TATA KELOLA ASET INFORMASI RUANG SERVER JURUSAN SISTEM INFORMASI

(1)

TATA KELOLA ASET INFORMASI RUANG SERVER JURUSAN SISTEM INFORMASI

Tata Kelola Teknologi Informasi – Kelas C

KELOMPOK 11

Alitya Novianda Adityaputri 5213 100 163

Anindya Astri Garini 5213 100 166

Hafizudin WIrawan 5213 100 170

(2)

Jurusan Sistem Informasi – Tata Kelola TI – Pengelolaan Akses Aset Informasi Ruang Server | 2

DAFTAR ISI

MAPPING OF CONTROL ... 4

MAPPING OF DOCUMENT ... 7

PEDOMAN ... 9

Pendahuluan ... 12

Latar Belakang ... 12

Dasar dan Acuan ... 15

Tata Kelola ... 15

Tata Kelola TI ... 15

COBIT 5 ... 15

COBIT 5 : DSS05 ... 15

Proses COBIT 5 : DSS05 ... 16

Aset Informasi ... 19

Tujuan dan Indikator ... 22

Ruang Lingkup ... 25

Proses Bisnis ... 29

Struktur Organisasi... 29

Penanggung Jawab ... 30

PANDUAN ... 31

Proses Bisnis ... 34

Analisa Kondisi ... 38

KEBIJAKAN ... 39

Kebijakan Perlindungan Aset Teknologi Informasi ... 42

Kebijakan Perlindungan Hak Akses Ruang Server Jurusan Sistem Informasi ... 45

PROSEDUR ... 47

Prosedur Pelatihan Mengenai Layanan Keamanan ... 50

Prosedur Pengajuan Hak Akses Pengguna ... 56

Prosedur Pengaturan Hak Akses Pengguna ... 61

Prosedur Akses Fisik Terhadap Lokasi Fasilitas TI ... 68

Prosedur Keamanan Fisik Perangkat TI ... 76

Prosedur Keamanan Aset Informasi ... 82

Prosedur Keamanan Jaringan ... 89

FORMULIR ... 93

Surat Tugas Mengikuti Pelatihan ... 94

(3)

Berita Acara Kegiatan ... 95

Laporan Pertanggungjawaban ... 96

Permohonan Akses Pengguna ... 97

Surat Persetujuan Akses Pengguna Baru ... 98

Daftar Registrasi Akun dan Hak Akses ... 99

Permohonan Modifikasi Akses Akun ... 100

Log Pengguna ... 101

Surat Persetujuan Akses Pengguna Baru ... 102

Ancaman, Penyebab dan Dampak Perangkat TI ... 103

Log Kunjungan Ruang Server ... 104

Izin Menggunakan Perangkat TI ... 105

Akses Sistem Keamanan untuk Pengembangan Server ... 106

Daftar Akses Terhadap Source Code ... 107

Laporan Kasus Keamanan Jaringan ... 108

(4)

MAPPING OF CONTROL

KEBUTUHAN KONTROL

SUB PROSES / PEDOMAN

TERKAIT

AKTIVITAS PROSEDUR FORMULIR

Pelatihan mengenai pentingnya pengelolaan aset informasi

Jurusan Sistem Informasi

DSS05.04

02 Mengidentifikasi semua aktivitas memproses informasi berdasarkan peran fungsional, berkordinasi dengan unit bisnis untuk memastikan bahwa semua peran sudah terdefinisi secara konsisten, termasuk peran-peran yang didefinisikan oleh bisnis sendiri dalam aplikasi proses bisnis

Prosedur Pelatihan Mengenai Layanan

a. Log kunjungan ruang server

b. Form surat mengikuti pelatihan

c. Formulir berita acara pelatihan

d. Formulir laporan pertanggungjawaban acara

ISO27002 8.2.2 Information Security Awareness, Education,

and Training e.

Melakukan pencatatan terhadap data pengguna hak akses aset

informasi Jurusan Sistem Informasi

DSS05.04

01 Mengelola hak akses pengguna sesuai dengan fungsional bisnis dan kebutuhan proses.

Menyelaraskan identitas manajemen dan hak akses terhadap peran dan tanggung jawab masing- masing berdasrkan prinsip least-previlege, need-to- have, dan need-to-know

Prosedur

Pengajuan Hak Akses Pengguna

a. Formulir

permohonan akses pengguna baru

ISO27002 ISO/IEC 27002 : Access Controls, User Registration

b.

