Analisis Sistem Manajemen Keamanan Lokasi, Komunikasi serta Operasi dan Akses Kontrol Berdasarkan ISO 27001:2005 (Studi Kasus Unit TI PT. KAI).

(1)

i

Universitas Kristen Maranatha

ABSTRAK

Analisis Keamanan Sistem Informasi merupakan hal yang penting bagi sebuah perusahaan, terutama bagi perusahaan yang memiliki sistem berskala besar dan memiliki hubungan dengan pihak luar, dimana keamanan lingkungan serta manajemen operasi dan pengendalian akses pada data dan informasi menjadi susah untuk dipantau. Pemahaman ini dapat digunakan untuk melakukan penilaian terhadap proses – proses yang dilakukan perusahaan dalam melakukan pengamanan data dan informasi. Masalah yang dibahas adalah mengenai analisis keamanan informasi pada unit IT yang berada di PT.KAI daerah operasi Bandung. Teori yang digunakan adalah standar berdasarkan ISO 27001 klausul keamanan fisik dan lingkungan, manejemen komunikasi operasi dan pengendalian akses. Sumber data yang didapat merupakan hasil dari wawancara yang dilakukan dengan orang yang memiliki wewenang dan melakukan observasi langsung ke PT.KAI daerah operasi Bandung. Metode penelitian yang dilakukan dengan cara melakukan pemahaman tentang ISO 27001 dan melakukan teknik penelitian dengan tinjauan langsung dan wawancara.

(2)

ii

Universitas Kristen Maranatha

ABSTRACT

Analysis of the security of information systems is crucial for a company, especially for companies that have large-scale systems and have relationships with outside parties, where the security environment as well as the management of operations and control of access to data and information being difficult to monitor. This understanding can be used to do an assessment of the processes that made the company the security of data and information. The problem being discussed is about information security analysis on the unit IT was in PT.KAI area of operations. The theory is based on the ISO 27001 standard physical security and environmental clauses, manejemen communications operations and access control. Source data obtained as the result of interviews conducted with people who have the authority and perform direct observation of PT.KAI area of operations. Methods of research done by an understanding of ISO 27001 and do research techniques with direct review and interviews.

(3)

iii

Universitas Kristen Maranatha

DAFTAR ISI

ABSTRAK ... i

ABSTRACT ... ii

DAFTAR ISI ... iii

DAFTAR GAMBAR ... v

DAFTAR TABEL ... vi

DAFTAR LAMPIRAN ... viii

DAFTAR SINGKATAN ... ix

BAB I PENDAHULUAN... 1

1.1 Latar Belakang ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan... 2

1.4 Ruang Lingkup Kajian ... 2

1.5 Sumber Data ... 3

1.6 Sistematika Penyajian ... 3

BAB II KAJIAN TEORI ... 5

2.1 Analisis Sistem ... 5

2.2 Proses Bisnis ... 5

2.3 Manajemen ... 6

2.4 Keamanan Sistem Informasi ... 7

2.4 Manajemen Keamanan Informasi ... 10

2.4.1 Planning ... 10

2.4.2 Programs ... 12

2.4.3 Policy ... 12

2.4.4 People ... 13

2.4.5 Protection ... 13

2.4.6 Project Management ... 13

2.8 Standar Sistem Manajemen Keamanan Informasi ... 14

2.9 Information Security Management System ... 14

(4)

iv

Universitas Kristen Maranatha

2.11 ISO/IEC 27000:2009 – ISMS Overview and Vocabulary ... 17

2.11.1 SNI ISO/IEC 27001 - Persyaratan Sistem Manejemen Keamanan Informasi. ... 18

2.11.2 ISO/IEC 27005 –Information Security Risk Management ... 21

2.11.3 ISO/IEC 27006 –Requirements for Bodies Providing Audit and Certification of Information Security Management Systems. ... 21

