AUDIT KEAMANAN SISTEM INFORMASI MANAJEMEN ASET BERDASARKAN STANDAR ISO 27002
(Studi Kasus: PT. Varia Usaha Beton)
TUGAS AKHIR
Nama : Hastin Istiqomah Ningtyas NIM : 08.41010.0148
Program : S1 (Strata Satu) Jurusan : Sistem Informasi
SEKOLAH TINGGI
MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER SURABAYA
DAFTAR ISI
Halaman
ABSTRAK ... vi
KATA PENGANTAR ... vii
DAFTAR ISI ... x
DAFTAR TABEL ... xiii
DAFTAR GAMBAR ... xv
DAFTAR LAMPIRAN ... xvii
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang ... 1
1.2 Perumusan Masalah ... 4
1.3 Batasan Masalah ... 4
1.4 Tujuan ... 9
1.5 Sistematika Penulisan ... 10
BAB II LANDASAN TEORI ... 12
2.1 Sistem Informasi ... 12
2.2 Sistem Informasi Manajemen ... 12
2.3 Manajemen Aset ... 13
2.4 Audit ... 15
2.5 Audit Sistem Informasi ... 15
2.6 Kemanan Sistem Informasi ... 17
2.7 ISO 27002 : 2005 ... 19
2.8 Cobit 4.1 ... 22
Halaman
2.10 Marturity Level ... 23
2.10.1 Marturity model 4.1 ... 25
2.11 Tahapan-Tahapan Dalam Audit Sistem Informasi ... 27
BAB III METODE PENELITIAN ... 34
3.1 Tahap Perencanaan Audit Sistem Informasi Manajemen Aset ... 34
3.1.1 Mengidentifikasi Proses Bisnis dan TI ... 34
3.1.2 Penentuan Ruang Lingkup Audit Sistem Informasi .. 35
3.1.3 Identification of core IT application and main IT relevant interfaces ... 35
3.2 Tahap Persiapan Audit Sistem Informasi ... 36
3.2.1 Penyusunan Audit Working Plan ... 36
3.2.2 Membuat Pernyataan... 37
3.2.3 Melakukan Pembobotan ... 38
3.2.4 Membuat Pertanyaan... 39
3.3 Tahap Pelaksanaan Audit Sistem Informasi ... 40
3.3.1 Pemeriksaan Data dan Bukti ... 41
3.3.2 Wawancara ... 42
3.3.3 Melakukan Uji Kematangan ... 43
3.3.4 Penentuan Temuan dan Rekomendasi ... 45
3.4 Tahap Pelaporan Audit Sistem Informasi ... 46
BAB IV HASIL DAN PEMBAHASAN ... 47
4.1 Hasil Perencanaan Audit Sistem Informasi ... 47
Halaman 4.1.2 Hasil Penentuan Ruang Lingkup dan Tujuan Audit
Sistem Informasi ... 50
4.1.3 Identification of core IT application and main IT relevant interfaces ... 51
4.2 Hasil Persiapan Audit Sistem Informasi ... 60
4.2.1 Hasil Penyusunan Audit Working Plan ... 60
4.2.2 Hasil Pembuatan Pernyataan ... 61
4.2.3 Hasil Pembuatan Pembobotan ... 62
4.2.4 Hasil Pembuatan Pertanyaan ... 63
4.3 Hasil Pelaksanaan Audit Sistem Informasi ... 64
4.3.1 Hasil Pemeriksaan Data dan Bukti... 64
4.3.2 Hasil Wawancara ... 66
4.3.3 Hasil Pelaksanaan Uji Kematangan ... 67
4.3.4 Hasil Penentuan Temuan dan Rekomendasi ... 86
4.4 Hasil Pelaporan Audit Sistem Informasi... 87
BAB V PENUTUP ... 89
5.1 Kesimpulan ... 89
5.2 Saran ... 90
DAFTAR PUSTAKA ... 91
DAFTAR TABEL
Halaman Tabel 2.1 Ringkasan jumlah Klausul Kontrol Keamanan, Objektif dan
Kontrol ... 23
Tabel 2.2 Pemetaan ISO 27002 dengan COBIT 4.1 ... 24
Tabel 2.3 Tingkat Kepentingan dalam Pembobotan Pernyataan ... 30
Tabel 3.1 Contoh Audit Working Plan... 36
Tabel 3.2 Contoh Pernyataan Pada ISO 27002 ... 37
Tabel 3.3 Contoh Pernyataan Pada COBIT 4.1 ... 37
Tabel 3.4 Contoh Pembobotan Pada ISO 27002 ... 38
Tabel 3.5 Contoh Pembobotan Pada COBIT 4.1 ... 39
Tabel 3.6 Tingkat Kepentingan dalam Pembobotan Pernyataan ... 39
Tabel 3.7 Contoh Pertanyaan pada ISO 27002 ... 40
Tabel 3.8 Contoh Pertanyaan pada COBIT 4.1 ... 40
Tabel 3.9 Contoh Hasil Pemeriksaan ISO 27002 ... 41
Tabel 3.10 Contoh Hasil Pemeriksaan COBIT 4.1 ... 41
Tabel 3.11 Contoh Hasil Dokumen Wawancara ISO 27002 ... 42
Tabel 3.12 Contoh Hasil Dokumen Wawancara COBIT 4.1 ... 42
Tabel 3.13 Contoh Tabel Penentuan Maturity Level pada COBIT 4.1... 44
Tabel 3.14 Contoh Tabel Penentuan Maturity Level pada ISO 27002 ... 44
Tabel 3.15 Contoh Laporan Hasil Audit Keamanan Sistem Informasi... 45
Tabel 4.1 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002:2005 yang Tidak Digunakan ... 53
Tabel 4.2 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002 yang Telah Dipetakan ... 59
Tabel 4.3 Audit Working Plan ... 60
Tabel 4.5 Pernyataan pada ISO 27002 ... 62
Tabel 4.6 Pembobotan pada ISO 27002 ... 62
Tabel 4.7 Pembobotan pada COBIT 4.1 ... 63
Tabel 4.8 Pertanyaan pada COBIT 4.1 ... 63
Tabel 4.9 Pertanyaan pada ISO 27002 ... 64
Tabel 4.10 Hasil Pemeriksaan COBIT 4.1 ... 64
Tabel 4.11 Hasil Pemeriksaan ISO 27002 ... 65
Tabel 4.12 Dokumen Wawancara pada COBIT 4.1 ... 66
Tabel 4.13 Dokumen Wawancara pada ISO 27002 ... 67
Tabel 4.14 Hasil Maturity Level Klausul 6 Organisasi Keaman Informasi . 68 Tabel 4.15 Hasil Maturity Level Klausul 7 Manajemen Aset ... 70
Tabel 4.16 Hasil Maturity Level Klausul 8 Keamanan Sumber daya Manusia ... 71
Tabel 4.17 Hasil Maturity Level Klausul 9 Wilayah Aman ... 73
Tabel 4.18 Hasil Maturity Level Klausul 10 Manajemen Komunikasi dan Operasi ... 76
Tabel 4.19 Hasil Maturity Level Klausul 11 Persyaratan Bisnis untuk Kontrol Akses ... 77
Tabel 4.20 Hasil Maturity Level Klausul 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan ... 78
Tabel 4.21 Hasil Maturity Level Klausul 13 Manajemen Kejadian Keamanan Informasi ... 81
Tabel 4.22 Hasil Maturity Level Klausul 14 Manajemen Kelangsungan ... 82
Tabel 4.23 Hasil Maturity Level Klausul 15 Kepatutan ... 84
Tabel 4.24 Hasil Maturity Level Seluruh Klausul ... 85
DAFTAR GAMBAR
Halaman
Gambar 2.1 Siklus Manajemen Aset... 14
Gambar 2.2 Aspek Keamanan Informasi ... 19
Gambar 2.3 ISO/IEC 27000 Family ... 20
Gambar 2.4 pemetaan ISO 27002 ... 21
Gambar 2.5 Kerangka Kerja COBIT ... 22
Gambar 2.6 Maturity Model ... 25
Gambar 2.7 Tahapan-tahapan dalam Audit Sistem Informasi ... 31
Gambar 3.1 Contoh Representasi Nilai Maturity Level Klausul 6 Organsiasi Keamanan Informasi ... 46
Gambar 4.1 Struktur Organisasi PT. Varia Usaha Beton ... 51
Gambar 4.2 Diagram Alir Manajemen Aset ... 52
Gambar 4.3 Daftar Induk Dokumen ... 65
Gambar 4.4 Representasi Nilai Maturity Level Klausul 6 Organisasi Keaman Informasi ... 69
Gambar 45 Representasi Nilai Maturity Level Klausul 7 Manajemen Aset.... 70
Gambar 4.6 Representasi Nilai Maturity Level Klausul 8 Keamanan Sumber daya Manusia ... 72
Gambar 4.7 Representasi Nilai Maturity Level Klausul 9 Wilayah Aman ... 73
Gambar 4.8 Representasi Nilai Maturity Level Klausul 10 Manajemen Komunikasi dan Operasi ... 75
Gambar 4.19 Representasi Nilai Maturity Level Klausul 11 Persyaratan Bisnis untuk Kontrol Akses ... 79
Gambar 4.10 Representasi Nilai Maturity Level Klausul 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan ... 80
Gambar 4.12 Representasi Nilai Maturity Level Klausul 14 Manajemen
DAFTAR LAMPIRAN
Halaman
Lampiran 1 Laporan Audit ... 93
Lampiran 2 Surat Perjanjian ... 112
Lampiran 3 Surat Pernyataan ... 119
Lampiran 4 Detail Struktur ISO 27002 ... 122
Lampiran 5 Pemetaan ISO 27002 dengan COBIT 4.1 ... 126
Lampiran 6 Hasil Pemeriksaan COBIT 4.1 ... 133
Lampiran 7 Hasil Pemeriksaan ISO 27002 ... 139
Lampiran 8 Dokumen Wawancara COBIT 4.1 ... 148
Lampiran 9 Dokumen Wawancara ISO 27002 ... 150
Lampiran 10 Bukti Audit ... 162
Lampiran 11 Maturity Level COBIT 4.1 ... 167
Lampiran 12 Maturity Level ISO 27002 ... 171
Lampiran 13 Temuan dan Rekomendasi ... 182
1
PENDAHULUAN
1.1 Latar Belakang
PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik (persero) Tbk. Sampai saat ini PT. Varia Uasaha Beton mempunyai cabang (plant) di daerah Jawa Timur, Jawa Tengah, Bali dan Makasar. PT. Varia Usaha Beton khususnya pada daerah Waru, Sidoarjo merupakan pusat dari seluruh plant yang memproduksi beton siap pakai (ready mix concrete), beton ringan (concrete masory), bahan galian (crushed stone, base coarse), dan beton pra cetak (precast concrete, prestressed).
