AUDIT KEAMANAN SISTEM INFORMASI PADA UNIVERSITAS BINA DARMA PALEMBANG MENGGUNAKAN STANDAR ISO/IEC 27001
HARYANTO 10142285N
Skripsi ini diajukan sebagai syarat memperoleh gelar Sarjana Komputer
FAKULTAS ILMU KOMPUTER UNIVERSITAS BINA DARMA
PENDAHULUAN
1.1 Latar Be
I
akang
Perkembangan teknologi informasi saat ini terasa sangat pesat, hampir di semua aspek kegiatan telah menggunakan teknologi sistem informasi sebagai penunjang kegiatan, baik di bidang ekonomi, pendidikan, kesehatan, sosial budaya dan lain sebagainya. Teknologi sistem informasi ini telah menjadi kebutuhan bagi instansi pemerintah maupun swasta sebagai salah satu untuk meningkatkan efektivitas dan efesiensi kinerja instansi-instansi tersebut. Setiap instansi baik itu instansi besar, menengah, ataupun instansi keciI membutuhkan penanganan yang baik terhadap pengoIahan data, sehingga kinerja suatu instansi dalam pelayanan dapat ditingkatkan.
Universitas Bina Darma salah satu perguruan tinggi di Palembang yang sudah menggunakan sistem informasi akademik yang beralamat di
http://sisfo.binadarma.ac.id untuk menyediakan informasi yang sangat penting
dan keperluan penting lainnya bagi seluruh pegawai dan mahasiswa Universitas Bina Darma. Keamanan informasi pada Universitas Bina Darma sangat diperlukan karena menyangkut data semua mahasiswa dan pegawai. Mengingat banyaknya data penting baik dalam bentuk dokumen atau program yang menjadi aset digital bagi instansi yang akan sangat merugikan instansi apabila data tersebut dicuri ataupun dirusak oleh orang-orang yang tidak bertanggung jawab.
Keamanan pada sistem informasi akademik di Universitas Bina Darma masih terbilang kurang terlindungi, karena setelah melakukan scanning pada sistem akademik Universitas Bina Darma yang beralamat di
http://sisfo.binadarma.ac.id menggunakan software Acunetix masih ada celah, hal
tersebut memungkinkan adanya ancaman masalah keamanan informasi, aset dan lain sebagainnya. Dengan adanya celah tersebut maka penulis akan melakukan suatu evaluasi mengenai keamanan sistem informasi dengan cara menerapkan teknik audit keamanan informasi menggunakan standar ISO/IEC 27001.
Mengingat pentingnya keamanan informasi, maka kebijakan tentang keamanan informasi harus baik dan harus mencakup beberapa prosedur seperti prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logical security, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi. Untuk mengukur keamanan informasi tersebut penulis akan menerapkan teknik audit keamanan sistem informasi untuk memastikan keamanan informasi diterapkan sesuai dengan prosedur.
ISO/IEC 27001 merupakan dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management System (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya diIakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi pada sebuah organisasi.
ISO/IEC 27001. ISO/IEC 27001 dipilih karena standar ini sangat fleksibel dikembangkan karena sangat tergantung dari kebutuhan organisasi, tujuan
organisasi, persyaratan keamanan, proses bisnis, jumlah pegawai dan ukuran struktur organisasi.
Berdasarkan uraian sebelumnya, maka penulis mengangkat permasalahan ini menjadi topik dalam penyusunan penelitian ini. Adapun judulnya yaitu “Audit Keamanan Sistem Informasi Pada Universitas Bina Darma Palembang Menggunakan Standar ISO/IEC 27001”.
1.2 Perumusan Masalah
Berdasarkan latar belakang di atas maka dirumuskan pemasalahan penelitian yaitu seberapa baik pengelolaan keamanan sistem informasi pada Universitas Bina Darma Palembang berdasarkan standar ISO/IEC 27001.
1.3 Batasan Masalah
Agar pembahasan ini terarah dan terperinci, penulis membatasi aspek penelitian pada klausul 5 sampai klausul 15 dari Standar ISO 27001 yang membahas organisasi keamanan informasi yaitu :
Klausul 5 : Security policy
Klausul 6 : Organization of information security
Klausul 7 : Asset management
Klausul 8 : Human resources security
Klausul 9 : Physical and environmental security
Klausul 10 : Communications and operations management
Klausul 11 : Access control
Klausul 13 : Information security incident management
Klausul 14 : Business continuity management Klausul 15 : Compliance
1.4 Tujuan dan manfaat
1.4.1 Tujuan
Adapun tujuan penelitian yang dilakukan di Universitas Bina Darma adalah:
1. Menerapkan teknik audit keamanan sistem informasi dengan menggunakan standar ISO 27001.
2. Menerapkan teknik audit keamanan sistem informasi yang mengukur indeks pengelolahan sistem informasinya.
1.4.2 Manfaat
Adapun yang dapat diharapkan dari penelitian ini adalah:
1. Menjadi rujukan untuk menerapkan sistem informasi yang memenuhi standar.
2. Menghasilkan dokumen temuan dan rekomendasi dari hasil audit keamanan sistem informasi di Universitas Bina Darma Palembang yang dapat digunakan sebagai dokumentasi pengembangan sistem yang ada.
1.5 Sistematika Penulisan
Penulis akan menjelaskan susunan laporan penelitian ini dalam bagian yang disesuaikan dengan judul bab tersebut. Sistematika penulisan dari laporan penelitian ini adalah sebagai berikut :
BAB I PENDAHULUAN
Pada bab ini menguraikan secara rinci latar belakang masalah, rumusan masalah, batasan masaIah, tujuan dan manfaat peneIitian. BAB II LANDASAN TEORI
Pada bab ini menguraikan penjelasan singkat landasan pemikiran yang berisi teori-teori mengenai audit keamanan sistem informasi universitas bina darma palembang.
BAB III METODOLOGI PENELITIAN
Pada bab ini penulis akan menjelaskan metodelogi penelitian, lokasi dan tempat penelitian, metode pengumpulan data, penilaian tingkat kedewasaan, bahan penelitian dan tahapan penelitian.
BAB IV TINJAUAN UMUM
Pada bab ini menceritakan tentang sejarah singkat Universitas Bina Darma, Visi dan Misi, infrastruktur TIK, pengelolaan sistem informasi, dan Keamanan sistem informasi pada Universitas Bina Darma.
BAB V HASIL DAN PEMBAHASAN
Pada bab ini membahas laporan lengkap hasil dan pembahasan dari penelitian di Universitas Bina Darma.
BAB VI PENUTUP
Pada bab ini membahas simpulan dari penjelasan bab-bab sebelumnya, sehingga dari kesimpulan penulis mencoba memberikan saran yang berguna untuk melengkapi pengembangan sistem inforamasi dimasa yang akan datang.
LANDASAN TEORI
2.1 Audit
Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Menurut Riyanarto Sarno dan Irsyat Iffano (2009:171) audit merupakan proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audite evidence) dan di evaluasi secara objektif untuk menentukan apakah teIah memenuhi kriteria pemeriksaan audit yang ditetapkan.
2.1.1 Tujuan Audit
Menurut Riyanarto Sarno dan Irsyat Iffano (2009:171), ada delapan tujuan dalam audit diantaranya:
1. Kelengkapan (Completeness), untuk meyakinkan bahwa seluruh transaksi telah dicatat atau ada dalam jurnaI secara aktual telah dimasukkan.
2. Ketepatan (Accurancy), untuk memastikan transaksi dan saldo perkiraan yang ada telah dicatat berdasarkan jumlah yang benar, perhitungan yang benar, dikIasifikasikan, dan dicatat dengan tepat.