2.12 Dokumentasi Sistem Manejemen Keamanan Informasi ... 21

2.13 Detail Struktur Dokumen Kontrol Keamanan ISO 27001 ... 23

2.14 Gap Analysis ... 38

BAB III ANALISIS DAN EVALUASI ... 43

3.1 Latar Belakang Perusahaan ... 43

3.2 Visi dan Misi ... 44

3.3 Struktur Organisasi ... 44

3.4 Tujuan dan Fungsi Unit TI pada Perusahaan ... 46

3.5 Tahapan Dalam Menganalisis SMKI ... 47

3.5.1 Persiapan Dokumen ... 48

3.5.2 Analisis Kuesioner Awareness ... 52

3.5.3 Analisis Kuesioner Compliant ... 52

3.5.4 Analisis Kuesioner Required ... 55

3.5.5 Pemberian Komentar ... 57

BAB IV SIMPULAN DAN SARAN ... 102

4.1 Simpulan ... 102

4.2 Saran dan Rekomendasi ... 102

DAFTAR PUSTAKA ... 113

(5)

v

Universitas Kristen Maranatha

DAFTAR GAMBAR

Gambar 1 Elemen-elemen keamanan informasi ... 8

Gambar 2 Hubungan antar standar SMKI ... 18

Gambar 3 Struktur dokumentasi SMKI ... 22

Gambar 4 Gap Analysis & Audit Tools ... 41

Gambar 5 Struktur organisasi PT.KAI ... 45

Gambar 6 Struktur Organisasi Unit Sistem Informasi ... 46

(6)

vi

Universitas Kristen Maranatha

DAFTAR TABEL

Tabel I PDCA MODEL ... 19

Tabel II Detail dokumentasi ISO 27001 ... 23

Tabel III Kuisioner Awareness ... 52

Tabel IV Kuisioner Compliant... 52

Tabel V Kuisioner Required ... 55

Tabel VI Perimeter keamanan fisik ... 57

Tabel VII Pengendalian entri yang bersifat fisik ... 58

Tabel VIII Mengamankan kantor, ruangan dan fasilitas... 58

Tabel IX Perlindungan terhadap ancaman eksternal dan lingkungan ... 59

Tabel X Bekerja di area yang aman ... 60

Tabel XI Area akses publik dan bongkar muat ... 60

Tabel XII Penempatan dan perlindungan peralatan ... 61

Tabel XIII Sarana Pendukung ... 61

Tabel XIV Keamanan Kabel ... 62

Tabel XV Pemeliharaan Peralatan ... 62

Tabel XVI Keamanan peralatan di luar lokasi ... 63

Tabel XVII Pembuangan atau penggunaan kembali peralatan secara aman ... 63

Tabel XVIII Pemindahan barang ... 64

Tabel XIX Prosedur operasi terdokumentasi ... 65

Tabel XX Manajemen perubahan ... 65

Tabel XXI Pemisahan Tugas ... 66

Tabel XXII Pemisahan fasilitas pengembangan, pengujian dan operasional ... 66

Tabel XXIII Pelayanan Jasa ... 67

Tabel XXIV Pemantauan dan Pengkajian Data ... 67

Tabel XXV Pengelolaan Perubahan Terhadap Jasa Pihak Ketiga ... 68

Tabel XXVI Manajemen Kapasitas ... 68

Tabel XXVII Keberterimaan Sistem ... 69

Tabel XXVIII Perlindungan Terhadap Malicious Code ... 69

Tabel XXIX Perlindungan Terhadap Mobile Code ... 70

Tabel XXX Back-Up Informasi ... 71

Tabel XXXI Pengendalian Jaringan ... 71

Tabel XXXII Keamanan Layanan Jaringan ... 72

Tabel XXXIII Manajemen Media yang dapat Dipindahkan ... 72

Tabel XXXIV Pemusnahan Media ... 73

Tabel XXXV Prosedur Penanganan Informasi ... 73

Tabel XXXVI Keamanan Dokumentasi Sistem ... 74

(7)