perusahaan yang ada harus memiliki back up dan recovery yang berjalan dengan baik.
PT. Varia Usaha Beton melakukan kerjasama dengan beberapa perusahaan. Kerjasama tersebut antara lain memanfaatkan jasa outsourcing untuk recovery data, PT. Varia Usaha Beton tersebut juga menggunakan jasa seorang konsultan software untuk menjaga kualitas software yang di terapkan, dan PT. Varia Usaha Beton memiliki pelayanan perbaikan dari vendor internet yang digunakan. Oleh karena itu suatu kerangka kerja manajemen harus ditetapkan untuk memulai dan mengontrol penerapan Keamanan Informasi dalam organisasi (Sarno dan Iffano, 2009: 233).
Pada penerapan aplikasi VIS, ada beberapa kendala yang telah ditemui oleh perusahaan. Kendala tersebut antara lain:
1. Ditemukanya beberapa kasus penyalahgunaan password, sehingga dikuatirkan bisa mengganggu keamanan data perusahaan.
2. Terdapat beberapa prosedur yang belum dibakukan antara lain: prosedur pemeliharaan, prosedur penggantian password, prosedur pemberian password, prosedur pemusnahan data dan lain sebagainya, sehingga dikuatirkan karyawan belum memahami peran dan tanggung jawab dalam batas yang telah ditetapkan.
3. Belum adanya pencatatan mengenai insiden keamanan, yang dikuatirkan insiden keamanan tersebut dapat terulang kembali.
kerugian perusahaan dan untuk memastikan bahwa keamanan informasi diterapkan sesuai dengan prosedur yang ada. Audit sistem informasi adalah proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 1999).
Mengingat pentingnya aset yang dimiliki oleh PT. Varia Usaha Beton maka, audit yang diterapkan adalah audit keamanan sistem informasi manajemen aset. Audit Keamanan informasi manajemen aset ini bertujuan untuk menjaga aspek kerahasiaan (Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability) dari Informasi (Sarno dan Iffano, 2009: 46).
Standar yang digunakan untuk audit sistem informasi manajemen aset pada PT. Varia Usaha Beton adalah ISO 27002:2005. Beberapa hal penting yang patut dijadikan pertimbangan mengapa standar ISO 27002:2005 dipilih karena standar ini fleksibel dikembangkan tergantung dari kebutuhan organisasi, tujuan organisasi, persyaratan keamanan, proses bisnis yang ada, jumlah pegawai dan ukuran struktur organisasi serta ISO 27002:2005 menyediakan sertifikat implementasi Sistem Manajemen Keamanan Informasi SMKI yang diakui secara internasional yang disebut Information Security Management Sistem (ISMS) certification.
ISM3), sehingga akan menentukan apakah SMKI yang diterapkan sesuai dengan hasil yang diharapkan. Hasil yang didapat diharapkan menjadi rekomendasi yang dapat digunakan untuk meningkatkan keamanan informasi pada perusahaan serta menjadi acuan untuk memperoleh ISMS certification dengan standar ISO 27002:2005, sehingga menambah nilai tambah akan kepercayaan custumer terhadap PT. Varia Usaha Beton.
1.2Perumusan Masalah
Berdasarkan latar belakang yang telah diuraikan, didapatkan perumusan permasalahan sebagai berikut.
1. Bagaimana melaksanakan audit keamanan sistem informasi manajemen aset pada PT. Varia Usaha Beton berdasarkan standar ISO 27002:2005 untuk mencari temuan penyebab terjadinya permasalahan: 1. penyalahgunaan password, 2. Prosedur pemeliharaan, prosedur penggantian password, prosedur pemberian password, prosedur pemusnahan data dan prosedur lainya yang belum baku dan 3. Belum ada pencatatan mengenai insiden keamanan yang dapat menimbulkan resiko keamanan sistem informasi manajemen aset.
1.3 Batasan Masalah
Batasan-batasan masalah yang digunakan dalam pengerjaan tugas akhir ini adalah sebagai berikut.