3. Eksistensi (Existence), untuk memastikan bahwa semua harta dan kewajiban yang tercatat memiIiki eksistensi atau keterjadian pada tanggal tertentu, jadi transaksi tercatat tersebut harus benar-benar telah terjadi dan tidak fiktif. 4. PeniIaian (Valuation), untuk memastikan bahwa prinsip-prinsip akuntansi
yang berlaku umum telah diterapkan dengan benar.
5. KIasifikasi (Classification), untuk memastikan bahwa transaksi yang dicantumkan dalam jurnal dikIasifikasikan dengan tepat. Jika terkait dengan saldo maka angka-angka yang dimasukkan di daftar klien telah dikIasifikasikan dengan tepat.
6. Ketepatan (Accurancy), untuk memastikan bahwa semua transaksi dicatat pada tanggal yang benar, rincian daIam saldo akun sesuai dengan angka-angka buku besar. Serta penjumlahan saldo sudah dilakukan dengan tepat. 7. Pisah Batas (Cut-Off), untuk memastikan bahwa transaksi-transaksi yang
dekat tanggal neraca dicatat dalam periode yang tepat. Transaksi yang mungkin sekaIi salah saji adaIah transaksi yang dicatat mendekati akhir suatu periode akuntansi.
8. Pengungkapan (Disclosure), untuk meyakinkan bahwa saIdo akun dan persyaratan pengungkapan yang berkaitan telah disajikan dengan wajar daIam laporan keuangan dan dijelaskan dengan wajar dalam isi dan catatan kaki Iaporan tersebut.
2.1.2 Jenis-jenis Audit
Menurut Riyanarto Sarno dan Irsyat Iffano (2009:172), dalam melaksanakan audit ada dua jenis audit yang dapat dilakukan yaitu:
1. Audit Kepatutan (Compliance Audit), audit kesesuaian adalah audit SMKI yang dilaksanakan untuk tujuan menegaskan apakah objektif kontrol, kontrol dan prosedur memenuhi hal-hal sebagai berikut:
a. Telah memenuhi persyaratan sebagaimana ditulis dalam manual SMKI. b. Telah efektif diimplementasikan dan di pelihara.
c. Telah berjalan sesuai dengan yang diharapkan.
2. Audit Subtansi (Subtantion Audit), audit subtansi adalah audit SMKI yang dilaksanakan untuk tujuan menegaskan apakah hasil dari aktivitas (prosedur atau proses telah dijlankan) telah sesuai dengan yang ditargetkan atau yang harapkan.
2.1.3 Tahapan Audit
Menurut Riyanarto Sarno dan Irsyat Iffano (2009:173), dalam melakukan audit ada empat tahapan adalah:
1. Tahapan Perencanaan, pada tahap ini ditentukan siapa, apa, kenapa, kapan dan bagaimana audit dilaksanakan, kegiatan yang dilakukan pada tahap ini meliputi:
a. Menentukan objek audit/tujuan audit.
b. Menentukan tim atau pihak yang akan melakukan audit. c. Identifikasi proses bisnis dari objek yang diaudit.
2. Tahapan Persiapan Program, pada tahapan ini dimulai pengumpulan bukti-bukti yang ada dari perusahaan, kegiatan yang dilakukan meliputi :
b. Mewawancarai pelaku sistem dalam perusahaan. c. Menguji setiap aktivitas fisik dari perusahaan. d. Analisis review dan melakukan sampling.
3. Tahapan Evaluasi. pada tahap ini setelah bukti telah dikumpulkan pihak auditor akan menggunakan bukti yang ada untuk menilai kinerja sistem yang ada. Kegiatan yang dilakukan meliputi:
a. Menilai kualitas pengendalian operasional. b. Menilai kualitas informasi.
c. Menilai kualitas integrasi antar divisi. d. Merumuskan resiko yang mungkin terjadi.
4. Tahapan PeIaporan Hasil Audit, pada tahapan ini semua penilaian yang telah dirumuskan dibuat dalam bentuk dalam sebuah laporan mengenai kinerja sistem perusahaan, kuaIitas kinerjanya dan resikonya. Dengan begitu pihak pimpinan dapat mengambil langkah pencegahan.
2.2 Audit Sistem Informasi
Weber dan Sarno (2009, dikutip dari Fine Ermana, 2012, h.2) Audit Sistem Informasi sebagai proses pengumpulan dan pengevaIuasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada teIah memeIihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif.
2.3 Keamanan Informasi
Keamanan informasi adaIah penjagaan informasi dari seluruh ancaman yang mungkin terjadi daIam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis Riyanarto Sarno dan Irsyat Iffano (2009:26).
2.4 ISO/IEC 27001
ISO/IEC 27001 adalah standar keamanan informasi (information security) yang diterbitkan pada Oktober 2005 oleh International Organization for
Standarization dan International Electrotechnical Commission (IEC), standar ini
menggantikan BS-77992:2002 Riyanarto Sarno dan Irsyat Iffano (2009:56)
ISO (International Organization for Standarzitation) adalah pengembang terbesar di dunia standar international secara sukareIa. Standar international memberikan keamanan yang lebih spesifik, layanan yang baik, membantu industry Iebih efisien dan efktif. Dikembangkan melalui kesepakatan global, mereka membantu untuk mengatasi hambatan perdagangan internasional.
ISO/IEC 27001 adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasionaI. Standar ISO/IEC 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau
Information Security Management Syestem, biasa disebut ISMS, yang
memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahan dalam usaha mereka untuk mengevaluasi,
mengimplementasikan dan memelihara keamanan informasi diperusahan berdasarkan “best practise” dalam pengamanan informasi.
Menurut Riyanarto Sarno dan Irsyat Iffano (2009 :72) audit internal SMKI (internal ISMS audits) ISO 27001 adalah klausul 6 yang menjelaskan keharusan pelaksanaan internal audit secara berkala terhadap Objektif Kontrol, proses dan prosedur dari SMKI di dalam organisasi. Adapun klausul-klausul dari ISO/IEC 27001 yaitu :
2.4.1 Klausul 5 : Kebijakan Keamanan
Security policy (kebijakan keamanan informasi), memberikan arahan dan dukungan manajemen keamanan informasi. Manajemen harus menetapkan arah kebijakan yang jelas dan menunjukan dukungan, serta komitmen terhadap keamanan informasi melalui penerapan dan pemeliharaan suatu kebijakan keamanan informasi di seluruh jajaran organisasi. Struktur dokumen kontrol keamanan klausul 5 ISO 27001 seperti pada tabel berikut:
Tabel : 2.1 Kebijakan Keamanan Klausul : 5 Kebijakan Keamanan
Kategori Keamanan Utama : 5.1 Kebijakan Keamanan Informasi
Kontrol Objektif : memberikan arahan kepada manajemen organisasi dan dukungan untuk keamanan Informasi dalam hubungannya dengan persyaratan bisnis organisasi, hukum dan aturan yang sedang berlaku
5.1.1 Dokumen Kebijakan Keamanan Informasi Kontrol:
Dokumen Kebijakan Keamanan Informasi harus disetujui oleh pihak manajemen, dipublikasikan dan dikomunikasikan kepada seluruh pegawai dan pihak-pihak lain yang relevan
5.1.2 Tinjauan Ulang kebijakan Keamanan Informasi Kontrol:
Kebijakan Keamanan Informasi harus ditinjau ulang secara berkala, jika terjadi perubahan harus dipastikan hal tersebut merupakan pengembangan dari kebijakan sebelumnya sehingga menjadi lebih sesuai, menccukupi kebutuhan organisasi dan lebih efektif dalam pelaksanaannya
2.4.2 Klausul 6 : Organisasi Keamanan Informasi
Organization of information security (organisasi keamanan informasi) adalah uraian tentang organisasi yang ditetapkan untuk mengelola dan mengkoordinasikan aspek keamanan informasi dari suatu instansi/lembaga serta uraian peran dan tanggung jawabnya. Berikut tabel Organisasi Keamanan Informasi :
Tabel : 2.2 Organisasi Keamanan Informasi Klausul : 6 Organisasi Keamanan Informasi
Kategori Keamanan utama : 6.1 Organisasi internal
Objektif Kontrol : Bagaimana mengelola Keamanan Informasi di dalam organisasi 6.1.1 Komitmen pihak manajemen terhadap keamanan informasi Kontrol :
Pihak manajemen harus secara aktif memberikan dukungan tentang keamanan dalam organisasi melalui arahan dan komitmen yang jelas serta rasa tanggung jawab terhadap keamanan informasi
6.1.2
Koordinasi Keamanan Informasi
Kontrol :
Aktivitas Keamanan Informasi harus selalu dokoordinasikan dalam organisasi oleh suatu perwakilan (salah satu sub bagian organisasi) yang ditunjukan berdasar aturan yang relevan dan sesuai tugas dan fingsingya
6.1.3 Pembagian tanggung jawab Keamanan Informasi Kontrol :
Tanggung jawab Keamanan Informasi di dalam organisasi harus didefinisikan dengan jelas.