vii

Universitas Kristen Maranatha

Tabel XXXVIII Perjanjian Pertukaran ... 75

Tabel XXXIX Pesan Elektronik ... 75

Tabel XL Sistem Informasi Bisnis ... 75

Tabel XLI Electronic Commerce ... 76

Tabel XLII Transaksi Online ... 76

Tabel XLIII Informasi yang Tersedia untuk umum ... 77

Tabel XLIV Log Audit ... 77

Tabel XLV Pemantauan Penggunaan Sistem ... 78

Tabel XLVI Perlindungan Informasi Log ... 78

Tabel XLVII Log Administrator dan Operator ... 79

Tabel XLVIII Log atas Kesalahan yang Terjadi ... 79

Tabel XLIX Sinkronisasi Penunjuk Waktu ... 80

Tabel L Kebijakan Pengendalian Akses ... 80

Tabel LI Pendaftaran Pengguna ... 81

Tabel LII Manajemen Hak Khusus ... 81

Tabel LIII Manajemen Password Pengguna ... 82

Tabel LIV Tinjauan Terhadap Hak Akses ... 82

Tabel LV Penggunaan Password ... 83

Tabel LVI Peralatan yang ditinggalkan oleh Pengguna ... 83

Tabel LVII Kebijakan Clear desk and screen ... 84

Tabel LVIII Kebijakan Penggunaan Layanan ... 84

Tabel LIX Otentikasi Pengguna untuk Koneksi Eksternal ... 85

Tabel LX Identifikasi Peralatan dalam Jaringan ... 85

Tabel LXI Perlindungan terhadap remote diagnostic dan configuration port ... 86

Tabel LXII Segregasi dalam Jaringan ... 86

Tabel LXIII Pengendalian Koneksi Jaringan... 86

Tabel LXIV Pengendalian routing jaringan ... 87

Tabel LXV Prosedur Log-on yang aman ... 87

Tabel LXVI Identifikasi dan otentifikasi pengguna ... 88

Tabel LXVII Sistem manajemen password ... 88

Tabel LXVIII Pengguna sistem utilities ... 89

Tabel LXIX Sesi time out ... 89

Tabel LXX Pembatasan waktu koneksi ... 90

Tabel LXXI Pembatasan akses informasi ... 90

Tabel LXXII Isolasi sistem yang sensitif ... 91

Tabel LXXIII Mobile computing dan komunikasi ... 91

(8)

viii

Universitas Kristen Maranatha

DAFTAR LAMPIRAN

LAMPIRAN A KUESIONER COMPLIANT ... 117

LAMPIRAN B KUESIONER AWARENESS ... 118

LAMPIRAN C DOKUMEN POLICY ISO 27001 ... 121

LAMPIRAN D PROSEDUR ISO 27001 ... 123

LAMPIRAN E WORKLIST ISO 27001 ... 183

LAMPIRAN E SCHEDULE OF AUDIT LOG REQUIREMENT ... 208

LAMPIRAN F RECORD ISO 27001 ... 228

LAMPIRAN G HAK AKSES ... 238

LAMPIRAN H AKSES PINTU ... 239

LAMPIRAN I KERJA SAMA PIHAK KETIGA ... 240

LAMPIRAN J TATA KELOLA TI ... 241

LAMPIRAN K WAWANCARA ... 245

(9)

ix

Singkatan Istilah Arti Istilah

Doc Dokumen

PT.KAI PT.Kereta Api Indonesia (Persero)

SMKI Sistem Manajemen Keamanan Informasi

TI Teknologi informasi

(10)

1

BAB I PENDAHULUAN

1.1 Latar Belakang

Dalam era yang semakin canggih saat ini ilmu pengetahuan dan

teknologi khususnya teknologi informasi berkembang dengan cepat,

keamanan merupakan suatu isu yang sangat penting baik itu

keamanan fisik ataupun keamanan data dan aplikasi. Perlu disadari

bahwa untuk mencapai suatu keamanan itu adalah suatu hal yang

sangat mustahil, seperti pada saat ini tidak ada satu daerah pun yang

betul

–

betul aman kondisinya walau telah dijaga oleh petugas yang

ditempatkan pada daerah tersebut, begitu pula dengan keamanan

yang menyangkut dengan data dan informasi yang dimiliki oleh

perusahaan.

Dalam kajian ini PT.KAI merupakan perusahaan yang bergerak

dibidang pelayanan transportasi dimana didalamnya terdapat sistem

yang mengelola segala bentuk data dan informasi yang dikelola oleh

unit TI didalam perusahaan tersebut. Dalam sistem keamanan lokasi,

komunikasi dan operasi serta akses kontrol merupakan kajian dasar

yang perlu diperhatikan guna melindungi asset yang dimiliki oleh

perusahaan PT.KAI. Dalam halnya terdapat beberapa standarisasi

untuk melihat kesesuaian dari sistem tersebut.

Pada kasus tersebut diperlukan analsis keamanan sistem informasi

untuk memastikan keamanan informasi diterapkan sesuai dengan

prosedur. Standar yang digunakan yaitu ISO 27001 dengan judul

(11)

2

Universitas Kristen Maranatha

SISTEM MANAJEMEN KEAMANAN LOKASI, KOMUNIKASI

SERTA OPERASI DAN AKSES KONTROL BERDASARKAN ISO

27001:2005 (STUDI KASUS UNIT TI PT.KAI)

”.