2. Klausul ISO 27002:2005 yang digunakan adalah: a. Klausul 6: Organisasi Keamanan Informasi b. Klausul 7: Manajemen Aset
c. Klausul 8: Manajemen SDM
d. Klausul 9: Keamanan Fisik dan Lingkungan e. Klausul 10:Manajemen Komunikasi dan Operasi f. Klausul 11: Kontrol Akses
g. Klausul 12: Akuisisi Sistem
h. Klausul 13: Manajemen Kejadian Keamanan Informasi i. Klausu 14: Manajemen Kelangsungan Bisnis
j. Klausul 15: Kepatutan
3. Objektif kontrol yang digunakan adalah:
6.1.1 Komitmen manajemen terhadap keamanan informasi 6.1.3 Pembagian tangung jawab keamanan informasi 6.1.5Perjanjian kerahasiaan
6.1.6 Berhubungan dengan vendor atau penyedia SMKI yang resmi 6.2.1 Identifikasi resiko terhadap hubunganya dengan pihak ketiga 6.2.2 Akses keamanan dalam hubunganya dengan pelanggan
6.2.3 melibatkan persyaratan keamanan dalam perjanjian dengan pihak
ketiga
7.1.1 Inventarisasi terhadap aset 7.1.2 Kepemilikan aset
7.2.2 Penanganan dan pelabelan informasi 8.1.1 Aturan dan tanggung jawab
8.1.2 Seleksi
8.1.3 Persyaratan dan kondisi yang harus dipenuhi oleh pegawai 8.2 Selama menjadi pegawai
8.2.1Tanggung jawab manajemen
8.2.2 Pendidikan dan pelatihan keamanan informasi 8.2.3 Proses kedisiplinan
8.3 Pemberhentian atau pemindahan pegawai 8.3.1 Tanggung jawab pemberhentian
8.3.2 Pengembalian aset 8.3.3 Penghapusan hak akses 9.1.1 Pembatas keamanan fisik 9.1.2 Kontrol masuk fisik
9.1.3 Keamanan kantor, ruang dan fasilitasnya
9.1.4 Perlindungan terhadap serangan dari luar dan ancaman lingkungan
sekitar
9.1.5 Bekerja diwilayah aman
9.1.6 Akses publik area pengiriman dan penurunan barang 9.2.1 Penempatan peralatan dan perlindunganya
9.2.2 Utilitas pendukung 9.2.4 Keamanan pengkabelan 9.2.5 Pemeliharaan peralatan
9.2.7 Hak pemindahan peralatan 10.1.1 Dokumentasi prosedur operasi 10.1.3 Pemisahan tugas
10.2.2 Pemantauan dan kajian ulang terhadap layanan pihak ketiga 10.2.3 Manajemen penggantian layanan pihak ketiga
10.3.2 Penerimaan sistem 10.5.1 Back-up sistem informasi
10.7.1 Manajemen media untuk media yang dapat dipindahkan 10.7.2 Pemusnahan atau pembuangan media
10.7.3 Prosedur penanganan informasi 10.10.5 Catatan kesalahan
10.10.6 Sinkronisasi waktu
11.2.2 Manajemen hak istimewa atau khusus 11.2.3 Manajemen password
11.2.4 Tinjauan terhadap hak akses user 11.3.1 Penggunaan password
11.3.3 Kebijakan clear desk dan clear screen 11.5 Kontrol akses sistem operasi
11.5.1 Prosedur log-on yang aman 11.5.2 Identifikasi dan otentifikasi user 11.5.5 Sesi time-out
11.6.1 Pembatasan akses informasi 11.6.2 Isolasi sistem yang sensitif
12.2 Pemrosesan yang benar dalam aplikasi 12.2.2 Kontrol untuk pemrosesan internal 12.2.4 Validasi data output
12.6 Manajemen teknik kelemahan
12.6.1 Kontrol terhadap kelemahan secara teknis 13.1.1 Pelaporan kejadian keamanan informasi 13.1.2 Pelaporan kelemahan keamanan
13.2 Manajemen kejadian keamanan informasi dan pengembanganya 13.2.1 Tanggung jawab dan prosedur
13.2.2 Belajar dari kejadian keamanan informasi 13.2.3 Pengumpulan bukti
14.1.1 Memasukkan keamanan informasi dalam proses manajemen
kelangsungan bisnis
14.1.2 Kelangsungan bisnis dan penilaian resiko
14.1 Aspek keamanan informasi dalam manajemen kelangsungan bisnis 14.1.3 Pembangunan dan implementasi rencana kelangsungan yang
didalamnya meliputi keamanan informasi
14.1.4 Kerangka kerja rencana kelangsungan bisnis
14.1.5 Pengujian, pemeliharaan dan pengkajian ulang rencana kelangsungan
bisnis
15.1.1 Identifikasi perundangan yang dapat diaplikasikan 15.1.2 Hak kekayaan intelektual
15.1.3 Perlindungan dokumen organisasi
15.1.5 Pencegahan penyalahgunaan fasilitas pemrosesan informasi 15.3.1Kontrol audit sistem informasi
15.3.2Perlindungan terhadap perangkat audit sistem informasi
4. Sistem Informasi yang di audit adalah VIS (Varia Usaha Beton Information Sistem) PT. Varia Usaha Beton.
5. Audit hanya dilakukan pada kantor pusat PT. Varia Usaha Beton yang terletak Jl. Letjend S. Parman No.38, Waru – Sidoarjo.
1.4 Tujuan
Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah sebagai berikut.
1. Melakukan dan menghasilkan perancangan audit keamanan sistem informasi pada PT. Varia Usaha Beton berdasarkan standar ISO 27002:2005 yang terdiri dari dokumen wawancara dan kuesioner yang merupakan hasil dari pengumpulan data, untuk menemukan akar permasalahan keamanan informasi manajemen asset di PT. Varia Usaha Beton.
2. Melakukan pengukuran maturity level untuk mengetahui nilai kematangan, menganalisa hasil wawancara dan kuesioner sehingga didapatkan temuan-temuan audit.
1.5 Sistematika Penulisan
Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam 5 (lima) bab, yaitu:
BAB I : PENDAHULUAN
Pada bab ini membahas tentang latar belakang masalah, rumusan masalah serta batasan terhadap masalah yang akan dibahas, tujuan dari pembahasan masalah yang diangkat, dan sistematika penulisan laporan tugas akhir ini.
BAB I : LANDASAN TEORI
Pada bab ini dibahas mengenai teori-teori yang berkaitan dengan audit sistem informasi, diantaranya yakni penjelasan tentang sistem informasi, sistem informasi manajemen, manajemen aset, audit, audit sistem informasi, keamanan informasi, ISO 27002:2005, COBIT 4.1 (Control Objective, for Information, and Related Technologies 4.1), Pemetaan ISO 27002 dengan COBIT 4.1, maturity level, maturity model cobit 4.1,tahapan-tahapan dalam audit sistem informasi.
BAB III : METODE PENELITIAN
BAB IV : HASIL DAN PEMBAHASAN
Pada bab ini dibahas tentang analisa dan evalusai hasil temuan serta rekomendasi dari kegiatan audit sistem informasi manajemen aset di PT. Varia Usaha Beton.
BAB V : PENUTUP
BAB II
LANDASAN TEORI
2.1Sistem Informasi
Sistem informasi adalah kombinasi dari teknologi informasi dan aktivitas, yang menggunakan teknologi untuk mendukung kinerja, manajemen dan pembuatan keputusan (Beynon, 2004). Dalam hal ini, sistem informasi digunakan tidak hanya untuk menggambarkan komputer dan perangkatnya serta interaksinya dengan organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh komponen yang terlibat dalam proses bisnis organisasi tersebut.
Berdasarkan definisi sistem informasi tersebut, menurut Kristanto (2003: 15-16) peranan sistem informasi dalam bisnis, antara lain:
1. Mendukung operasi bisnis
2. Mendukung dalam pengambilan keputusan manajerial 3. Meraih keuntungan strategik
2.2Sistem Informasi Manajemen
1. Beroperasi pada kegiatan dan tugas terstruktur.
2. Dapat meningkatkan efisiensi dengan mengurangi biaya.
SIM dapat dianggap sebagai suatu subsistem yang didasarkan atas fungsi yang dilaksanakan dalam suatu organisasi. Subsistem fungsional tersebut harus dikelompokkan ke dalam suatu ragam yang logik, meskipun tidak ada standar dalam pengelompokkannya. Namun fungsi utama yang ditemukan dalam kebanyakan organisasi adalah pemasaran, produksi, logistik, personalia dan keuangan serta akuntansi. Untuk fungsi logistik biasanya meliputi kegiatan seperti pembelian, penerimaan, persediaan, dan distribusi.
2.3Manajemen Aset
Aset adalah sumber daya yang mempunyai manfaat ekonomik masa datang yang cukup pasti atau diperoleh atau dikuasai/dikendalikan oleh suatu entitas akibat transaksi atau kejadian masa lalu.
Aset mempunyai sifat sebagai manfaat ekonomik dan bukan sebagai sumber ekonomik karena manfaat ekonomik tidak membatasi bentuk atau jenis sumber ekonomik yang dapat dimasukkan sebagai aset. Aset pada umumnya terbagi dua yaitu aset tetap dan aset tidak berwujud.
berwujud adalah jenis aset yang tidak memiliki wujud fisik. Contoh dari aset ini adalah hak cipta, paten, merek dagang, rahasia dagang.
Siklus manajemen aset mempertimbangkan semua pilihan dan strategi manajemen sebagai bagian dari aset masa pakai, dari perencanaan sampai penghapusan aset. Tujuan adalah untuk mencari biaya terendah dalam jangka panjang (bukan penghematan dalam jangka pendek) ketika membuat keputusan dalam aset manajemen. Siklus Manajemen Aset dapat diGambarkan seperti Gambar 2.1 di bawah ini :
Gambar 2.1 Siklus Manajemen Aset (Sumber: Suhairi, 2010: 5)
Perencanaan aset meliputi konfirmasi tentang pelayanan yang dibutuhkan oleh pelanggan dan memastikan bahwa aset yang diajukan merupakan solusi yang paling efektif untuk memenuhi kebutuhan pelanggan.
Asset
Planning
Asset
Creation
Asset
Pengadaan aset merupakan peningkatan dari aset dimana pembiayaan dapat menjadi alasan yang diharapkan untuk menyediakan keuntungan diluar tahun pembiayaan.
Pengoperasian aset mempunyai fungsi yang berhubungan dengan kerja, pengendalian aset dan biaya yang berhunbungan dengannya yang merupakan komponen penting dalam aset yang dinamis atau berumur pendek. Penghapusan aset adalah pilihan ketika sebuah aset tidak diperlukan lagi, menjadi tidak ekonomis untuk di rawat atau direhabilitasi (Suhairi, 2010).