6.1.4 Proses otorisasi untuk akses ke fasilitas pemrosesan Informasi Kontrol:
Manajemen otorisasi untuk fasilitas-fasilitas baru pemrosesan Informasi yang baru harus
didefinisikan dan diimplementasikan
6.1.5 Perjanjian kerahasiaan
Kontrol:
Persyaratan kerahasiaan atau perjanjian kerahasiaan yang diperlukan dalam organisasi untuk melindungi informasi harus didefinisikan dan dikaji secara regular sesuai dengan perkembangan organisasi
6.1.6 Hubungan dengan pihak-pihak (vendor) legal Kontrol:
Hubungan baik dengan pihak-pihak legal harus dipelihara dan dibina
6.1.7 Hubungan dengan lembaga-lembaga atau organisasi tertentu Kontrol:
Hubungan baik dengan lembaga, organisasi, forum atau perkumpulan dalam hal keamanan informasi harus selalu dibina.
6.1.8 Kaji ulang secara independen terhadap keamanan informasi Kontrol:
Dokumen kebijakan keamanan informasi organisasi, yang berisi kebijakan, tanggungjawab keamanan informasi dan implementasinya perlu dikaji-ulang secara independen dan berkala untuk memberikan kepastian bahwa telah berjalan dan efektif dalam organisasi atau jika terjadi perubahan implementasi keamanan informasi
Kategori Keamanan utama : 6.2 Pihak Eksternal
Objektif Kontrol : untuk menjaga keamanan informasi dan fasilitas
pemrosesan informasi organisasi yang diakses, diproses, dikomunikasikan atau dikelola oleh pihak ketiga.
6.2.1 Identifikasi risiko terhadap hubungannya dengan pihak lain Kontrol:
Risiko terhadap informasi dan fasilitas pemrosesan informasi karena proses bisnis yang melibatkan pihak ketiga harus didefinisikan dan diterapkan control yang tepat sebelum dilakukan akses.
6.2.2 Akses Keamanan dalam hubungan dengan pelanggan Kontrol:
Seluruh persyaratan keamanan kepada pelanggan harus diidentifikasikan dan di jelaskan sebelum organisasi memberikan hak akses terhadap informasi dan fasilitas pemrosesan keamanan
2.4.3 Klausul 7 : Manajemen Aset
Asset management (manajemen aset) didefinisikan menjadi sebuah proses pengelolaan aset (kekayaan) baik berwujud dan tidak berwujud yang memiIiki nilai ekonomis, nilai komersial, dan nilai tukar, mampu mendorong tercapainya tujuan dari individu dan organisasi. MeIaIui proses manajemen planning,
organizing, leading dan controling. bertujuan mendapat keuntungan dan
mengurangi biaya (cost) secara efisien dan effektif. Berikut tabel Manajemen Aset:
Tabel : 2.3 Manajemen Aset Klausul : 7 Manajemen Aset
Kategori Keamanan Utama : 7.1 Tanggung Jawab Terhadap Aset
Objektif kontrol : untuk memenuhi perIindungan dan pemeliharaan terhadap aset organisasi
7.1.1 Inventarisasi terhadap aset
Kontrol :
Seluruh aset organisasi harus diinventarisasi dan dipeIihara
7.1.2 Kepemilikan aset
Kontrol :
Seluruh informasi dan aset yang berhubungan dengan fasiIitas pemrosesan Informasi harus ditentukan kepemilikannya sesuai ketentuan organisasi informasi. 6.2.3 Melibatkan persyaratan keamanan daIam perjanjian dengan pihak ketiga Kontrol:
Perjanjian dengan pihak ketiga yang meliputi pengaksesan, pemrosesan, komunikasi dan pengelolaan informasi organisasi atau penambahan produk terhadap fasilitas pemrosesan informasi, harus melibatkan seluruh persyarata keamanan yang dibutuhkan organisasi.
7.1.3 Aturan
penggunaan aset
Kontrol :
Aturan-aturan penggunaan informasi yang berhubungan dengan fasilitas pemrosesan informasi harus diidentifikasikan dan diimlementasikan
Kategori Keamanan Utama : 7.2 klasifikasi Informasi
Objektif kontrol : untuk memastikan bahwa setiap daIam organisasi mendapatkan keamanan yang memadai
7.2.1 Aturan Klasifikasi
Kontrol :
Informasi harus diklasifikasikan menurut niIainya, kepentingan dan tingkat kritikaInya terhadap organisasi 7.2.2 Penanganan dan pelabelan informasi Kontrol :
Suatu prosedur yang cukup memadai harus dibuat untuk peIabeIan dan penanganan informasi sesuai dengan skema klasifikasi informasi yang telah ditentukan oleh organisasi
2.4.4 Klausul 8 : Keamanan Sumber Daya Manusia
Keamanan sumber daya manusia adalah organisasi harus menetapkan dan menyediakan sumberdaya manusia yang dibutuhkan untuk menerapkan, mengoprasikan, memantau, meningkatkan dan memeIihara keamanan informasi. Berikut tabel Keamanan Sumber Daya Manusia :
Tabel 2.4 Keamanan Sumber Daya Manusia Klausul : 8 Keamanan Sumber Daya Manusia
Kategori Keamanan Utama : 8.1 Sebelum Menjadi Pegawai
Objektif kontrol : untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimaIkan risiko pencurian atau kesalahan dalam penggunaan fasilitas Informasi
8.1.1
Aturan dan tanggung jawab keamanan
Kontrol :
Aturan-aturan dan tanggung jawab keamanan dari pegawai, kontraktor dan pengguna plhak ketiga
harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi
8.1.2 Seleksi
Kontrol :
Pemeriksaan atau screening terhadap pegawai harus dilakukan pada saat lamaran kerja, pemeriksaan harus sesuai dengan hukum, golongan, kebutuhan persyaratan bisnis, klasifikasi informasi yang akan diakses pegawai dan risiko yang mungkin dihadapi oleh organisasi
8.1.3 Persyaratan dan kondisi yang harus dipenuhi oleh pegawai Kontrol :
Bahwa calon pegawai atau plhak ketiga harus setuju dengan persyaratan dan kondisi yang ditetapkan oleh organisasi dan harus menjadi bagian dengan kontrak kerja pegawai
Kategori Keamanan Utama : 8.2 Selama menjadi Pegawai
Objektif kontrol : untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan (human Error) dan risiko yang hadapi oleh organisasi
8.2.1 Tanggung jawab manajemen
Kontrol :
Manajemen harus mensyaratkan seluruh pegawai, kontraktor atau pihak ketiga untuk mengaplikasikan Keamanan Informasi yang telah dibangun 8.2.2 Pendidikan dan peatihan keamanan informasi KontroI :
Seluruh pegawai di dalam organisasi, kontraktor atau pihak ketiga yang relevan harus mendapat pelatihan yang cukup dan relevan sesuai deskripsi kerja masing-masing tentang kepedulian kemanan informas. Hal ini dilakukan secara regular sesuai dengan perubahan kebijakandan prosedur di organisasi
8.2.3 Proses kedisiplinan
KontroI :
Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga keamanan informasi Kategori Keamanan Utama : 8.3 Pemberhentian atau Pemindahan Pegawai
Objektif kontroI : untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindahkan dilakukan sesuai prosedur yang benar
8.3.1 Tanggung jawab pemberhentian
Kontrol :
Tanggung jawab terhadap pemberhentian atau pemindahan pegawai, kontraktor atau pihak ketiga harus didefinisikan dan dirujuk dengan jelas
8.3.2 Pengembalian aset-aset
Kontrol :
Seluruh pegawai, kontraktor atau pihak ketiga harus mengembalikan semua aset organisasi yang dipakai saat mereka dinyatakan berhenti atau dipindahkan menurut perjanjian kontrak pegawainya.