1.2 Rumusan Masalah

Masalah yang akan di analisis pada objek penelitian ini, adalah

:

1. Apakah tata kelola keamanan lokasi dan lingkungan PT.KAI telah

sesuai dalam menjaga data dan informasi pada unit IT ?

2. Apakah tata kelola keamanan komunikasi dan operasi yang

dilakukan PT.KAI telah sesuai dalam menjaga keamanan data

dan informasi pada unit IT ?

3. Apakah tata kelola keamanan pengendalian akses yang

dilakukan PT.KAI telah sesuai dalam menjaga keamanan data

dan informasi pada unit IT ?

1.3 Tujuan Pembahasan

Tujuan dari penelitian ini adalah sebagai berikut :

1. Mengetahui pengelolaan keamanan lokasi dan lingkungan dalam

menjaga keamanan data dan informasi pada unit IT di PT.KAI.

2. Mengetahui pengelolaan keamanan komunikasi dan operasi

dalam menjaga keamanan data dan informasi pada unit IT di

PT.KAI.

3. Mengetahui pengelolaan keamanan pengendalian akses dalam

(12)

3

Universitas Kristen Maranatha

1.4 Ruang Lingkup Kajian

Dari permasalahan yang sudah dijelaskan, maka yang menjadi

batasan dalam penelitian ini adalah :

1. Perencanaan analisis yang dibuat, lebih diarahkan sebagai

panduan analisis internal.

2. Penelitian hanya dilakukan pada kantor PT.KAI (Persero) daerah

operasi Bandung.

3. Penelitian bukan menerapkan

ISO

27001 pada perusahaan,

melainkan melakukan analisis keamanan informasi yang

dilakukan perusahaan untuk disesuaikan dengan standar

ISO

27001.

4. Kontrol objek dari standar

ISO

27001 yang terdapat di dalam

penelitian ini, diambil berdasarkan kebutuhan perusahaan yaitu :

a. Keamanan fisik dan lingkungan

b. Manajemen komunikasi dan opersasi

c. Pengendalian akses

1.5 Sumber Data

Sumber yang di dapat dalam melakukan penelitian ini diantaranya

wawancara,

observasi

, internet, buku dan e-book.

1.6 Sistematika Penyajian

Sistematika pembahasan laporan seminar tugas akhir ini dibagi

menjadi 4(empat) bab. Berikut penjelasan tentang masing

–

masing

bab :

(13)

4

Universitas Kristen Maranatha

Bab I Pendahuluan membahas latar belakang masalah, rumusan

masalah, tujuan pembahasan dan ruang lingkup kajian yang dipakai

dan juga sumber data yang digunakan.

BAB II KAJIAN TEORI

BAB II Kajian Teori membahas mengenai teori-teori yang digunakan

dalam seminar tugas akhir untuk melakukan analisis proses bisnis

dalam PT.KAI menggunakan ISO 27001:2005.

BAB III ANALISIS

BAB III Analisis proses bisnis membahas mengenai pokok

permasalahan yang terdapat dalam ruang lingkup masalah, sebagai

jawaban dari rumusan masalah yang ditulis sebelumnya.

BAB IV KESIMPULAN DAN SARAN

BAB VI Kesimpulan dan Saran membahas mengenai kesimpulan dari

pembahasan yang dilakukan pada bab III analisis. Pada bab ini juga

(14)

96

Universitas Kristen Maranatha

BAB IV SIMPULAN DAN SARAN

4.1 Simpulan

Hasil simpulan yang dapat diambil dari analisis proses

keamanan lokasi, manajemen operasi dan komunikasi serta

pengendalian akses kontrol diantaranya :

1. PT.KAI telah menerapkan keamanan fisik dan lingkungan

untuk melindungi aset informasi, namun masih kurangnya

kepedulian organisasi dan pegawai terhadap aset tersebut,

dikarenakan masih belum lengkapnya kebijakan dan

prosedur yang ada.

2. PT.KAI telah melakukan proses operasi dan komunikasi

namun perusahaan masih dalam tahap perencanaan untuk

membuat kebijakan dan prosedur yang mengatur proses

operasi dan komunikasi.

