KATA PENGANTAR
Puji syukur penulis panjatkan kepada Ida Sang Hyang Widhi
Wasa/Tuhan Yang Maha Esa, yang telah memberikan rahmat, karunia dan
kesehatan pada kami berdua sehingga laporan dengan judul Audit Standar
Keamanan pada Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) Kota
Denpasar dapat diselesaikan tepat pada waktunya. Ucapan terima kasih kami
sampaikan kepada Dinas Komunikasi dan Informatika Kota Denpasar dan Bagian
Keuangan Setda Kota Denpasar khususnya bagian IT dan Operasional atas
kesediaannya memberikan data dan informasi dan teman-teman serta semua pihak
yang telah membantu terselesaikannya laporan ini.
Penulis sangat menyadari laporan ini masih banyak kekurangan namun
demikian penulis berharap semoga laporan ini dapat menjadi salah satu referensi
bagi para pemerhati keamanan data dan informasi yang pada akhirnya dapat
bermanfaat bagi kita semua.
Denpasar, $SULO 201
ABSTRAK
Dalam perkembangannya, Teknologi Informasi dan Komunikasi (TIK)
telah banyak dimanfaatkan oleh berbagai organisasi termasuk di dalamnya
institusi pemerintahan. Pemanfaatan TIK dalam proses pemerintahan
(e-government) dinilai dapat meningkatkan efisiensi, efektivitas, transparansi dan
akuntabilitas penyelenggaraan pemerintahan. Dalam pengelolaan keuangan
daerah, Pemerintah Kota Denpasar sudah menggunakan Sistem Informasi
Pengelolaan Keuangan Daerah (SIPKD). Karena peran vital aplikasi yang begitu
penting dalam pengelolaan keuangan, maka perlu dilakukan audit untuk menilai
standar keamanan sistem informasi sejauh mana proses manajemen keuangan
pada Pemerintah Kota Denpasar dilihat dari 2 metode audit yaitu FISMA dan
Cobit 5.
Metode yang digunakan pada pengamatan ini adalah metodologi
kualitatif sedangkan metode pengumpulan datanya dilakukan dengan
Interview/wawancara dan kuisioner dengan narasumber yang telah ditentukan
sesuai dengan domain dan Control Objective yang digunakan.
Hasil dari penelitian ini didapatkan bahwa Sistem Informasi Pengelolaan
Keuangan Daerah Denpasar (SIPKD) termasuk dalam kategori tingkat resiko
yang tinggi apabila terjadi kesalahan pada sistem. Sedangkan dari Kontrol
Keamanan yang terdiri dari tiga kelas Menejemen, Operasional dan Teknik,
secara garis besar organisasi telah sadar dan telah melakukan serangkaian
keamanan pada sistem, sehingga mampu melundungi data dan proses informasi
DAFTAR ISI
KATA PENGANTAR ... i
ABSTRAK ... ii
DAFTAR ISI ... iii
DAFTAR TABLE ... v
DAFTAR GAMBAR ... vi
BAB I ... 1
PENDAHULUAN ... 1
1.1 Latar Belakang ... 1
1.2 Tujuan ... 2
1.3 Manfaat ... 2
1.4 Batasan ... 2
BAB II ... 3
TINJAUAN PUSTAKA ... 3
2.1 Profil Pemerintah Kota Denpasar ... 3
2.2 Struktur Organisasi ... 3
2.3 Visi dan Misi ... 3
2.4 Sistem Informasi Pengelolaan Keuangan Daerah ... 4
2.4.1 Ruang Lingkup SIPKD ... 5
2.4.2 Tujuan SIPKD ... 6
2.4.3 Pengguna SIPKD ... 6
2.5 FISMA Act of 2002 ... 7
2.5.1 Tujuan FISMA ... 7
2.5.2 National Institute Of Standards and Technology (NIST) ... 8
2.6 COBIT 5 ... 10
2.7 Pengukuran Tingkat Kematangan (Maturity Level) ... 12
BAB III ... 14
METODOLOGI ... 14
3.1 Gambaran Umum Penelitian ... 14
3.2 Tempat Penelitian ... 14
3.4 Metode Pengumpulan Data ... 14
3.5 Menentukan Maturity Level ... 14
BAB IV ... 19
PEMBAHASAN DAN HASIL ... 19
4.1 NIST SP 800-60 (kategori keamanan sistem informasi) ... 19
4.2 NIST SP 800-53 (Kontrol Keamanan) ... 20
BAB V ... 23
KESIMPULAN DAN SARAN ... 23
5.1 Kesimpulan ... 23
5.2 Saran ... 24
DAFTAR PUSTAKA ... 25
DAFTAR TABLE
Tabel 2.1. Level NIST 800-53 ... 9
Tabel 3.1. Tabel 3.1 Tabel Level NIST SP 800-60 ... 15
Tabel 3.2. Tabel 3.2 Tabel Level NIST SP 800-53 ... 16
Tabel 3.3 Tabel Maturity Level ... 18
DAFTAR GAMBAR
Gambar 2.1. Struktur Organisasi ... 3
Gambar 2.2. Halaman Utama SIPKD ... 3
Gambar 2.3. FIPS 199 dan SP 800-60 Role ... 3
Gambar 2.4. Level NIST 800-60... 3
Gambar 2.5. Domain Proses COBIT 5... 3
Gambar 2.6. Prinsip COBIT 5... 3
BAB I PENDAHULUAN 1.1 Latar Belakang
Dalam kehidupan bernegara yang semakin terbuka, Pemerintah selaku
perumus dan pelaksana kebijakan APBN berkewajiban untuk terbuka dan
bertanggung jawab terhadap seluruh hasil pelaksanaan pembangunan. Salah satu
bentuk tanggung jawab itu diwujudkan dengan menyediakan informasi keuangan
yang komprehensif kepada masyarakat luas, termasuk informasi keuangan daerah
dengan memanfaatkan kemajuan teknologi informasi yang demikian pesat guna
mendorong terwujudnya pemerintahan yang bersih, transparan, serta mampu
menjawab tuntutan perubahan secara efektif.
