ABSTRAK
Dengan perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan keamanan semakin meningkat, untuk itu perusahaan harus menerapkan mengatasi gangguan keamanan sistem informasi yaitu dengan menerapkan SMKI. Salah satu perusahaan yang menerapkan TI sebagai elemen pendukung adalah PT.KAI. Pada karya tulis ini difokuskan untuk menentukan kesesuaian PT.KAI itu sendiri berdasarkan klausul akuisisi pengembangan dan pemeliharaan sistem informasi, manajemen insisden keamanan, manajemen keberlanjutan bisnis, kesesuaian. Sumber data untuk menulis laporan Tugas Akhir ini adalah dari internet, ebook, buku teks. Sumber informasi perusahaan data perusahaan diperoleh melalui metode wawancara dan kuesioner. ISO 27001:2005 adalah sebuah metode khusus terstruktur tentang pengamanan informasi yang diakui secara internasional yang memberikan gambaran secara umum mengenaI apa-apa saja yang harus dilakukan untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan “best practise” dalam pengamanan informasi. Dari analisa yang dilakukan terhadap SMKI PT.KAI secara umum sudah dijalankan, namun diperlukan perubahan terhadap kebijakan ataupun prosedur.
iv
Universitas Kristen Maranatha
ABSTRACT
With the development of information technology is very rapid, the possibility of increasing security disturbances, for it companies should implement information systems security disorder overcome that is by applying the feature. One of the companies that implement IT as a supporting element is PT.KAI. In this paper is focused to determine the suitability of PT.KAI itself based on clause acquisition development and maintenance of information systems, the management of insisden security, business continuity management, compliance. The data source to write the final project report is from the internet, eBooks, textbooks. Company information corporate data sources obtained through interview and questionnaire methods. ISO 27001: 2005 is a special structured method of safeguarding internationally recognized information that provides an overview in General about what-what should be done to evaluate, implement and maintain information security in enterprises based on "best practise" in information security. From the analysis done to SMKI PT.KAI in General is already running, but necessary changes to policies or procedures.
DAFTAR ISI
PRAKATA ... i
ABSTRAK ... iii
ABSTRACT ... iv
DAFTAR ISI... v
DAFTAR GAMBAR ... vii
DAFTAR TABEL ... viii
DAFTAR LAMPIRAN ... x
DAFTAR SINGKATAN ... xi
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang Masalah ... 1
1.2 Rumusan Masalah ... 2
1.3 Tujuan Pembahasan ... 2
1.4 Ruang Lingkup Kajian ... 3
1.5 Sumber Data ... 4
1.6 Sistematika Penyajian ... 4
BAB II KAJIAN TEORI ... 6
2.1 Pengertian Sistem ... 6
2.2 Analisis Sistem ... 6
2.3 Pengertian Manajemen ... 7
2.3.1 Manajemen Sebagai Suatu Proses... 7
2.3.2 Manajemen Sebagai Suatu Kolektivitas ... 8
2.3.3 Manajemen Sebagai Suatu Ilmu dan Seni... 8
2.4 Keamanan Informasi ... 8
2.5 Manajemen Keamanan Informasi ... 10
2.6 Standar Sistem Manajemen Keamanan Informasi ... 12
vi
Universitas Kristen Maranatha 2.6.4 ISO/IEC 27006 –Requirements for Bodies Providing Audit and Certification
of Information Security Management Systems. ... 16
2.7 Dokumentasi Sistem Manejemen Keamanan Informasi ... 16
2.8 Detail Struktur Dokumen Kontrol Keamanan ISO 27001:2005 ... 18
2.9 GAP Analisis ... 27
BAB III ANALISIS DAN EVALUASI ... 31
3.1 Profil Perusahaan ... 31
3.2 Visi dan Misi ... 32
3.3 Unit TI pada PT.KAI ... 32
3.4 Strategi Penerapan TI pada PT.Kereta Api Indonesia ... 34
3.5 Tujuan Pengembangan SIstem dan TI ... 36
3.6 Tahapan Dalam Menganalisis SMKI ... 36
3.6.1 Dokumen yang dibutuhkan dalam Sistem Manajemen Keamanan Informasi38 3.6.2 Kesimpulan Kuesioner Awareness ... 41
3.6.3 Analisis Kuesioner Compliant... 41
3.6.4 Menetukan Action Required ... 44