8.3.3 Penghapusan hak ases
Kontrol :
Hak akses pegawai, kontraktor atau pihak ketiga tehadap informasi dan fasilitas pemrosesan informasi harus dihapus sejak mereka dinyatakan berhenti atau dipindahkan sesuai dengan perjanjlan kontrak mereka.
2.4.5 Klausul 9 : Keamanan Fisik dan Lingkungan
Keamanan fisik dan lingkungan adalah untuk mencegah akses tanpa otoritas, kerusakan, dan gangguan terhadap tempat dan informasi bisnis. Fasilitas pemrosesan informasi bisnis harus berada di wilayah yang aman, terlindungi secara aman dengan sistem pengamanan dan kontrol masuk yang memadai. Fasilitas tersebut harus dilindungi secara fisik dari akses tanpa ijin, kerusakan dan gangguan. Perlindungan harus disesuaikan dengan identifikasi resiko. Berikut tabel keamanan fisik dan lingkungan:
Tabel 2.5 Keamanan Fisik dan Lingkungan Klausul : 9 Keamanan Fisik dan Lingkungan
Kategori Keamanan Utama : 9.1 Wilayah Aman
Objektif kontrol : untuk mencegah akses fisik tanpa hak, kerusakan dan gangguan terhadap informasi dan perangkatnya dalam organisasi
9.1.1 Pembatas Keaman fisik
Kontrol :
Pembatas keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan informasi dan perangkat pemrosesan informasi
9.1.2 Kontrol masuk fisik
Kontrol :
Wilayah aman (secure) harus dilindungi dengan kontrol akses masuk yang memadai untuk memastikan hanya orang yang berhak saja dibolehkan masuk. 9.1.3 Keamanan kantor, ruang dan fasilitasnya Kontrol :
Keamanan kantor untuk fisik, ruang dan fasilitasnya harus disediakan dan diimplementasikan
9.1.4
Perlindungan terhadap ancaman dari luar dan lingkungan
sekitar
Kontrol :
Perlindungan fisik terhadap kerusakan karena kebakaran, banjir, gempa bumi, ledakan, gedung roboh dan lain-lain baik dari alam maupun ulah manusia harus didesain dan diimplementasikan
9.1.5 Bekerja di wilaya aman
Kontrol :
Perlindungan fisik dan tata cara bekerja di wilayah aman (secure) harus didesain dan diimplementasikan 9.1.6 Akses publik, tempat pengiriman dan penurunan barang Kontrol :
Tempat-tempat pengiriman dan penurunan barang, serta tempat lain dimana orang keluar masuk, harus dikontrol, jika memungkinkan pisahkan dengan tempat penyimpanan informasi serta fasilitas pemrosesan informasi, untuk menghindari adanya pengaksesan secara tidak berhak
Kategori Keamanan Utama : 9.2 Keamanan Peralatan
Objektif kontrol : untuk mencegah kehilangan, kerusakan, pencurian atau ketidakberesan aset dan gangguan terhadap aktivitas organisasi
9.2.1
Letak peralatan dan
pengamanannya
Kontrol :
Semua peralatan harus ditempatkan dengan tepat dan dilindungi untuk mengurangi risiko dari ancaman dan bahaya dari lingkungan sekitar atau kesempatan untuk diakses dari orang-orang yang tidak berhak
9.2.2 Utilitas pendukung
Kontrol :
Peralatan harus dilindungi terhadap kegagalan sumber daya atau gangguan lain yang
menyebabkan kegagalan terhadap utilitas pendukung (sumber dayalistrik, genset, dan lain-lain)
9.2.3 Keamanan pengkabelan
Kontrol :
Kabel daya dan telekomunikasi yang menyalurkan data layanan informasi harus dilindungi dari gangguan dan kerusakan
9.2.4 Pemeliharaan peralatan
Kontrol :
Peralatan harus dipelihara dengan benar untuk memastikan kesiapan dan keberlanjutan peralatan
9.2.5
Keamanan
peralatan diluar tempat yang tidak disyaratkan
Kontrol :
Keamanan harus diterapkan terhadap yang diletakan diluar tempat yang tidak diisyaratkan untuk menghindari risiko yang tidak diinginkan yang telah ditentukan oleh organisasi
9.2.6 Keamanan untuk pembuangan atau pemanfaatan kembali peralatan Kontrol :
Seluruh peralatan yang digunakan sebagai media penyimpanan harus diteliti dengan benar apakah masih menyimpan data-data penting saat sudah tidak digunakan, dibuang atau dimanfaatkan kembali, jika ya harus dilakukan pemusnahan atau penghapusan data terlebih dahulu
9.2.7 Hak Pemanfaatan
Kontrol :
Peralatan, informasi atau perangkat lunak tidak boleh diambil atau digunakan tanpa persetujuan terlebih dahulu
2.4.6 Klausul 10 : Manajemen Komunikasi dan Operasi
Manajemen komunikasi dan operasi adalah untuk menjamin bahwa fasilitas pemrosesan informasi berjalan dengan benar dan aman harus ditetapkan tanggung jawab dan prosedur untuk manajemen dan operasi seluruh fasilitas pemrosesan informasi. Hal ini mencakup pengembangan operasi yang tepat dan prosedur penanganan insiden. Dimana harus ditetapkan pemisah tugas untuk mengurangi
penyalahgunaan system karena kecerobohan atau kesenjangan. Berikut tabel manajemen komunikasi dan operasi :
Tabel 2.6 Manajemen Komunikasi dan Operasi Klausul : 10 Manajemen Komunikasi Dan Operasi
Kategori Keamanan Utama : 10.1 Tanggung Jawab dan Prosedur Operasional
Objektif kontrol : untuk memastikan keamanan oprasi dan tidak terjadi kesalahan dalam mengoprasikan fasilitas-fasilitas pemrosesan informasi
10.1.1 Pendokumentasian prosedur operasi
Kontrol :
Prosedur operasi harus didokumentasi, dipelihara dan harus selalu tersedia untuk semua pengguna jka dibutuhkan
10.1.2 Manajeme pertukaran
Kontrol :
Pertukaran fasilitas pemrosesan informasi dan sistem harus selalu dikontrol
10.1.3 Pemisahan tugas
Kontrol :
Tugas dan area tanggung jawab untuk melindungi aset informasi organisasi harus dipisah untuk mengurangi kesempatan diakses, dimodifikasi dan digunakan tanpa hak.
