i
Universitas Kristen Maranatha
ABSTRAK
Analisis Keamanan Sistem Informasi merupakan hal yang penting bagi sebuah perusahaan, terutama bagi perusahaan yang memiliki sistem berskala besar dan memiliki hubungan dengan pihak luar, dimana keamanan lingkungan serta manajemen operasi dan pengendalian akses pada data dan informasi menjadi susah untuk dipantau. Pemahaman ini dapat digunakan untuk melakukan penilaian terhadap proses – proses yang dilakukan perusahaan dalam melakukan pengamanan data dan informasi. Masalah yang dibahas adalah mengenai analisis keamanan informasi pada unit IT yang berada di PT.KAI daerah operasi Bandung. Teori yang digunakan adalah standar berdasarkan ISO 27001 klausul keamanan fisik dan lingkungan, manejemen komunikasi operasi dan pengendalian akses. Sumber data yang didapat merupakan hasil dari wawancara yang dilakukan dengan orang yang memiliki wewenang dan melakukan observasi langsung ke PT.KAI daerah operasi Bandung. Metode penelitian yang dilakukan dengan cara melakukan pemahaman tentang ISO 27001 dan melakukan teknik penelitian dengan tinjauan langsung dan wawancara.
ii
Universitas Kristen Maranatha
ABSTRACT
Analysis of the security of information systems is crucial for a company, especially for companies that have large-scale systems and have relationships with outside parties, where the security environment as well as the management of operations and control of access to data and information being difficult to monitor. This understanding can be used to do an assessment of the processes that made the company the security of data and information. The problem being discussed is about information security analysis on the unit IT was in PT.KAI area of operations. The theory is based on the ISO 27001 standard physical security and environmental clauses, manejemen communications operations and access control. Source data obtained as the result of interviews conducted with people who have the authority and perform direct observation of PT.KAI area of operations. Methods of research done by an understanding of ISO 27001 and do research techniques with direct review and interviews.
iii
Universitas Kristen Maranatha
DAFTAR ISI
ABSTRAK ... i
ABSTRACT ... ii
DAFTAR ISI ... iii
DAFTAR GAMBAR ... v
DAFTAR TABEL ... vi
DAFTAR LAMPIRAN ... viii
DAFTAR SINGKATAN ... ix
BAB I PENDAHULUAN... 1
1.1 Latar Belakang ... 1
1.2 Rumusan Masalah ... 2
1.3 Tujuan Pembahasan... 2
1.4 Ruang Lingkup Kajian ... 2
1.5 Sumber Data ... 3
1.6 Sistematika Penyajian ... 3
BAB II KAJIAN TEORI ... 5
2.1 Analisis Sistem ... 5
2.2 Proses Bisnis ... 5
2.3 Manajemen ... 6
2.4 Keamanan Sistem Informasi ... 7
2.4 Manajemen Keamanan Informasi ... 10
2.4.1 Planning ... 10
2.4.2 Programs ... 12
2.4.3 Policy ... 12
2.4.4 People ... 13
2.4.5 Protection ... 13
2.4.6 Project Management ... 13
2.8 Standar Sistem Manajemen Keamanan Informasi ... 14
2.9 Information Security Management System ... 14
iv
Universitas Kristen Maranatha
2.11 ISO/IEC 27000:2009 – ISMS Overview and Vocabulary ... 17
2.11.1 SNI ISO/IEC 27001 - Persyaratan Sistem Manejemen Keamanan Informasi. ... 18
2.11.2 ISO/IEC 27005 –Information Security Risk Management ... 21
2.11.3 ISO/IEC 27006 –Requirements for Bodies Providing Audit and Certification of Information Security Management Systems. ... 21