3.6.5 Melihat Kesesuaian Terhadap Referensi ISO 27001:2005 & Pemberian Komentar. ... 46
BAB IV SIMPULAN DAN SARAN ... 80
4.1 Simpulan ... 80
4.2 Saran dan Rekomendasi... 81
DAFTAR PUSTAKA ... 90
DAFTAR LAMPIRAN ... 92
DAFTAR GAMBAR
Gambar 1 Hubungan antar standar SMKI ... 13
Gambar 2 Struktur Dokumentasi SMKI ... 17
Gambar 3 Contoh GAP Analisis ... 29
Gambar 4 Struktur Organisasi Pusat Sistem Informasi PT.KAI ... 33
viii
Universitas Kristen Maranatha
DAFTAR TABEL
Tabel I Peta PDCA dalam SMKI ... 14
Tabel II Detail dokumentasi ISO 27001:2005 ... 18
Tabel III Kesimpulan Kuesioner Awareness ... 41
Tabel IV Hasil Kuesioner Compliant ... 41
Tabel V Hasil Action Required ... 44
Tabel VI Analisis Kebutuhan Keamanan dan Spesifikasi ... 47
Tabel VII Validasi Data Masukan ... 48
Tabel VIII Pengolahan Pengendalian Internal ... 49
Tabel IX Integritas Pesan ... 49
Tabel X Validasi Data Masukan ... 50
Tabel XI Kebijakan Tentang Penggunaan Pengendalian Kriptografi ... 51
Tabel XII Manajemen Kunci ... 52
Tabel XIII Pengendalian Perangkat Lunak yang Operasional ... 53
Tabel XIV Perlindungan Data Uji Sistem ... 53
Tabel XV Pengendalian Akses terhadap Kode Sumber Program ... 54
Tabel XVI Prosedur Pengendalian Perubahan ... 55
Tabel XVII Review Aplikasi Setelah Perubahan Sistem Informasi ... 56
Tabel XVIII Perubahan Pembatasan Pada Paket Perangkat Lunak ... 57
Tabel XIX Kebocoran Informasi ... 58
Tabel XX Pengembangan Perangkat Lunak yang Dialihdayakan ... 58
Tabel XXI Pengendalian Kerawanan Teknis ... 59
Tabel XXII Pelaporan Kejadian Keamanan Informasi ... 60
Tabel XXIII Pelaporan Kelemahan Keamanan... 61
Tabel XXIV Tanggungjawab dan Prosedur ... 62
Tabel XXV Pembelajaran dari Insiden Keamanan Informasi ... 63
Tabel XXVI Pengumpulan Bukti ... 64
Tabel XXVII Memasukkan Keamanan Informasi Dalam Proses Manajemen Keberlanjutan Bisnis ... 65
Tabel XXVIII Keberlanjutan Bisnis dan Manajemen Resiko ... 66
Tabel XXIX Mengembangkan dan Menerapkan Rencana Keberlanjutan Termasuk Keamanan Informasi ... 67
Tabel XXX Kerangka Kerja Perencanaan Keberlanjutan Bisnis ... 68
Tabel XXXI Pengujian, Pemeliharaan dan Assesmen Ulang Rencana Keberlanjutan Bisnis... 69
Tabel XXXII Identifikasi Peraturan Hukum yang Berlaku... 70
Tabel XXXIII Hak Kekayaan Intelektual ... 71
Tabel XXXIV Perlindungan Rekaman Organisasi... 72
Tabel XXXVI Pencegahan Penyalahgunaan Fasilitas Pengolaan Informasi ... 74
Tabel XXXVII Regulasi Pengendalian Kriptografi ... 75
Tabel XXXVIII Pemenuhan Terhadap Kebijakan Keamanan dan Standar ... 76
Tabel XXXIX Pengecekan Pemenuhan Teknis ... 77
Tabel XL Pengendalian Audit Sistem Informasi ... 77
x
Universitas Kristen Maranatha
DAFTAR LAMPIRAN
Lampiran A Kuesioner Compliant ... 92
Lampiran B Kuesioner Awareness... 100
Lampiran C Policy ... 102
Lampiran D Prosedur ... 105
Lampiran D Work Instruction... 159
Lampiran F Record ... 166
Lampiran G IT Policy ... 169
Lampiran H Tata Kelola TI ... 172
Lampiran I Monitoring Server ... 176
Lampiran J Hak Akses Aplikasi ... 177
Lampiran K Organisasi dan Tata Laksana Unit Sistem Informasi ... 178
Lampiran L Daftar Software/Aplikasi Milik PT.KAI... 180
Lampiran M Change Request ... 182
DAFTAR SINGKATAN
Singkatan Istilah Arti Istilah
Doc Dokumen
PT.KAI PT.Kereta Api Indonesia (Persero)
SMKI Sistem Manajemen Keamanan Informasi
TI Teknologi informasi
1
Universitas Kristen Maranatha
BAB I PENDAHULUAN
1.1 Latar Belakang Masalah
Informasi adalah sebuah aset bisnis yang sebagaimana bisnis lainnya memiliki
nilai esensial dan karenanya harus dilindungi keamanannya. Seiring dengan
perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya
gangguan terkait keamanan semakin meningkat. Untuk itu perusahaan harus
menerapkan suatu kebijakan yang tepat dalam melindungi aset informasi yang
dimiliki, dimana perusahaan mengambil suatu kebijakan untuk mengatasi
gangguan keamanan sistem informasi yaitu dengan menerapkan SMKI.
