tabel 3.8 Contoh Pertanyaan pada COBIT 4.1 ... 40

Tabel 3.9 Contoh Hasil Pemeriksaan ISO 27002 ... 41

Tabel 3.10 Contoh Hasil Pemeriksaan COBIT 4.1 ... 41

Tabel 3.11 Contoh Hasil Dokumen Wawancara ISO 27002 ... 42

Tabel 3.12 Contoh Hasil Dokumen Wawancara COBIT 4.1 ... 42

Tabel 3.13 Contoh Tabel Penentuan Maturity Level pada COBIT 4.1... 44

Tabel 3.14 Contoh Tabel Penentuan Maturity Level pada ISO 27002 ... 44

Tabel 3.15 Contoh Laporan Hasil Audit Keamanan Sistem Informasi... 45

Tabel 4.1 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002:2005 yang Tidak Digunakan ... 53

Tabel 4.2 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002 yang Telah Dipetakan ... 59

Tabel 4.3 Audit Working Plan ... 60

(6)

Tabel 4.5 Pernyataan pada ISO 27002 ... 62

Tabel 4.6 Pembobotan pada ISO 27002 ... 62

Tabel 4.7 Pembobotan pada COBIT 4.1 ... 63

Tabel 4.8 Pertanyaan pada COBIT 4.1 ... 63

Tabel 4.9 Pertanyaan pada ISO 27002 ... 64

Tabel 4.10 Hasil Pemeriksaan COBIT 4.1 ... 64

Tabel 4.11 Hasil Pemeriksaan ISO 27002 ... 65

Tabel 4.12 Dokumen Wawancara pada COBIT 4.1 ... 66

Tabel 4.13 Dokumen Wawancara pada ISO 27002 ... 67

Tabel 4.14 Hasil Maturity Level Klausul 6 Organisasi Keaman Informasi . 68 Tabel 4.15 Hasil Maturity Level Klausul 7 Manajemen Aset ... 70

Tabel 4.16 Hasil Maturity Level Klausul 8 Keamanan Sumber daya Manusia ... 71

Tabel 4.17 Hasil Maturity Level Klausul 9 Wilayah Aman ... 73

Tabel 4.18 Hasil Maturity Level Klausul 10 Manajemen Komunikasi dan Operasi ... 76

Tabel 4.19 Hasil Maturity Level Klausul 11 Persyaratan Bisnis untuk Kontrol Akses ... 77

Tabel 4.20 Hasil Maturity Level Klausul 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan ... 78

Tabel 4.21 Hasil Maturity Level Klausul 13 Manajemen Kejadian Keamanan Informasi ... 81

Tabel 4.22 Hasil Maturity Level Klausul 14 Manajemen Kelangsungan ... 82

Tabel 4.23 Hasil Maturity Level Klausul 15 Kepatutan ... 84

Tabel 4.24 Hasil Maturity Level Seluruh Klausul ... 85

(7)

DAFTAR GAMBAR

Halaman

Gambar 2.1 Siklus Manajemen Aset... 14

Gambar 2.2 Aspek Keamanan Informasi ... 19

Gambar 2.3 ISO/IEC 27000 Family ... 20

Gambar 2.4 pemetaan ISO 27002 ... 21

Gambar 2.5 Kerangka Kerja COBIT ... 22

Gambar 2.6 Maturity Model ... 25

Gambar 2.7 Tahapan-tahapan dalam Audit Sistem Informasi ... 31

Gambar 3.1 Contoh Representasi Nilai Maturity Level Klausul 6 Organsiasi Keamanan Informasi ... 46

Gambar 4.1 Struktur Organisasi PT. Varia Usaha Beton ... 51

Gambar 4.2 Diagram Alir Manajemen Aset ... 52

Gambar 4.3 Daftar Induk Dokumen ... 65

Gambar 4.4 Representasi Nilai Maturity Level Klausul 6 Organisasi Keaman Informasi ... 69

Gambar 45 Representasi Nilai Maturity Level Klausul 7 Manajemen Aset.... 70

Gambar 4.6 Representasi Nilai Maturity Level Klausul 8 Keamanan Sumber daya Manusia ... 72

Gambar 4.7 Representasi Nilai Maturity Level Klausul 9 Wilayah Aman ... 73

Gambar 4.8 Representasi Nilai Maturity Level Klausul 10 Manajemen Komunikasi dan Operasi ... 75

Gambar 4.19 Representasi Nilai Maturity Level Klausul 11 Persyaratan Bisnis untuk Kontrol Akses ... 79

Gambar 4.10 Representasi Nilai Maturity Level Klausul 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan ... 80

(8)

Gambar 4.12 Representasi Nilai Maturity Level Klausul 14 Manajemen

(9)

DAFTAR LAMPIRAN

Halaman

Lampiran 1 Laporan Audit ... 93

Lampiran 2 Surat Perjanjian ... 112

Lampiran 3 Surat Pernyataan ... 119

Lampiran 4 Detail Struktur ISO 27002 ... 122

Lampiran 5 Pemetaan ISO 27002 dengan COBIT 4.1 ... 126

Lampiran 6 Hasil Pemeriksaan COBIT 4.1 ... 133

Lampiran 7 Hasil Pemeriksaan ISO 27002 ... 139

Lampiran 8 Dokumen Wawancara COBIT 4.1 ... 148

Lampiran 9 Dokumen Wawancara ISO 27002 ... 150

Lampiran 10 Bukti Audit ... 162

Lampiran 11 Maturity Level COBIT 4.1 ... 167

Lampiran 12 Maturity Level ISO 27002 ... 171

Lampiran 13 Temuan dan Rekomendasi ... 182

(10)

1

PENDAHULUAN

1.1 Latar Belakang

PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik (persero) Tbk. Sampai saat ini PT. Varia Uasaha Beton mempunyai cabang (plant) di daerah Jawa Timur, Jawa Tengah, Bali dan Makasar. PT. Varia Usaha Beton khususnya pada daerah Waru, Sidoarjo merupakan pusat dari seluruh plant yang memproduksi beton siap pakai (ready mix concrete), beton ringan (concrete masory), bahan galian (crushed stone, base coarse), dan beton pra cetak (precast concrete, prestressed).

(11)

perusahaan yang ada harus memiliki back up dan recovery yang berjalan dengan baik.

PT. Varia Usaha Beton melakukan kerjasama dengan beberapa perusahaan. Kerjasama tersebut antara lain memanfaatkan jasa outsourcing untuk recovery data, PT. Varia Usaha Beton tersebut juga menggunakan jasa seorang konsultan software untuk menjaga kualitas software yang di terapkan, dan PT. Varia Usaha Beton memiliki pelayanan perbaikan dari vendor internet yang digunakan. Oleh karena itu suatu kerangka kerja manajemen harus ditetapkan untuk memulai dan mengontrol penerapan Keamanan Informasi dalam organisasi (Sarno dan Iffano, 2009: 233).

Pada penerapan aplikasi VIS, ada beberapa kendala yang telah ditemui oleh perusahaan. Kendala tersebut antara lain:

1. Ditemukanya beberapa kasus penyalahgunaan password, sehingga dikuatirkan bisa mengganggu keamanan data perusahaan.

2. Terdapat beberapa prosedur yang belum dibakukan antara lain: prosedur pemeliharaan, prosedur penggantian password, prosedur pemberian password, prosedur pemusnahan data dan lain sebagainya, sehingga dikuatirkan karyawan belum memahami peran dan tanggung jawab dalam batas yang telah ditetapkan.

3. Belum adanya pencatatan mengenai insiden keamanan, yang dikuatirkan insiden keamanan tersebut dapat terulang kembali.

(12)

kerugian perusahaan dan untuk memastikan bahwa keamanan informasi diterapkan sesuai dengan prosedur yang ada. Audit sistem informasi adalah proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 1999).