2.4 Audit
Definisi secara umum tentang audit adalah bahwa “Auditing is an
independent investigation of some particular activity”. Sebetulnya kata Audit itu sendiri berasal dari Bahasa Latin Audire yang dalam Bahasa Inggris berarti to hear.
Makna yang dimaksud disini adalah “hearing about the account’s balances” oleh
para pihak terkait terhadap pihak ketiga yang netral (tidak ada vested interest) mengenai catatan keuangan perusahaan yang dikelola oleh orang-orang tertentu yang bukan sekaligus pemiliknya (Gondodiyoto, 2007).
2.5Audit Sistem Informasi
menggunakan sumber daya secara efektif (Weber, 1999). Beberapa elemen utama tinjauan penting dalam Audit Sistem Informasi yaitu dapat diklasifikasikan sebagai berikut.
1. Tinjauan terkait dengan fisik dan lingkungan, yakni: hal-hal yang terkait dengan keamanan fisik, suplai sumber daya, temperatur, kontrol kelembaban dan faktor lingkungan lain.
2. Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi, sistem manajemen database, seluruh prosedur administrasi sistem dan pelaksanaannya.
3. Tinjauan perangkat lunak. Perangkat lunak yang dimaksud merupakan aplikasi bisnis. Mencakup kontrol akses dan otorisasi ke dalam sistem, validasi dan penanganan kesalahan termasuk pengecualian dalam sistem serta aliran proses bisnis dalam perangkat lunak beserta kontrol secara manual dan prosedur penggunaannya. Sebagai tambahan, tinjauan juga perlu dilakukan terhadap siklus hidup pengembangan sistem.
4. Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan terhadap firewall, daftar kontrol akses router, port scanning serta pendeteksian akan gangguan maupun ancaman terhadap sistem.
6. Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak dari kurangnya kontrol yang ditetapkan.
2.6Keamanan Informasi
Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimalisasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (Sarno dan Iffano, 2009: 26). Contoh Keamanan Informasi menurut Sarno dan Iffano (2009: 27) adalah:
1. Physical Security adalah Keamanan Informasi yang memfokuskan pada strategi untuk mengamankan individu atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
2. Personal Security adalah Keamanan Informasi yang berhubungan dengan
keamanan personil. Biasanya saling berhubungan dengan ruang lingkup „physical
security’.
3. Operation Security adalah Keamanan Informasi yang membahas bagaimana strategi suatu organisasi untuk mengamankan kemampuan organisasi tersebut untuk beroperasi tanpa gangguan.
kemampuan untuk memanfaatkan media dan teknologi komunikasi untu kemncapai tujuan organisasi.
5. Network Security adalah Keamanan Informasi yang memfokuskan pada bagaimana pengamanan peralatan jaringan, data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
Aspek Keamanan Informasi meliputi ketiga hal, yaitu: Confidentiality, Integrity, dan Availability (CIA). Aspek tersebut dapat dilihat pada Gambar 2.2 yang lebih lanjut akan dijelaskan sebagai berikut.
a) Confidentiality: Keamanan Informasi seharusnya menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses Informasi tertentu.
b) Integrity: Keamanan Informasi seharusnya menjamin kelengkapan Informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah Informasi dari aslinya.
Gambar 2.2 Aspek Keamanan Informasi
(Sumber: Sarno dan Iffano, 2009: 37)
2.7 ISO 27002:2005
ISO IEC 17799 tahun 2005, resmi dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara resmi diubah menjadi ISO IEC 27002 tahun 2005. Konten tersebut masih persis sama. Standar ISO IEC 17799:2005 (sekarang dikenal sebagai ISO IEC 27002:2005) dikembangkan oleh IT Security Subcommittee (SC 27) dan Technical Committee on Information Technology (ISO/IEC JTC 1) (ISO 27002, 2005).
IS0 27002:2005 berisi panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam ISO/IEC 27001.
ISO 27002:2005 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang
Information
Security
Aspects
Confidentiality
tepat sesuai kebutuhanya, dengan mempertimbangkan hasil kajian resiko yang telah dilakukanya (Direktorat Keamanan Informasi, 2011).
Pada Gambar 2.3 dapat dilihat bahwa International Standards Organization (ISO) mengelompokkan semua standard keamanan informasi ke dalam satu struktur penomoran, yaitu pada serial ISO 27000 (Sarno, 2009:57). Penjelasan singkat mengenai masing-masing penomoran dalam Gambar 2.3 tersebut akan dipaparkan sebagaimana berikut.
27000 Fundamental & Vocabulary
27005
RISK
MANAGEMENT
27001: ISMS
27002: Code of Practice for ISMS 27003: Implementation Guidance
27004: Metric & Measurement
27006: Guidelines on ISMS Accreditation 27007: Guidelines on ISMS Auditing Gambar 2.3 ISO/IEC 27000 Family
(Sumber: Sarno dan Iffano, 2009: 56)
a. ISO 27000: dokumen definisi-definisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.
b. ISO 27001: berisi persyaratan standar yang harus dipenuhi untuk membangun SMKI.
d. ISO 27003: berisi matriks dan metode pengukuran keberhasilan implementasi SMKI.
e. ISO 27005: dokumen panduan pelaksanaan manajemen resiko. f. ISO 27006: dokumen panduan untuk sertifikasi SMKI perusahaan. g. ISO 27007: dokumen panduan audit SMKI perusahaan.
Pemetaan terhadap ISO 29002 dapat dilihat pada Gambar 2.4 di halaman 21. Untuk detail struktur dokumen kontrol keamanan dari ISO/IEC 27002 dapat dilihat pada Lampiran 4.
2.8 Cobit 4.1 (Control Objective for Information and Related Technologies 4.1)
COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information System Audit and Kontrol Association (ISACA). COBIT memberikan guidelines yang berorientasi pada bisnis, karena itu bussines process owners dan manajer, termasuk auditor dan pengguna, diharapkan dapat memanfaatkan guideline ini sebaik-baiknya.
COBIT merupakan good practices yang membantu pengoptimalan investasi TI serta menyediakan suatu ukuran yang dimana untuk menilai ketika terjadi berbagai hal yang menyeleweng (ITGI, 2007). Secara jelas, COBIT membagi kerangka kerja tersebut menjadi empat domain utama dengan total tiga puluh empat proses teknologi informasi seperti terlihat pada Gambar 2.5.
2.9 Pemetaan ISO 27002 dengan COBIT 4.1
Metode ISO 27002 digunakan untuk mengidentifikasi tingkat kematangan penerapan pengamanan dengan kategorisasi yang mengacu pada kerangka kerja COBIT atau CCMI ( Capability Marturity Model For Integration). Tingkat kematangan ini nantinya akan digunakan sebagai alat untuk melaporkan pemetaan dan pemeringkatan kesiapan keamanan informasi di PT. Varia Usaha Beton. Pemetaan ISO 27002:2005 dengan COBIT 4.1 dapat dilihat pada Tabel 2.2 di halaman 24 dan lanjutan dari Tabel 2.2 dapat dilihat pada lampiran 5.
2.10Maturity Level
ISO 17799 memberikan kontrol keamanan tetapi tidak bagaimana kontrol itu dikembangkan atau diatur. Ini disebabkan ISO bukan standar teknis juga bukan untuk teknologi tertentu. Oleh karena itu tidak ada mekanisme penilaian atau metoda evaluasi (Gunawan dan Suhono, 2006: 135).
Tabel 2.1 Ringkasan jumlah Klausul Kontrol Keamanan, Objektif Kontrol dan Kontrol
Klausul Jumlah
Objektif Kontrol Kontrol
5 1 2
6 2 11
7 2 5
8 3 9
9 2 13
Tabel 2.1 (Lanjutan)
Klausul Jumlah
Objektif Kontrol Kontrol
11 7 25
12 6 16
13 2 5
2.10.1 Martuity Model Cobit 4.1
Model yang digunakan untuk mengendalikan proses teknologi informasi yang terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi dapat mengukur dirinya sendiri dari non-eksisten ke tingkat optimal (value 0 sampai dengan value 5).