ISO 27001:2005 (SMKI) adalah sebuah metode khusus yang terstruktur tentang
pengamanan informasi yang diakui secara internasional. ISO 27001:2005
merupakan SMKI atau Information Security Management System, biasa disebut
ISMS, yang memberikan gambaran secara umum mengenai apa saja yang
harus dilakukan oleh sebuah perusahaan dalam usaha mereka untuk
mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di
perusahaan berdasarkan “best practise” dalam pengamanan informasi.
PT.KAI merupakan perusahaan BUMN yang bergerak dalam bidang jasa
transportasi darat yang sudah menerapkan sistem informasi dalam menjalankan
usahanya. Dalam mendukung keamanan informasi PT.KAI diperlukannya suatu
standarisasi yang dapat mengelola insiden keamanan informasi misalnya
dengan untuk memastikan kejadian dan kelemahan informasi terkait dengan
sistem informasi dikomunikasikan sedemikian rupa sehingga memungkinkan
tindakan koreksi dilakukan tepat waktu, kemudian untuk memastikan bahwa
keamanan merupakan bagian utuh dari sistem informasi dalam melindungi
kerahasiaan, keaslian atau integritas informasi, serta pengelolaan yang benar
resiko terhadap kerawanan teknis yang dipublikasikan. PT.KAI juga harus dapat
mengatasi gangguan kegiatan bisnis dan juga kesesuaian terhadap
undang-undang peraturan dan kewajiban dalam memenuhi persyaratan keamanan.
1.2 Rumusan Masalah
Berdasarkan latar belakang masalah yang telah dijelaskan pada 1.1 maka
masalah yang akan dikaji dalam Tugas Akhir ini adalah sebagai berikut:
1. Apakah unit IT telah melakukan akuisisi terhadap pengembangan dan
pemeliharaan sistem informasi terkait keamanan dalam melindungi
kerahasiaan, keaslian atau integritas informasi pada PT.KAI?
2. Apakah unit IT telah mengelola insiden yang dilakukan keamanan
informasi untuk memastikan kejadian dan kelemahan informasi yang
terkait dalam sistem informasi pada PT.KAI?
3. Apakah unit IT telah mengatasi setiap gangguan teknis terkait keamanan
informasi agar tidak menggangu keamanan bisnis yang dilakukan pada
PT.KAI?
4. Apakah penggunaan sistem informasi sudah dijalankan sesuai dengan
peraturan ataupun undang-undang yang ditetapkan PT.KAI?
1.3 Tujuan Pembahasan
Adapun tujuan pembahasan dari Tugas kahir ini adalah sebagai berikut:
1. Untuk melindungi keaslian, kerahasiaan atau integritas informasi dari
setiap resiko yang terjadi pada PT.KAI .
2. Untuk memastikan setiap kelemahan dan kejadian terkait keamanan
sistem informasi dikomunikasikan dan diambil tindakan koreksi secara
tepat waktu.
3. Untuk melindungi kegiatan bisnis yang diakibatkan dari gangguan dan
kegagalan sistem informasi agar keberlanjutan bisnis dari PT.KAI dapat
Universitas Kristen Maranatha 4. Untuk mencegah terjadinya pelanggaran ataupun penyalahgunaan dari
sistem informasi yang dipakai oleh PT.KAI.