Dalam pengelolaan keuangan daerah, Pemerintah Kota Denpasar sudah
menggunakan Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) sebagai
alat bantu pemerintah daerah untuk meningkatkan efektifitas implementasi dari
berbagai regulasi bidang pengelolaan keuangan daerah yang berdasarkan pada
asas efesiensi, ekonomis, efektif, transparan, akuntabel dan auditable mulai dari
perencanaan, penganggaran sampai dengan pertanggungjawaban.
Sebagai koordinator implementasi SIPKD adalah Bagian Keuangan
Sekretariat Daerah Kota Denpasar yang melibatkan Dinas Komunikasi dan
Informatika Kota Denpasar sebagai penyedia infrastruktur jaringan intranet karena
layanan SIPKD digunakan oleh semua instansi di lingkungan Pemerintah Kota
Denpasar. Karena peran vital aplikasi yang begitu penting dalam pengelolaan
keuangan, maka perlu dilakukan audit untuk menilai standar keamanan sistem
informasi.
Beragam kerangka kerja (framework) dapat dipakai untuk melakukan
evaluasi terhadap standar keamanan informasi salah satunya adalah Federal
Information Security Management (FISMA). FISMA awalnya merupakan standar
atau pedoman berdasarkan undang-undang amerika serikat tahun 2012 dengan
tujuan menggaris bawahi pentingnya keamanan informasi terhadap ekonomi dan
keamanan di Amrika Serikat. Seiring berkembangnya waktu, FISMA banyak
keamanan. Rincian pedoman FISMA menggunakan National Institute Of
Standards and Techhology (NIST). Kelemahan FISMA adalah tidak dapat
memberikan nilai tingkat kematangan (Maturity Level) dalam proses audit standar
keamanan sistem informasi sehingga dalam penelitian ini dilakukan proses
Mapping dengan framework COBIT 5.
1.2 Tujuan
Menilai tingkat kematangan (Maturity Level) sejauh mana standar
keamanan SIPKD pada Pemerintah Kota Denpasar dilihat dari 2 metode audit
yaitu FISMA dan Cobit 5.
1.3 Mannfaat
Manfaat dari dilaksanakannya audit ini adalah hasil penelitian ini
diharapkan dapat dijadikan referensi untuk menilai tingkat kematangan (maturity
level) yang berguna untuk mengukur standar keamanan SIPKD pada Pemerintah
Kota Denpasar berdasarkan standar FISMA dan COBIT 5.
1.4 Batasan
Batasan pada audit ini adalah :
1. Standar yang digunakan adalah FIPS Publication 199 (Security
Categorization) NIST SP 800-60 dan FIPS Publication 200 (Security
Requirements) NIST SP 800-53.
2. Untuk menentukan nilai Maturity Level dari proses FIPS 199 dan FIPS
BAB II
TINJAUAN PUSTAKA
2.1 Pemerintah Kota Denpasar
Kota Denpasar terletak di tengah-tengah dari Pulau Bali, selain merupakan
Ibukota Daerah Tingkat II, juga merupakan Ibukota Propinsi Bali sekaligus
sebagai pusat pemerintahan, pendidikan, perekonomian.Letak yang sangat
strategis ini sangatlah menguntungkan, baik dari segi ekonomis maupun dari
kepariwisataan karena merupakan titik sentral berbagai kegiatan sekaligus sebagai
penghubung dengan kabupaten lainnya. Wilayahnya sendiri berbatasan dengan
Kabupaten Badung di sebelah utara, Selat Badung atau Samudera HIndia di
sebelah Selatan, Kabupaten Badung di sebelah barat dan Kabupaten Gianyar di
sebelah timur. Terletak diantara 08 35" 31'-08 44" 49' lintang selatan dan 115 10"
23'-115 16" 27' Bujur timur.Luas seluruh Kota Denpasar 127,78 km2 atau 12.778
Ha , yang merupakan tambahan dari reklamasi pantai serangan seluas 380 Ha.
2.2 Struktur Organisasi
Gambar 2.1. Struktur Organisasi
2.3 Visi dan Misi
Visi Pemerintah Kota Denpasar adalah Denpasar Kreatif Berwawasan
Budaya Dalam Keseimbangan Menuju Keharmonisan. Misinya terdiri dari:
Memberdayakan masyarakat Kota Denpasar berlandaskan kearifan lokal melalui budaya kreatif.
Mewujudkan Pemerintahan yang baik (good governance) melalui penegakan supremasi hukum (law enforcement).
MeningkatkanpPelayanan publik menuju kesejahteraan masyarakat (welfare society).
Mempercepat pertumbuhan dan memperkuat ketahanan ekonomi masyarakat melalui sistem ekonomi kerakyatan.