ARTI SIMBOL ARTI RANGKING
Posisi Perusahaan Saat Ini Pedoman Standar Internasional Praktek Terbaik Industri Strategi Perusahaan
Gambar 2.6 Maturity Model (Sumber: Information Technology Governance Institute, 2007)
COBIT menyediakan kerangka identifikasi sejauh mana perusahaan telah memenuhi standar pengelolaan proses TI yang baik. Kerangka tersebut direpresentasikan dalam sebuah model kedewasaan yang memiliki level
0 Non-Existent : proses manajemen tidak ada.
1 Initial : proses bersifat adhoc & tidak terorganisir.
2 Repeatable : proses mengikuti pola yang teratur.
3 Defined : proses didokumentasikan &
dikomunikasikan proses didokumentasikan & dikomunikasikan
4 Managed : proses dimonitor dan diukur
5 Optimised : proses otomatis dan mengikuti standar
Non-Exsistent
0
pengelompokan kapabilitas perusahaan dalam pengelolaan proses TI dari level 0 atau non-existent (belum tersedia) hingga level 5 atau optimized (teroptimasi).
Level 0 (non-existent).
Perusahaan tidak mengetahui sama sekali proses teknologi informasi di perusahaannya.
Level 1 (initial level).
Pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk mengembangkan suatu produk baru.
Level 2 (repaetable level).
Pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam mengimplementasikan kebijakan tersebut ditetapkan.
Level 3 (defined level).
Pada level ini, proses standar dalam pengembangan suatu produk baru didokumentasikan, proses ini didasari pada proses pengembangan produk yang telah diintegrasikan. Proses-proses ini digunakan untuk membantu manajer, ketua tim, dan anggota tim pengembangan sehingga bekerja dengan lebih efektif. Level 4 (managed level).
Level 5 (optimized level).
Pada level ini, seluruh organisasi difokuskan pada proses peningkatan secara terus menerus. Teknologi informasi sudah digunakan untuk otomatisasi proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan.
2.11 Tahapan-Tahapan dalam Audit Sistem Informasi
ISACA tahun 2010 menyatakan membagi tahapan audit sistem informasi menjadi 4 (empat) tahapan yaitu: 1. Tahap perencanaan audit, 2. Tahap persiapan audit, 3. Tahap pelaksanaan audit, 4. Tahap pelaporan audit (Hermawan, 2011). Selanjutnya tahapan tersebut dapat dilihat pada Gambar 2.7 di halaman 31. Keempat tahapan tersebut adalah:
1. Tahap Perencanaan Audit Sistem Informasi
Tahap perencanaan ini dilakukan oleh auditor untuk mengetahui tentang auditee (how your auditee) dan mempelajari tentang proses bisnis perusahaan yang diaudit. Langkah-langkah yang terdapat di tahap ini adalah sebagai berikut.
a. Mengidentifikasi proses bisnis dan TI
dilaksanakan proses audit. Apabila pernah melakukan audit maka, auditor perlu mrngrtahui dan memeriksa laporan audit periode sebelumnya.
Pengetahuan tentang auditee dapat dilakukan dengan cara melihat dokumen-dokumen yang terkait dengan proses audit dari media online bahkan auditor datang langsung ke perusahaan lalu melakukan wawancara manajemen dan staff, serta melakukan observasi kegiatan operasional dan teknologi sistem informasi yang digunakan.
b. Mengidentifikasi ruang lingkup dan tujuan audit sistem informasi
Langkah selanjutnya yang dilakukan dalam audit sistem informasi adalah mengidentifikasi ruang lingkup. Ruang lingkup audit harus mengacu pada tujuan audit.
c. Identification of core TI application and the main IT relevant interfaces
Pada tahap ini auditor harus memperoleh pemahaman tentang proses TI inti yang berkaitan dengan audit yang dilakukan. Proses ini dilakukan untuk membedakan proses TI inti yang memiliki skala prioritas lebih tinggi dan proses TI pendukung lain yang berkaitan. Pada tahap ini auditor menentukan klausul dan objective control serta kontrol yang akan digunakan.
2. Tahap Persiapan Audit Sistem Informasi
a. Penyusunan audit working plan
Audit Working Plan merupakan dokumen yang digunakan untuk merencanakan dan memantau pelaksanaan Audit TI secara terperinci. Dimulai dari proses awal hingga proses pelaporan audit.
b. Membuat peryataan
Tahap persiapan kedua audit keamanan sistem informasi ini dilakukan dengan membuat pernyataan. Pernyataan dibuat berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah dipilih. Kontrol keamanan tersebut dapat dilihat pada panduan ISO 27002. Pada setiap kontrol keamanan dapat ditemukan pernyataan yang telah mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut.
c. Melakukan pembobotan
Setelah membuat pernyataan, maka selanjutnya auditor melakukan pengukuran pembobotan pada tiap pernyataan. Menurut Niekerk dan Labuschagne (2006: 7), tingkat pembobotan dalam manajemen, dibagi menjadi 3 (tiga), yaitu: sangat penting, cukup penting dan kurang penting, seperti terlihat pada Tabel 2.3 di halaman 30.
d. Membuat pertanyaan
Tabel 2.3 Tingkat Kepentingan dalam Pembobotan Pernyataan No Nilai
Kualitatif
Skala Keterangan
1 Tinggi 0,70 – 1,00 Pernyataan tersebut mempunyai peranan yang sangat penting dalam proses sistem informasi
2 Cukup 0,40 – 0,69 Pernyataan tersebut cukup mempunyai peran dalam proses sistem informasi 3 Rendah 0,00 – 0,39 Pernyataan tersebut dalam melengkapi
peran dalam sistem informasi Sumber: Niekerk dan Labuschagne (2006: 7)
3. Tahap Pelaksanaan Audit Sistem Informasi
Pada tahap pelaksanaan, auditor melakukan pengumpulan dan evaluasi bukti dan data audit sistem informasi yang dilakukan, serta melakukan uji kepatutan (complience test), yakni dengan menyesuaikan keadaan ada dengan standar pengelolaan proses TI yang didefinisikan dalam kerangka kerja COBIT. Selanjutnya dilakukan penyusunan temuan serta rekomendasi guna diberikan kepada auditee. Langkah-langkah yang terdapat di tahap ini adalah sebagai berikut.
a. Pemeriksaan data dan bukti
keefektifan kontrol internal sehingga dapat merekomendasikan tindakan perbaikan dan korektif (Sarno, 2009).
Gambar 2.7 Tahapan-Tahapan dalam Audit Sistem Informasi
b. Interview (wawancara)
Wawancara dilakukan terhadap pihak-pihak yang terlibat dalam eksekusi. Proses TI yang dapat terbagi menjadi 4 kelompok, yaitu: pihak yang bertanggung jawab terhadap kesuksesan aktivitas (responsible), pihak yang bertanggung jawab (accountable), pihak yang mengerti aktivitas (consulted), dan pihak yang senantiasa diinformasikan perihal perkembangan aktivitas (informed).
c. Melakukan uji kematangan
Uji kematangan dilakukan dengan menggunakan perhitungan dari COBIT dengan mengacu pada pernyataan dari ISO 27002. Uji kematangan ini dilakukan untuk mengukur tingkat keamanan yang ada pada perusahaan.
d. Temuan dan rekomendasi
4. Tahap Pelaporan Audit Sistem Informasi
34
Pada Bab III akan dilakukan pembahasan dimulai dengan profil perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapan-tahapan audit yang akan dilaksanakan sesuai dengan Gambar 2.7 di halaman 31.
3.1 Tahap Perencanaan Audit Sistem Informasi Manajemen Aset
Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. melakukan identifikasi proses bisnis, 2. Melakukan penentuan ruang lingkup dan tujuan audit dan 4. Melakukan identification of core TI application and the main IT relevant interfaces. Tahap ini akan menghasilkan pengetahuan tentang proses bisnis TI perusahaan, ruang lingkup dan tujuan yang telah ditentukan serta klausul yang telah ditentukan.
3.1.1 Mengidentifikasi Proses Bisnis dan TI
dilakukan audit, maka auditor perlu mengetahui dan memeriksa laporan audit sebelumnya.
Untuk menggali pengetahuan tentang auditee langkah yang dilakukan adalah dengan cara mengetahui dan memeriksa dokumen-dokumen yang terkait dengan proses audit, wawancara manajemen dan staff, serta melakukan observasi kegiatan operasional dan teknologi sistem informasi yang digunakan. Output yang dihasilkan pada proses ini adalah profil perusahaan, visi, misi, dan Principle & Management, struktur organisasi, document flow serta bukti dan pernyataan bahwa auditor telah melihat serta mempelajari dokumen yang terkait dengan perusahaan.
3.1.2 Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi
Proses kedua pada tahapan perencanaan ini adalah mengidentifikasi ruang lingkup dan tujuan yang akan dibahas dalam audit kali ini. Penentuan ruang lingkup dilakukan dengan cara melakukan observasi pada PT. Varia Usaha Beton. Ruang lingkup yang telah ditentukan akan dipaparkan pada bab IV.