1.4 Ruang Lingkup Kajian
Ruang Lingkup kajian penelitian adalah sebagai berikut:
1. Analisis dilakukan pada PT.KAI Bandung.
2. ISO 27001:2005 merupakan SMKI atau Information Security
Management System memberikan gambaran secara umum mengenai
apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha
mereka untuk mengevaluasi, mengimplementasikan dan memelihara
keamanan informasi di perusahaan.
3. Menggunakan 4 kontrol yang terdapat di dalam ISO 27001:2005
a. Manajemen Insiden Keamanan Informasi
Sasaran dalam proses ini adalah untuk memastikan kejadian dan
kelemahan informasi terkait dengan sistem informasi
dikomunikasikan sedemikian rupa sehingga memungkinkan
tindakan koreksi dilakukan tepat waktu.
b. Akuisisi Pengembangan dan Pemeliharaan Sistem Informasi
Sasaran dalam proses ini adalah untuk memastikan bahwa
keamanan merupakan bagian utuh dari sistem informasi dalam
melindungi kerahasiaan, keaslian atau integritas informasi, serta
pengelolaan yang benar dalam perangkat lunak sistem aplikasi
dan informasi dan juga mengurangi resiko terhadap kerawanan
teknis yang dipublikasikan.
c. Manajemen Keberlanjutan Bisnis
Sasaran dalam proses ini adalah untuk menghadapi gangguan
kegiatan bisnis dan untuk melindungi proses bisnis kritis dari efek
kegagalan utama sistem informasi dan untuk memastikan
d. Kesesuaian
Sasaran dalam proses ini adalah untuk mencegah pelanggaran
terhadap undang-undang peraturan atau kewajiban dan
persyaratan keamanan.
1.5 Sumber Data
Metode penelitian yang digunakan dalam penyelesaian Tugas Akhir ini adalah:
1. Observasi
Melakukan pengamatan langsung terhadap objek yang dituju mengenai
mekanisme evaluasi dan perbaikan secara berkesinambungan pada
organisasi.
2. Wawancara
Berkomunikasi langsung dengan orang/pegawai di organisasi yang diteliti
untuk mendapatkan data dan informasi yang diperlukan dalam penelitian
ini.
3. Kuesioner
Memberikan beberapa pertanyaan secara tertulis kepada responden
untuk mendapatkan informasi informasi yang diperlukan dalam penelitian
ini.
4. Studi Literature
Menggunakan referensi dan metode penelitian dari buku, textbook, dan
e-book, artikel yang berkaitan dengan penelitian.
1.6 Sistematika Penyajian
Secara umum, sistematika penyajian diuraikan sebagai berikut:
BAB I PENDAHULUAN
Universitas Kristen Maranatha
BAB II KAJIAN TEORI
Bab ini membahas mengenai dasar atau kajian teori yang digunakan dalam
penyusunan Tugas Akhir.
BAB III ANALISIS DAN EVALUASI
Bab ini membahas menganai profil dari PT.KAI, GAP Analisis Manajemen
Keamanan Informasi pada bagian Unit TI di PT.KAImenggunakan standar ISO
27001:2005
BAB IV SIMPULAN DAN SARAN
Bab ini membahas mengenai kesimpulan dan saran pengembangan
BAB IV SIMPULAN DAN SARAN
4.1 Simpulan
Simpulan yang dapat diambil dari hasil analisis dari klausul akuisisi
pengembangan dan pemeliharaan sistem informasi, manajemen insiden
keamanan, manajemen keberlanjutan bisnis, kesesuaian/kepatuhan adalah
sebagai berikut:
1. PT.KAI sudah memastikan persyaratan keamanan dari sistem informasi.
Namun dalam proses pengolahan aplikasi masih dinilai kurang baik,
dimana kurangnya sosialiasi ke seluruh manajemen, sehingga
memungkinkan terjadi modifikasi atau penyalahgunaan informasi dalam
aplikasi. Kebijakan tentang penggunaan pengendalian kriptografi dinilai
masih belum baik, namun dalam pengendalian manajemen kunci dinilai
masih belum baik, dimana belum adanya aturan atau kebijakan yang
mengatur. Pengendalian dan perlindungan dari keamanan systems file
dinilai belum baik dimana belum semua dibuatnya instruksi kerja
ataupun prosedur di seluruh jajaran manajemen. Penerapan perubahan
pada aplikasi dinilai sudah baik oleh PT.KAI dimana sudah ada
prosedur yang jelas, namun dalam mencegah peluang kebocoran
informasi masih dinilai kurang baik dimana belum adanya sanksi yang
jelas yang diberlakukan oleh PT.KAI apabila terjadi kebocoran informasi
yang diakibatkan oleh pihak internal perusahaan.