10.1.4 Pemisahan pengembangan, pengujian dan operasional informasi Kontrol :
Pengembangan, pengujian dan operasional informasi harus dipisahkan untuk meminimalkan risiko operasional sistem organisasi diakses atau diubah tanpa hak
Kategori Keamanan Utama : 10.2 Manajemen Pengiriman oleh Pihak Ketiga
Objektif kontrol : untuk mengimplementasikan dan memelihara tingkat kemanan informasi yang sesuai dalam hal layanan pengiriman yang berhubungan dengan perjanjian layanan pemgiriman dengan pihak ketiga
10.2.1 Layanan pengiriman
Kontrol :
Harus dipastikan bahwa kontrol keamanan, defines keamanan dan layanan pengiriman telah dimasukan kedalam perjanjian layanan dengan pihak ketiga, dioperasikan dan dipelihara oleh pihak ketiga
10.2.2 Pemantauan dan pengkajian ulang
Kontrol :
layanan pihak ketiga ulang kelayakannya 10.2.3 Manajemen penggantian layanan pihak ketiga Kontrol :
Proses penggantian penyediaan layanan oleh pihak ketiga harus dikelola dan dikaji ulang untuk menjamin terimplementasinya keamanan informasi dengan pihak ketiga.
Kategori Keamanan Utama : 10.3 Perencanaan Sistem dan Penerimaan Objektif kontrol : untuk meminimisasi kegagalan sistem
10.3.1 Manajemen kapasitas
Kontrol :
Penggunaan sumber daya harus dimonitor, disesuaikan dan direncanakan kebutuhannya (kapasitas dan persyaratannya) untuk memastikan dan menjaga performasi sistem
10.3.2 Penerimaan sistem
Kontrol :
Kriteria penerimaan untuk sistem informasi yang baru, pengembangan atau versi baru harus dibuat dan dilakukan pengujian yang layak selama pengembangannya sebelum diserahterimakan Kategori Keamanan Utama : 10.4 Perlindungan Terhadap Malicious dan Mobile Code
Objektif kontrol : untuk melindungi integritas perangkat lenak (software) dan informasi 10.4.1 Kontrol terhadap kode bahaya (malicious code) Kontrol :
Kontrol mendeteksi, mencegah, dan memulihkan untuk perlindungan terhadap malicious code serta prosedur yang tepat untuk memberikan kesadaran tentang hal tersebut harus dibuat dan diimplementasikan
10.4.2 Kontrol terhadap
mobile code
Kontrol :
Jika penggunaan mobile code di ijinkan, harus dipastikan bahwa dalam penggunaan mobile code telah didefinisikan kebijakan kemanannya dan dicegah darieksekusi yang tidak berhak
Kategori Keamanan Utama : 10.5 Back-Up
Objektif kontrol : untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesan informasi
10.5.1 Back-up informasi
Kontrol :
Back-up copy informasi dan software harus
dilakukan dan diuji secara berkala menurut kebijakan kemanan informasi yang sudah
ditentukan
Kategori Keamanan Utama : 10.6 Manajemen Keamanan Jaringan
Objektif kontrol : untuk memastikan keamanan pengiriman informasi di jaringan dan serta melindungi infrastruktur pendukungnya
10.6.1 Kontrol jaringan
Kontrol :
Jaringan harus selalu di kelola dan dikontrol untuk mencegah dari ancaman dan gangguan serta memelihara keamanan sistem dan aplikasi dalam penggunaan jaringan termasuk dalam pengiriman informasi
10.6.2 Keamanan dalam layanan jaringan
Kontrol :
Fitur keamanan, level layanan dan persyaratan manajemen untuk seluruh layanan jaringan harus di identifikasi dan dimasukan dalam perjanjian layanan jaringan disediakan oleh pihak ketiga Kategori Keamanan Utama : 10.7 Penanganan Media
Objektif kontrol : untuk mencegah pengaksesan, modifikasi, penghapusan atau pengrusakan aset secara ilegal serta gangguan aktifitas bisnis
10.7.1
Manajemen pemindahan media
Kontrol :
Harus ada prosedur untuk manajemen pemindahan media 10.7.2 Pemusnahan atau pembuangan media Kontrol :
Media harus dimusnahkan atau dibuang secara aman jika telah tidak digunakan menggunakan prosedur yang formal
10.7.3
Prosedur penanganan informasi
Kontrol :
Prosedur untuk penanganan dan penyimpanan informasi harus dibuat untuk menjaga informasi agar tidak diakses atau digunakan secara ilegal 10.7.4
Keamanan dokumentasi sistem
Kontrol :
Dokumentasi sistem harus dijaga terhadap akses ilegal
Kategori Keamanan Utama : 10.8 Pertukaran Informasi
Objektif kontrol : untuk memelihara keamanan pertukaran informasi dan perangkat lunak di dalam organisasi dan dengan pihal luar
10.8.1 Kebijakan dan prosedur pertukaran informasi Kontrol :
Kebijakan, prosedur atau aturan pertukaran informasi harus dibuat untuk mencegah pertukaran informasi melalui penggunaan semua tipe fasilitas komunikasi
10.8.2 Perjanjian pertukaran
Kontrol :
Perjanjian harus dibuat untuk pertukaran informasi dan perangkat lunak antara organisasi dari pihak ketiga
10.8.3 Transportasi media fisik
Kontrol :
Media yang berisikan informasi harus dilindungi dari pengaksesan dan penggunaan ilegal atau kerusakan selama transportasi di luar organisasi
10.8.4 Pesan elektronik
Kontrol :
Informasi yang meliputi pesan elektronik harus dilindungi dengan benar
10.8.5 Sistem informasi bisnis
Kontrol :
Kebijakan dan prosedur harus dibuat dan diimplementasikan untuk melindungi informasi yang berhubungan dengan sistem informasi bisnis Kategori Keamanan Utama : 10.9 Layanan E-commerce
Objektif kontrol : untuk memastikan keamanan dalam layanan dan penggunaan E-commerce
10.9.1 E-commerce
Kontrol :
Informasi yang meliputi layanan E-commerce melalui jaringan publik harus dilindungi dari aktifitas yang bisa merusak, penyalagunaan kontrak layanan dan pengaksesan atau modifikasi secara ilegal
10.9.2 Transaksi On-line
Kontrol :
Informasi yang menggunakan transaksi on-line harus dilindungi dari pentransmisian tidak sempurna, kesalahan routing, penghapusan, pengaksesan, penduplikasian dan re-ply informasi secara ilegal
10.9.3 Informasi untuk publik
Kontrol :
Keutuhan informasi yang dapat diakses oleh publik harus selalu dijaga untuk mencegah pemodifikasian secara ilegal
Kategori Keamanan Utama : 10.10 Monitoring
Objektif kontrol : untuk mendeteksi aktifitas pemrosesan informasi secara ilegal aktivities
10.10.1 Rekaman Audit
Kontrol :
Rekaman Audit yang menyimpan aktivitas user, kelainan-kelainan dan kejadian keamanan informasi harus dibuat dan disimpan dalam
periode tertentu untuk kebutuhan penyelidikan dan monitoring kontrol akses
10.10.2
Monitoring penggunaan sistem
Kontrol :
Prosedur untuk monitoring penggunaan fasilitas pemrosesan informasi harus dibuat dan hasil dari aktivitas monitoring harus ditinjaun secara berkala.
10.10.3 Proteksi catatan informasi
Kontrol :
Fasilitas log dan log informasi harus dilindungi dari gangguan dari akses ilegal
10.10.4
Catatan
administrator dan operator
Kontrol :
Aktivitas sistem administrator dan operator harus direkam
10.10.5 Catatan kesalahan
Kontrol :
Kesalahan harus di rekam, di analisa untuk mengambil tindakan yang tepat
10.10.6 Sinkronisasi waktu
Kontrol :
Waktu untuk seluruh pemrosesan informasi yang relevan di dalam organisasi serta domain keamanannya harus di sinkronisasikan berdasarkan perjanjian waktu yang ditetapkan.