3. PT.KAI telah menjalakan proses pengendalian akses kontrol

dengan baik, namun dalam penerapannya masih terdapat

celah untuk melakukan modifikasi atau pengaksesan oleh

pihak yang tidak berwenang karena kurangnya perhatian dari

manajemen yang bertanggung jawab untuk melakukan

pemantauan secara reguler dan belum adanya prosedur

yang mengatur secara formal.

4.2 Saran dan Rekomendasi

Berdasarkan hasil analisis yang telah dilakukan di PT.KAI

berikut adalah beberapa saran seusai dengan proses yang ada

(15)

97

Universitas Kristen Maranatha

1. Keamanan fisik dan Lingkungan

a. Perimeter keamanan fisik

Pengendalian akses fisik terhadap sistem informasi

dapat ditingkatkan lagi agar terlindungi dari akses pihak

yang tidak berwenang.

b. Pengendalian entri bersifat fisik

pengendalian entri fisik terhadap sistem informasi dapat

ditingkatkan lagi agar terlindungi dari akses pihak yang

tidak berwenang.

c. Mengamankan kantor, ruangan dan fasilitas

Manajemen tingkat atas agar mendukung perancangan

keamanan fisik terhadap aset informasi yang dimiliki dan

menerapkannya.

d. Perlindungan

terhadap

ancaman

eksternal

dan

lingkungan

Manajemen tingkat atas agar mendukung perancangan

keamanan fisik terhadap aset informasi yang dimiliki dan

menerapkannya.

e. Bekerja diarea yang aman

Harus

tersedia

pedoman

untuk

bekerja

dalam

perlindungan area yang aman.

f. Area akses publik dan bongkar muat

Harus dibuat prosedur tertulis agar lebih jelas

instruksinya.

g. Penempatan dan perlindungan peralatan

Perlu ada prosedur tetap agar prosedur penempatan dan

perlindungan peralatan dapat dijalankan dengan benar.

(16)

98

Universitas Kristen Maranatha

penerapan sarana pendukung harus dikendalikan

dengan menggunakan prosedur yang formal.

i. Keamanan kabel

Agar di beri instruksi jelas kepada pegawai untuk

menjaga dan merawat kemanan kabel.

j. Pemeliharaan peralatan

seluruh pegawai harus diberi instruksi yang jelas

mengenai pemeliharaan peralatan yang digunakannya

agar tidak menghambat proses yang sedang berjalan.

k. Keamanan peralatan di luar lokasi

Agar setiap peralatan yang akan dibawa ke luar lokasi

perusahaan di identifikasi terlebih dahulu dan di cek

apabila akan kembali ke dalam lokasi perusahaan.

l. Pembuangan atau penggunaan kembali peralatan

secara aman.

Agar setiap pegawai memiliki tingkat perhatian yang

tinggi karena menyangkut data perusahaan.

m. Pemindahan barang

Tanggung jawab manajemen dan prosedur harus

diterapkan untuk memastikan setiap peralatan dan

informasi yang dibawa ke luar lokasi melalui proses yang

benar.

2. Manajemen Komunikasi dan Operasi

a. Prosedur operasi terdokumentasi

Tanggung jawab manajemen dan prosedur harus

diterapkan agar setiap proses yang berlangsung di

perusahaan dapat di dokumentasikan dengan baik dan di

pelihara.

(17)

99

Universitas Kristen Maranatha

Tanggung jawab manajemen dan prosedur harus

diterapkan agar setiap proses yang berlangsung di

perusahaan dapat di dokumentasikan dengan baik dan di

pelihara.

c. Pemisahan tugas

d. Pemisahan fasilitas pengembangan, pengujian dan

operasional

e. Pelayanan jasa

Pengecekan terhadap layanan jasa dari pihak ketiga

harus dilakukan secara regular untuk memastikan

layanan yang diberikan oleh pihak ketiga sudah seusai

dengan perjanjian

f. Pemantauan dan pengkajian data

Pemantauan sebaiknya dilakukan secara regular dan

berkala untuk mendapatkan hasil yang baik

g. Pengelolaan perubahan terhadap jasa pihak ketiga

Agar prosedur dijalakan dengan benar.

h. Manajemen kapasitas

Kebijakan mengenai manajemen kapasitas harus lebih

disosialisasikan kepada sumber daya yang dimiliki

perusahaan

i. Keberterimaan sistem

harus tersedia prosedur pada sistem informasi yang

baru, upgrade dan versi yang baru ditetapkan.

j. Perlindungan terhadap

malicious code

agar dibuat instruksi legal mengenai perlindungan

terhadap

malicious code

(18)

100

Universitas Kristen Maranatha

agar dibuat instruksi legal mengenai perlindungan

terhadap mobile code

l.