2.12 Dokumentasi Sistem Manejemen Keamanan Informasi ... 21
2.13 Detail Struktur Dokumen Kontrol Keamanan ISO 27001 ... 23
2.14 Gap Analysis ... 38
BAB III ANALISIS DAN EVALUASI ... 43
3.1 Latar Belakang Perusahaan ... 43
3.2 Visi dan Misi ... 44
3.3 Struktur Organisasi ... 44
3.4 Tujuan dan Fungsi Unit TI pada Perusahaan ... 46
3.5 Tahapan Dalam Menganalisis SMKI ... 47
3.5.1 Persiapan Dokumen ... 48
3.5.2 Analisis Kuesioner Awareness ... 52
3.5.3 Analisis Kuesioner Compliant ... 52
3.5.4 Analisis Kuesioner Required ... 55
3.5.5 Pemberian Komentar ... 57
BAB IV SIMPULAN DAN SARAN ... 102
4.1 Simpulan ... 102
4.2 Saran dan Rekomendasi ... 102
DAFTAR PUSTAKA ... 113
v
Universitas Kristen Maranatha
DAFTAR GAMBAR
Gambar 1 Elemen-elemen keamanan informasi ... 8
Gambar 2 Hubungan antar standar SMKI ... 18
Gambar 3 Struktur dokumentasi SMKI ... 22
Gambar 4 Gap Analysis & Audit Tools ... 41
Gambar 5 Struktur organisasi PT.KAI ... 45
Gambar 6 Struktur Organisasi Unit Sistem Informasi ... 46
vi
Universitas Kristen Maranatha
DAFTAR TABEL
Tabel I PDCA MODEL ... 19
Tabel II Detail dokumentasi ISO 27001 ... 23
Tabel III Kuisioner Awareness ... 52
Tabel IV Kuisioner Compliant... 52
Tabel V Kuisioner Required ... 55
Tabel VI Perimeter keamanan fisik ... 57
Tabel VII Pengendalian entri yang bersifat fisik ... 58
Tabel VIII Mengamankan kantor, ruangan dan fasilitas... 58
Tabel IX Perlindungan terhadap ancaman eksternal dan lingkungan ... 59
Tabel X Bekerja di area yang aman ... 60
Tabel XI Area akses publik dan bongkar muat ... 60
Tabel XII Penempatan dan perlindungan peralatan ... 61
Tabel XIII Sarana Pendukung ... 61
Tabel XIV Keamanan Kabel ... 62
Tabel XV Pemeliharaan Peralatan ... 62
Tabel XVI Keamanan peralatan di luar lokasi ... 63
Tabel XVII Pembuangan atau penggunaan kembali peralatan secara aman ... 63
Tabel XVIII Pemindahan barang ... 64
Tabel XIX Prosedur operasi terdokumentasi ... 65
Tabel XX Manajemen perubahan ... 65
Tabel XXI Pemisahan Tugas ... 66
Tabel XXII Pemisahan fasilitas pengembangan, pengujian dan operasional ... 66
Tabel XXIII Pelayanan Jasa ... 67
Tabel XXIV Pemantauan dan Pengkajian Data ... 67
Tabel XXV Pengelolaan Perubahan Terhadap Jasa Pihak Ketiga ... 68
Tabel XXVI Manajemen Kapasitas ... 68
Tabel XXVII Keberterimaan Sistem ... 69
Tabel XXVIII Perlindungan Terhadap Malicious Code ... 69
Tabel XXIX Perlindungan Terhadap Mobile Code ... 70
Tabel XXX Back-Up Informasi ... 71
Tabel XXXI Pengendalian Jaringan ... 71
Tabel XXXII Keamanan Layanan Jaringan ... 72
Tabel XXXIII Manajemen Media yang dapat Dipindahkan ... 72
Tabel XXXIV Pemusnahan Media ... 73
Tabel XXXV Prosedur Penanganan Informasi ... 73
Tabel XXXVI Keamanan Dokumentasi Sistem ... 74
vii
Universitas Kristen Maranatha
Tabel XXXVIII Perjanjian Pertukaran ... 75
Tabel XXXIX Pesan Elektronik ... 75
Tabel XL Sistem Informasi Bisnis ... 75
Tabel XLI Electronic Commerce ... 76
Tabel XLII Transaksi Online ... 76
Tabel XLIII Informasi yang Tersedia untuk umum ... 77
Tabel XLIV Log Audit ... 77
Tabel XLV Pemantauan Penggunaan Sistem ... 78
Tabel XLVI Perlindungan Informasi Log ... 78
Tabel XLVII Log Administrator dan Operator ... 79
Tabel XLVIII Log atas Kesalahan yang Terjadi ... 79
Tabel XLIX Sinkronisasi Penunjuk Waktu ... 80
Tabel L Kebijakan Pengendalian Akses ... 80