Mengingat pentingnya aset yang dimiliki oleh PT. Varia Usaha Beton maka, audit yang diterapkan adalah audit keamanan sistem informasi manajemen aset. Audit Keamanan informasi manajemen aset ini bertujuan untuk menjaga aspek kerahasiaan (Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability) dari Informasi (Sarno dan Iffano, 2009: 46).

Standar yang digunakan untuk audit sistem informasi manajemen aset pada PT. Varia Usaha Beton adalah ISO 27002:2005. Beberapa hal penting yang patut dijadikan pertimbangan mengapa standar ISO 27002:2005 dipilih karena standar ini fleksibel dikembangkan tergantung dari kebutuhan organisasi, tujuan organisasi, persyaratan keamanan, proses bisnis yang ada, jumlah pegawai dan ukuran struktur organisasi serta ISO 27002:2005 menyediakan sertifikat implementasi Sistem Manajemen Keamanan Informasi SMKI yang diakui secara internasional yang disebut Information Security Management Sistem (ISMS) certification.

(13)

ISM3), sehingga akan menentukan apakah SMKI yang diterapkan sesuai dengan hasil yang diharapkan. Hasil yang didapat diharapkan menjadi rekomendasi yang dapat digunakan untuk meningkatkan keamanan informasi pada perusahaan serta menjadi acuan untuk memperoleh ISMS certification dengan standar ISO 27002:2005, sehingga menambah nilai tambah akan kepercayaan custumer terhadap PT. Varia Usaha Beton.

1.2Perumusan Masalah

Berdasarkan latar belakang yang telah diuraikan, didapatkan perumusan permasalahan sebagai berikut.

1. Bagaimana melaksanakan audit keamanan sistem informasi manajemen aset pada PT. Varia Usaha Beton berdasarkan standar ISO 27002:2005 untuk mencari temuan penyebab terjadinya permasalahan: 1. penyalahgunaan password, 2. Prosedur pemeliharaan, prosedur penggantian password, prosedur pemberian password, prosedur pemusnahan data dan prosedur lainya yang belum baku dan 3. Belum ada pencatatan mengenai insiden keamanan yang dapat menimbulkan resiko keamanan sistem informasi manajemen aset.

1.3 Batasan Masalah

Batasan-batasan masalah yang digunakan dalam pengerjaan tugas akhir ini adalah sebagai berikut.

(14)

2. Klausul ISO 27002:2005 yang digunakan adalah: a. Klausul 6: Organisasi Keamanan Informasi b. Klausul 7: Manajemen Aset

c. Klausul 8: Manajemen SDM

d. Klausul 9: Keamanan Fisik dan Lingkungan e. Klausul 10:Manajemen Komunikasi dan Operasi f. Klausul 11: Kontrol Akses

g. Klausul 12: Akuisisi Sistem

h. Klausul 13: Manajemen Kejadian Keamanan Informasi i. Klausu 14: Manajemen Kelangsungan Bisnis

j. Klausul 15: Kepatutan

3. Objektif kontrol yang digunakan adalah:

 6.1.1 Komitmen manajemen terhadap keamanan informasi  6.1.3 Pembagian tangung jawab keamanan informasi  6.1.5Perjanjian kerahasiaan

 6.1.6 Berhubungan dengan vendor atau penyedia SMKI yang resmi  6.2.1 Identifikasi resiko terhadap hubunganya dengan pihak ketiga  6.2.2 Akses keamanan dalam hubunganya dengan pelanggan

 6.2.3 melibatkan persyaratan keamanan dalam perjanjian dengan pihak

ketiga

 7.1.1 Inventarisasi terhadap aset  7.1.2 Kepemilikan aset

(15)

 7.2.2 Penanganan dan pelabelan informasi  8.1.1 Aturan dan tanggung jawab

 8.1.2 Seleksi

 8.1.3 Persyaratan dan kondisi yang harus dipenuhi oleh pegawai  8.2 Selama menjadi pegawai

 8.2.1Tanggung jawab manajemen

 8.2.2 Pendidikan dan pelatihan keamanan informasi  8.2.3 Proses kedisiplinan

 8.3 Pemberhentian atau pemindahan pegawai  8.3.1 Tanggung jawab pemberhentian

 8.3.2 Pengembalian aset  8.3.3 Penghapusan hak akses  9.1.1 Pembatas keamanan fisik  9.1.2 Kontrol masuk fisik

 9.1.3 Keamanan kantor, ruang dan fasilitasnya

 9.1.4 Perlindungan terhadap serangan dari luar dan ancaman lingkungan

sekitar

 9.1.5 Bekerja diwilayah aman

 9.1.6 Akses publik area pengiriman dan penurunan barang  9.2.1 Penempatan peralatan dan perlindunganya

 9.2.2 Utilitas pendukung  9.2.4 Keamanan pengkabelan  9.2.5 Pemeliharaan peralatan

(16)

 9.2.7 Hak pemindahan peralatan  10.1.1 Dokumentasi prosedur operasi  10.1.3 Pemisahan tugas

 10.2.2 Pemantauan dan kajian ulang terhadap layanan pihak ketiga  10.2.3 Manajemen penggantian layanan pihak ketiga

 10.3.2 Penerimaan sistem  10.5.1 Back-up sistem informasi

 10.7.1 Manajemen media untuk media yang dapat dipindahkan  10.7.2 Pemusnahan atau pembuangan media

 10.7.3 Prosedur penanganan informasi  10.10.5 Catatan kesalahan

 10.10.6 Sinkronisasi waktu

 11.2.2 Manajemen hak istimewa atau khusus  11.2.3 Manajemen password

 11.2.4 Tinjauan terhadap hak akses user  11.3.1 Penggunaan password

 11.3.3 Kebijakan clear desk dan clear screen  11.5 Kontrol akses sistem operasi

 11.5.1 Prosedur log-on yang aman  11.5.2 Identifikasi dan otentifikasi user  11.5.5 Sesi time-out

 11.6.1 Pembatasan akses informasi  11.6.2 Isolasi sistem yang sensitif

(17)

 12.2 Pemrosesan yang benar dalam aplikasi  12.2.2 Kontrol untuk pemrosesan internal  12.2.4 Validasi data output

 12.6 Manajemen teknik kelemahan

 12.6.1 Kontrol terhadap kelemahan secara teknis  13.1.1 Pelaporan kejadian keamanan informasi  13.1.2 Pelaporan kelemahan keamanan

 13.2 Manajemen kejadian keamanan informasi dan pengembanganya  13.2.1 Tanggung jawab dan prosedur

 13.2.2 Belajar dari kejadian keamanan informasi  13.2.3 Pengumpulan bukti

 14.1.1 Memasukkan keamanan informasi dalam proses manajemen

kelangsungan bisnis

 14.1.2 Kelangsungan bisnis dan penilaian resiko

 14.1 Aspek keamanan informasi dalam manajemen kelangsungan bisnis  14.1.3 Pembangunan dan implementasi rencana kelangsungan yang

didalamnya meliputi keamanan informasi

 14.1.4 Kerangka kerja rencana kelangsungan bisnis

 14.1.5 Pengujian, pemeliharaan dan pengkajian ulang rencana kelangsungan

bisnis

 15.1.1 Identifikasi perundangan yang dapat diaplikasikan  15.1.2 Hak kekayaan intelektual

 15.1.3 Perlindungan dokumen organisasi

(18)

 15.1.5 Pencegahan penyalahgunaan fasilitas pemrosesan informasi  15.3.1Kontrol audit sistem informasi

 15.3.2Perlindungan terhadap perangkat audit sistem informasi

4. Sistem Informasi yang di audit adalah VIS (Varia Usaha Beton Information Sistem) PT. Varia Usaha Beton.

5. Audit hanya dilakukan pada kantor pusat PT. Varia Usaha Beton yang terletak Jl. Letjend S. Parman No.38, Waru – Sidoarjo.