Back-up

informasi

Agar dibuat prosedur yang jelas dan legal untuk

melindungi data informasi yang dimiliki perusahaan

m. Pengendalian jaringan

Penerapan pengendalian jaringan harus di pertahankan

atau di tingkatkan kembali

n. Keamanan layanan jaringan

Penerapan

keamanan

layanan

jaringan

harus

ditingkatkan kembali

o. Manajemen media yang dapat dipindahkan

Agar

setiap

media

yang

akan

dipindahkan

didokumentasikan

p. Pemusnahan media

Pemusnahan media agar dilakukan untuk memastikan

data atau informasi tidak jatuh ke pihak yang tidak

berwenang

q. Prosedur penanganan informasi

Agar segera dibuat prosedur tersebut

r. Keamanan dokumentasi sistem

s. Kebijakan dan prosedur pertukaran informasi

Perusahaan

harus

memiliki

prosedur

pertukaran

informasi

t. Perjanjian pertukaran

u. Pesan elektronik

(19)

101

Universitas Kristen Maranatha

v. Sistem informasi bisnis

Perusahaan agar membuat instruksi tersebut

w.

Electronic commerce

harus tersedia instruksi legal mengenai

electronic

commerce

x. Transaksi

online

harus terdapat instruksi jelas dan legal yang mengatur

traksaksi

online

y. Informasi yang tersedia untuk umum

Agar selalu me

maintenance

informasi yang tersedia

untuk umum

z.

Log audit

Agar perusahaan membuat instruksi yang jelas dan legal

aa. Pemantauan penggunaan sistem

Agar setiap pemantauan penggunaan sistem di pantau

secara reguler

bb. Perlindungan informasi

log

Agar perlindungan terhadap informasi

log

ditingkatkan

agar tidak ada akses oleh pihak yang tidak berwenang

cc.

Log

administrator dan operator

Agar seluruh kegiatan administrator dan operator dapat

terpantau secara reguler

dd.

Log

atas kesalahan yang terjadi

Agar setiap kesalahan yang terjadi dicatat dan di analisa

untuk diambil tindakan

ee. Sinkronisasi penunjuk waktu

agar setiap waktu yang terdapat di sistem perusahaan

dapat disinkronisasikan seluruhnya

(20)

102

Universitas Kristen Maranatha

a. Kebijakan pengendalian akses

Harus tersedia prosedur untuk mengendalikan kebijakan

pengendalian akses

b. Pendaftaran pengguna

Harus tersedia prosedur yang mengendalikan hak hak

akses pengguna

c. Manajemen hak khusus

Penggunaan hak akses oleh pihak yang tidak berwenang

harus diminimalisirkan

d. Manajemen

password

pengguna

Pengguna harus dicegah untuk member

password

miliknya dengan pegawai lain

e. Tinjauan terhadap hak akses

Pengendalian tinjauan hak akses harus dibuat agar

dapat meninjau hak hak akses setiap pegawai

f. Penggunaan

password

Password

agar di tetapkan ketentuannya agar sesuai

dengan standar yang akan digunakan

g. Peralatan yang ditinggalkan oleh pengguna

Manajer harus memastikan bahwa seluruh peralatan

yang sudah ditinggalkan oleh penggunanya dapat

dilindungi atau disimpan dengan baik dan benar

h. Kebijakan

clear desk and screen

Agar secepatnya dibuat kebijakan clear desk and screen

i. Kebijakan penggunaan layanan

Agar setiap layanan yang diberikan untuk pengguna

diberikan secara spesifik

(21)

103

Universitas Kristen Maranatha

Harus direncanakan membuat kebijakan otentikasi

pengguna untuk koneksi eksternal

k. Identifikasi peralatan dalam jaringan

manajemen agar lebih peduli terhadap kebijakan

identifikasi peralatan dalam jaringan

l. Perlindungan

terhadap

remote

diagnostic

dan

configuration port.