Tabel LI Pendaftaran Pengguna ... 81
Tabel LII Manajemen Hak Khusus ... 81
Tabel LIII Manajemen Password Pengguna ... 82
Tabel LIV Tinjauan Terhadap Hak Akses ... 82
Tabel LV Penggunaan Password ... 83
Tabel LVI Peralatan yang ditinggalkan oleh Pengguna ... 83
Tabel LVII Kebijakan Clear desk and screen ... 84
Tabel LVIII Kebijakan Penggunaan Layanan ... 84
Tabel LIX Otentikasi Pengguna untuk Koneksi Eksternal ... 85
Tabel LX Identifikasi Peralatan dalam Jaringan ... 85
Tabel LXI Perlindungan terhadap remote diagnostic dan configuration port ... 86
Tabel LXII Segregasi dalam Jaringan ... 86
Tabel LXIII Pengendalian Koneksi Jaringan... 86
Tabel LXIV Pengendalian routing jaringan ... 87
Tabel LXV Prosedur Log-on yang aman ... 87
Tabel LXVI Identifikasi dan otentifikasi pengguna ... 88
Tabel LXVII Sistem manajemen password ... 88
Tabel LXVIII Pengguna sistem utilities ... 89
Tabel LXIX Sesi time out ... 89
Tabel LXX Pembatasan waktu koneksi ... 90
Tabel LXXI Pembatasan akses informasi ... 90
Tabel LXXII Isolasi sistem yang sensitif ... 91
Tabel LXXIII Mobile computing dan komunikasi ... 91
viii
Universitas Kristen Maranatha
DAFTAR LAMPIRAN
LAMPIRAN A KUESIONER COMPLIANT ... 117
LAMPIRAN B KUESIONER AWARENESS ... 118
LAMPIRAN C DOKUMEN POLICY ISO 27001 ... 121
LAMPIRAN D PROSEDUR ISO 27001 ... 123
LAMPIRAN E WORKLIST ISO 27001 ... 183
LAMPIRAN E SCHEDULE OF AUDIT LOG REQUIREMENT ... 208
LAMPIRAN F RECORD ISO 27001 ... 228
LAMPIRAN G HAK AKSES ... 238
LAMPIRAN H AKSES PINTU ... 239
LAMPIRAN I KERJA SAMA PIHAK KETIGA ... 240
LAMPIRAN J TATA KELOLA TI ... 241
LAMPIRAN K WAWANCARA ... 245
ix
Universitas Kristen Maranatha
Singkatan Istilah Arti Istilah
Doc Dokumen
PT.KAI PT.Kereta Api Indonesia (Persero)
SMKI Sistem Manajemen Keamanan Informasi
TI Teknologi informasi
1
Universitas Kristen Maranatha
BAB I PENDAHULUAN
1.1 Latar Belakang
Dalam era yang semakin canggih saat ini ilmu pengetahuan dan
teknologi khususnya teknologi informasi berkembang dengan cepat,
keamanan merupakan suatu isu yang sangat penting baik itu
keamanan fisik ataupun keamanan data dan aplikasi. Perlu disadari
bahwa untuk mencapai suatu keamanan itu adalah suatu hal yang
sangat mustahil, seperti pada saat ini tidak ada satu daerah pun yang
betul
–
betul aman kondisinya walau telah dijaga oleh petugas yang
ditempatkan pada daerah tersebut, begitu pula dengan keamanan
yang menyangkut dengan data dan informasi yang dimiliki oleh
perusahaan.
Dalam kajian ini PT.KAI merupakan perusahaan yang bergerak
dibidang pelayanan transportasi dimana didalamnya terdapat sistem
yang mengelola segala bentuk data dan informasi yang dikelola oleh
unit TI didalam perusahaan tersebut. Dalam sistem keamanan lokasi,
komunikasi dan operasi serta akses kontrol merupakan kajian dasar
yang perlu diperhatikan guna melindungi asset yang dimiliki oleh
perusahaan PT.KAI. Dalam halnya terdapat beberapa standarisasi
untuk melihat kesesuaian dari sistem tersebut.
Pada kasus tersebut diperlukan analsis keamanan sistem informasi
untuk memastikan keamanan informasi diterapkan sesuai dengan
prosedur. Standar yang digunakan yaitu ISO 27001 dengan judul
2
Universitas Kristen Maranatha
SISTEM MANAJEMEN KEAMANAN LOKASI, KOMUNIKASI
SERTA OPERASI DAN AKSES KONTROL BERDASARKAN ISO
27001:2005 (STUDI KASUS UNIT TI PT.KAI)
”.