1.4 Tujuan

Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah sebagai berikut.

1. Melakukan dan menghasilkan perancangan audit keamanan sistem informasi pada PT. Varia Usaha Beton berdasarkan standar ISO 27002:2005 yang terdiri dari dokumen wawancara dan kuesioner yang merupakan hasil dari pengumpulan data, untuk menemukan akar permasalahan keamanan informasi manajemen asset di PT. Varia Usaha Beton.

2. Melakukan pengukuran maturity level untuk mengetahui nilai kematangan, menganalisa hasil wawancara dan kuesioner sehingga didapatkan temuan-temuan audit.

(19)

1.5 Sistematika Penulisan

Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam 5 (lima) bab, yaitu:

BAB I : PENDAHULUAN

Pada bab ini membahas tentang latar belakang masalah, rumusan masalah serta batasan terhadap masalah yang akan dibahas, tujuan dari pembahasan masalah yang diangkat, dan sistematika penulisan laporan tugas akhir ini.

BAB I : LANDASAN TEORI

Pada bab ini dibahas mengenai teori-teori yang berkaitan dengan audit sistem informasi, diantaranya yakni penjelasan tentang sistem informasi, sistem informasi manajemen, manajemen aset, audit, audit sistem informasi, keamanan informasi, ISO 27002:2005, COBIT 4.1 (Control Objective, for Information, and Related Technologies 4.1), Pemetaan ISO 27002 dengan COBIT 4.1, maturity level, maturity model cobit 4.1,tahapan-tahapan dalam audit sistem informasi.

BAB III : METODE PENELITIAN

(20)

BAB IV : HASIL DAN PEMBAHASAN

Pada bab ini dibahas tentang analisa dan evalusai hasil temuan serta rekomendasi dari kegiatan audit sistem informasi manajemen aset di PT. Varia Usaha Beton.

BAB V : PENUTUP

(21)

BAB II

LANDASAN TEORI

2.1Sistem Informasi

Sistem informasi adalah kombinasi dari teknologi informasi dan aktivitas, yang menggunakan teknologi untuk mendukung kinerja, manajemen dan pembuatan keputusan (Beynon, 2004). Dalam hal ini, sistem informasi digunakan tidak hanya untuk menggambarkan komputer dan perangkatnya serta interaksinya dengan organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh komponen yang terlibat dalam proses bisnis organisasi tersebut.

Berdasarkan definisi sistem informasi tersebut, menurut Kristanto (2003: 15-16) peranan sistem informasi dalam bisnis, antara lain:

1. Mendukung operasi bisnis

2. Mendukung dalam pengambilan keputusan manajerial 3. Meraih keuntungan strategik

2.2Sistem Informasi Manajemen

(22)

1. Beroperasi pada kegiatan dan tugas terstruktur.

2. Dapat meningkatkan efisiensi dengan mengurangi biaya.

SIM dapat dianggap sebagai suatu subsistem yang didasarkan atas fungsi yang dilaksanakan dalam suatu organisasi. Subsistem fungsional tersebut harus dikelompokkan ke dalam suatu ragam yang logik, meskipun tidak ada standar dalam pengelompokkannya. Namun fungsi utama yang ditemukan dalam kebanyakan organisasi adalah pemasaran, produksi, logistik, personalia dan keuangan serta akuntansi. Untuk fungsi logistik biasanya meliputi kegiatan seperti pembelian, penerimaan, persediaan, dan distribusi.

2.3Manajemen Aset

Aset adalah sumber daya yang mempunyai manfaat ekonomik masa datang yang cukup pasti atau diperoleh atau dikuasai/dikendalikan oleh suatu entitas akibat transaksi atau kejadian masa lalu.

Aset mempunyai sifat sebagai manfaat ekonomik dan bukan sebagai sumber ekonomik karena manfaat ekonomik tidak membatasi bentuk atau jenis sumber ekonomik yang dapat dimasukkan sebagai aset. Aset pada umumnya terbagi dua yaitu aset tetap dan aset tidak berwujud.

(23)

berwujud adalah jenis aset yang tidak memiliki wujud fisik. Contoh dari aset ini adalah hak cipta, paten, merek dagang, rahasia dagang.

Siklus manajemen aset mempertimbangkan semua pilihan dan strategi manajemen sebagai bagian dari aset masa pakai, dari perencanaan sampai penghapusan aset. Tujuan adalah untuk mencari biaya terendah dalam jangka panjang (bukan penghematan dalam jangka pendek) ketika membuat keputusan dalam aset manajemen. Siklus Manajemen Aset dapat diGambarkan seperti Gambar 2.1 di bawah ini :

Gambar 2.1 Siklus Manajemen Aset (Sumber: Suhairi, 2010: 5)

Perencanaan aset meliputi konfirmasi tentang pelayanan yang dibutuhkan oleh pelanggan dan memastikan bahwa aset yang diajukan merupakan solusi yang paling efektif untuk memenuhi kebutuhan pelanggan.

Asset

Planning

Asset

Creation

Asset

(24)

Pengadaan aset merupakan peningkatan dari aset dimana pembiayaan dapat menjadi alasan yang diharapkan untuk menyediakan keuntungan diluar tahun pembiayaan.

Pengoperasian aset mempunyai fungsi yang berhubungan dengan kerja, pengendalian aset dan biaya yang berhunbungan dengannya yang merupakan komponen penting dalam aset yang dinamis atau berumur pendek. Penghapusan aset adalah pilihan ketika sebuah aset tidak diperlukan lagi, menjadi tidak ekonomis untuk di rawat atau direhabilitasi (Suhairi, 2010).

2.4 Audit

Definisi secara umum tentang audit adalah bahwa “Auditing is an

independent investigation of some particular activity”. Sebetulnya kata Audit itu sendiri berasal dari Bahasa Latin Audire yang dalam Bahasa Inggris berarti to hear.

Makna yang dimaksud disini adalah “hearing about the account’s balances” oleh

para pihak terkait terhadap pihak ketiga yang netral (tidak ada vested interest) mengenai catatan keuangan perusahaan yang dikelola oleh orang-orang tertentu yang bukan sekaligus pemiliknya (Gondodiyoto, 2007).

2.5Audit Sistem Informasi

(25)

menggunakan sumber daya secara efektif (Weber, 1999). Beberapa elemen utama tinjauan penting dalam Audit Sistem Informasi yaitu dapat diklasifikasikan sebagai berikut.

1. Tinjauan terkait dengan fisik dan lingkungan, yakni: hal-hal yang terkait dengan keamanan fisik, suplai sumber daya, temperatur, kontrol kelembaban dan faktor lingkungan lain.

2. Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi, sistem manajemen database, seluruh prosedur administrasi sistem dan pelaksanaannya.

3. Tinjauan perangkat lunak. Perangkat lunak yang dimaksud merupakan aplikasi bisnis. Mencakup kontrol akses dan otorisasi ke dalam sistem, validasi dan penanganan kesalahan termasuk pengecualian dalam sistem serta aliran proses bisnis dalam perangkat lunak beserta kontrol secara manual dan prosedur penggunaannya. Sebagai tambahan, tinjauan juga perlu dilakukan terhadap siklus hidup pengembangan sistem.

4. Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan terhadap firewall, daftar kontrol akses router, port scanning serta pendeteksian akan gangguan maupun ancaman terhadap sistem.

(26)

6. Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak dari kurangnya kontrol yang ditetapkan.