Pada peoses ini, langkah yang selanjutnya dilakukan adalah mengidentifikasi tujuan yang berhubungan akan kebutuhan audit sistem informasi ini. Tujuan dari audit sistem informasi manajemen aset ini selanjutnya akan dipaparkan pada bab IV.
3.1.3 Identification of core TI application and the main IT relevant interfaces
PT. Varia Usaha Beton. Klausul, obyektif kontrol dan kontrol yang ditentukan harus berdasarkan kesepakatan antara auditor dengan auditee. Proses ini akan menghasilkan klausul, obyektif kontrol serta kontrol yang telah ditentukan dan disepakati oleh auditor dengan auditee.
3.2 Tahap Persiapan Audit Sistem Informasi
Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. Melakukan proses penyusunan audit working plan, 2. Membuat pernyataan, 3. Melakukan pembobotan dan 4. Membuat pertanyaan. Tahap ini akan menghasilkan tabel working plan, pernyataan yang telah dibuat berdasarkan standar ISO 27002, nilai pembobotan pada masing-masing pernyataan serta nilai marturity level dan pertanyaan yang telah dibuat berdasarkan pernyataan.
3.2.1 Penyusunan Audit Working Plan
Pada proses membuat audit working plan langkah yang dilakukan adalah membuat daftar semua kegiatan yang akan dilakukan dalam melakukan proses audit, kemudian memasukkan daftar kegiatan tersebut didalam tabel. Contoh audit working plan dapat dilihat pada Tabel 3.1 di halaman 36.
Tabel 3.1 Contoh Audit Working Plan
No Kegiatan
Bulan
September Oktober November Desember
1 2 3 1 1 1 1 4 1 2 3 4 1 2 3 4
1
Studi Literatur 2 Penentuan ruang
3.2.2 Membuat Pernyataan
Proses selanjutnya pada tahapan persiapan audit ini dilakukan dengan membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah ditetapkan berdasarkan standar COBIT 4.1 dan ISO 27002. Pada setiap kontrol keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut. Salah satu contoh pernyataan pada ISO 27002 dapat dilihat pada Tabel 3.2 di halaman 37, sedangkan salah satu contoh untuk pernyataan COBIT 4.1 dapat dilihat pada Tabel 3.3 di halaman 37 .
Tabel 3.2 Contoh Pernyataan Pada ISO 27002 Klausul 6 Organisasi Keamanan Informasi
Tujuan diperlukanya organisasi keamanan informasi yaitu: Memudahkan Pengelolaan SMKI pada PT. Varia Usaha Beton
Kontrol Keamanan: 6.1.3
Pembagian Tanggung Jawab Keamanan Informasi
No Pernyataan
1 Terdapat pembagian tanggung jawab keamanan informasi yang telah ditetapkan dengan jelas.
2 Kebijakan keamanan informasi telah menyertakan panduan umum dalam pengalokasian peran keamanan di dalam organisasi.
Tabel 3.3 Contoh Pernyataan Pada COBIT 4.1 Nama
Proses
Mengidentifikasi Solusi Otomatis
Nomor
Proses AI1
No. Pernyataan
1 Organisasi mengidentifikasi kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak, dan data
3.2.3 Melakukan Pembobotan
Setelah membuat pernyataan, maka langkah selanjutnya adalah melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan dilakukan berdasarkan perhitungan yang dilakukan oleh Niekerk dan Labuschagne (2006: 7), dengan membagi tingkat pembobotan dalam manajemen menjadi 3 (tiga), yaitu: sangat penting, cukup penting dan kurang penting, seperti terlihat pada Tabel 3.6 dihalaman 39. Didalam Tugas Akhir ini dilakukan dua kali proses pembobotan yaitu pembobotan ISO 27002 dan COBIT 4.1. Hal tersebut dilakukan karena hasilnya pembobotan dan penilaian maturity level tersebut akan di setarakan. Salah satu contoh pembobotan pada ISO 27002 dan beberapa pembobotanya dapat dilihat pada Tabel 3.4 dihalaman 38 sedangkan salah satu pembobotan pada COBIT 4.1 dan beberapa pembobotanya dapat dilihat pada Tabel 3.5 dihalaman 39.
Tabel 3.4 Contoh Pembobotan Pada ISO 27002 Kontrol Keamanan: 6.1.1
Komitmen manajemen terhadap keamanan informasi
No Pernyataan Hasil Pemeriksaan bobot
1 Terdapat
kepemimpinan yang kondusif untuk menyetujui kebijakan
keamanan informasi di seluruh tataran organisasi.
Kepemimpinan sudah ditetapkan secara kondusif dan telah ditingkatkan terus-menerus melalui pemantauan secara berkala.
Bukti:
Terdapat struktur organisasi resmi beserta kebijakan perusahaan yang tercantum pada dokumen audit yaitu:
Dokumen: Quality manual ISO : 9001:2008
November 2011
Tabel 3.5 Contoh Pembobotan Pada COBIT 4.1
Nama Proses Mendefinisikan Arsitektur Informasi
Nomor
Proses PO2 Level Kedewasaan
0
No. Pernyataan Bobot
1 Tedapat pengetahuan tentang bagaimana mengembangkan
arsitektur informasi 0.80
2 Terdapat keahlian mengembangkan arsitektur informasi 0.80 3 Terdapat pertanggung jawaban dalam mengembangkan
arsitektur informasi 0.80
Total Bobot = 2.40
Tabel 3.6 Tingkat Kepentingan dalam Pembobotan Pernyataan No Nilai Kualitatif Skala Keterangan
1 Tinggi 0,70 – 1,00 Pernyataan tersebut mempunyai peranan yang sangat penting dalam proses sistem informasi 2 Cukup 0,40 – 0,69 Pernyataan tersebut cukup mempunyai peran
dalam proses sistem informasi
3 Rendah 0,00 – 0,39 Pernyataan tersebut dalam melengkapi peran dalam sistem informasi
Sumber: Niekerk dan Labuschagne (2006: 7)
3.2.4 Membuat Pertanyaan
Tabel 3.7 Contoh Pertanyaan Pada ISO 27002
Tabel 3.8 Contoh Pertanyaan Pada COBIT 4.1 Nama
Proses
Mengidentifikasi Solusi Otomatis
AI1
No. Pertanyaan
1 Apakah kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?
2 Apakah kebutuhan operasional untuk penerapan seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?
3.3 Tahap Pelaksanaan Audit Sistem Informasi
Pada tahap ini langkah-langkah yang dilakukan yaitu: 1.Melakukan proses pemeriksaan data dan bukti, 2. Melakukan wawancara, 3. Melakukan uji kematangan dan 4. Melakukan penentuan temuan dan rekomendasi. Tahap ini akan menghasilkan temuan dan bukti, dokumen wawancara, nilai kematangan dan rekomendasi.
Klausul 6 Organisasi Keamanan Informasi
Tujuan diperlukanya organisasi keamanan informasi yaitu: Memudahkan Pengelolaan SMKI pada PT. Varia Usaha Beton
Kontrol Keamanan: 6.1.1
Komitmen manajemen terhadap keamanan informasi
No Pertanyaan
1 Apakah kepemimpinan untuk menyetujui kebijakan keamanan informasi di seluruh tataran organisasi telah kondusif?
2 - Apakah kepemimpinan untuk menetapkan peran keamanan di seluruh tataran organisasi telah kondusif?
3.3.1 Pemeriksaan Data dan Bukti
Pemeriksaan data dilakukan dengan cara melakukan observasi dan melakukan wawancara kepada auditee sesuai dengan ruang lingkup serta klausul yang telah disepakati oleh PT. Varia Usaha Beton. Wawancara dan observasi dilakukan untuk mendapatkan bukti atau temuan mengenai fakta terkait dengan masalah yang ada. Bukti-bukti tersebut berupa foto dan data. Contoh hasil pemeriksaan ISO 27002 dapat dilihat pada Tabel 3.9 di halaman 41, sedangkan contoh hasil pemeriksaan COBIT 4.1 dapat dilihat pada Tabel 3.10 di halaman 41.
Tabel 3.9 Contoh Hasil Pemeriksaan ISO 27002 Kontrol Keamanan: 6.1.1
Komitmen manajemen terhadap keamanan informasi
No Pernyataan Hasil Pemeriksaan
1 Terdapat
Kepemimpinan sudah ditetapkan secara kondusif dan telah ditingkatkan terus-menerus melalui pemantauan secara berkala. Bukti:
Terdapat struktur organisasi resmi beserta kebijakan perusahaan yang tercantum pada dokumen audit yaitu:
Dokumen: Quality manual ISO : 9001:2008
November 2011
Tabel 3.10 Contoh Hasil Pemeriksaan COBIT 4.1 Nama
Proses
Mengidentifikasi Solusi Otomatis Hasil Pemeriksaan
Nomor
Proses AI1
No. Pernyataan
1 Organisasi mengidentifikasi kebutuhan fungsional untuk
penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak, dan data
Kebutuhan fungsional telah teridentifikasi dan telah didokumentasikan didalam dokumen pencatatan aset.