2.4 Sistem Informasi Pengelolaan Keuangan Daerah
Sistem Informasi Pengelolaan Keuangan Daerah SIPKD adalah aplikasi
terpadu yang dipergunakan sebagai alat bantu pemerintah daerah yang digunakan
meningkatkan efektifitas implementasi dari berbagai regulasi bidang pengelolaan
keuangan daerah yang berdasarkan pada asas efesiensi, ekonomis, efektif,
transparan, akuntabel dan auditabel Aplikasi ini juga merupakan salah satu
manifestasi aksi nyata fasilitasi dari Kementerian Dalam Negeri kepada
pemerintah daerah dalam bidang pengelolaan keuangan daerah, dalam rangka
penguatan persamaan persepsi sistem dan prosedur pengelolaan keuangan daerah
dalam penginterpretasian dan pengimplementasian berbagai peraturan
perundang-undangan.
2.4.1 Ruang Lingkup SIPKD
SIPKD menyajikan informasi keuangan dan non keuangan daerah yang
terdiri dari modul perencanaan, penganggaran, pelaksanaan dan penatausahaan
serta pertanggungjawaban pengelolaan keuangan daerah yang terintegrasi dalam
sebuah sistem, baik dalam lingkungan operasi online maupun offline.
Modul Perencanaan, Modul aplikasi yang mendukung pemerintah daerah dalam menyusun Rencana Kerja Pemerintah Daerah (RKPD) yang
merupakan penjabaran dari RPJMD dan mengacu kepada Rencana Kerja
Pemerintah (RKP). RKPD memuat rancangan kerangka ekonomi daerah,
prioritas pembangunan dan kewajiban daerah, rencana kerja yang terukur
dan pendanaannya, baik yang bersumber dari pemerintah, pemerintah
daerah maupun kemitraan dan partisipasi masyarakat. Output utama dari
aplikasi ini adalah dokumen RKPD yang menjadi dasar penyusunan
anggaran di tahapan berikutnya.
Modul Penganggaran, Modul aplikasi yang mendukung pemerintah daerah dalam proses penyusunan anggaran, dimulai dengan penyiapan KUA dan
PPAS. Modul ini memberikan fasilitas penyusunan SKPD dan
RKA-PPKD, yang akan digunakan dalam proses penyusunan rancangan Peraturan
Daerah tentang APBD dan rancangan Peraturan Kepala Daerah tentang
Penjabaran APBD.
Modul Pertanggungjawaban, Modul aplikasi yang mendukung pemerintah daerah dalam mempersiapkan laporan keuangan, dimulai dari Jurnal yang
kemudian diposting ke buku besar, buku besar dijadikan dasar untuk
membuat neraca saldo. Berdasarkan neraca saldo disusun Laporan
Keuangan yang terdiri dari : Laporan Realisasi Anggaran, Neraca dan Arus
Kas serta Catatan Atas Laporan Keuangan. Modul ini mengakomodasi
kebutuhan entitas akuntansi, baik pada tingkat SKPD, tingkat PPKD,
maupun tingkat Pemerintah Daerah. Dengan demikian, modul ini dapat
menghasilkan jenis-jenis laporan sesuai dengan kebutuhan pada setiap
2.4.2 Tujuan SIPKD
Penyelenggaran SIPKD dilaksanakan baik di pusat maupun di daerah.
SIKD regional diselenggarakan oleh masing-masing pemerintahan daerah selama
ini dikenal oleh masyarakat dengan nama Sistem Informasi Pengelolaan
Keuangan Daerah(SIPKD). Penyelenggaraan SIPKD difasilitasi oleh Departemen
Dalam Negeri. SIPKD yang diselenggarakan oleh Pemerintah disebut dengan
SIPKD Nasional. Pemerintah menyelenggarakan SIPKD secara nasional dengan
tujuan:
merumuskan kebijakan dan pengendalian fiskal nasional;
menyajikan informasi keuangan daerah secara nasional;
merumuskan kebijakan keuangan daerah, seperti Dana Perimbangan, Pinjaman Daerah, dan Pengendalian defisit anggaran; dan
melakukan pemantauan, pengendalian dan evaluasi pendanaan Desentralisasi, Dekonsentrasi, Tugas Pembantuan, Pinjaman Daerah, dan
defisit anggaran daerah.
2.4.3 Pengguna SIPKD
Sesuai dengan tujuan dibangunnya aplikasi Sistem Informasi Pengelolaan
Keuangan Daerah (SIPKD), maka penggunaannya ditujukan kepada seluruh
pemerintah provinsi dan kabupaten/kota di seluruh Indonesia. Lebih jauh, pada
Surat Edaran No. SE.900/122/BAKD diamanatkan 6 (enam) regional sebagai
basis pengembangan dan koordinasi, yaitu:
Wilayah I, yang meliputi Aceh, Sumatera Utara, Sumatera Barat, Riau dan Kepulauan Riau dengan kantor regional di Provinsi Sumatera Barat;
Wilayah II, yang meliputi Sumatera Selatan, Jambi, Bangka Belitung, Bengkulu dan Lampung dengan kantor regional di Provinsi Sumatera
Selatan;
Wilayah III, yang meliputi DKI Jakarta, Jawa Barat dan Banten dengan kantor regional di Provinsi Jawa Barat;
Wilayah IV, yang meliputi Daerah Istimewa Yogyakarta, Jawa Tengah, Jawa Timur, Bali, Nusa Tenggara Barat dan Nusa Tenggara Timur dengan
Wilayah V, yang meliputi Kalimantan Barat, Kalimantan Tengah, Kalimantan Selatan dan Kalimantan Timur dengan kantor regional di
Provinsi Kalimantan Selatan;
Wilayah VI, yang meliputi Sulawesi Selatan, Sulawesi Tenggara, Sulawesi Utara, Sulawesi Tengah, Sulawesi Barat, Gorontalo, Maluku, Maluku
Utara, Papua dan Papua Barat dengan kantor regional di Provinsi Sulawesi
Selatan.