2.6Keamanan Informasi

Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimalisasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (Sarno dan Iffano, 2009: 26). Contoh Keamanan Informasi menurut Sarno dan Iffano (2009: 27) adalah:

1. Physical Security adalah Keamanan Informasi yang memfokuskan pada strategi untuk mengamankan individu atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

2. Personal Security adalah Keamanan Informasi yang berhubungan dengan

keamanan personil. Biasanya saling berhubungan dengan ruang lingkup „physical

security’.

3. Operation Security adalah Keamanan Informasi yang membahas bagaimana strategi suatu organisasi untuk mengamankan kemampuan organisasi tersebut untuk beroperasi tanpa gangguan.

(27)

kemampuan untuk memanfaatkan media dan teknologi komunikasi untu kemncapai tujuan organisasi.

5. Network Security adalah Keamanan Informasi yang memfokuskan pada bagaimana pengamanan peralatan jaringan, data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Aspek Keamanan Informasi meliputi ketiga hal, yaitu: Confidentiality, Integrity, dan Availability (CIA). Aspek tersebut dapat dilihat pada Gambar 2.2 yang lebih lanjut akan dijelaskan sebagai berikut.

a) Confidentiality: Keamanan Informasi seharusnya menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses Informasi tertentu.

b) Integrity: Keamanan Informasi seharusnya menjamin kelengkapan Informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah Informasi dari aslinya.

(28)

Gambar 2.2 Aspek Keamanan Informasi

(Sumber: Sarno dan Iffano, 2009: 37)

2.7 ISO 27002:2005

ISO IEC 17799 tahun 2005, resmi dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara resmi diubah menjadi ISO IEC 27002 tahun 2005. Konten tersebut masih persis sama. Standar ISO IEC 17799:2005 (sekarang dikenal sebagai ISO IEC 27002:2005) dikembangkan oleh IT Security Subcommittee (SC 27) dan Technical Committee on Information Technology (ISO/IEC JTC 1) (ISO 27002, 2005).

IS0 27002:2005 berisi panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam ISO/IEC 27001.

ISO 27002:2005 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang

Information

Security

Aspects

Confidentiality

(29)

tepat sesuai kebutuhanya, dengan mempertimbangkan hasil kajian resiko yang telah dilakukanya (Direktorat Keamanan Informasi, 2011).

Pada Gambar 2.3 dapat dilihat bahwa International Standards Organization (ISO) mengelompokkan semua standard keamanan informasi ke dalam satu struktur penomoran, yaitu pada serial ISO 27000 (Sarno, 2009:57). Penjelasan singkat mengenai masing-masing penomoran dalam Gambar 2.3 tersebut akan dipaparkan sebagaimana berikut.

27000 Fundamental & Vocabulary

27005

RISK

MANAGEMENT

27001: ISMS

27002: Code of Practice for ISMS 27003: Implementation Guidance

27004: Metric & Measurement

27006: Guidelines on ISMS Accreditation 27007: Guidelines on ISMS Auditing Gambar 2.3 ISO/IEC 27000 Family

(Sumber: Sarno dan Iffano, 2009: 56)

a. ISO 27000: dokumen definisi-definisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.

b. ISO 27001: berisi persyaratan standar yang harus dipenuhi untuk membangun SMKI.

(30)

d. ISO 27003: berisi matriks dan metode pengukuran keberhasilan implementasi SMKI.

e. ISO 27005: dokumen panduan pelaksanaan manajemen resiko. f. ISO 27006: dokumen panduan untuk sertifikasi SMKI perusahaan. g. ISO 27007: dokumen panduan audit SMKI perusahaan.

Pemetaan terhadap ISO 29002 dapat dilihat pada Gambar 2.4 di halaman 21. Untuk detail struktur dokumen kontrol keamanan dari ISO/IEC 27002 dapat dilihat pada Lampiran 4.

(31)

2.8 Cobit 4.1 (Control Objective for Information and Related Technologies 4.1)

COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information System Audit and Kontrol Association (ISACA). COBIT memberikan guidelines yang berorientasi pada bisnis, karena itu bussines process owners dan manajer, termasuk auditor dan pengguna, diharapkan dapat memanfaatkan guideline ini sebaik-baiknya.

COBIT merupakan good practices yang membantu pengoptimalan investasi TI serta menyediakan suatu ukuran yang dimana untuk menilai ketika terjadi berbagai hal yang menyeleweng (ITGI, 2007). Secara jelas, COBIT membagi kerangka kerja tersebut menjadi empat domain utama dengan total tiga puluh empat proses teknologi informasi seperti terlihat pada Gambar 2.5.

(32)

2.9 Pemetaan ISO 27002 dengan COBIT 4.1

Metode ISO 27002 digunakan untuk mengidentifikasi tingkat kematangan penerapan pengamanan dengan kategorisasi yang mengacu pada kerangka kerja COBIT atau CCMI ( Capability Marturity Model For Integration). Tingkat kematangan ini nantinya akan digunakan sebagai alat untuk melaporkan pemetaan dan pemeringkatan kesiapan keamanan informasi di PT. Varia Usaha Beton. Pemetaan ISO 27002:2005 dengan COBIT 4.1 dapat dilihat pada Tabel 2.2 di halaman 24 dan lanjutan dari Tabel 2.2 dapat dilihat pada lampiran 5.

2.10Maturity Level

ISO 17799 memberikan kontrol keamanan tetapi tidak bagaimana kontrol itu dikembangkan atau diatur. Ini disebabkan ISO bukan standar teknis juga bukan untuk teknologi tertentu. Oleh karena itu tidak ada mekanisme penilaian atau metoda evaluasi (Gunawan dan Suhono, 2006: 135).

Tabel 2.1 Ringkasan jumlah Klausul Kontrol Keamanan, Objektif Kontrol dan Kontrol

Klausul Jumlah

Objektif Kontrol Kontrol

5 1 2

6 2 11

7 2 5

8 3 9

9 2 13

(33)

Tabel 2.1 (Lanjutan)

Klausul Jumlah

Objektif Kontrol Kontrol

11 7 25

12 6 16

13 2 5

(34)

2.10.1 Martuity Model Cobit 4.1

Model yang digunakan untuk mengendalikan proses teknologi informasi yang terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi dapat mengukur dirinya sendiri dari non-eksisten ke tingkat optimal (value 0 sampai dengan value 5).

ARTI SIMBOL ARTI RANGKING

Posisi Perusahaan Saat Ini Pedoman Standar Internasional Praktek Terbaik Industri Strategi Perusahaan

Gambar 2.6 Maturity Model (Sumber: Information Technology Governance Institute, 2007)

COBIT menyediakan kerangka identifikasi sejauh mana perusahaan telah memenuhi standar pengelolaan proses TI yang baik. Kerangka tersebut direpresentasikan dalam sebuah model kedewasaan yang memiliki level

0 Non-Existent : proses manajemen tidak ada.

1 Initial : proses bersifat adhoc & tidak terorganisir.

2 Repeatable : proses mengikuti pola yang teratur.

3 Defined : proses didokumentasikan &

dikomunikasikan proses didokumentasikan & dikomunikasikan

4 Managed : proses dimonitor dan diukur

5 Optimised : proses otomatis dan mengikuti standar

Non-Exsistent

0

(35)

pengelompokan kapabilitas perusahaan dalam pengelolaan proses TI dari level 0 atau non-existent (belum tersedia) hingga level 5 atau optimized (teroptimasi).

 Level 0 (non-existent).

Perusahaan tidak mengetahui sama sekali proses teknologi informasi di perusahaannya.

 Level 1 (initial level).

Pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk mengembangkan suatu produk baru.

 Level 2 (repaetable level).

Pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam mengimplementasikan kebijakan tersebut ditetapkan.

 Level 3 (defined level).