Bukti:
3.3.2 Wawancara
Pada proses ini langkah yang dilakukan adalah melakukan wawancara berdasarkan pertanyaan yang telah dibuat. Wawancara dilakukan terhadap pihak-pihak yang terlibat dalam eksekusi. Penentuan auditee untuk audit sistem keamanan informasi dilakukan berdasarkan struktur organisasi. Contoh dokumen wawancara ISO 27002 dapat dilihat pada Tabel 3.11 di halaman 42 sedangkan contoh dokumen wawancara COBIT 4.1 dapat dilihat pada Tabel 3.12 di halaman 42.
Tabel 3.11 Contoh Dokumen Wawancara pada ISO 27002
Tabel 3.12 Contoh Dokumen Wawancara pada COBIT 4.1 Nama
Proses
Mengidentifikasi Solusi Otomatis
Jawaban AI1
No. Pertanyaan
1 Apakah kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?
Kebutuhan fungsional telah teridentifikasi dan telah didokumentasikan didalam dokumen pencatatan aset. 2
Apakah kebutuhan operasional untuk penerapan seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?
Seluruh kebutuhan operasional telah diidentifikasi dan
didokumentasikan didalam SOP perusahaan.
Klausul 6 Organisasi Keamanan Informasi
Tujuan diperlukanya organisasi keamanan informasi yaitu: Memudahkan Pengelolaan SMKI pada PT. Varia Usaha Beton
Kontrol Keamanan: 6.1.3
Pembagian Tanggung Jawab Keamanan Informasi
No Pernyataan Pertanyaan Jawaban
1 Terdapat jawab keamanan informasi yang telah ditetapkan dengan jelas?
- Apakah pembagian tanggung jawab tersebut telah dirinci dandidokumentasikan dengan jelas?
Ya
3.3.3 Melakukan Uji Kematangan
Proses berikutnya yaitu melakukan uji kematangan berdasarkan metode yang ada pada standar COBIT 4.1. Contoh penilaian kematangan tersebut dapat dilihat pada Tabel 3.13 di halaman 44.
Setelah seluruh penentuan nilai telah ditetapkan, maka dapat langkah berikutnya yaitu melakukan perhitungan marturity level pada COBIT 4.1. Contoh kerangka kerja perhitungan marturity level pada COBIT 4.1 dapat dilihat pada Tabel 3.13 di halaman 44. Perhitungan tersebut dilakukan secara bertahap, berikut tahapan yang harus dilakukan adalah:
a. Setiap pernyataan pada kontrol keamanan diberikan nilai bobot yang sesuai. b. Dari hasil wawancara didapatkan nilai tingkat kemampuan pada setiap
pernyataan.
c. Pada setiap pernyataan bobot dikalikan dengan tingkat kemampuan masing-masing.
d. Jumlah dari perkalian bobot dan tingkat kemampuan dibagi dengan jumlah bobot yang ada pada seluruh pernyataan dalam satu kontrol keamanan.
e. Hasil dari tahapan sebelumnya merupakan nilai tingkat kemampuan pada kontrol keamanan tersebut.
Tabel 3.13 Contoh Tabel Penentuan Maturity Level Pada COBIT 4.1
1 Tedapat pengetahuan tentang bagaimana mengembangkan arsitektur informasi
0.80
√ 0.80
2 Terdapat keahlian mengembangkan arsitektur informasi
0.80
√ 0.53
3 Terdapat pertanggung jawaban dalam
Tabel 3.14 Contoh Tabel Penentuan Maturity Level Pada ISO 27002 ISO/IEC
PO3 Determine technological direction.
3.37 3.09 PO4 Define the IT processes,
organization and relationship. 3.52 PO6 Communicate
management aims and direction.
3.44
Setelah dihasilkan nilai maturity level ISO 27002 yang didapat dari seluruh penyetaraan rata-rata maturity level pada COBIT 4.1, selanjutnya nilai-nilai tersebut akan direpresentasikan kedalam diagram jaring yang ada pada Gambar 3.1 di halaman 46.
3.3.4 Penentuan Temuan dan Rekomendasi
Pada proses penentuan temuan dan rekomendasi langkah yang dilakukan adalah memeriksa data profil perusahaan, kebijakan, standar, prosedur dan portopolio serta mengobservasi standard operating procedure dan melakukan wawancara kepada auditee. Seluruh aktivitas tersebut menghasilkan bukti (evidence) yang berarti terkait dengan sistem yang berlangsung diperusahaan. Contoh format dari laporan hasil audit keamanan sistem informasi dapat dilihat pada Tabel 3.15 di halaman 45.
Tabel 3.15 Contoh Laporan Hasil Audit Keamanan Sistem Informasi
Klausul Objektif
Kontrol
Kontrol Keamanan
Temuan Rekomendasi
6
Organisasi keamanan informasi.
6.1 Organisasi internal keamanan informasi.
6.1.1 Komitmen manajemen terhadap keamanan informasi.
Belum ada pakar keamanan informasi.
- Melakukan observasi
2.6
3.4 Tahap Pelaporan Audit Sistem Informasi
47
HASIL DAN PEMBAHASAN
Pada bab ini akan diuraikan tentang analisis hasil dan pembahasan dari tahap perencanaan audit sistem informasi, tahap persiapan audit sistem informasi, tahap pelaksanaan audit sistem informasi, serta tahap pelaporan audit sistem informasi.
4.1 Hasil Perencanaan Audit Sistem Informasi
4.1.1 Hasil Mengidentifikasi Proses Bisnis dan TI
1) Profil Perusahaan
dan mendirikan anak perusahaan di wilayah Jabodetabek yaitu PT. Varia Beton Kencana di tahun yang sama. Pada tahun 2001 PT. Varia Usaha Beton mengembangkan beton siap pakai di Bali dan pada tahun 2007 PT. Varia Usaha Beton bekerja sama dengan PT. Unggul investment mendirikan unit usaha pemecah batu di Ungaran, Jawa Tengah. Pada tahun 2007 juga telah dilakukan pengembangan usaha beton siap pakai di Mataram, Nusa Tenggar Barat.
Seiring dengan pertumbuhan ekonomi yang cukup tinggi dan pesatnya perkembangan sektor konstruksi, khususnya pembangunan infrastruktur dan properti, PT Varia Usaha Beton ikut berpartisipasi melalui usaha penyediaan produk-produk Beton Siap Pakai, Beton Masonry dan Batu Pecah Mesin/base Coarse, serta bahan bangunan lainnya yang berbahan baku semen.
Dengan didukung staf karyawan yang berpengalaman di bidang beton, peralatan-peralatan yang tepat serta fasilitas sumber daya, perusahaan senantiasa mengutamakan kepuasan dan kepercayaan pelanggan, dengan menjamin bahwa produk yanh dihasilkan dapat memenuhi mutu yang dipersyaratkan, penyerahan produk tepat waktu serta harga yang bersaing.
2) Visi, Misi, dan Principle & Management PT. Varia Usaha Beton
VISI
Menjadi produsen beton & aggregat yang bercitra baik, selalu berkembang dan unggul di daerah pasar yang terpilih.
MISI
Menghasilkan laba yang wajar untuk pertumbuhan dan perkembangan perusahaan, memberikan deviden yang pantas bagi pemegang saham, memenuhi persyaratan pelanggan, mengembangkan kompetensi SDM dan kepuasan karyawan, serta memenuhi perundangan dan peraturan yang berlaku.
PRINCIPLE & MANAGEMENT
Penerapan manajemen PT. Varia Usaha Beton didasarkan pada kepercayaan bahwa karyawan mempunyai komitmen untuk bekerja sebaik mungkin dan mampu membuat keputusan yang tepat. Hal ini merupakan keyakinan dari karyawan, bahwa apabila PT. Varia Usaha Beton menjanjikan produk/jasa yang tepat, berarti mereka telah melakukan hal yang terbaik. Hal ini merupakan integritas dalam melakukan bisnis.
Kejujuran dan keterbukaan PT. Varia Usaha Beton memberikan kontribusi dalam menciptakan rasa memiliki pada karyawan. Semua karyawan ikut berperan dalam pencapaian sukses perusahaan.