2.4.7 Klausul 11 : Kontrol Akses
Kontrol akses adalah untuk mencegah akses tanpa ijin terhadap sistem informasi. Akses kontrol adalah bagaimana hanya administrator yang mempunyai akses kontrol saja yang dapat mengakses tempat pemrosesan informasi. Berikut tabel kontrol akses :
Tabel 2.7 Kontrol Akses Klausul : 11 Kontrol Akses
Kategori Keamanan Utama : 11.1 Persyaratan Bisnis untuk Akses Kontrol Objektif kontrol : untuk mengontrol akses informasi
11.1.1 Kebijakan Akses kontrol
Kontrol :
Suatu kebijakan kontrol akses harus dibuat, didokumentasi dan dikaji ulang berdasarkan
kebutuhan bisnis dan keamanan akses Kategori Keamanan Utama : 11.2 Manajemen Akses User
Objektif kontrol : untuk memastikan pengguna yang mempunyai hak akses ke sistem informasi dan yang tidak
11.2.1 Registrasi pengguna
Kontrol :
Harus ada prosedur formal untuk registrasi dan penghapusan user atau pengguna untuk pemberian dan pencabutan akses keseluruhan sistem informasi dan layanannya
11.2.2
Manajemen hak istimewa atau khusus
Kontrol :
Alokasi penggunaan hak akses istimewa atau khusus harus dibatasi dan diatur
11.2.3 Manajemen
password user
Kontrol :
Pembuatan dan penggunaan password harus diatur melalaui proses manajemen yang formal
11.2.4
Tinjauan
terhadap hak akses user
Kontrol :
Manajemen harus melakukan tinjauan ulang terhadap hak akses user secara berkala melalui proses yang formal.
Kategori Keamanan Utama : 11.3 Tanggung Jawab Pengguna (User)
Objektif kontrol : untuk mencegah akses user tanpa hak atau pencurian informasi dan fasilitas pemrosesan
11.3.1 Pengguna
password
Kontrol :
Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan
password 11.3.2 Peralatan pengguna yang tanpa penjagaan Kontrol :
Pengguna harus memastikan bahwa untuk peralatan yang tanpa penjagaan memiliki perlindungan yang memadai
11.3.3
Kebijakan clear
desk dan clear screen
Kontrol :
Kebijakan clear desk untuk kertas dan media penyimpanan bergerak atau portable dan kebijakan
clear screen untuk fasilitas pemrosesan informasi
harus dijalankan
Kategori Keamanan Utama : 11.4 : Kontrol Akses Jaringan
Objektif kontrol : untuk mencegah akses tanpa hak ke dalam layanan jaringan
11.4.1
Kebijakan pengguna layanan jaringan
Kontrol :
Pengguna seharusnya hanya disediakan akses terhadap layanan yang telah secara spesifik diotorifikasi dalam penggunaannya
11.4.2 Otentikasi pengguna untuk melakukan koneksi keluar Kontrol :
Metode otentifikasi yang tepat seharusnya digunakan untuk akses konntrol dengan meremote pengguna 11.4.3 Identifikasi peralatan di dalam jaringan Kontrol :
Identifikasi peralatan otomatis seharusnya dipertimbangkan sebagai alat untuk mengotentifikasi koneksi dari lokasi dan peralatan yang spesifik 11.4.4 Perlindungan remote diagnostic dan konfigurasi port Kontrol :
Akses fisik dan logis untuk mendiagnosa dan mengkonfigurasi port seharusnya dikontrol.
11.4.5 Pemisahan dalam jaringan
Kontrol :
Grup layanan informasi, pengguna dan sistem informasi seharusnya dipisahkan dalam jaringan
11.4.6 Kontrol terhadap koneksi jaringan
Kontrol :
Untuk jaringan yang di-share terutama yang diperluas di seluruh batasan perusahaan, kemampuan pengguna untuk terhubung dalam jaringan seharusnya dibatasi dan sejalan dengan kebijakan kontrol akses dan syarat aplikasi bisnis
11.4.7 Kontrol terhadap routing jaringan
Kontrol :
Kontrol routing seharusnya diimplementasikan terhadap jaringan untuk memastikan bahwa koneksi komputer dan aliran informasi ridak melanggar kebijakan kontrol akses dari aplikasi bisnis
Kategori Keamanan Utama : 11.5 : Kontrol Akses Sistem Operasi Objektif kontrol : untuk mencegah akses tanpa hak ke sistem operasi 11.5.1 Prosedur Log-On
yang aman
Kontrol :
Akses terhadap sistem operasi seharusnya dikontrol dengan prosedur log-on yang aman
11.5.2
Identifikasi dan autentikasi pengguna
Kontrol :
Seluruh pengguna harus mempunyai ID yang unik untuk penggunaan pribadi dan teknik autentikasi yang tepat harus dipilih untuk memastikan identitas pengguna 11.5.3 Sistem manajemen password Kontrol :
Sistem yang digunakan untuk mengelola password harus interaktif dan harus dipastikan password nya berkualitas
11.5.4 Pengguna utilitas sistem
Kontrol :
Penggunaan program utilitas yang mengkin mampu menolak sistem dan aplikasi seharusnya dibatasi dan dikotrol secara ketat.
11.5.5 Sesi time-out
Kontrol :
Sesi yang tidak aktif seharusnya dimatikan setelah periode tidak aktif yang terdefinisi
11.5.6 Batasan waktu koneksi
Kontrol :
Batasan dalam waktu koneksi seharusnya digunakan untuk penyediaan keamanan tambahan untuk aplikasi yang tingkat risikonya tinggi.
Kategori Keamanan Utama : 11.6 : Kontrol Akses Informasi dan Aplikasi Objektif kontrol : untuk mencegah akses tanpa hak terhadap informasi yang terdapat di dalam aplikasi
11.6.1 Pembatasan akses informasi
Kontrol :
Akses terhadap informasi dan sistem aplikasi oleh pengguna harus dibatasi sesuai dengan kebijakan yang ditentukan 11.6.2 Pengisolasian sistem yang sensitif Kontrol :
Sistem yang sensitif seharusnya memiliki lingkungan komputer tertentu (terisolir)
Kategori Keamanan Utama : 11.7:Komputasi Bergerak dan Bekerja Dari Lain Tempat (Teleworking)
Objektif kontrol : untuk memastikan keamanan informasi saat menggunakan fasilitas komputasi bergerak atau bekerja dari lain tempat
11.7.1
Komunikasi dan terkomputerisasi yang bergerak
Kontrol :
Kebijakan secara formal sharusnya ditempatkan dan pengukuran keamanan yang sesuai seharusnya diadopsi untuk melindungi risiko dari pengunaan fasilitas komunikasi dan komputer yang bergerak
11.7.2 Teleworking
Kontrol :
Kebijakan, rencana operasional dan prosedur seharusnya dikembangkan dengan diimplementasikan untuk aktivitas teleworking
2.4.8 Klausul 12 : Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan
Akuisisi sistem informasi, pembangunan dan pemeliharaan adalah untuk memastikan bahwa keamanan dibangun dalam sistem informasi. Persyaratan keamanan sistem mencakup infrastruktur, aplikasi bisnis dan aplikasi yang dikembangkan pengguna. Berikut tabel akuisisi sistem informasi, pembangunan dan pemeliharaan:
Tabel 2.8 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan Klausul : 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan Kategori Keamanan Utama : 12.1 : persyaratan keamanan untuk sistem informasi
Objektif kontrol : untuk memastikan bahwa keamanan adalah bagian dari sistem informasi 12.1.1 Analisis dan spesifikasi persyaratan keamanan Kontrol :
Persyaratan kebutuhan bisnis untuk sistem informasi yang baru atau pengembangan sistem informasi yang sudah ada harus dimasukan juga persyaratan kontrol keamanan
Kategori Keamanan Utama : 12.2 : pemrosesan yang benar dalam aplikasi Objektif kontrol : untuk mencegah kesalahan, kehilangan, modifikasi tanpa hak tau kesalahan penggunaan informasi dalam aplikasi
12.2.1 Validasi data input
Kontrol :
Input data harus divalidasi untuk memastikan data adalah benar dan cocok (yang dibutuhkan)
12.2.2
Kontrol untuk pemrosesan internal
Kontrol :
Cek validasi harus disediakan aplikasi untuk mendeteksi adanya kerusakan (corrupt) informasi dalam kesalahan proses atau pengiriman
12.2.3 Integritas pesan
Kontrol :
Persyaratan untuk memastikan dalam aplikasi untuk mendeteksi adanya pesan dalam aplikasi harus diidentifikasikan dan kontrol-kontrol yang tepat harus di idetifikasi dan diimplementasikan
12.2.4 Validasi data
output
Kontrol :
Output data dari aplikasi harus divalidasi untuk
memastikan bahwa pemrosesan informasi yang disimpan benar dan siklusnya sesuai.