1.2 Rumusan Masalah
Masalah yang akan di analisis pada objek penelitian ini, adalah
:
1. Apakah tata kelola keamanan lokasi dan lingkungan PT.KAI telah
sesuai dalam menjaga data dan informasi pada unit IT ?
2. Apakah tata kelola keamanan komunikasi dan operasi yang
dilakukan PT.KAI telah sesuai dalam menjaga keamanan data
dan informasi pada unit IT ?
3. Apakah tata kelola keamanan pengendalian akses yang
dilakukan PT.KAI telah sesuai dalam menjaga keamanan data
dan informasi pada unit IT ?
1.3 Tujuan Pembahasan
Tujuan dari penelitian ini adalah sebagai berikut :
1. Mengetahui pengelolaan keamanan lokasi dan lingkungan dalam
menjaga keamanan data dan informasi pada unit IT di PT.KAI.
2. Mengetahui pengelolaan keamanan komunikasi dan operasi
dalam menjaga keamanan data dan informasi pada unit IT di
PT.KAI.
3. Mengetahui pengelolaan keamanan pengendalian akses dalam
3
Universitas Kristen Maranatha
1.4 Ruang Lingkup Kajian
Dari permasalahan yang sudah dijelaskan, maka yang menjadi
batasan dalam penelitian ini adalah :
1. Perencanaan analisis yang dibuat, lebih diarahkan sebagai
panduan analisis internal.
2. Penelitian hanya dilakukan pada kantor PT.KAI (Persero) daerah
operasi Bandung.
3. Penelitian bukan menerapkan
ISO
27001 pada perusahaan,
melainkan melakukan analisis keamanan informasi yang
dilakukan perusahaan untuk disesuaikan dengan standar
ISO
27001.
4. Kontrol objek dari standar
ISO
27001 yang terdapat di dalam
penelitian ini, diambil berdasarkan kebutuhan perusahaan yaitu :
a. Keamanan fisik dan lingkungan
b. Manajemen komunikasi dan opersasi
c. Pengendalian akses
1.5 Sumber Data
Sumber yang di dapat dalam melakukan penelitian ini diantaranya
wawancara,
observasi
, internet, buku dan e-book.
1.6 Sistematika Penyajian
Sistematika pembahasan laporan seminar tugas akhir ini dibagi
menjadi 4(empat) bab. Berikut penjelasan tentang masing
–
masing
bab :
4
Universitas Kristen Maranatha
Bab I Pendahuluan membahas latar belakang masalah, rumusan
masalah, tujuan pembahasan dan ruang lingkup kajian yang dipakai
dan juga sumber data yang digunakan.
BAB II KAJIAN TEORI
BAB II Kajian Teori membahas mengenai teori-teori yang digunakan
dalam seminar tugas akhir untuk melakukan analisis proses bisnis
dalam PT.KAI menggunakan ISO 27001:2005.
BAB III ANALISIS
BAB III Analisis proses bisnis membahas mengenai pokok
permasalahan yang terdapat dalam ruang lingkup masalah, sebagai
jawaban dari rumusan masalah yang ditulis sebelumnya.
BAB IV KESIMPULAN DAN SARAN
BAB VI Kesimpulan dan Saran membahas mengenai kesimpulan dari
pembahasan yang dilakukan pada bab III analisis. Pada bab ini juga
96
Universitas Kristen Maranatha
BAB IV SIMPULAN DAN SARAN
4.1 Simpulan
Hasil simpulan yang dapat diambil dari analisis proses
keamanan lokasi, manajemen operasi dan komunikasi serta
pengendalian akses kontrol diantaranya :
1. PT.KAI telah menerapkan keamanan fisik dan lingkungan
untuk melindungi aset informasi, namun masih kurangnya
kepedulian organisasi dan pegawai terhadap aset tersebut,
dikarenakan masih belum lengkapnya kebijakan dan
prosedur yang ada.
2. PT.KAI telah melakukan proses operasi dan komunikasi
namun perusahaan masih dalam tahap perencanaan untuk
membuat kebijakan dan prosedur yang mengatur proses
operasi dan komunikasi.
3. PT.KAI telah menjalakan proses pengendalian akses kontrol
dengan baik, namun dalam penerapannya masih terdapat
celah untuk melakukan modifikasi atau pengaksesan oleh
pihak yang tidak berwenang karena kurangnya perhatian dari
manajemen yang bertanggung jawab untuk melakukan
pemantauan secara reguler dan belum adanya prosedur
yang mengatur secara formal.