2. Proses pelaporan kejadian terkait keamanan informasi sudah berjalan
tetapi dari segi penerapannya dinilai masih kurang baik, dimana
kurangnya koordinasi dari pihak manajemen dan juga disebabkan
karena kurangnya kepedulian terhadap keamanan informasi. Tanggung
Universitas Kristen Maranatha pemantauan dari setiap penanggung jawab dari masing-masing
manajemen.
3. PT.KAI sudah memasukkan keamanan informasi dalam proses
manajemen keberlanjutan bisnis, tetapi prosedur dalam pengembangan
dan penerapannya masih belum ada dikarenakan masih dalam tahap
perencanaan. Pemeliharaan tentang persyaratan informasi masih dalam
tahap dimana pada waktu-waktu tertentu baru dijalankan, tetapi tidak
mempunyai rencana yang berkelanjutan. Rencana bisnis masih belum
diuji sehingga dinilai masih belum efektif secara keseluruhan oleh
PT.KAI.
4. Peraturan perundang-undangan dan hukum masih dinilai belum
diidentifikasi secara keseluruhan serta kebijakan mengenai hak paten
penggunaan perangkat lunak masih belum lengkap dimana belum
semua dipastikan kesesuaiannya dengan peraturan
perundang-undangan maupun kontrak tentang penggunaan produk perangkat lunak
yang digunakan. Pembatasan dalam penggunaan fasilitas pengolahan
informasi dinilai belum berjalan dengan efektif oleh PT.KAI dikarenakan
tidak berjalannya aturan yang berlaku. Kegiatan audit terhadap
keamanan dinilai sudah baik oleh PT.KAI dimana sudah jelasnya
tanggung jawab dan didokumentasikan secara formal.
4.2 Saran dan Rekomendasi
Saran yang dapat diambil dari kesimpulan berdasarkan klausul akuisisi
pengembangan dan pemeliharaan sistem informasi, manajemen insiden
keamanan informasi, manajemen keberlanjutan bisnis dan kesesuaian adalah
sebagai berikut:
1. Akuisisi Pengembangan dan Pemeliharaan Sistem Informasi
Peningkatan terhadap sistem informasi yang ada harus
menetapkan persyaratan untuk pengendalian manajemen pada
PT.KAI.
b. Validasi Data Masukan
Data yang di masukkan kedalam aplikasi harus divalidasi untuk
memastikan bahwa data tersebut benar dan tepat serta melakukan
pemantauan secara regular untuk mencegah penyalahgunaan
informasi.
c. Pengolahan Pengendalian Internal
Pengecekan validasi harus digabungkan ke dalam aplikasi untuk
mendeteksi setiap kerusakan informasi karena kesalahan
pengolahan atau tindakan yang disengaja, serta melakukan
pengecekan ke setiap sistem informasi yang digunakan oleh
PT.KAI.
d. Integritas Pesan
Setiap data yang dikelola dalam aplikasi harus diidentifikasi untuk
memastikan bahwa data tersebut adalah benar.
e. Validasi Data Keluaran
Unit TI pada PT.KAI harus mengolah dan menyimpan setiap hasil
pengolahan data dari aplikasi dengan benar dan tepat.
f. Kebijakan tentang Penggunaan Pengendalian Kriptografi
Membuat kebijakan tentang penggunaan pengendalian kriptografi
dan harus dikembangkan untuk melindungi informasi PT.KAI.
g. Manajemen Kunci
Membuat prosedur yang mengatur mengenai pengendalian
manajemen kunci dalam mendukung teknik kriptografi.
h. Pengendalian Perangkat Lunak yang Operasional
Universitas Kristen Maranatha i. Perlindungan Data Uji Sistem
PT.KAI harus membuat instruksi kerja yang formal dalam
melakukan pengujian data serta data uji harus dipilih dan
dilindungi serta dikendalikan.
j. Pengendalian Akses terhadap Kode Sumber Program
PT.KAI harus membuat instruksi kerja yang jelas untuk membatasi
akses ke kode sumber program.
k. Prosedur Pengendalian Perubahan
Penerapan harus dikendalikan dengan menggunakan prosedur
pengendalian yang formal.
l. Review Aplikasi setelah Perubahan Sistem Informasi
PT.KAI harus membuat prosedur untuk mengatur proses
peninjauan dan pengujian terhadap sistem operasi yang diubah.