Perlindungan

remote diagnostic

dan

configuration port

agar ditingkatkan kembali

m. Segregasi dalam jaringan

Agar dibuat instruksi secara formal

n. Pengendalian koneksi jaringan

Perluasan jaringan harus dibarengi dengan pengendalian

koneksi jaringan sehingga ada yang mengatur secara

formal

o. Pengendalian

routing

jaringan

Prosedur harus diterapkan dan dibuat untuk memastikan

kesesuaian dengan persyaratan yang dibutuhkan

p. Prosedur

log-on

yang aman

Prosedur harus diterapkan dan dibuat untuk memastikan

kesesuaian dengan persyaratan yang dibutuhkan

q. Identifikasi dan otentikasi pengguna

Prosedur harus dibuat untuk membatasi dan mengatur

pegawai yang memiliki user-id

r. Sistem manajemen

password

Apabila ingin memiliki prosedur ini harus membuat dulu

sistem manajemen

password

s. Pengguna sistem

utilities

(22)

104

Universitas Kristen Maranatha

t. Sesi

time out

Agar dibuat prosedur sesi

time out

u. Pembatasan waktu koneksi

Pengguna harus mematuhi aturan yang berlaku

diperusahaan

v. Pembatasan akses informasi

Kedepannya agar setiap pengguna memiliki batasan

batasany terhadap akses informasi

w. Isolasi sistem yang sensitive

Perlindungan sistem yang sensitif harus dijamin dan di

atur oleh kebijakan yang berlaku

x.

Mobile computing

dan komunikasi

Agar perusahaan membuat prosedur ini

y. Kerja jarak jauh

Pengendalian kerja jarak jauh harus diatur dalam

kebijakan yang formal.

Dalam dokumen SMKI tedapat kebijakan, prosedur, instruksi

kerja dan sasaran terkait dengan pengembangan dan

penerapan sistem keamanan informasi, adapun kebijakan yang

harus dimiliki oleh perusahaan dari klausul keamanan fisik dan

lingkungan,

manajemen

komunikasi

dan

operasi

dan

pengendalian akses adalah :

1. Kebijakan yang harus dipenuhi

a. Malicous Code Policy

b. Access Control Policy

c. Network Access Policy

2. Prosedur yang harus dipenuhi

(23)

105

Universitas Kristen Maranatha

b. Equipment Sy

c. Disposal of Info Equipment Device and Media

d. Loading and Unloading

e. Off-site Removal Authorisation

f. Documenting Operating Procedure

g. Change Control Procedure

h. Separation of Operational, Test and Development

Environment Managing Third Parties

i. System Planning and Acceptance

j. Malicious Code Procedure

k. Back-up

l. Network Management

m. Media Handling

n. Business Information System

o. Monitoring

p. E-Commerce

q. User Access Rights

r. User Registration

s. Teleworker Procedure

t. Mobile Computing

u. Access Control Procedure

v. Secure Log-on

w. System Utilities

3. Instruksi kerja yang harus dipenuhi

a. Fire Door

b. Fire Alarms

c. Burglar Alarms

(24)

106

Universitas Kristen Maranatha

f. Physical Perimeter Security Checklist

g. Netbook Configuration

h. Anti Malware

i. User Name Admin

j. Website Terms

k. Privacy Statement

l. Administrator Logging

m. Monitoring Schedule

n. Audit Logging Schedule

o. Teleworker User Agreement

p. User Agreement

q. Mobile Phone User

r. Wireless Notebook User

4. Menyesuaikan sasaran dari seluruh pengendalian yaitu

memastikan keamanan seluruh lokasi dan peralatan yang

terdapat pada unit IT dan memastikan manajemen

komunikasi dan operasi yang terdapat pada unit IT baik

kepada pihak ketiga yang menyediakan jasa layanan

terhadap sistem informasi serta pengendalian hak akses

terhadap sistem informasi yang dilakukan oleh pengguna

atau pegawai PT.KAI sudah dilakukan dan diterapkan

(25)

98

Universitas Kristen Maranatha

DAFTAR PUSTAKA

Badan Standarisasi Nasional. (2005). INFORMATION SECURITY

MANAGEMENT SYSTEM (ISMS) MEENGGUNAKAN STANDAR ISO/IEC

27001:2005. Badan Standarisasi Nasional.

Carder, A. (2005).

ISO 27001:2005 Gap Analysis & Audit Tool.

IT Governance.

David, I. (1997).

An Analysis of Secority Incidents on The Internet 1989 - 1995.

Carnegie Mellon University.

ISO/IEC. (2005).

Individual User Agreement Wireless User Addendum.

Geneva:

Governance Ltd2005v1.2.