Pada level ini, proses standar dalam pengembangan suatu produk baru didokumentasikan, proses ini didasari pada proses pengembangan produk yang telah diintegrasikan. Proses-proses ini digunakan untuk membantu manajer, ketua tim, dan anggota tim pengembangan sehingga bekerja dengan lebih efektif.  Level 4 (managed level).

(36)

 Level 5 (optimized level).

Pada level ini, seluruh organisasi difokuskan pada proses peningkatan secara terus menerus. Teknologi informasi sudah digunakan untuk otomatisasi proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan.

2.11 Tahapan-Tahapan dalam Audit Sistem Informasi

ISACA tahun 2010 menyatakan membagi tahapan audit sistem informasi menjadi 4 (empat) tahapan yaitu: 1. Tahap perencanaan audit, 2. Tahap persiapan audit, 3. Tahap pelaksanaan audit, 4. Tahap pelaporan audit (Hermawan, 2011). Selanjutnya tahapan tersebut dapat dilihat pada Gambar 2.7 di halaman 31. Keempat tahapan tersebut adalah:

1. Tahap Perencanaan Audit Sistem Informasi

Tahap perencanaan ini dilakukan oleh auditor untuk mengetahui tentang auditee (how your auditee) dan mempelajari tentang proses bisnis perusahaan yang diaudit. Langkah-langkah yang terdapat di tahap ini adalah sebagai berikut.

a. Mengidentifikasi proses bisnis dan TI

(37)

dilaksanakan proses audit. Apabila pernah melakukan audit maka, auditor perlu mrngrtahui dan memeriksa laporan audit periode sebelumnya.

Pengetahuan tentang auditee dapat dilakukan dengan cara melihat dokumen-dokumen yang terkait dengan proses audit dari media online bahkan auditor datang langsung ke perusahaan lalu melakukan wawancara manajemen dan staff, serta melakukan observasi kegiatan operasional dan teknologi sistem informasi yang digunakan.

b. Mengidentifikasi ruang lingkup dan tujuan audit sistem informasi

Langkah selanjutnya yang dilakukan dalam audit sistem informasi adalah mengidentifikasi ruang lingkup. Ruang lingkup audit harus mengacu pada tujuan audit.

c. Identification of core TI application and the main IT relevant interfaces

Pada tahap ini auditor harus memperoleh pemahaman tentang proses TI inti yang berkaitan dengan audit yang dilakukan. Proses ini dilakukan untuk membedakan proses TI inti yang memiliki skala prioritas lebih tinggi dan proses TI pendukung lain yang berkaitan. Pada tahap ini auditor menentukan klausul dan objective control serta kontrol yang akan digunakan.

2. Tahap Persiapan Audit Sistem Informasi

(38)

a. Penyusunan audit working plan

Audit Working Plan merupakan dokumen yang digunakan untuk merencanakan dan memantau pelaksanaan Audit TI secara terperinci. Dimulai dari proses awal hingga proses pelaporan audit.

b. Membuat peryataan

Tahap persiapan kedua audit keamanan sistem informasi ini dilakukan dengan membuat pernyataan. Pernyataan dibuat berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah dipilih. Kontrol keamanan tersebut dapat dilihat pada panduan ISO 27002. Pada setiap kontrol keamanan dapat ditemukan pernyataan yang telah mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut.

c. Melakukan pembobotan

Setelah membuat pernyataan, maka selanjutnya auditor melakukan pengukuran pembobotan pada tiap pernyataan. Menurut Niekerk dan Labuschagne (2006: 7), tingkat pembobotan dalam manajemen, dibagi menjadi 3 (tiga), yaitu: sangat penting, cukup penting dan kurang penting, seperti terlihat pada Tabel 2.3 di halaman 30.

d. Membuat pertanyaan

(39)

Tabel 2.3 Tingkat Kepentingan dalam Pembobotan Pernyataan No Nilai

Kualitatif

Skala Keterangan

1 Tinggi 0,70 – 1,00 Pernyataan tersebut mempunyai peranan yang sangat penting dalam proses sistem informasi

2 Cukup 0,40 – 0,69 Pernyataan tersebut cukup mempunyai peran dalam proses sistem informasi 3 Rendah 0,00 – 0,39 Pernyataan tersebut dalam melengkapi

peran dalam sistem informasi Sumber: Niekerk dan Labuschagne (2006: 7)

3. Tahap Pelaksanaan Audit Sistem Informasi

Pada tahap pelaksanaan, auditor melakukan pengumpulan dan evaluasi bukti dan data audit sistem informasi yang dilakukan, serta melakukan uji kepatutan (complience test), yakni dengan menyesuaikan keadaan ada dengan standar pengelolaan proses TI yang didefinisikan dalam kerangka kerja COBIT. Selanjutnya dilakukan penyusunan temuan serta rekomendasi guna diberikan kepada auditee. Langkah-langkah yang terdapat di tahap ini adalah sebagai berikut.

a. Pemeriksaan data dan bukti

(40)

keefektifan kontrol internal sehingga dapat merekomendasikan tindakan perbaikan dan korektif (Sarno, 2009).

Gambar 2.7 Tahapan-Tahapan dalam Audit Sistem Informasi

b. Interview (wawancara)

(41)

Wawancara dilakukan terhadap pihak-pihak yang terlibat dalam eksekusi. Proses TI yang dapat terbagi menjadi 4 kelompok, yaitu: pihak yang bertanggung jawab terhadap kesuksesan aktivitas (responsible), pihak yang bertanggung jawab (accountable), pihak yang mengerti aktivitas (consulted), dan pihak yang senantiasa diinformasikan perihal perkembangan aktivitas (informed).

c. Melakukan uji kematangan

Uji kematangan dilakukan dengan menggunakan perhitungan dari COBIT dengan mengacu pada pernyataan dari ISO 27002. Uji kematangan ini dilakukan untuk mengukur tingkat keamanan yang ada pada perusahaan.

d. Temuan dan rekomendasi

(42)

4. Tahap Pelaporan Audit Sistem Informasi

(43)

34

Pada Bab III akan dilakukan pembahasan dimulai dengan profil perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapan-tahapan audit yang akan dilaksanakan sesuai dengan Gambar 2.7 di halaman 31.

3.1 Tahap Perencanaan Audit Sistem Informasi Manajemen Aset

Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. melakukan identifikasi proses bisnis, 2. Melakukan penentuan ruang lingkup dan tujuan audit dan 4. Melakukan identification of core TI application and the main IT relevant interfaces. Tahap ini akan menghasilkan pengetahuan tentang proses bisnis TI perusahaan, ruang lingkup dan tujuan yang telah ditentukan serta klausul yang telah ditentukan.

3.1.1 Mengidentifikasi Proses Bisnis dan TI

(44)

dilakukan audit, maka auditor perlu mengetahui dan memeriksa laporan audit sebelumnya.

Untuk menggali pengetahuan tentang auditee langkah yang dilakukan adalah dengan cara mengetahui dan memeriksa dokumen-dokumen yang terkait dengan proses audit, wawancara manajemen dan staff, serta melakukan observasi kegiatan operasional dan teknologi sistem informasi yang digunakan. Output yang dihasilkan pada proses ini adalah profil perusahaan, visi, misi, dan Principle & Management, struktur organisasi, document flow serta bukti dan pernyataan bahwa auditor telah melihat serta mempelajari dokumen yang terkait dengan perusahaan.

3.1.2 Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi

Proses kedua pada tahapan perencanaan ini adalah mengidentifikasi ruang lingkup dan tujuan yang akan dibahas dalam audit kali ini. Penentuan ruang lingkup dilakukan dengan cara melakukan observasi pada PT. Varia Usaha Beton. Ruang lingkup yang telah ditentukan akan dipaparkan pada bab IV.