4.2 Saran dan Rekomendasi
Berdasarkan hasil analisis yang telah dilakukan di PT.KAI
berikut adalah beberapa saran seusai dengan proses yang ada
97
Universitas Kristen Maranatha
1. Keamanan fisik dan Lingkungan
a. Perimeter keamanan fisik
Pengendalian akses fisik terhadap sistem informasi
dapat ditingkatkan lagi agar terlindungi dari akses pihak
yang tidak berwenang.
b. Pengendalian entri bersifat fisik
pengendalian entri fisik terhadap sistem informasi dapat
ditingkatkan lagi agar terlindungi dari akses pihak yang
tidak berwenang.
c. Mengamankan kantor, ruangan dan fasilitas
Manajemen tingkat atas agar mendukung perancangan
keamanan fisik terhadap aset informasi yang dimiliki dan
menerapkannya.
d. Perlindungan
terhadap
ancaman
eksternal
dan
lingkungan
Manajemen tingkat atas agar mendukung perancangan
keamanan fisik terhadap aset informasi yang dimiliki dan
menerapkannya.
e. Bekerja diarea yang aman
Harus
tersedia
pedoman
untuk
bekerja
dalam
perlindungan area yang aman.
f. Area akses publik dan bongkar muat
Harus dibuat prosedur tertulis agar lebih jelas
instruksinya.
g. Penempatan dan perlindungan peralatan
Perlu ada prosedur tetap agar prosedur penempatan dan
perlindungan peralatan dapat dijalankan dengan benar.
98
Universitas Kristen Maranatha
penerapan sarana pendukung harus dikendalikan
dengan menggunakan prosedur yang formal.
i. Keamanan kabel
Agar di beri instruksi jelas kepada pegawai untuk
menjaga dan merawat kemanan kabel.
j. Pemeliharaan peralatan
seluruh pegawai harus diberi instruksi yang jelas
mengenai pemeliharaan peralatan yang digunakannya
agar tidak menghambat proses yang sedang berjalan.
k. Keamanan peralatan di luar lokasi
Agar setiap peralatan yang akan dibawa ke luar lokasi
perusahaan di identifikasi terlebih dahulu dan di cek
apabila akan kembali ke dalam lokasi perusahaan.
l. Pembuangan atau penggunaan kembali peralatan
secara aman.
Agar setiap pegawai memiliki tingkat perhatian yang
tinggi karena menyangkut data perusahaan.
m. Pemindahan barang
Tanggung jawab manajemen dan prosedur harus
diterapkan untuk memastikan setiap peralatan dan
informasi yang dibawa ke luar lokasi melalui proses yang
benar.
2. Manajemen Komunikasi dan Operasi
a. Prosedur operasi terdokumentasi
Tanggung jawab manajemen dan prosedur harus
diterapkan agar setiap proses yang berlangsung di
perusahaan dapat di dokumentasikan dengan baik dan di
pelihara.
99
Universitas Kristen Maranatha
Tanggung jawab manajemen dan prosedur harus
diterapkan agar setiap proses yang berlangsung di
perusahaan dapat di dokumentasikan dengan baik dan di
pelihara.
c. Pemisahan tugas
d. Pemisahan fasilitas pengembangan, pengujian dan
operasional
e. Pelayanan jasa
Pengecekan terhadap layanan jasa dari pihak ketiga
harus dilakukan secara regular untuk memastikan
layanan yang diberikan oleh pihak ketiga sudah seusai
dengan perjanjian
f. Pemantauan dan pengkajian data
Pemantauan sebaiknya dilakukan secara regular dan
berkala untuk mendapatkan hasil yang baik
g. Pengelolaan perubahan terhadap jasa pihak ketiga
Agar prosedur dijalakan dengan benar.
h. Manajemen kapasitas
Kebijakan mengenai manajemen kapasitas harus lebih
disosialisasikan kepada sumber daya yang dimiliki
perusahaan
i. Keberterimaan sistem
harus tersedia prosedur pada sistem informasi yang
baru, upgrade dan versi yang baru ditetapkan.
j. Perlindungan terhadap
malicious code
agar dibuat instruksi legal mengenai perlindungan
terhadap
malicious code
100
Universitas Kristen Maranatha
agar dibuat instruksi legal mengenai perlindungan
terhadap mobile code
l.