m. Perubahan Pembatasan pada Paket Perangkat Lunak
Unit TI pada PT.KAI harus melakukan pembatasan terhadap
perubahan perangkat lunak dan hanya berfokus pada perubahan
yang diperlukan saja untuk mengurangi dampak yang dapat
merugikan organisasi.
n. Kebocoran Informasi
PT.KAI harus membuat aturan serta sanksi yang jelas (pidana
atau perdata) agar meminimalisasi kebocoran informasi yang
diakibatkan oleh pihak internal perusahaan.
o. Pengembangan Perangkat Lunak yang Dialihdayakan
Pengembangan perangkat lunak yang dialihdayakan harus
disupervisi dan dipantau oleh organisasi.
Informasi tepat waktu tentang kerawanan teknis dari sistem
informasi yang digunakan harus diperoleh dan diambil tindakan
untuk menangani resiko terkait.
2. Manajemen Insiden Keamanan Informasi
a. Pelaporan Insiden Keamanan Informasi
Unit TI pada PT.KAI harus mengkomunikasikan setiap kejadian
dan kelemahan mengenai sistem informasi melalui manajemen
terkait agar dilakukan tindakan koreksi secara tepat waktu.
b. Pelaporan Kelemahan Keamanan
Semua pegawai, kontraktor dan pihak ketiga dari sistem informasi
dan layanan harus diisyaratkan oleh unit TI PT.KAI untuk mencatat
dan melaporkan setiap kelemahan keamanan yang diamati dan
dicurigai dalam sistem atau layanan.
c. Tanggungjawab dan Prosedur
Unit TI pada PT.KAI harus melakukan pemantauan bahwa setiap
penanggung jawab dari masing-masing manajemen sudah
melakukan tanggung jawabnya sesuai dengan prosedur yang
berlaku.
d. Pembelajaran dari Insiden Keamanan Informasi
Unit TI pada PT.KAI harus membuat prosedur dalam mengatur
mengenai pembelajaran mengenai insiden keamanan informasi.
e. Pengumpulan Bukti
Unit TI pada PT.KAI harus membuat record dalam proses
pengumpulan bukti-bukti.
3. Manajemen Keberlanjutan Bisnis
a. Memasukkan Keamanan Informasi dalam Proses Manajemen
Keberlanjutan Bisnis.
Universitas Kristen Maranatha secara menyeluruh, yang menekankan penggunaan persyaratan
keamanan informasi yang dibutuhkan untuk keberlanjutan bisnis.
b. Keberlanjutan Bisnis dan Manajemen Resiko
Unit TI pada PT.KAI harus mengidentifikasi setiap kejadian yang
dapat menyebabkan gangguan terhadap proses bisnis organisasi,
bersamaan dengan kemungkinan dan dampak dari gangguan
tersebut serta konsekuensinya terhadap keamanan informasi.
c. Mengembangkan dan Menerapkan Rencana Keberlanjutan
termasuk Keamanan Informasi.
Unit TI pada PT.Kai harus membuat prosedur mengenai
pengendalian manajemen keberlanjutan bisnis dan harus
dikembangkan untuk memelihara dan memastikan ketersediaan
informasi pada tingkat dan dalam jangka waktu yang diisyaratkan
setelah terjadinya gangguan dari proses bisnis.
d. Kerangka Kerja Perencanaan Keberlanjutan Bisnis
Unit TI pada PT.KAI harus membuat kerangka kerja yang jelas
dari perencanaan yang keberlanjutan dalam memelihara dan
memastikan semua rencana secara konsisten.
e. Pengujian, Pemeliharaan dan Assessment Ulang Rencana
Keberlanjutan Bisnis.
Unit TI pada PT.KAI harus memastikan secara efektif bahwa
rencana keberlanjutan bisnis harus diuji dan dimuktahirkan secara
regular.
4. Kesesuaian/Kepatuhan
a. Identifikasi Peraturan Hukum yang Berlaku
Unit TI pada PT.KAI harus mengidentifikasi setiap peraturan dan
perundang-undangan dan kewajiban kontrak dalam menjaga
keamanan dari sistem informasi dan organisasi.