Kategori Keamanan Utama : 12.3 : Kontrol Kriptografi
Objektif kontrol : untuk melindungi kerahasian, autentifikasi dan keutuhan informasi dengan menggunakan sistem kriptografi
12.3.1 Kebijakan dalam penggunaan kontrol kriptografi Kontrol :
Kebijakan penggunaan kontrol kriptografi untuk proteksi informasi seharusnya dikembangkan dan diimplementasikan
12.3.2 Manajemen kunci
Kontrol :
Pihak manajemen kunci seharusnya ditempatkan untuk memberikan dukungan terhadap penggunaan teknik kriptografi oleh perusahaan
Kategori Keamanan Utama : 12.4 : Keamanan File sistem Objektif kontrol : untuk memastikan keamanan file sistem 12.4.1
Kontrol oprasioanal
software
Kontrol :
Harus ada prosedur untuk mengontrol instansi dan operasional sistem software
12.4.2
Perlindungan data pengujian sistem
Kontrol :
Pengujian data harus dipilih dengan hati-hati, dilindungi dan di kontrol
12.4.3 Kontrol akses ke
source program
Kontrol :
Akses ke source program harus dibatasi
Kategori Keamanan Utama : 12.5 : Keamanan dalam pembangunan dan proses-proses pendukung
Objektif kontrol : untuk memelihara keamanan informasi dan aplikasi software 12.5.1 Prosedur perubahan kontrol Kontrol :
Implementasi perubahan kontrol harus di kontrol dengan menggunakan prosedur formal perubahan kontrol 12.5.2 Tinjauan teknis aplikasi setelah dilakukan perubahan sistm operasi Kontrol :
Jika sistem operasi berubah,aplikasi untuk bisnis yang kritis harus di uji untuk memastikan tidak ada pengaruhnya terhadap operasional dan keamanan organisasi 12.5.3 Pembatasan perubahan paket software Kontrol :
Modifikasi terhadap paket software harus dijaga, dibatasi hanya perubahan yang perlu saja dan seluruh perubahan harus dikontrol
12.5.4 Kelehaman informasi
Kontrol :
Peluang adanya kelemahan informasi harus dicegah
12.5.5
Pembangunan software yang di-outsource-kan
Kontrol :
Outsourcing pembangunan software harus di
kendalikan dan di monitor oleh organisasi
Kategori Keamanan Utama : 12.6 : Manajemen Teknik Kelemahan (Vulnerability)
Objektif kontrol : untuk mengurangi risiko yang disebabkan oleh terpublikasinya teknik-teknik kelemahan yang dimiliki.
12.6.1 Kontrol terhadap kelemahan secara teknis (Vulnerability) Kontrol :
Informasi yang tepat waktu terkait dengan kelemahan teknis dari sistem informasi yang digunakan seharusnya diproleh, pembongkaran organisasi terhadap kelemahan yang dievaluasi dan pengukuran secara tepat diambil untuk mengetahui risiko yang terkait
2.4.9 Klausul 13 : Manajemen Kejadian Keamanan Informasi
Manajemen kejadian keamanan informasi adalah untuk memanajemen agar satu atau serangkaian kejadian keamanan informasi yang tidak diinginkan atau tidak diharapkan yang mempunyai kemungkinan secara signifikan dapat mengganggu operasi bisnis dan mengancam keamanan informasi.
Tabel 2.9 Manajemen Kejadian Keamanan Informasi Klausul : 13 Manajemen Kejadian Keamanan Informasi
Kategori Keamanan Utama : 13.1 pelaporan kejadian dan kelemahan keamanan informasi
Objektif kontrol : untuk memastikan kejadian dan kelemahan keamanan sistem informasi dikomunikasikan dan di tangani tepat waktu
13.1.1 Pelaporan kejadian keamanan informasi Kontrol :
Kejadian kemanan informasi harus dilaporkan melalui mekanisme yang sesuai secepat mengkin
13.1.2
Pelaporan kelemahan keamanan
Kontrol :
Seluruh karyawan, kontraktor dan pengguna pihak ketiga dari sistem informasi dan layanan seharusnya disyaratkan untuk mencatat dan melaporkan temuan/dugaan apapun dari kelemahan keamanan dalam sistem/layanan
Kategori Keamanan Utama : 13.2 manajemen kejadian keamanan informasi dan pengembangannya
Objektif kontrol : untuk memastikan konsistensi dan ke efektifitasan pendekatan yang di aplikasikan ke dalam manajemen kejadian keamanan informasi
13.2.1 Tanggung jawab dan prosedur
Kontrol :
Tanggung jawab manajemen dan prosedur-prosedur harus dibuat untuk memastikan kecepatan dan keefektifitasan dalam penanganan kejadian keamanan informasi 13.2.2 Belajar dari kejadian keamanan informasi Kontrol :
Harus ada mekanisme yang memperlihatkan tipe, volume, dan biaya dari kejadian keamanan informasi yang dapat dihitung dan dimonitor
13.2.3 Pengumpulan bukti
Kontrol :
Dimana terdapat tindakan lanjutan terhadap orang atau perusahaan setelah insiden keamanan informasi melibatkan tindakan legal (baik sipil maupun kriminal), keberadaan bukti seharusnya dikumpulkan, dipelihara dan ditampilkan untuk memenuhi aturan untuk bukti dalam yuridiksi terkait
2.4.10 Klausul 14 : Manajemen Kelangsungan Bisnis (Business Continuity Management)
Manajemen kelangsungan bisnis adalah untuk menghadapi kemungkinan penghentian kegiatan usaha dan melindungi proses usaha dari kegagalan atau bencana. Proses manajemen kelangsungan usaha harus diterapkan untuk mengurangi kerusakan akibat bencana atau kegagalan sistem keamanan yang
mungkin terjadi seperti bencana alam, kecelakaan, kegagalan alat dan keterlambatan sampai ke tingkat yang dapat ditolerir melalui kombinasi pencegahan dan pemulihan kontrol. Berikut tabelnya:
Tabel 2.10 Manajemen Kelangsungan Bisnis
Klausul : 14 Manajemen Kelangsungan Bisnis (Business Continuity Management)
Kategori Keamanan Utama : 14.1: Aspek keamanan dalam manajemen kelangsungan bisnis
Objektif kontrol : untuk menghindari gangguan terhadap aktifitas bisnis serta untuk menjaga proses-proses bisnis yang kritis dari kegagalan dan dampak yang lebih besar atau bencana terhadap sistem informasi
14.1.1 Memasukan keamanan informasi dalam proses manajemen kelangsungan bisnis Kontrol :
Suatu proses yang terkelola harus dibangun dan dipelihara untuk kelangsungan bisnis organisasi dengan memperhatikan kebutuhan keamanan informasi untuk kelangsungan biasnis organisasi
14.1.2
Kelangsungan bisnis dan penilaian risiko
Kontrol :
Kejadian yang menyebabkan gangguan terhadap proses bisnis harus di identifikasi tingkat probalitasnya, dampak serta konsekuensinya terhadap keamanan informasi
14.1.3 Pembangunan dan implementasi rencana kelangsungan yang di dalamnya meliputi keamanan informasi Kontrol :
Perencanaan harus dibangun dan diimplementasikan untuk memelihara atau memulihkan operasi dan memastikan ketersediaan informasi sesuai level dan waktu kebutuhan saat terjadi gangguan dan kegagalan proses-proses bisnis yang kritis
14.1.4 Kerangka kerja rencana kelangsungan bisnis Kontrol :
Suatu kerangka kerja rencana kelangsungan bisnis harus dipelihara untuk memastikan seluruh rencana tetap berjalan untuk mempertahankan kekonsistenan persyaratan keamanan informasi serta untuk mengidentifikasi prioritas pengujian dan pemeliharaannya.