2.5 Federal Information Security Management (FISMA) Act of 2002
FISMA Act of 2002 adalah hukum federal Amerika Serikat yang berlaku
pada tahun 2002 sebagai judul III dari Undang-undang e-Government 2002 yang
mengatur pentingnya keamanan informasi untuk kepentingan ekonomi dan
keamanan nasional Amerika Serikat. Aturan mengharuskan setiap agen federal
untuk mengembangkan, dokumen, dan menerapkan program lembaga lainnya
untuk memberikan keamanan data dan sistem informasi yang mendukung operasi
dan aset lembaga, termasuk yang disediakan atau dikelola oleh lembaga,
kontraktor, atau sumber lain lain.
FISMA menekankan kebijakan berbasis risiko untuk keamanan hemat
biaya. FISMA membutuhkan pejabat lembaga, petugas kepala informasi, dan
inspektur jenderal (Irjen) untuk melakukan tinjauan tahunan program keamanan
informasi organisasi dan melaporkan hasilnya kepada Kantor Manajemen dan
Anggaran atau dikenal dengan singkatan OMB. OMB menggunakan data ini
untuk membantu dalam pengawasan dan mempersiapkan laporan tahunan ini
untuk rapat monitoring dan evaluasi. Pada tahun 2008, badan-badan federal
menghabiskan $ 6200000000 mengamankan total investasi teknologi informasi
pemerintah atau sekitar 9,2 persen dari total blueprint teknologi informasi.
2.5..1 Tujuan FISMA
FISMA memberikan tanggung jawab khusus untuk badan-badan federal,
National Institute of Standards and Technology ( NIST ) dan Kantor Manajemen
dan Anggaran ( OMB ) untuk memperkuat sistem keamanan informasi. Secara
kebijakan dan prosedur untuk biaya sehingga efektif mengurangi risiko keamanan
teknologi informasi untuk tingkat yang dapat diterima.
Menurut FISMA keamanan informasi berarti melindungi data dan sistem
informasi dari akses yang tidak sah, penggunaan, pengungkapan, gangguan ,
modifikasi , atau perusakan dalam rangka memberikan integritas, kerahasiaan dan
ketersediaan
2.5.2 National Institute of Standards and Technology (NIST)
NIST merupakan badan federal yang ditunjuk oleh FISMA untuk
menyediakan pedoman atau standard keamanan untuk memperkuat keamanan
informasi dan sistem informasi. Aturan-aturan NIST yang dipergunakan terkait
dengan FISMA antara lain:
FIPS Publication 199 (Security Categorization)
FIPS Publication 200 (Security Requirements)
NIST Special Publication 800-18, Rev 1 (Security Planning)
NIST Special Publication 800-30, Rev 1 (Risk Management)
NIST Special Publication 800-37 (Certification & Accreditation
NIST Special Publication 800-53 Rev 3 (Recommended Security Controls)
NIST Special Publication 800-53A Rev 1(Security Control Assessment)
NIST Special Publication 800-60 (Security Category Mapping)
Fokus daerah audit mengenai kategori sistem informasi terhadap
keamanan sistem informasi yang disediakan dalam aturan NIST SP 800-60
ditunjukkan pada gambar 2.1.
Gambar 2.4. Level NIST 800-600
Dalam hal menilai kontrol keamanan informasi sebagaimana telah diatur
dalam NIST SP 800-53 terdapat beberapa obyek yang terkait, diantaranya :
Tabel 2.2. Level NIST 800-53
Code Contol
Management Control
(RA) Risk Assessment
(PL) System Security Plan
(SA) System and Service Acquisition (SA-7) User
Installed Software
(CA) Certification, Accreditation, and Security
Assessments
Operational Control
(PS) Personnel Security
(PE) Physical and Environmental Protection
(CM) Configuration Management
(MA) Maintenance (MA-6) Timely Maintenance
(SI) System and Information Integrity
(SI-8) Spam and Spyware Protection
(MP) Media Protection (MP-5) Media Transport
(IR) Incident Response
(IR-6) Incident Reporting
(AT) Awareness and Training
(AT-3) Security Training
Technical Controls
(IA) Identification and Authentication (IA-6)
Authentication Feedback
(AC) Access Control
(AC-9) Previous Logon Notification
(AU) Audit and Accountability
(AU-8) Time Stamps
(SC) System and Communications Protection
(SC-14) Public Access Protections
2.6 COBIT 5
Control Objectives for Information and related Technology (COBIT)
adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat
membantu auditor, manajemen dan pengguna untuk menjembatani gap antara
resiko bisnis, kebutuhan kontrol dan permasalahan teknis lainnya. COBIT
dikembangkan oleh IT Governance Institute, yang merupakan bagian dari
Information SystemAudit and Control Association (ISACA). COBIT saat ini yang
dipakai yaitu COBIT 5.0 yang merupakan versi terbaru dari COBIT sebelumnya
yaitu COBIT 4.1. COBIT 5 terbagi ke dalam 2 area yaitu governance dan
manajemen. Kedua area ini total terdiri dari 5 domain dan 37 proses yaitu sebagai
berikut :
Governance of Enterprise IT
Management of Enterprise IT
Align, Plan and Organise (APO) – 13 proses Build, Acquire and Implement (BAI) – 10 proses Deliver, Service and Support (DSS) – 6 proses Monitor, Evaluate and Assess (MEA) – 3 proses
Gambar 2.5. Domain Proses COBIT 5
COBIT 5 memperlihatkan informasi dan teknologi yang terkait untuk
diatur dan dikelola secara holistik untuk seluruh pemerintahan, mengambil penuh
proses bisnis secara end-to-end dan area fungsional dari tanggung jawab, dengan
mempertimbangkan pemangku kepentingan (stakeholder) TI di internal maupun
Gambar 2.6 Prinsip COBIT 5
Gambar 2.7 COBIT 5 Maurity Score
2.7 Pengukuran Tingkat Kematangan (Maturity Level)
Maturity model adalah suatu metode untuk mengukur level pengembangan
manajemen roses, yang berarti adalah mengukur sejauh mana kapabilitas
manajemen tersebut. Seberapa agusnya pengembangan atau kapabilitas
manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang . Sebagai
contoh adalah ada beberapa proses dan sistem kritikal yang membutuhkan
manajemen keamanan yang lebih ketat dibanding proses dan sistem lain yang
tidak begitu kritikal. Di sisi lain, derajat dan kepuasan pengendalian yang
dibutuhkan untuk diaplikasikan pada suatu proses adalah didorong pada selera
resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.
Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise,
kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan
efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses
yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan
penggunaan sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
Status pengelolaan TI perusahaan pada saat itu.
Status standart industri dalam bidang TI saat ini (sebagai pembanding)
status standart internasional dalam bidang TI saat ini (sebagai pembanding)
strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)
Perhitungan Index Maturity Level :
BAB III METODELOGI
3.1 Gambaran Umum Penelitan
Penelitian dilakukan di lingkungan Dinas Komunikasi dan Informatika dan
Bagian Keuangan Sekretariat Daerah Kota Denpasar yang berfokus pada tujuan
utama yaitu menggaris bawahi kemanan Informasi. Pada sistem yang selama ini
diandalkan yaitu Sistem Informasi Pengelolaan Keuangan Daerah Denpasar.
3.2 Tempat Penelitian
Lokasi dilakukan penelitian beralamat di Jalan Majapahit No 1 Lumintang
dan Jalan Gajah Mada No. 1 Denpasar, penelitian berfokus pada audit keamanan
penggunaan Sistem Informasi Pengelolaan Keuangan Daerah Denpasar, dalam hal
ini pada Bidang Piranti Lunak dan Bidang Penganggaran, dengan melakukan
pengamatan, wawancara dan kuisioner kepada Tim IT dan Bagian Operasional.
3.3 Sumber Data
Dalam penelitian ini menggunakan dua sumber data yaitu data Primer dan
data Skunder, data Primer diproleh langsung dari observasi pada tempat penelitian
dengan melakukan wawancara dan mengambil kuisioner dari responden Tim IT
dan Bagian Operasional. sedangkan data Sekunder diperoleh dari sumber –
sumber yang dijadikan acuan pada literature untuk audit pada penelitian ini.
3.4 Metode Pengumpulan Data
Metode pengumpulan data dalam penelitian ini adalah wawancara,
kuisioner, observasi dan studi pustaka.
a. Wawancara dilakukan terhadap beberapa narasumber yang dalam hal ini
bertanggung jawab dalam penggunaan sistem informasi, diantaranya
wawancara kepada Bagian IT dan Oprasional.
b. Kuisioner dilkukan terhadap dua focus utama, sebagaimana diatur dalam
informasi dalam hal ini diharapkan bisa memberikan tuntunan terhadap
nilai dampak dari kemanan sistem informasi, kemudian yang kedua
terhadap kontrol keamanan yang sudah berjalan pada sistem informasi
pengelolan keuangan daerah denpasar (SIPKD) dalam teknik kuisioner ini
dilakukan dengan mencari nilai maturity level terhadap standar dan
pedoman dari FISMA.
Untuk bobot dari tingkat kematangan yang akan dinilai, karena
dalam hal ini FISMA sebagai Framework utama dalam melakukan audit
pada penelitian ini, belum mampu dalam memberikan nilai terhadap
kematangan dari setiap jawaban dari korenponden, maka dilakukan proses
pemetaan terhadap COBIT 5, karena dalam cobit 5 mampu menyediakan
nilai kedewasaan dari setiap bobot jawaban dari koresponden, sehingga
dalam hal ini bisa memperoleh maturity level dari setiap standar
pertanyaan dari yang diinginkan FISMA.
Berikut adalah fokus daerah audit mengenai kategori sistem
informasi terhadap keamanan sistem informasi yang disediakan dalam
aturan NIST SP 800-60 :
Tabel 3.1 Tabel Level NIST SP 800-60
FIP Publication 199
Low Moderate High
Confidentiality Kerahasiaan terhadap sistem informasi memiliki dampak yang rendah terhadap oprasi organisasi dan aset organisasi. Kerahasiaan
terhadap sistem
informasi
memiliki
dampak yang
serius atau
menengah
terhadap oprasi
organisasi dan
aset organisasi.
Kerahasiaan
terhadap sistem
informasi
memiliki
dampak yang
berbahaya atau
tinggi terhadap
oprasi
organisasi dan
Integrity Hilangnya integritas
memiliki
dampak rendah
terhadap operasi
dan aset
organisasi.