3) Struktur Organisasi
PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik (persero) Tbk. Sampai saat ini PT. Varia Uasaha Beton mempunyai cabang (plant) di daerah Jawa Timur, Jawa Tengah, Bali dan Makasar. Secara fungsional maka struktur organisasi PT. Varia Usaha Beton dapat dilihat pada Gambar 4.1 di halaman 51.
4) Gambaran PT. Varia Usaha Beton
PT. Varia Usaha Beton memiliki kantor pusat di Jl. Letjend S. Parman No.38, Waru – Sidoarjo. Sebagai kantor pusat, PT. Varia Usaha Beton sangat berperan penting dalam memanajemen keamanan informasi, karena plant di seluruh Indonesia akan mengirimkan dan mengakses data-data kepada pusat dengan rentang waktu tertentu. Aplikasi VIS yang dimiliki oleh PT. Varia Usaha Beton sudah beroperasi secara online dengan menggunakan server yang berada di kantor pusat. PT. Varia Usaha Beton memiliki empat server, yaitu tiga server untuk data dan satu lagi untuk mail server.
4.1.2 Hasil Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi
4.1.3 Identification of core TI application and the main IT relevant interfaces
Hasil dari tahap identification of core TI application and the main IT relevant interfaces adalah pemetaan klausul, objective control dan control keamanan. Klausul, objektif kontrol dan kontrol keamanan yang tidak digunakan dapat dilihat pada Tabel 4.1 di halaman 53 sedangkan klausul, objektif kontrol dan kontrol keamanan yang telah ditetapkan dapat dilihat pada Tabel 4.2 di halaman 56.
5) Gambaran Proses Bisnis Manajemen Aset Pada PT. Varia Usaha Beton MPI yang telah ditanda tangani
MPI yang telah ditanda tangani koord. anggaran
2
3
2
MPI yang telah ditanda tangani koord. Anggaran
& direksi
3
3
MPI yang telah ditanda tangani koord. anggaran
MPI yang telah ditanda tangani koord. Anggaran
& direksi
MPI yang telah ditanda tangani koord. Anggaran, direksi & akuntansi
MPI yang telah ditanda tangani
Tabel 4.1 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002:2005 yang Tidak Digunakan
Klausul Kontrol Keamanan Alasan
5
Kebijakan keamanan
5.1.1
Dokumen kebijakan keamanan informasi
Tidak ada penyetaraan pada COBIT 4.1
5.1.2
Tinjauan ulang kebijakan keamanan informasi
Tidak ada penyetaraan pada COBIT 4.1
6
Organisasi Keamanan Informasi
6.1.2
Koordinasi keamanan informasi
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 6.1.4
Proses otorisasi terhadap fasilitas-fasilitas pemrosesan informasi yang ada didalam organisasi.
Otorisasi terhadap fasilitas
pemrosesan informasi belum detail dan terdokumentasi
6.1.7
Berhubungan dengan lembaga-lembaga khusus tertentu.
Perusahaan tidak memiliki berhubungan dengan lembaga khusus atau tertentu
6.1.8
Pengkajian secara independen terhadap keamanan informasi.
Belum dilakukan pengkajian ulang secara independen
9
Wilayah aman
9.1.6
Akses public, area pengiriman dan penurunan barang
Tidak melakukan surve secara langsung ke area penurunan barang
9.2.3
Keamanan pengkabelan
Objektif kontrol 9.2.3 tidak digunakan karena auditor tidak mendapatkan ijin untuk mengaudit bagian jaringan dan pengkabelan.
10
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 10.1.4
Pemisahan pengembangan, pengujian dan operasional fasilitas
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 10.2.1
Layanan pengiriman
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 10.3.1
Manajemen kapasitas
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
Tabel 4.1 (Lanjutan)
Klausul Kontrol Keamanan Alasan
10.4.1
Kontrol terhadap kode bahaya
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 10.4.2
Kontrol terhadap mobile code
Perusahaan tidak menggunakan
mobile code.
10.7.4
Keamanan dokumentasi sistem
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti.
10.8
Pertukaran informasi
Keseluruhan objektif kontrol 10.8 tidak digunakan karena prosedur standar pertukana informasi belum ditetapkan.
10.9
Layanan e-commerce
Keseluruhan objektif kontrol 10.9 tidak digunakan karena perusahaan tidak menggunakan layanan e-commerce.
10.6
Manajemen Keamanan Jaringan
Keseluruhan objektif kontrol 10.6 tidak digunakan karena auditor tindak mendapatkan ijin untuk mengaudit bagian jaringan dan pengkabelan.
10.10.1 Rekaman audit
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 10.10.2
Monitoring penggunaan sistem
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 10.10.3
Proteksi catatan administrator dan operator
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 10.10.4
Catatan kesalahan
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti.
11
Persyaratan bisnis untuk kontrol akses
11.1.1
Kebijakan kontrol akses
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
Tabel 4.1 (Lanjutan)
Klausul Kontrol Keamanan Alasan
11
Persyaratan bisnis untuk kontrol akses
11.2.1
Registrasi pengguna
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti.
11.4
Kontrol akses jaringan
Keseluruhan objektif kontrol 11.4 tidak digunakan karena auditor tindak mendapatkan ijin untuk mengaudit bagian jaringan. 11.3.2
Peralatan pengguna yang tidak dijaga
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 11.3.3
Kebijakan clear desk dan clear screen
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk mendapatkan temuan dan bukti 11.5.3
Manajemen password
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 11.5.4
Penggunaan itilities sistem
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 11.5.6
Batasan waktu koneksi
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 11.7
Komputasi bergerak dan bekerja dari lain tempat
Keseluruhan objektif kontrol 10.7 tidak digunakan karena belum ada peraturan dan perlindungan khusus terhadap teleworking.
Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk
mendapatkan temuan dan bukti. 12.3
Kontrol kriptografi
Keseluruhan objektif kontrol 12.3 tidak digunakan karena kroptografi telah ditangani oleh vendor khusus.
12.4
Keamanan file sistem
Tabel 4.1 (Lanjutan)
Tabel 4.2 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002 yang Telah Dipetakan
Klausul Kontrol Keamanan Alasan
15
Keseluruhan objektif kontrol 12.5 tidak digunakan karena pembuatan software dilakukan oleh vendor kemudian dikembangkan oleh perusahaan. Auditor tidak diijinkan untuk mengaudit bagian
pengembangan software. 15.1.6
Peraturan kontrol kriptografi
Pengontrolan terhadap kriptografi dilakukan oleh vendor.
15.2.1
Kepatutan dengan kebijakan keamanan dan standard
Belum dilakukan pengkajian secara berkala.
15.2.2
Pemeriksaan kepatutan teknis
Belum ada pemeriksaan kepatutan secara teknis
Klausul Objektif Kontrol Kontrol Keamanan
6
Komitmen manajemen terhadap keamanan informasi
6.1.3
Pembagian tangung jawab keamanan informasi 6.1.5
Perjanjian kerahasiaan 6.1.6
Berhubungan dengan vendor atau penyedia SMKI yang resmi
6.2
Pihak eksternal
6.2.1
Identifikasi resiko terhadap hubunganya dengan pihak ketiga
6.2.2
Akses keamanan dalam hubunganya dengan pelanggan
6.2
Pihak eksternal
6.2.3
melibatkan persyaratan keamanan dalam perjanjian dengan pihak ketiga
7
Inventarisasi terhadap aset 7.1.2
Kepemilikan aset 7.1.3
Aturan penggunaan aset 7.2
Tabel 4.2 (Lanjutan)
Klausul Objektif Kontrol Kontrol Keamanan
8.1
Aturan dan tanggung jawab 8.1.2
Seleksi 8.1.3
Persyaratan dan kondisi yang harus dipenuhi oleh pegawai
Tanggung jawab manajemen 8.2.2
Pendidikan dan pelatihan keamanan informasi 8.2.3
Tanggung jawab pemberhentian 8.3.2
Pengembalian aset 8.3.3
Penghapusan hak akses 9
Pembatas keamanan fisik 9.1.2
Kontrol masuk fisik 9.1.3
Keamanan kantor, ruang dan fasilitasnya 9.1.4
Perlindungan terhadap serangan dari luar dan ancaman lingkungan sekitar
9.1.5
Bekerja diwilayah aman 9.2
Keamanan peralatan
9.2.1
Penempatan peralatan dan perlindunganya 9.2.2
Keamanan pembuangan atau pemanfaatan kembali peralatan
9.2.7 Hak pemindahan peralatan 10