14.1.5 Pengujian, pemeliharaan, penilaian ulang rencana kelangsungan bisnis Kontrol :
Rencana kelangsungan bisnis harus diuji dan di perbarui secara berkala untuk memastikan selalu tetap sesuai dan efektif.
2.4.11 Klausul 15 : Kepatutan (Compliance)
Kepatutan adalah untuk menghindari pelanggaran terhadap hukum pidana maupun hukum perdata, perundangan, atau kewajiban kontrol serta ketentuan keamanan lainnya. Berikut tabel kepatutan:
Tabel 2.11 Kepatutan (Compliance) Klausul : 15 Kepatutan (Compliance)
Kategori Keamanan Utama : 15.1 : Kepatutan terhadap Persyaratan Legal Objektif kontrol : untuk mencegah pelanggaran terhadap hukum, perundangan, peraturan atau kewajiban kontrak dan suatu persyaratan keamanan 15.1.1 Identifikasi perundangan yang dapat diaplikasikan Kontrol :
Seluruh perundangan yang relevan, peraturan dan persyaratan kotrak harus didefinisikan, didokumentasi, dan dipelihara kesesuaiannya untuk setiap sistem informasi di dalam organisasi
15.1.2 Hak kekayaan intelektual
Kontrol :
Prosedur-prosedur yang tepat harus diimplementasikan untuk memastikan kesesuaiannya dengan perundangan, [eraturan dan perjanjian kontrak dalam penggunaan material yang dimungkinkan memiliki hak kekayaan intelektual dan atau penggunaan software yang legal 15.1.3 Perlindungan dokumen organisasi Kontrol :
Dokumen penting harus dilindungi dari kehilangan,kerusakan,pemalsuan dalam hubungannta trhadap perundangan, peraturan, kontrak dan kebtuhan bisnis.
15.1.4 Perlindungan data dan kerahasiaan informasi personal Kontrol :
Proteksi data dan privasi seharusnya dipastikan sesuai dengan perundangan, regulasi yang berlaku dan jika ada ketentuan kontrak
15.1.5 Pencegahan penyalagunaan fasilitas pemrosesan informasi Kontrol :
Pengguna harus dicegah untuk menggunakan fasilitas pemrosesan informasi untuk kepentingan atau tujuan diluar haknya
15.1.6 Pearturan kontrol kriptografi
Kontrol :
Kontrol kriptografi harus digunakan sesuai kepatutan dengan perjanjian yang disepakati, hukum dan peraturan yang relevan
Kategori Keamanan Utama : 15.2 : kepatutan dengan kebijakan keamanan, standard dan kepatutan teknik
Objektif kontrol : untuk memastikan kepatutan terhadap sistem didalam kebijakan keaman organisasi dan standar
15.2.1 Kepatutan dengan kebijakan keamanan dan standar Kontrol :
Manajer harus memastikan seluruh prosedur keamanan di dalam area tanggung jawab dilakukan dengan benar untuk mencapai kepatutan dengan standar yang ditetapkan
15.2.2 Pemeriksaan kepatutan teknik
Kontrol :
Sistem informasi harus diperiksa secara berkala agar memenuhi kepatutan keamanan standar yang diimplementasikan
Kategori Keamanan Utama : 15.3 : Audit sistem Informasi dan pertimbangan
Objektif kontrol : untuk memaksimalkan keefektifitasan dan meminimisasi interferensi dari atau ke dalam proses audit sistem informasi
15.3.1 Kontrol audit sistem informasi
Kontrol :
Kebutuhan audit dan aktivitas yang melibatkan pengecekan terhadap sistem operasional seharusnya teliti direncanakan dan disetujui untuk memininalkan risiko gangguan terhadap proses bisnis 15.3.2 Perlindungan terhadap perangkat audit sistem informasi Kontrol :
Akses ke perangkat audit sistem informasiharus dilindungi untuk mencegah kemungkinan penyalagunaan atau kompromi
2.5
Penelitian Sebelumnya
Penelitian sebelumnya dilakukan oleh Fine Ermana, dengan judul Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27001 pada PT. BPR JATIM. Berdasarkan penelitian yang telah dilakukan dapat disimpulkan bahwa dengan adanya audit independen dapat memberikan solusi yang tepat bagi peningkatan kelengkapan dan kematangan keamanan informasi.
Penelitian selanjutnya dilakukan oleh Titus Kristanto, Rachman Arief, Nanang Fakhrur Rozi, dengan judul Perancangan Audit Keamanan Informasi Berdasarkan Standar IOS 27001:2005 (Studi Kasus: Pt Adira Dinamika Multi Finance). Berdasarkan penelitian yang telah dilakukan dapat disimpulkan bahwa Perencanaan audit menghasilkan identifikasi ruang lingkup dalam menerapkan manajemen resiko. Langkah audit keamanan informasi dilakukan pembuatan pernyataan, penentuan nilai bobot, dan penentuan nilai kematangan.
PENUTUP
6.1 Simpulan
Kesimpulan berdasarkan hasil temuan audit keamanan sistem informasi yang telah dilakukan dengan menggunakan ISO 27001 dengan monitoring dan tinjauan SMKI dan perhitungan maturity level diketahui dengan melakukan pengamatan secara langsung dan wawancara kepada pihak UPT-SIM Universitas Bina Darma diperoleh data bahwa sistem manajemen keamanan informasi (SMKI) Universitas Bina Darma maturity level berada pada level 3,63 dapat dilihat pada halaman 93, pada level ini hampir setiap kontrol keamanan dari masing-masing klausul telah diimplementasikan.
6.2 Saran
Adapun saran yang diberikan penulis sebagai berikut :
1. Bagi Universitas Bina Darma Palembang sistem manajemen keamanan informasi pada tahap selanjutnya harus diimplementasikan secara baik, oleh karena itu harus ada tim khusus untuk melakukan sosisalisasi secara berkala untuk mencapainya.
2. Bagi penelitian selanjutnya pengukuran maturity level harus dilakukan optimalisasi proses implementasinya.
Felix Nugraha K, (2013). Jurnal : Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 Studi Kasus: PT. Karya Karang Asem indonesia.
Fine Ermana, (2008). Jurnal : Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27001 Pada PT. BPR JATIM. Surabaya..
IS/ISO/IEC 27001 Indian Standard, (2005). Information Technology-Security Techniques-Information Security Management System-Requirements. Miftakh Zein (2012). ISO 27001 Controls, Dipetik 14 November 2015,
http://www.zenshifu.com/iso27001-controls/
Muchlicin Riadi (2013). Definisi dan Tujuan Audi, Dipetik 29 Oktober 2015, http://www.kajianpustaka.com/2013/03/definisi-dan-tujuan-audit.html. Rian Anggara Sandika (2014).Jurnal : Audit Tata Kelola Jaringan Komputer Pada
Balai Karantina Pertanian Kelas 1 Palembang Menggunakan Standar ISO/IEC 27001.
Sarno, R. dan Iffano, I. (2009). Sistem Manajemen Keamanan Informasi. Surabaya: ITS Press.
Titus Kristanto, Rachman Arief, Nanang Fakhrur Rozi, (2014).Perancangan Audit Keamanan Informasi Berdasarkan Standar Iso 27001:2005 (Studi Kasus: Pt Adira Dinamika Multi Finance).