ISO/IEC. (2005).

Access Control Policy.

Geneva: Governance Ltd2005v1.2.

ISO/IEC. (2005).

Access Control Rules and Right For.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Air Conditioning equipment Monitoring Work Inst.

Geneva:

ISO/IEC. (2005).

Anti Virus Software Operation Work Instruction.

Geneva:

ISO/IEC. (2005).

Backup Procedures.

ISO/IEC. (2005).

Burglar Alarm Monitoring Work Instruction.

Geneva:

ISO/IEC. (2005).

Business Information System.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Change Control Procedure.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Change Request.

(26)

99

Universitas Kristen Maranatha

ISO/IEC. (2005).

Documented Procedures.

ISO/IEC. (2005).

Equipment Security Procedure.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Fire Alarm Monitoring Work Instruction.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Fire Door Monitoring Instruction.

Geneva: Governance

Ltd2005v1.2

ISO/IEC. (2005).

Fire Suppression Equipment Monitoring Work.

Geneva:

ISO/IEC. (2005).

Individual Teleworker User Agreement.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Individual User Agreement.

ISO/IEC. (2005).

Information security Monitoring Procedure.

Geneva:

ISO/IEC. (2005).

Managing Third Party Service Contracts.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Media and Information Handling Procedure.

Geneva:

ISO/IEC. (2005).

Network Access Control Procedure.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Network Access Policy.

ISO/IEC. (2005).

Network Control and Services.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Organisational Privacy Legal Statement.

Geneva: Governance

Ltd2005v1.2.

(27)

100

Universitas Kristen Maranatha

ISO/IEC. (2005).

Physical Perimeter Security Checklist.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Policy Againts malicious Code.

Geneva: Governance Ltdv1.2.

ISO/IEC. (2005).

Public Access, Delivery and Loading Areas.

Geneva:

ISO/IEC. (2005).

Reception Area Monitoring Work Inst.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Record - Schedule.

ISO/IEC. (2005).

Removal Off-Site of Information Assets.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Rules For Operational, Test And Development Environment

Procedure.

ISO/IEC. (2005).

Schedule of Administration and Operator Log Requirement.

ISO/IEC. (2005).

Schedule of Audit Log Requirement.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Schedule of Monitoring Requirement.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Secure Disposal of Storage.

geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Secure Log-on, Session Time out and Sensitive System

Isolation.

ISO/IEC. (2005).

Standard Configuration Detail For Notebook Computers, Pdas

and Mobile Phonework.

ISO/IEC. (2005).

System Planning and Acceptance.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Teleworker Checklist.

(28)

101

Universitas Kristen Maranatha

ISO/IEC. (2005).

Terms and Condition of Web Site Use.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Use of System Utilities.

ISO/IEC. (2005).

User Access Management.

ISO/IEC. (2005).

User Agreement - Mobile Phone Addendum.

Geneva:

ISO/IEC. (2005).

User Deletion Request.

ISO/IEC. (2005).

User Name Administration Work Instruction.

Geneva:

ISO/IEC. (2005).

User Replacement Password Request.

Geneva: Governance

Ltd2005v1.2.

ISO/IEC. (2005).

Wireless Notebook Computer Security.

Geneva: Governance

Ltd2005v1.2.

Jogiyanto, H. (2001 :129).

Analisis & Desain Sistem Informasi : Pendekatan

Terstruktur Teori dan Praktek Aplikasi Bisnis.

Yogyakarta: Andi.

PT.KAI. (2012, 09 16). Retrieved 11 2, 2012, from www.kereta-api.co.id:

http://www.kereta-api.co.id/tentang-kami/sekilas-sejarah.html

PT.KAI. (2012, 09 16). Retrieved 11 2, 2012, from www.kereta-api.com:

http://www.kereta-api.co.id/tentang-kami/visi-dan-misi.html

Ricthi, H. (2009). Retrieved 1 11, 2013, from www.pustaka.unpad.ac.id:

http://pustaka.unpad.ac.id/wp-content/uploads/2009/01/identifikasi_pengendalian_aplikasi.pdf

Syafrizal, M. (2008). INFORMATION SECURITY MANAGEMENT SYSTEM

(ISMS).

Witarto. (2004).

Memahami Sistem Informasi : Pendekatan Praktis Rekayasa

Sistem Informasi Melalui Kasus - Kasus Sistem Informasi di Sekitar Kita.

(29)