Pada peoses ini, langkah yang selanjutnya dilakukan adalah mengidentifikasi tujuan yang berhubungan akan kebutuhan audit sistem informasi ini. Tujuan dari audit sistem informasi manajemen aset ini selanjutnya akan dipaparkan pada bab IV.

3.1.3 Identification of core TI application and the main IT relevant interfaces

(45)

PT. Varia Usaha Beton. Klausul, obyektif kontrol dan kontrol yang ditentukan harus berdasarkan kesepakatan antara auditor dengan auditee. Proses ini akan menghasilkan klausul, obyektif kontrol serta kontrol yang telah ditentukan dan disepakati oleh auditor dengan auditee.

3.2 Tahap Persiapan Audit Sistem Informasi

Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. Melakukan proses penyusunan audit working plan, 2. Membuat pernyataan, 3. Melakukan pembobotan dan 4. Membuat pertanyaan. Tahap ini akan menghasilkan tabel working plan, pernyataan yang telah dibuat berdasarkan standar ISO 27002, nilai pembobotan pada masing-masing pernyataan serta nilai marturity level dan pertanyaan yang telah dibuat berdasarkan pernyataan.

3.2.1 Penyusunan Audit Working Plan

Pada proses membuat audit working plan langkah yang dilakukan adalah membuat daftar semua kegiatan yang akan dilakukan dalam melakukan proses audit, kemudian memasukkan daftar kegiatan tersebut didalam tabel. Contoh audit working plan dapat dilihat pada Tabel 3.1 di halaman 36.

Tabel 3.1 Contoh Audit Working Plan

No Kegiatan

Bulan

September Oktober November Desember

1 2 3 1 1 1 1 4 1 2 3 4 1 2 3 4

1

Studi Literatur 2 Penentuan ruang

(46)

3.2.2 Membuat Pernyataan

Proses selanjutnya pada tahapan persiapan audit ini dilakukan dengan membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah ditetapkan berdasarkan standar COBIT 4.1 dan ISO 27002. Pada setiap kontrol keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut. Salah satu contoh pernyataan pada ISO 27002 dapat dilihat pada Tabel 3.2 di halaman 37, sedangkan salah satu contoh untuk pernyataan COBIT 4.1 dapat dilihat pada Tabel 3.3 di halaman 37 .

Tabel 3.2 Contoh Pernyataan Pada ISO 27002 Klausul 6 Organisasi Keamanan Informasi

Tujuan diperlukanya organisasi keamanan informasi yaitu: Memudahkan Pengelolaan SMKI pada PT. Varia Usaha Beton

Kontrol Keamanan: 6.1.3

Pembagian Tanggung Jawab Keamanan Informasi

No Pernyataan

1 Terdapat pembagian tanggung jawab keamanan informasi yang telah ditetapkan dengan jelas.

2 Kebijakan keamanan informasi telah menyertakan panduan umum dalam pengalokasian peran keamanan di dalam organisasi.

Tabel 3.3 Contoh Pernyataan Pada COBIT 4.1 Nama

Proses

Mengidentifikasi Solusi Otomatis

Nomor

Proses AI1

No. Pernyataan

1 Organisasi mengidentifikasi kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak, dan data

(47)

3.2.3 Melakukan Pembobotan

Setelah membuat pernyataan, maka langkah selanjutnya adalah melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan dilakukan berdasarkan perhitungan yang dilakukan oleh Niekerk dan Labuschagne (2006: 7), dengan membagi tingkat pembobotan dalam manajemen menjadi 3 (tiga), yaitu: sangat penting, cukup penting dan kurang penting, seperti terlihat pada Tabel 3.6 dihalaman 39. Didalam Tugas Akhir ini dilakukan dua kali proses pembobotan yaitu pembobotan ISO 27002 dan COBIT 4.1. Hal tersebut dilakukan karena hasilnya pembobotan dan penilaian maturity level tersebut akan di setarakan. Salah satu contoh pembobotan pada ISO 27002 dan beberapa pembobotanya dapat dilihat pada Tabel 3.4 dihalaman 38 sedangkan salah satu pembobotan pada COBIT 4.1 dan beberapa pembobotanya dapat dilihat pada Tabel 3.5 dihalaman 39.

Tabel 3.4 Contoh Pembobotan Pada ISO 27002 Kontrol Keamanan: 6.1.1

Komitmen manajemen terhadap keamanan informasi

No Pernyataan Hasil Pemeriksaan bobot

1 Terdapat

kepemimpinan yang kondusif untuk menyetujui kebijakan

keamanan informasi di seluruh tataran organisasi.

Kepemimpinan sudah ditetapkan secara kondusif dan telah ditingkatkan terus-menerus melalui pemantauan secara berkala.

Bukti:

Terdapat struktur organisasi resmi beserta kebijakan perusahaan yang tercantum pada dokumen audit yaitu:

Dokumen: Quality manual ISO : 9001:2008

November 2011

(48)

Tabel 3.5 Contoh Pembobotan Pada COBIT 4.1

Nama Proses Mendefinisikan Arsitektur Informasi

Nomor

Proses PO2 Level Kedewasaan

0

No. Pernyataan Bobot

1 Tedapat pengetahuan tentang bagaimana mengembangkan

arsitektur informasi 0.80

2 Terdapat keahlian mengembangkan arsitektur informasi 0.80 3 Terdapat pertanggung jawaban dalam mengembangkan

arsitektur informasi 0.80

Total Bobot = 2.40

Tabel 3.6 Tingkat Kepentingan dalam Pembobotan Pernyataan No Nilai Kualitatif Skala Keterangan

1 Tinggi 0,70 – 1,00 Pernyataan tersebut mempunyai peranan yang sangat penting dalam proses sistem informasi 2 Cukup 0,40 – 0,69 Pernyataan tersebut cukup mempunyai peran

dalam proses sistem informasi

3 Rendah 0,00 – 0,39 Pernyataan tersebut dalam melengkapi peran dalam sistem informasi

Sumber: Niekerk dan Labuschagne (2006: 7)

3.2.4 Membuat Pertanyaan

(49)

Tabel 3.7 Contoh Pertanyaan Pada ISO 27002

Tabel 3.8 Contoh Pertanyaan Pada COBIT 4.1 Nama

Proses

AI1

No. Pertanyaan

1 Apakah kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?

2 Apakah kebutuhan operasional untuk penerapan seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?

3.3 Tahap Pelaksanaan Audit Sistem Informasi

Pada tahap ini langkah-langkah yang dilakukan yaitu: 1.Melakukan proses pemeriksaan data dan bukti, 2. Melakukan wawancara, 3. Melakukan uji kematangan dan 4. Melakukan penentuan temuan dan rekomendasi. Tahap ini akan menghasilkan temuan dan bukti, dokumen wawancara, nilai kematangan dan rekomendasi.

Klausul 6 Organisasi Keamanan Informasi

Komitmen manajemen terhadap keamanan informasi

No Pertanyaan

1 Apakah kepemimpinan untuk menyetujui kebijakan keamanan informasi di seluruh tataran organisasi telah kondusif?

2 - Apakah kepemimpinan untuk menetapkan peran keamanan di seluruh tataran organisasi telah kondusif?

(50)

3.3.1 Pemeriksaan Data dan Bukti

Pemeriksaan data dilakukan dengan cara melakukan observasi dan melakukan wawancara kepada auditee sesuai dengan ruang lingkup serta klausul yang telah disepakati oleh PT. Varia Usaha Beton. Wawancara dan observasi dilakukan untuk mendapatkan bukti atau temuan mengenai fakta terkait dengan masalah yang ada. Bukti-bukti tersebut berupa foto dan data. Contoh hasil pemeriksaan ISO 27002 dapat dilihat pada Tabel 3.9 di halaman 41, sedangkan contoh hasil pemeriksaan COBIT 4.1 dapat dilihat pada Tabel 3.10 di halaman 41.