Unit TI pada PT.KAI harus membuat kebijakan mengenai hak
kekayaan intelektual yang secara jelas diidentifikasi aturan
perundang-undangan dan kontrak mengenai perangkat lunak yang
dipakai oleh organisasi.
c. Perlindungan Rekaman Organisasi
Unit TI pada PT.KAI harus melakukan pemantauan terhadap
setiap rekaman terkait kegiatan yang berlangsung untuk
meminimalisasi terjadinya kehilangan data ataupun informasi dari
organisasi.
d. Perlindungan Data dan Rahasia Informasi Pribadi
Unit TI pada PT.KAI harus membuat sebuah regulasi atau aturan
yang mengatur tentang perlindungan data dan informasi dari
organisasi secara jelas yang dipersyaratkan dalam legislasi,
regulasi yang relevan, dan klausul kontrak jika diperlukan.
e. Pencegahan Penyalahgunaan Fasilitas Pengolahan Informasi
Unit TI pada PT.KAI harus melakukan pemantauan terhadap
kegiatan penggunaan fasilitas pengolahan informasi untuk
mencegah terjadinya penggunaan fasilitas pengolahan informasi
dengan tujuan yang tidak sah.
f. Regulasi Pengendalian Kriptografi
Unit TI pada PT.KAI harus membuat regulasi mengenai
pengendalian kriptografi yang sesuai dengan aturan dan
perundang-undangan.
g. Pemenuhan Terhadap Kebijakan Keamanan dan Standar
Unit TI pada PT.KAI harus membuat instruksi kerja dimana
tanggung jawab dari setiap manajer secara jelas diidentifikasi
dalam proses pemenuhan kebijakan keamanan informasi.
Universitas Kristen Maranatha Unit TI pada PT.KAI harus mengecek setiap sistem informasi yang
dipakai secara regular dan dicek pemenuhan teknis terhadap
standar penerapan keamanan.
i. Pengendalian Audit Sistem Informasi
Unit TI pada PT.KAI harus melakukan pengecekan yang dilakukan
oleh bagian audit TI terhadap sistem informasi yang dipakai yang
sudah direncanakan dan sudah disetujui oleh pihak manajemen
terkait.
j. Perlindungan terhadap Alat Audit Informasi
Unit TI pada PT.KAI harus membuat prosedur mengenai
perlindungan terhadap alat audit sistem informasi dimana akses
terhadap pemakaian alat audit harus dibatasi dan dilindungi.
Penekanan dan penyesuaian dari klausul-klausul pada pokok masalah yang
diambil yaitu pengembangan akuisisi sistem informasi dan pemeliharaan,
manajemen insiden keamanan informasi, manajemen keberlanjutan bisnis,
kepatuhan/kesesuaian harus dipenuhi. Berikut adalah rekomendasi dari hasil
analisis pada BAB III, referensi penulisan dokumen ISO 27001:2005 dapat
dilihat pada lampiran C (Policy), D (Procedure), E (Work Instruction), F
(Record).
1. Dalam pembuatan dokumen SMKI harus memuat komitmen yang
dituangkan dalam bentuk kebijakan, standar, sasaran, dan rencana
terkait dengan pengembangan, penerapan, dan peningkatan SMKI.
Adapun dokumen kebijakan yang harus dipenuhi dari klausul
pengembangan akuisisi sistem informasi dan pemeliharaan, manajemen
insiden keamanan informasi, manajemen keberlanjutan bisnis,
kepatuhan/kesesuaian adalah sebagai berikut:
a. Intellectual Property Rights.
2. Dalam pembuatan prosedur dan panduan yang sedang dikembangkan
oleh PT.KAI, harus memuat cara menerapkan kebijakan yang telah
ditetapkan serta menjelaskan penanggung jawab kegiatan. Berikut
adalah prosedur yang harus dipenuhi dari klausul pengembangan
akuisisi sistem informasi dan pemeliharaan, manajemen insiden
keamanan informasi, manajemen keberlanjutan bisnis,
kepatuhan/kesesuaian:
a. Cryptographic Key Management.
b. Control of Operationanl Software.
c. Vulnerability management.
d. Reporting Information Securiry Weaknesses and Events.
e. Responding to Information Security Reports.
f. Collection of Evidence.
g. Business Continuity Planning.
h. Business Continuity Plan
i. Business Continuity Risk Assessments
j. Testing, Maintaining and Reassessing BC Plans.