Mengatur atau membatasi penggunaan hak akses sesuai peran dan tugas masing-masing

karwyawan

DSS05.04

04Mengatur semua perubahan terhadap hak akses (pembuatan, modifikasi dan penghapusan) untuk dilakukan pada waktu yang tepat hanya berdasrakan persetujuan dan semua transaksi didokumentasikan oleh individu yang ditunjuk oleh pihak manajemen

Prosedur

Pengaturan Hak Akses Pengguna

a. Formulir daftar registrasi akun dan hak akses

b. Formulir permohonan

(5)

Jurusan Sistem Informasi – Tata Kelola TI – Pengelolaan Akses Aset Informasi Ruang Server | 5 05 Memisahkan dan mengelola hak akses akun

pengguna.

modifikasi akses akun

c. Formulir log perubahan

06 Melakukan pengecekan manajemen secara berkala pada seluruh akun dan hak akses terkait.

Access Controls

Melindungi lingkungan sekitar aset informasi ruang server agar

tidak disalahgunakan

DSS05.05

01 Mengelola permintaan dan pemberian akses ke dalam fasilitas komputer. Permintaan akses formal akan diselesaikan dan disetujui oleh pihak manajemen pada lokasi TI, dan permintaan kunjungan dicatat. Formilir harus secara spesifik mengidentifikasi daerah mana yang disetujui untuk dikunjungi

Prosedur Akses Fisik Terhadap Lokasi Fasilitas TI

a. Formulir ancaman, penyebab dan dampak perangkat TI 02 Memastikan akses terhadap profil tetap ada.

Akses dasar terhadap area TI (ruang server, bangunan, area atau zona) pada fungsional dan tanggung jawab kerja.

03 Mencatat dan memantau semua titik masuk ke lokasi TI. Mencatat semua pengunjung yang masuk ke dalam lokasi TI tidak terkecuali kontraktor dan vendor.

04 Menginstruksikan semua personil untuk menunjukan tanda identitas pada setiap waktu.

Mencegah pengeluaran kartu identitas tanpa ada persetujuan dari yang berwenang

05 Mewajibkan pengunjung untuk selalu diawasi selama berada di lokasi TI. Jika ditemukan seseorang yang tidak dikenal tanpa mengenakan tanda identitas staff, maka pihak keamanan akan dihubungi

(6)

Jurusan Sistem Informasi – Tata Kelola TI – Pengelolaan Akses Aset Informasi Ruang Server | 6 06 Membatasi akses ke dalam area TI yang sensitif

dengan membuat pembatasan perimeter, seperti pagar, tembok dan perangkat keamanan pada interior dan eksterior area TI. Memastikan semua perangkat pencatatan masuk ruangan, dan membunyikan alarm jika terjadi akses yang tidak berwenang.

Membatasi penggunaan aset informasi kategori fisik

DSS05.05 06 Membatasi akses ke dalam area TI yang sensitif dengan membuat pembatasan perimeter, seperti pagar, tembok dan perangkat keamanan pada interior dan eksterior area TI

Prosedur

Keamanan Fisik Perangkat TI

a. Formulir pengguna perangkat TI

9.12 Physical entry control

Membatasi penggunaan aset informasi

DSS05.03 01 Melakukan konfigurasi sistem operasi secara aman.

Prosedur

Keamanan Aset Informasi

a. Formulir akses sistem keamanan untuk

pengembangan server

b. Formulir daftar akses terhadap source code

c. Formulir izin menggunakan perangkat TI DSS05.06

05 Menghilangkan informasi sensitif dan melindungi perangkat output (contoh gangguan pada media elektronik, pengrusakan fisik pada perangkat memori, penyediaan penghancur kertas atau wadah kertas yang terkunci untuk menghancurkan dokumen penting)

ISO27002 9.12 Physical entry control

Membatasi penggunaan aset informasi terutama pada jaringan

keluar sistem

DSS05.03

05 Mengaplikasikan protokol keamanan yang sudah disetujui terhadap konektivitas jaringan.

Prosedur Keamanan Jaringan

(7)