Tabel 3.9 Contoh Hasil Pemeriksaan ISO 27002 Kontrol Keamanan: 6.1.1

No Pernyataan Hasil Pemeriksaan

1 Terdapat

Kepemimpinan sudah ditetapkan secara kondusif dan telah ditingkatkan terus-menerus melalui pemantauan secara berkala. Bukti:

Terdapat struktur organisasi resmi beserta kebijakan perusahaan yang tercantum pada dokumen audit yaitu:

Dokumen: Quality manual ISO : 9001:2008

November 2011

Tabel 3.10 Contoh Hasil Pemeriksaan COBIT 4.1 Nama

Proses

Mengidentifikasi Solusi Otomatis Hasil Pemeriksaan

Nomor

Proses AI1

No. Pernyataan

1 Organisasi mengidentifikasi kebutuhan fungsional untuk

penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak, dan data

Kebutuhan fungsional telah teridentifikasi dan telah didokumentasikan didalam dokumen pencatatan aset.

Bukti:

(51)

3.3.2 Wawancara

Pada proses ini langkah yang dilakukan adalah melakukan wawancara berdasarkan pertanyaan yang telah dibuat. Wawancara dilakukan terhadap pihak-pihak yang terlibat dalam eksekusi. Penentuan auditee untuk audit sistem keamanan informasi dilakukan berdasarkan struktur organisasi. Contoh dokumen wawancara ISO 27002 dapat dilihat pada Tabel 3.11 di halaman 42 sedangkan contoh dokumen wawancara COBIT 4.1 dapat dilihat pada Tabel 3.12 di halaman 42.

Tabel 3.11 Contoh Dokumen Wawancara pada ISO 27002

Tabel 3.12 Contoh Dokumen Wawancara pada COBIT 4.1 Nama

Proses

Jawaban AI1

No. Pertanyaan

1 Apakah kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?

Kebutuhan fungsional telah teridentifikasi dan telah didokumentasikan didalam dokumen pencatatan aset. 2

Apakah kebutuhan operasional untuk penerapan seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?

Seluruh kebutuhan operasional telah diidentifikasi dan

didokumentasikan didalam SOP perusahaan.

Klausul 6 Organisasi Keamanan Informasi

Pembagian Tanggung Jawab Keamanan Informasi

No Pernyataan Pertanyaan Jawaban

1 Terdapat jawab keamanan informasi yang telah ditetapkan dengan jelas?

- Apakah pembagian tanggung jawab tersebut telah dirinci dandidokumentasikan dengan jelas?

Ya

(52)

3.3.3 Melakukan Uji Kematangan

Proses berikutnya yaitu melakukan uji kematangan berdasarkan metode yang ada pada standar COBIT 4.1. Contoh penilaian kematangan tersebut dapat dilihat pada Tabel 3.13 di halaman 44.

Setelah seluruh penentuan nilai telah ditetapkan, maka dapat langkah berikutnya yaitu melakukan perhitungan marturity level pada COBIT 4.1. Contoh kerangka kerja perhitungan marturity level pada COBIT 4.1 dapat dilihat pada Tabel 3.13 di halaman 44. Perhitungan tersebut dilakukan secara bertahap, berikut tahapan yang harus dilakukan adalah:

a. Setiap pernyataan pada kontrol keamanan diberikan nilai bobot yang sesuai. b. Dari hasil wawancara didapatkan nilai tingkat kemampuan pada setiap

pernyataan.

c. Pada setiap pernyataan bobot dikalikan dengan tingkat kemampuan masing-masing.

d. Jumlah dari perkalian bobot dan tingkat kemampuan dibagi dengan jumlah bobot yang ada pada seluruh pernyataan dalam satu kontrol keamanan.

e. Hasil dari tahapan sebelumnya merupakan nilai tingkat kemampuan pada kontrol keamanan tersebut.

(53)

Tabel 3.13 Contoh Tabel Penentuan Maturity Level Pada COBIT 4.1

1 Tedapat pengetahuan tentang bagaimana mengembangkan arsitektur informasi

0.80

√ 0.80

2 Terdapat keahlian mengembangkan arsitektur informasi

0.80

√ 0.53

3 Terdapat pertanggung jawaban dalam

Tabel 3.14 Contoh Tabel Penentuan Maturity Level Pada ISO 27002 ISO/IEC

PO3 Determine technological direction.

3.37 3.09 PO4 Define the IT processes,

organization and relationship. 3.52 PO6 Communicate

management aims and direction.

3.44

(54)

Setelah dihasilkan nilai maturity level ISO 27002 yang didapat dari seluruh penyetaraan rata-rata maturity level pada COBIT 4.1, selanjutnya nilai-nilai tersebut akan direpresentasikan kedalam diagram jaring yang ada pada Gambar 3.1 di halaman 46.

3.3.4 Penentuan Temuan dan Rekomendasi

Pada proses penentuan temuan dan rekomendasi langkah yang dilakukan adalah memeriksa data profil perusahaan, kebijakan, standar, prosedur dan portopolio serta mengobservasi standard operating procedure dan melakukan wawancara kepada auditee. Seluruh aktivitas tersebut menghasilkan bukti (evidence) yang berarti terkait dengan sistem yang berlangsung diperusahaan. Contoh format dari laporan hasil audit keamanan sistem informasi dapat dilihat pada Tabel 3.15 di halaman 45.

Tabel 3.15 Contoh Laporan Hasil Audit Keamanan Sistem Informasi

Klausul Objektif

Kontrol

Kontrol Keamanan

Temuan Rekomendasi

6

Organisasi keamanan informasi.

6.1 Organisasi internal keamanan informasi.

6.1.1 Komitmen manajemen terhadap keamanan informasi.

Belum ada pakar keamanan informasi.

- Melakukan observasi

(55)

2.6

3.4 Tahap Pelaporan Audit Sistem Informasi

(56)

47

HASIL DAN PEMBAHASAN

Pada bab ini akan diuraikan tentang analisis hasil dan pembahasan dari tahap perencanaan audit sistem informasi, tahap persiapan audit sistem informasi, tahap pelaksanaan audit sistem informasi, serta tahap pelaporan audit sistem informasi.

4.1 Hasil Perencanaan Audit Sistem Informasi

4.1.1 Hasil Mengidentifikasi Proses Bisnis dan TI

1) Profil Perusahaan

(57)

dan mendirikan anak perusahaan di wilayah Jabodetabek yaitu PT. Varia Beton Kencana di tahun yang sama. Pada tahun 2001 PT. Varia Usaha Beton mengembangkan beton siap pakai di Bali dan pada tahun 2007 PT. Varia Usaha Beton bekerja sama dengan PT. Unggul investment mendirikan unit usaha pemecah batu di Ungaran, Jawa Tengah. Pada tahun 2007 juga telah dilakukan pengembangan usaha beton siap pakai di Mataram, Nusa Tenggar Barat.

Seiring dengan pertumbuhan ekonomi yang cukup tinggi dan pesatnya perkembangan sektor konstruksi, khususnya pembangunan infrastruktur dan properti, PT Varia Usaha Beton ikut berpartisipasi melalui usaha penyediaan produk-produk Beton Siap Pakai, Beton Masonry dan Batu Pecah Mesin/base Coarse, serta bahan bangunan lainnya yang berbahan baku semen.

Dengan didukung staf karyawan yang berpengalaman di bidang beton, peralatan-peralatan yang tepat serta fasilitas sumber daya, perusahaan senantiasa mengutamakan kepuasan dan kepercayaan pelanggan, dengan menjamin bahwa produk yanh dihasilkan dapat memenuhi mutu yang dipersyaratkan, penyerahan produk tepat waktu serta harga yang bersaing.