3. Pembuatan dokumen petunjuk teknis atau instruksi kerja yang
digunakan untuk mendukung pelaksanaan prosedur tertentu sampai
ketingkatan teknis. Adapun dokumen instruksi kerja yang harus dipenuhi
dari klausul pengembangan akuisisi sistem informasi dan pemeliharaan,
manajemen insiden keamanan informasi, manajemen keberlanjutan
bisnis, kepatuhan/kesesuaian sebagai berikut:
a. Schedule of Required Cryptographic Controls.
b. IPR Compliance Procedure
c. Retention of Records.
d. Compliance and Compliance Checking Procedure.
Universitas Kristen Maranatha g. Schedule of Information Security Event Reports
4. Menyesuaikan sasaran pengendalian dalam proses yang dimaksud
adalah akuisisi sistem informasi dan pemeliharaan, manajemen insiden
keamanan informasi, manajemen keberlanjutan bisnis,
kesesuaian/kepatuhan.
a. Akuisisi Sistem Informasi dan Pemeliharaan
Sasaran dalam proses ini adalah untuk memastikan bahwa
keamanan merupakan bagian utuh dari sistem informasi dalam
melindungi kerahasiaan, keaslian, integritas informasi, serta
pengelolaan yang benar dalam perangkat lunak sistem aplikasi
dan informasi dan juga mengurangi resiko terhadap kerawanan
teknis yang dipublikasikan.
b. Manajemen Insiden Keamanan Informasi
Sasaran dalam proses ini adalah untuk memastikan kejadian
dan kelemahan informasi terkait dengan sistem informasi
dikomunikasikan sedemikian rupa sehingga memungkinkan
tindakan koreksi dilakukan tepat waktu.
c. Manajemen Keberlanjutan Bisnis
Sasaran dalam proses ini adalah untuk menghadapi gangguan
kegiatan bisnis dan untuk melindungi proses bisnis kritis dan
efek kegagalan utama sistem informasi dan untuk memastikan
keberlanjutan secara tepat waktu.
d. Kesesuian/Kepatuhan
Sasaran dalam proses ini adalah untuk mencegah pelanggaran
terhadap undang-undang peraturan atau kewajiban dan
DAFTAR PUSTAKA
PT. Kereta Api Indonesia. (2012, September 06). Sejarah Kereta Api. Retrieved 03 12, 2013, from http://www.kereta-api.co.id/tentang-kami/sekilas-sejarah.html
Badan Standarisasi Nasional. (2009). Teknologi Informasi-Teknik Keamanan-Sistem Manajemen Keamanan Informasi-Persyaratan.
Drs.Zulkifli Amsyah, M. (2005). MANAJEMEN SISTEM INFORMASI. In M. Drs.Zulkifli Amsyah, Konsep Sistem (pp. 27,29). Jakarta: PT Gramedia Pustaka Utama.
Gondodiyoto. (2007). Audit Sistem Informasi. Jakarta: Mitra Wacana Media.
ISO/IEC. (2005). Policy Data Protection and Privacy. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Policy Intellectual Property Rights. Geneva: Governance Ltd2005 1.2.
ISO/IEC. (2005). Procedure Business Continuity Plan. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Procedure Business Continuity Planning. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Procedure Business Continuity Risk Assessments. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Procedure Collection of Evidence. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Procedure Control of Operationanl Software. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Procedure Cryptographic Key Management. Geneva: Governance Ltd2005 v1.2.
Universitas Kristen Maranatha ISO/IEC. (2005). Procedure Testing, Maintaining and Reassessing BC Plans. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Procedure Vulnerability management. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Record Info.Security Weakness and Event Checklist. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Record Schedule of Information Security Event Reports. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Work instruction Compliance and Compliance Checking Procedure. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Work instruction IPR Compliance Procedure. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Work instruction Retention of Records. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Work instruction Schedule of Required Cryptographic Controls. Geneva: Governance Ltd2005 v1.2.
ISO/IEC. (2005). Work instruction Systems Auditing Procedure. Geneva: Governance Ltd2005 v1.2.
Jogiyanto Hartono, M. P. (2001). Analisis & Disain. In M. P. Jogiyanto Hartono, Analisis Sistem (pp. 129-130). Yogyakarta: ANDI Yogyakarta.
Louis, A. (2009). Makalah Manajemen Tentang Pengertian Manajemen.
Retrieved September jumat, 2012, from anakciremai:
http://www.anakciremai.com/2008/05/makalah-manajemen-tentang-pengertian.html
PT. Kereta Api Indonesia. (2012, September 06). visi-dan-misi. Retrieved 03 12, 2013, from http://www.kereta-api.co.id/tentang-kami/visi-dan-misi.html