Hilangnya
ketersediaan
memiliki
dampak serius
atau menengah
terhadap operasi
dan aset
organisasi.
Hilangnya
ketersediaan
memiliki
dampak
bebahaya dan
tinggi terhadap
operasi dan aset
organisasi.
Availability Hilangnya suatu ketersediaan
memiliki
dampak rendah
terhadap oprasi
dan aset
organisasi
Hilangnya suatu
ketersediaan
memiliki serius
atau sedang
rendah terhadap
oprasi dan aset
organisasi
Hilangnya suatu
ketersediaan
memiliki
dampak
berbahasya atau
tinggi terhadap
oprasi dan aset
organisasi
Dalam hal menilai kontrol keamanan informasi sebagaimana telah
diatur dalam NIST SP 800-53 terdapat beberapa obyek yang terkait,
diantaranya :
Tabel 3.2 Tabel Level NIST SP 800-53
Code Contol
Management Control
(RA) Risk Assessment
(PL) System Security Plan
(SA) System and Service Acquisition (SA-7) User
Installed Software
(CA) Certification, Accreditation, and Security
Assessments
Operational Control
(PE) Physical and Environmental Protection
(CP) Contingency Planning
(CM) Configuration Management
(MA) Maintenance (MA-6) Timely Maintenance
(SI) System and Information Integrity
(SI-8) Spam and Spyware Protection
(MP) Media Protection (MP-5) Media Transport
(IR) Incident Response
(IR-6) Incident Reporting
(AT) Awareness and Training
(AT-3) Security Training
Technical Controls
(IA) Identification and Authentication (IA-6)
Authentication Feedback
(AC) Access Control
(AC-9) Previous Logon Notification
(AU) Audit and Accountability
(AU-8) Time Stamps
(SC) System and Communications Protection
(SC-14) Public Access Protections
c. Observasi, dalam proses observasi dilakukan pengamatan terhadap
aktivitas yang terjadi, dari segi aktivitas terhadap pengguna dalam hal ini
oprator dari Sistem Informasi pengelolaan keuangan daerah denpasar,
sampai kepada manajemen yang mengawasi dan mengembangkan sistem
informasi. Disamping itu dilakukan dengan mengamati proses dan prilaku
sistem dalam hal ini yang bekaitan dengan keamanan dalam proses
transaksi data pada sistem informasi yang sudah disiapkan sebelumnya
materi pengamatan dan instrument yang digunakan. Proses ini biasanya
disebut juga dengan observasi secara sistematik dimana peneliti secara
lebih leluasa dapat menentukan perilaku apa yang dapat diamati pada awal
d. Studi pustaka, dalam melakukan pemahaman dalam subyek dan obyek
serta sarana untuk aktivitas melakukan audit atau penelitian, tentu tidak
terlepas dari bebagai sumber yang relevan yang harus digunakan, selain itu
dokumen – dokumen pendunkung yang berkaitan dengan Sistem Informasi
Pengelolaan Keuangan Daerah Denpasar sangat penting dalam proses
penelitian ini.
3.5 Menentukan Maturity Level
Untuk mendapatkan nilai kematangan atas jawaban dari responden
berdasarkan pertanyaan yang ada maka perlu ditentukan dengan maturity level,
berikut adalah tabel tingkat maturity level yang terdapat 6 pilihan jawaban untuk
responden dari 0 – 5, selanjutnya akan diambil rata – rata dari bobot nilai yang
diberikan oleh jawaban responden.
Tabel 3.3 Tabel Maturity Level
Aktivitas Tingkat Kematangan Jumlah Tingkat
Kematangan
0 1 2 3 4 5
Rata-rata
Tabel 3.4 Tabel Kriteria Penilaian
Nilai Maturity Level FISMA Level
0 – 0.50 Level 0 Low
0.51 – 1.50 Level 1 Low
1.51 – 2.50 Level 2 Moderate
2.50 – 3.50 Level 3 Moderate
3.51 – 4.50 Level 4 High
BAB IV
PEMBAHASAN DAN HASIL
Setelah melakukan proses audit, melalui metode wawancara, observasi,
kuisioner yang didasari sumber dan literature yang relevan terhadap audit, maka
di dapat hasil sebagai berikut :
4.1 NIST SP 800-60 (kategori keamanan sistem informasi)
Tingkat dampak keamanan sistem informasi sangat tergantung pada proses
berjalannya sistem dan prilaku individu di dalamnya, terlebih lagi sistem yang
berbasis informasi umum dan menyakut dalam hal keuangan akan sangat sensitif
terhadap dampak untuk kesinambungan proses dari sistem informasi dan
organisasi. Dalam NIST SP 800-60 dikatakan indentifikasi dari dampak buruk
dalam sistem informasi harusnya dilakukan sedini mungkin. Pihak organisasi
harus menunjau tingkat dampak sistem informasi dalam kontek lingkungannya
sendiri. Pada umumnya setiap informasi memililki tingkat dampak yang berbeda
tidak semua sistem informasi memiliki dampak yang sama.