2) Visi, Misi, dan Principle & Management PT. Varia Usaha Beton

(58)

VISI

Menjadi produsen beton & aggregat yang bercitra baik, selalu berkembang dan unggul di daerah pasar yang terpilih.

MISI

Menghasilkan laba yang wajar untuk pertumbuhan dan perkembangan perusahaan, memberikan deviden yang pantas bagi pemegang saham, memenuhi persyaratan pelanggan, mengembangkan kompetensi SDM dan kepuasan karyawan, serta memenuhi perundangan dan peraturan yang berlaku.

PRINCIPLE & MANAGEMENT

Penerapan manajemen PT. Varia Usaha Beton didasarkan pada kepercayaan bahwa karyawan mempunyai komitmen untuk bekerja sebaik mungkin dan mampu membuat keputusan yang tepat. Hal ini merupakan keyakinan dari karyawan, bahwa apabila PT. Varia Usaha Beton menjanjikan produk/jasa yang tepat, berarti mereka telah melakukan hal yang terbaik. Hal ini merupakan integritas dalam melakukan bisnis.

Kejujuran dan keterbukaan PT. Varia Usaha Beton memberikan kontribusi dalam menciptakan rasa memiliki pada karyawan. Semua karyawan ikut berperan dalam pencapaian sukses perusahaan.

(59)

3) Struktur Organisasi

PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik (persero) Tbk. Sampai saat ini PT. Varia Uasaha Beton mempunyai cabang (plant) di daerah Jawa Timur, Jawa Tengah, Bali dan Makasar. Secara fungsional maka struktur organisasi PT. Varia Usaha Beton dapat dilihat pada Gambar 4.1 di halaman 51.

4) Gambaran PT. Varia Usaha Beton

PT. Varia Usaha Beton memiliki kantor pusat di Jl. Letjend S. Parman No.38, Waru – Sidoarjo. Sebagai kantor pusat, PT. Varia Usaha Beton sangat berperan penting dalam memanajemen keamanan informasi, karena plant di seluruh Indonesia akan mengirimkan dan mengakses data-data kepada pusat dengan rentang waktu tertentu. Aplikasi VIS yang dimiliki oleh PT. Varia Usaha Beton sudah beroperasi secara online dengan menggunakan server yang berada di kantor pusat. PT. Varia Usaha Beton memiliki empat server, yaitu tiga server untuk data dan satu lagi untuk mail server.

4.1.2 Hasil Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi

(60)

4.1.3 Identification of core TI application and the main IT relevant interfaces

Hasil dari tahap identification of core TI application and the main IT relevant interfaces adalah pemetaan klausul, objective control dan control keamanan. Klausul, objektif kontrol dan kontrol keamanan yang tidak digunakan dapat dilihat pada Tabel 4.1 di halaman 53 sedangkan klausul, objektif kontrol dan kontrol keamanan yang telah ditetapkan dapat dilihat pada Tabel 4.2 di halaman 56.

(61)

5) Gambaran Proses Bisnis Manajemen Aset Pada PT. Varia Usaha Beton MPI yang telah ditanda tangani

MPI yang telah ditanda tangani koord. anggaran

2

3

2

MPI yang telah ditanda tangani koord. Anggaran

& direksi

3

MPI yang telah ditanda tangani koord. anggaran

MPI yang telah ditanda tangani koord. Anggaran

& direksi

MPI yang telah ditanda tangani koord. Anggaran, direksi & akuntansi

MPI yang telah ditanda tangani

(62)

Tabel 4.1 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002:2005 yang Tidak Digunakan

Klausul Kontrol Keamanan Alasan

5

Kebijakan keamanan

5.1.1

Dokumen kebijakan keamanan informasi

Tidak ada penyetaraan pada COBIT 4.1

5.1.2

Tinjauan ulang kebijakan keamanan informasi

Tidak ada penyetaraan pada COBIT 4.1

6

Organisasi Keamanan Informasi

6.1.2

Koordinasi keamanan informasi

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 6.1.4

Proses otorisasi terhadap fasilitas-fasilitas pemrosesan informasi yang ada didalam organisasi.

Otorisasi terhadap fasilitas

pemrosesan informasi belum detail dan terdokumentasi

6.1.7

Berhubungan dengan lembaga-lembaga khusus tertentu.

Perusahaan tidak memiliki berhubungan dengan lembaga khusus atau tertentu

6.1.8

Pengkajian secara independen terhadap keamanan informasi.

Belum dilakukan pengkajian ulang secara independen

9

Wilayah aman

9.1.6

Akses public, area pengiriman dan penurunan barang

Tidak melakukan surve secara langsung ke area penurunan barang

9.2.3

Keamanan pengkabelan

Objektif kontrol 9.2.3 tidak digunakan karena auditor tidak mendapatkan ijin untuk mengaudit bagian jaringan dan pengkabelan.

10

Pemisahan pengembangan, pengujian dan operasional fasilitas

Layanan pengiriman

Manajemen kapasitas

(63)

10.4.1

Kontrol terhadap kode bahaya

Kontrol terhadap mobile code

Perusahaan tidak menggunakan

mobile code.

10.7.4

Keamanan dokumentasi sistem

mendapatkan temuan dan bukti.

10.8

Pertukaran informasi

Keseluruhan objektif kontrol 10.8 tidak digunakan karena prosedur standar pertukana informasi belum ditetapkan.

10.9

Layanan e-commerce

Keseluruhan objektif kontrol 10.9 tidak digunakan karena perusahaan tidak menggunakan layanan e-commerce.

10.6

Manajemen Keamanan Jaringan

Keseluruhan objektif kontrol 10.6 tidak digunakan karena auditor tindak mendapatkan ijin untuk mengaudit bagian jaringan dan pengkabelan.

10.10.1 Rekaman audit

Monitoring penggunaan sistem

Proteksi catatan administrator dan operator

Catatan kesalahan

11

Persyaratan bisnis untuk kontrol akses

11.1.1

Kebijakan kontrol akses

(64)

11

Persyaratan bisnis untuk kontrol akses

11.2.1

Registrasi pengguna

11.4

Kontrol akses jaringan

Keseluruhan objektif kontrol 11.4 tidak digunakan karena auditor tindak mendapatkan ijin untuk mengaudit bagian jaringan. 11.3.2

Peralatan pengguna yang tidak dijaga

Kebijakan clear desk dan clear screen

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk mendapatkan temuan dan bukti 11.5.3

Manajemen password

Penggunaan itilities sistem

Batasan waktu koneksi

mendapatkan temuan dan bukti. 11.7

Komputasi bergerak dan bekerja dari lain tempat

Keseluruhan objektif kontrol 10.7 tidak digunakan karena belum ada peraturan dan perlindungan khusus terhadap teleworking.

mendapatkan temuan dan bukti. 12.3

Kontrol kriptografi

Keseluruhan objektif kontrol 12.3 tidak digunakan karena kroptografi telah ditangani oleh vendor khusus.

12.4

Keamanan file sistem

(65)

Tabel 4.2 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002 yang Telah Dipetakan

15

Keseluruhan objektif kontrol 12.5 tidak digunakan karena pembuatan software dilakukan oleh vendor kemudian dikembangkan oleh perusahaan. Auditor tidak diijinkan untuk mengaudit bagian

pengembangan software. 15.1.6

Peraturan kontrol kriptografi

Pengontrolan terhadap kriptografi dilakukan oleh vendor.

15.2.1

Kepatutan dengan kebijakan keamanan dan standard

Belum dilakukan pengkajian secara berkala.

15.2.2

Pemeriksaan kepatutan teknis

Belum ada pemeriksaan kepatutan secara teknis

Klausul Objektif Kontrol Kontrol Keamanan

6

6.1.3