Back-up
informasi
Agar dibuat prosedur yang jelas dan legal untuk
melindungi data informasi yang dimiliki perusahaan
m. Pengendalian jaringan
Penerapan pengendalian jaringan harus di pertahankan
atau di tingkatkan kembali
n. Keamanan layanan jaringan
Penerapan
keamanan
layanan
jaringan
harus
ditingkatkan kembali
o. Manajemen media yang dapat dipindahkan
Agar
setiap
media
yang
akan
dipindahkan
didokumentasikan
p. Pemusnahan media
Pemusnahan media agar dilakukan untuk memastikan
data atau informasi tidak jatuh ke pihak yang tidak
berwenang
q. Prosedur penanganan informasi
Agar segera dibuat prosedur tersebut
r. Keamanan dokumentasi sistem
Agar segera dibuat prosedur tersebut
s. Kebijakan dan prosedur pertukaran informasi
Perusahaan
harus
memiliki
prosedur
pertukaran
informasi
t. Perjanjian pertukaran
Agar segera dibuat prosedur tersebut
u. Pesan elektronik
101
Universitas Kristen Maranatha
v. Sistem informasi bisnis
Perusahaan agar membuat instruksi tersebut
w.
Electronic commerce
harus tersedia instruksi legal mengenai
electronic
commerce
x. Transaksi
online
harus terdapat instruksi jelas dan legal yang mengatur
traksaksi
online
y. Informasi yang tersedia untuk umum
Agar selalu me
maintenance
informasi yang tersedia
untuk umum
z.
Log audit
Agar perusahaan membuat instruksi yang jelas dan legal
aa. Pemantauan penggunaan sistem
Agar setiap pemantauan penggunaan sistem di pantau
secara reguler
bb. Perlindungan informasi
log
Agar perlindungan terhadap informasi
log
ditingkatkan
agar tidak ada akses oleh pihak yang tidak berwenang
cc.
Log
administrator dan operator
Agar seluruh kegiatan administrator dan operator dapat
terpantau secara reguler
dd.
Log
atas kesalahan yang terjadi
Agar setiap kesalahan yang terjadi dicatat dan di analisa
untuk diambil tindakan
ee. Sinkronisasi penunjuk waktu
agar setiap waktu yang terdapat di sistem perusahaan
dapat disinkronisasikan seluruhnya
102
Universitas Kristen Maranatha
a. Kebijakan pengendalian akses
Harus tersedia prosedur untuk mengendalikan kebijakan
pengendalian akses
b. Pendaftaran pengguna
Harus tersedia prosedur yang mengendalikan hak hak
akses pengguna
c. Manajemen hak khusus
Penggunaan hak akses oleh pihak yang tidak berwenang
harus diminimalisirkan
d. Manajemen
password
pengguna
Pengguna harus dicegah untuk member
password
miliknya dengan pegawai lain
e. Tinjauan terhadap hak akses
Pengendalian tinjauan hak akses harus dibuat agar
dapat meninjau hak hak akses setiap pegawai
f. Penggunaan
password
Password
agar di tetapkan ketentuannya agar sesuai
dengan standar yang akan digunakan
g. Peralatan yang ditinggalkan oleh pengguna
Manajer harus memastikan bahwa seluruh peralatan
yang sudah ditinggalkan oleh penggunanya dapat
dilindungi atau disimpan dengan baik dan benar
h. Kebijakan
clear desk and screen
Agar secepatnya dibuat kebijakan clear desk and screen
i. Kebijakan penggunaan layanan
Agar setiap layanan yang diberikan untuk pengguna
diberikan secara spesifik
103
Universitas Kristen Maranatha
Harus direncanakan membuat kebijakan otentikasi
pengguna untuk koneksi eksternal
k. Identifikasi peralatan dalam jaringan
manajemen agar lebih peduli terhadap kebijakan
identifikasi peralatan dalam jaringan
l. Perlindungan
terhadap
remote
diagnostic
dan
configuration port.