Dari proses wawancara dan kuisioner yang didasari aturan NIST SP
800-60 sudah terlihat bahwa Sistem informasi pengelolaan keuangan daerah denpasar
(SIPKD) dalam segi kerahasiaan berdampak sangat tinggi karena sistem berkaitan
dengan pengeloaan keuangan, apabila proses data mengelami kebocoran maka
akan sangat berbahaya terhadap sistem informasi, kemudian apabila terjadi
perubahan sarana data dan sistem informasi secara illegal berdampak sangat serius
terhadap berjalannya sistem, hal ini sesuai dengan yang diatur dalam integritas
pada NIST SP 800-60, kemudian dari segi aviability atau ketersediaan dinilai
berdampak menengah dan bisa dikategorikan serius apabila terjadi gangguan
dalam proses transaksi, namun masih tedapat waktu toleransi dalam masa
penyelesaian transaksi pada sistem informasi pengelolaan keuangan daerah
denpasar (SIPKD).
Dalam proses kuisioner dengan 4 orang koresponden, dari Kerahasiaan
sistem ke empat koresponden memberikat penilain 5 terhadap kerahasiaan sistem
koresponden memberikan nilai 5, kemudian dari ketersediaan sistem tiga orang
koresponden memberikan nilai pada level 2 dan 1 orang memberikan nilai pada
level 3, sehingga nilai rata – rata yang didapat dalam mencarai kategori pada
sistem informasi (SIPKD) adalah 4.
Security Category (SIPKD)
= {(Confidentiality, HIGH),(Integrity,HIGH),(Aviability,MODERATE)}
4.2 NIST SP 800-53 (Kontrol Keamanan)
Kontol dalam keamanan sistem informasi sangat penting, hal ini juga
sangat berkaitan dengan aktivitas individu dalam menggunakan sistem informasi
yang bijak, dengan adanya kontrol terhadap keamanan sistem infomasi sangat
mudah dalam membangun rencana penilaian keamanan yang efektif den
seperangkat prosedur dalam menilai efektivitas pengendalian keamanan yang
dipekerjakan dalam sistem informasi yang mendukung lembaga eksekutif
pemerintah. Tentunya saja pedoman kontrol keamanan sangat dibutuhkan untuk
membantu mencapai sistem informasi yang lebih aman dalam penerapan sistem
informasi pengelolaan keuangan daerah denpasar.
Dalam melakukan audit dengan standar NIST SP 800-53 berpusat pada 17
area yang terhubung dengan keamanan yang berkaitan dengan kerahasiaan,
integritasi sistem inforamsi yang diproses dan dikirim oleh sistem informasi
SIPKD, setiap area yang terhubung dibagi menjadi tiga kelas umum kontrol
keamanan diantaranya Manajemen, Operasional dan Teknis.
FIPS Publication 199 0 1 2 3 4 5 Jumlah Capability Level
Confidentiality 4 20 5
Integrity 1 3 19 4,75
Availability 3 1 9 2,25
a. Manajemen
Dari manajemen dilakukan obyek penelitian pada Sertivikasi dan
akreditasi yang sudah dimiliki dari sistem informasi (SIPKD),
Perencanaan yang matang terhadap kontrol keamanan maupun
pengembangan sistem serta mengenal penilaian resiko yang ada pada
sistem, setelah dilakukan audit dengan menggunakan standar yang sudah
ditetapkan maka hasilnya secara rata – rata berada di capability level
3.1875 , dengan perolehan jawaban dari koresponden untuk kategori
keamanan sistem informasi (SIPKD) ke 4 korenponden memberikan nilai
pada level 4 yang artinya, dalam hal menentukan keamanan dan
memberikan penilaian terhadap kategori keaman sistem informasi
(SIPKD) sudah cukup tinggi. Sementara dari perencanaan keamanan pada
sistem informasi 1 koresponden menjawab pada level 1, 2 koresponden
memberikan penilaian pada level 4 dan 1 koresponden memberikan
penilaian pada level 5. Dalam hal kesadaran akan pentingnya rencana
keamana pada sistem informasi berada pada rata – rata level yang tinggi
yaitu 4. Pada sistem dan layanan dalam hal ini dalam memenejemen
pengguna yang dapat melakukan pemasangan software, bagaimana sistem
melakukan kontrol keamanan pada hal ini, 3 koresponden memberikan
nilai pada level 2, 1 koresponden memberikan nilai pada level 3 sehingga
rata – rata terdapat pada level 2,25. Secara keseluruhan pada kelas
manajemen kontrol pengelolaan menejemen resiko bahwa Sistem
informasi (SIPKD) mengimplementasikan rencana dan metode untuk
menanggulangi keamanan sistem.
b. Operasional
Dari Operasional peneilitian ini bertujuan untuk mengetahui kontrol
keamanan yang terjadi pada sistem informasi (SIPKD) dengan acuan
standar yang sudah ditentukan antara lain. Pada sisi Personil Keamanan,
perlindungan terhadap aset keamanan, perencanaan kotijensi, pelatihan
kontijensi, pemeliharaan, perlindungan media terhadap spam dan spyware
setelah dilakukan penilaian melalui kuisioner koresponden memberikan
penilaian rata – rata secara menyeluruh 2,25.
c. Teknis
Dalam hal teknis proses audit dilakukan pada pada beberapa hal yang
berkaitan dengan teknis dari kontrol keamanan pada sistem informasi
(SIPKD) dianataranya. Proses identifikasi dan Atentikasi terhadap input
sistem, seperti proses login user pada sistem, bagaimana sistem dapat
mekakukan otentikasi berdasarkan akses dari user tersebut. Dan kebijakan
proses perlindungan akses sistem ke public serta mencatan kesalahan –
kesalah yang terjadi sebagai bahan dari evaluasi sistem. Dari penilaian
responden terhadap kelas teknis ini rata – rata nilai level yang di peroleh
pada nilai 3,06 hal ini menandakan sistem informasi (SIPKD) telah
mampu dalam mengelola batasan hak akses user dan mencatat setiap
kesalahan yang terjadi pada sistem.
Nilai rata – rata pada maturity level
Domain Maturity Level
Kontrol Menejemen 3,1875
Kontrol Oprasional 2,25
Kontrol Teknikal 3,06
Nilai Maturity Level 2,8325
Dari hasil rata – rata pada ketiga kelas kontrol, Menejemen, Oprasional dan
Teknik, menujukan hasil yang cukup bagus. Organisasi secara garis besarnya
sudah sadar dan telah melakukan serangkaian keamanan pada sistem, pada sistem
informasi sendiri sudah terdapat kontrol – kontrol keamanan yang bisa
BAB V
KESIMPULAN DAN SARAN
5.1 Kesimpulan
Dari hasil penelitian dan rancangan audit Sistem Informasi Pengelolaan
Keuangan Daerah Denpasar. Maka dapat diambil kesimpulan sebagai berikut :
1. Dasar dari Framework Audit FISMA adalah undang – undang yang
dikeluarkan pemerintah Amerika Serikat pada tahun 2002 yang bertujuan
untuk menggaris bawahi pentingnya keamanan informasi terhadap
ekonomi dan keamanan. Terdapat beberapa pedoman yang menjadi nilai
standar dari FISMA yang kemudian dikeluarkan oleh NIST.
2. Standar FISMA diharapkan mampu memberikan penilaian dan
memberikan saran atas kelemahan pada sistem, namun pada penelitian ini
untuk mencari nilai pada tingkat kedewasaan dari maturity level perlu
dilakukan dengan menggunakan framework COBIT 5, karena cobit 5
menyediakan nilai – nilai tingkat kedewasaan dari yang dibutuhkan
FISMA.
3. Setelah dilakukan proses pemetaan FISMA dan COBIT 5, maturity level
dari setiap nilai – nilai dari setandar FISMA dapat ditentukan, dan Sistem
Informasi Pengelolaan Keuangan Daerah Denpasar (SIPKD) telah
mencapai tingkat kematangan dengan nilai rata – rata 4 untuk kategori
keamanan sistem informasi dan nilai rata – rata 2,8325 untuk Kontrol
keamanan Sistem Informasi.
4. Berdasarkan rata – rata nilai maturity level maka dapat di tentukan bahwa
Sistem Informasi Pengelolaan Keuangan Daerah Denpasar (SIPKD)
termasuk dalam kategori tingkat resiko yang tinggi apabila terjadi
kesalahan pada sistem. Sedangkan dari Kontrol Keamanan yang terdiri
dari tiga kelas Menejemen, Operasional dan Teknik, secara garis besar
organisasi telah sadar dan telah melakukan serangkaian keamanan pada
sistem, sehingga mampu melundungi data dan proses informasi dari
5.2 Saran
Saran yang dapat diberikan terkait penelitian ini adalah untuk
meningkatkan Akses Kontrol Terhadap Keamanan Sistem Informasi (SIPKD)
karena dari kesimpulan yang diberikan pada NIST – SP 800-60, bahwa jika terjadi
DAFTAR PUSTAKA
Faisal Shirazee, MSNS, CISSP. FISMA reporting and NIST guidelines.
National Institute Standard and Technology (NIST), , Version 1.2, May 24, 2004.
Guide for the Security Certification and Accreditation of Federal Information Systems
Bakuan audit keamanan informasi kemenpora, 2012. . Kementrian pemuda dan olahraga repub. Indonesia.
Management Control 0 1 2 3 4 5 Jumlah Capability Level Risk Assessment (RA)
(RA-2) Security Category
4 16 4
Planning (PL)
(PL-2) System Security Plan
1 2 1 16 4
System and Service Acquisition (SA)
(SA-7) User Installed Software
3 1 9 2,25
Certification, Accreditation, and Security Assessments (CA) (CA-5) Plan of Action and Milestones
2 2 10 2,5
Rata – rata 3,1875
Operational Control 0 1 2 3 4 5 Jumlah Capability Level Personnel Security (PS)
(PS-3) Personnel Screening
1 3 11 2,75
Physical and Environmental Protection (PE)
(PE-17) Alternate Worksite
1 2 1 4 1
Contingency Planning (CP) (CP-3) Contingency Training
2 2 6 1,5
Configuration Management (CM)
(CM-7) Least Functionality
3 1 13 3,25
Maintenance (MA)
(MA-6) Timely Maintenance
2 2 14 3,5
System and Information Integrity (SI)
(SI-8) Spam and Spyware Protection
3 1 13 3,25
Media Protection (MP) (MP-5) Media Transport
3 1 9 2,25
Incident Response (IR) (IR-6) Incident Reporting
1 3 7 1,75
Awareness and Training (AT) (AT-3) Security Training
3 1 13 3,25
Rata – rata 2,25
Technical Controls 0 1 2 3 4 5 Jumlah Capability Level Identification and Authentication
(IA)
(IA-6) Authentication Feedback
3 1 5 1,25
Access Control (AC) 1 3 15 3,75
(AC-9) Previous Logon Notification
Audit and Accountability (AU) (AU-8) Time Stamps
1 2 1 12 3
System and Communications Protection (SC)
(SC-14) Public Access Protections
3 1 17 4,25