Perlindungan
remote diagnostic
dan
configuration port
agar ditingkatkan kembali
m. Segregasi dalam jaringan
Agar dibuat instruksi secara formal
n. Pengendalian koneksi jaringan
Perluasan jaringan harus dibarengi dengan pengendalian
koneksi jaringan sehingga ada yang mengatur secara
formal
o. Pengendalian
routing
jaringan
Prosedur harus diterapkan dan dibuat untuk memastikan
kesesuaian dengan persyaratan yang dibutuhkan
p. Prosedur
log-on
yang aman
Prosedur harus diterapkan dan dibuat untuk memastikan
kesesuaian dengan persyaratan yang dibutuhkan
q. Identifikasi dan otentikasi pengguna
Prosedur harus dibuat untuk membatasi dan mengatur
pegawai yang memiliki user-id
r. Sistem manajemen
password
Apabila ingin memiliki prosedur ini harus membuat dulu
sistem manajemen
password
s. Pengguna sistem
utilities
104
Universitas Kristen Maranatha
t. Sesi
time out
Agar dibuat prosedur sesi
time out
u. Pembatasan waktu koneksi
Pengguna harus mematuhi aturan yang berlaku
diperusahaan
v. Pembatasan akses informasi
Kedepannya agar setiap pengguna memiliki batasan
batasany terhadap akses informasi
w. Isolasi sistem yang sensitive
Perlindungan sistem yang sensitif harus dijamin dan di
atur oleh kebijakan yang berlaku
x.
Mobile computing
dan komunikasi
Agar perusahaan membuat prosedur ini
y. Kerja jarak jauh
Pengendalian kerja jarak jauh harus diatur dalam
kebijakan yang formal.
Dalam dokumen SMKI tedapat kebijakan, prosedur, instruksi
kerja dan sasaran terkait dengan pengembangan dan
penerapan sistem keamanan informasi, adapun kebijakan yang
harus dimiliki oleh perusahaan dari klausul keamanan fisik dan
lingkungan,
manajemen
komunikasi
dan
operasi
dan
pengendalian akses adalah :
1. Kebijakan yang harus dipenuhi
a. Malicous Code Policy
b. Access Control Policy
c. Network Access Policy
2. Prosedur yang harus dipenuhi
105
Universitas Kristen Maranatha
b. Equipment Sy
c. Disposal of Info Equipment Device and Media
d. Loading and Unloading
e. Off-site Removal Authorisation
f. Documenting Operating Procedure
g. Change Control Procedure
h. Separation of Operational, Test and Development
Environment Managing Third Parties
i. System Planning and Acceptance
j. Malicious Code Procedure
k. Back-up
l. Network Management
m. Media Handling
n. Business Information System
o. Monitoring
p. E-Commerce
q. User Access Rights
r. User Registration
s. Teleworker Procedure
t. Mobile Computing
u. Access Control Procedure
v. Secure Log-on
w. System Utilities
3. Instruksi kerja yang harus dipenuhi
a. Fire Door
b. Fire Alarms
c. Burglar Alarms
106
Universitas Kristen Maranatha
f. Physical Perimeter Security Checklist
g. Netbook Configuration
h. Anti Malware
i. User Name Admin
j. Website Terms
k. Privacy Statement
l. Administrator Logging
m. Monitoring Schedule
n. Audit Logging Schedule
o. Teleworker User Agreement
p. User Agreement
q. Mobile Phone User
r. Wireless Notebook User
4. Menyesuaikan sasaran dari seluruh pengendalian yaitu
memastikan keamanan seluruh lokasi dan peralatan yang
terdapat pada unit IT dan memastikan manajemen
komunikasi dan operasi yang terdapat pada unit IT baik
kepada pihak ketiga yang menyediakan jasa layanan
terhadap sistem informasi serta pengendalian hak akses
terhadap sistem informasi yang dilakukan oleh pengguna
atau pegawai PT.KAI sudah dilakukan dan diterapkan
98
Universitas Kristen Maranatha
DAFTAR PUSTAKA
Badan Standarisasi Nasional. (2005). INFORMATION SECURITY
MANAGEMENT SYSTEM (ISMS) MEENGGUNAKAN STANDAR ISO/IEC
27001:2005. Badan Standarisasi Nasional.
Carder, A. (2005).
ISO 27001:2005 Gap Analysis & Audit Tool.
IT Governance.
David, I. (1997).
An Analysis of Secority Incidents on The Internet 1989 - 1995.
Carnegie Mellon University.
ISO/IEC. (2005).
Individual User Agreement Wireless User Addendum.
Geneva:
Governance Ltd2005v1.2.
ISO/IEC. (2005).
Access Control Policy.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
Access Control Rules and Right For.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Air Conditioning equipment Monitoring Work Inst.
Geneva:
Governance Ltd2005v1.2.
ISO/IEC. (2005).
Anti Virus Software Operation Work Instruction.
Geneva:
Governance Ltd2005v1.2.
ISO/IEC. (2005).
Backup Procedures.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
Burglar Alarm Monitoring Work Instruction.
Geneva:
Governance Ltd2005v1.2.
ISO/IEC. (2005).
Business Information System.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Change Control Procedure.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Change Request.
Geneva: Governance Ltd2005v1.2.
99
Universitas Kristen Maranatha
ISO/IEC. (2005).
Documented Procedures.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
Equipment Security Procedure.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Fire Alarm Monitoring Work Instruction.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Fire Door Monitoring Instruction.
Geneva: Governance
Ltd2005v1.2
ISO/IEC. (2005).
Fire Suppression Equipment Monitoring Work.
Geneva:
Governance Ltd2005v1.2.
ISO/IEC. (2005).
Individual Teleworker User Agreement.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Individual User Agreement.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
Information security Monitoring Procedure.
Geneva:
Governance Ltd2005v1.2.
ISO/IEC. (2005).
Managing Third Party Service Contracts.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Media and Information Handling Procedure.
Geneva:
Governance Ltd2005v1.2.
ISO/IEC. (2005).
Network Access Control Procedure.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Network Access Policy.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
Network Control and Services.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Organisational Privacy Legal Statement.
Geneva: Governance
Ltd2005v1.2.
100
Universitas Kristen Maranatha
ISO/IEC. (2005).
Physical Perimeter Security Checklist.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Policy Againts malicious Code.
Geneva: Governance Ltdv1.2.
ISO/IEC. (2005).
Public Access, Delivery and Loading Areas.
Geneva:
Governance Ltd2005v1.2.
ISO/IEC. (2005).
Reception Area Monitoring Work Inst.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Record - Schedule.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
Removal Off-Site of Information Assets.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Rules For Operational, Test And Development Environment
Procedure.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
Schedule of Administration and Operator Log Requirement.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
Schedule of Audit Log Requirement.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Schedule of Monitoring Requirement.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Secure Disposal of Storage.
geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Secure Log-on, Session Time out and Sensitive System
Isolation.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
Standard Configuration Detail For Notebook Computers, Pdas
and Mobile Phonework.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
System Planning and Acceptance.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Teleworker Checklist.
Geneva: Governance Ltd2005v1.2.
101
Universitas Kristen Maranatha
ISO/IEC. (2005).
Terms and Condition of Web Site Use.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Use of System Utilities.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
User Access Management.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
User Agreement - Mobile Phone Addendum.
Geneva:
Governance Ltd2005v1.2.
ISO/IEC. (2005).
User Deletion Request.
Geneva: Governance Ltd2005v1.2.
ISO/IEC. (2005).
User Name Administration Work Instruction.
Geneva:
Governance Ltd2005v1.2.
ISO/IEC. (2005).
User Replacement Password Request.
Geneva: Governance
Ltd2005v1.2.
ISO/IEC. (2005).
Wireless Notebook Computer Security.
Geneva: Governance
Ltd2005v1.2.
Jogiyanto, H. (2001 :129).
Analisis & Desain Sistem Informasi : Pendekatan
Terstruktur Teori dan Praktek Aplikasi Bisnis.
Yogyakarta: Andi.
PT.KAI. (2012, 09 16). Retrieved 11 2, 2012, from www.kereta-api.co.id:
http://www.kereta-api.co.id/tentang-kami/sekilas-sejarah.html
PT.KAI. (2012, 09 16). Retrieved 11 2, 2012, from www.kereta-api.com:
http://www.kereta-api.co.id/tentang-kami/visi-dan-misi.html
Ricthi, H. (2009). Retrieved 1 11, 2013, from www.pustaka.unpad.ac.id:
http://pustaka.unpad.ac.id/wp-content/uploads/2009/01/identifikasi_pengendalian_aplikasi.pdf
Syafrizal, M. (2008). INFORMATION SECURITY MANAGEMENT SYSTEM
(ISMS).
Witarto. (2004).
Memahami Sistem Informasi : Pendekatan Praktis Rekayasa
Sistem Informasi Melalui Kasus - Kasus Sistem Informasi di Sekitar Kita.