MAPPING OF DOCUMENT

Pedoman PEDOMAN

PE-DSS-05-01

Pendahuluan

PE-DSS-05-02

Dasar Acuan

PE-DSS-05-03

Tujuan dan Indikator

PE-DSS-05-04

Ruang Lingkup

PE-DSS-05-05

Proses Bisnis

Panduan PANDUAN

PA-DSS-05-01

Proses Bisnis

PA-DSS-05-02

Analisa Kondisi

Kebijakan KEBIJAKAN

KB-DSS05-01

Kebijakan Perlindungan Aset TI

KB-DSS05-02

Kebijakan Perlindungan Hak Akses

Prosedur dan Formulir

NO. PROSEDUR NAMA PROSEDUR NO. FORMULIR NAMA FORMULIR

PR-DSS05-01

Prosedur Pelatihan

Mengenai Layanan TI

FM-DSS05-01-01 Surat Mengikuti Pelatihan

FM-DSS05-01-02 Berita Acara Pelatihan FM-DSS05-01-03 Laporan

Pertanggungjawaban

PR-DSS05-02

Prosedur Pengajuan

Hak Akses Pengguna

FM-DSS05-02-01 Surat Permohonan Akses Pengguna FM-DSS05-02-02 Surat Persetujuan

Akses Pengguna FM-DSS05-02-03 Daftar Regitrasi Akun

dan Hak Aksesk

PR-DSS05-03

Prosedur Pengaturan

Hak Akses Pengguna

FM-DSS05-03-01 Permohonan

Modifikasi Akses Akun FM-DSS05-03-02 Log Pengguna

FM-DSSO5-03-03 Surat Persetujuan Modisfikasi Akun

PR-DSS05-04

Prosedur Akses Fisik

Terhadap Lokasi Fasilitas TI

FM-DSS05-04-01 Ancaman, Penyebab dan Dampak

Perangkat TI

FM-DSS05-04-02 Log Kunjungan Ruang Server

PR-DSS05-05

Prosedur Keamanan Fisik Perangkat TI

FM-DSS05-05-01 Izin Pengguna Perangkat TI

PR-DSS05-06

Prosedur Keamanan

Aset Informasi

FM-DSS05-06-01 Akses Sistem Keamanan untuk Pengembangan Server

(8)

Jurusan Sistem Informasi – Tata Kelola TI – Pengelolaan Akses Aset Informasi Ruang Server | 8 FM-DSS05-06-02 Daftar Akses Terhadap

Source Code

PR-DSS05-07

Prosedur Keamanan

Jaringan

FM-DSS05-07-01 Laporan Kasus Keamanan Jaringan

(9)

PEDOMAN

(10)

LEMBAR PENGESAHAN

PEDOMAN

Judul : Pendahuluan

No.Dokumen : PE-DSS-05-01

Rilis : 00

Revisi : 00

Histori Distribusi :

No Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

Pegawai Aset Informasi Koordinator SI/TI Kepala Jurusan Sistem Informasi

Tanggal:

(11)

Jurusan Sistem Informasi – Tata Kelola TI – Pengelolaan Akses Aset Informasi Ruang Server | 11 RIWAYAT PERUBAHAN

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

*T: Penambahan – M: Modifikasi – X: Penghapusan

(12)

PE-DSS-05-01

^{NO. RILIS}NO. REVISI ^{: 00}: 00

PEDOMAN TANGGAL TERBIT :

PENDAHULUAN

^HALAMAN ^:

Pendahuluan

Latar Belakang

Teknologi Informasi merupakan hal yang penting bagi perusahaan maupun organisasi. Informasi merupakan salah satu aset yang memiliki nilai tertentu bagi organisasi tersebut. Aset informasi suatu organisasi harus dilindungi salah satunya untuk mempertahankan kelangsungan organisasi. Setiap organisasi memiliki berbagai macam aset informasi yang harus dilindungi seperti hardware, software, dan data organisasi. Seluruh aset informasi tersebut biasanya tersimpan dalam satu ruangan atau beberapa ruangan yang memiliki keterkaitan satu sama lain. Pada perlindungan aset informasi, tidak bisa hanya melakukan perlindungan pada satu sisi saja, diperlukan perlindungan yang terintegrasi satu sama lain.

Pengelolaan akses informasi penting dilakukan karena organisasi telah mengeluarkan biaya yang besar untuk menginvestasikan biaya organisasi dalam pengembangan organisasi berupa pemenuhan aset informasi, sehingga perlunya pengelolaan terhadap aset informasi pada organisasi. Selain itu, aset informasi rentan terjadi masalah keamanan seperti penyalahgunaan oleh pihak yang tidak berwenang dan kerusakan pada hardware yang menimbulkan perusahaan bagi data organisasi.

Namun, tidak banyak organisasi yang belum menyadari pentingnya pengelolaan aset informasi.

Kerusakan perangkat, kebocoran data, penyalahgunaan hak akses, merupakan salah satu ancaman yang sering terjadi pada organisasi yang belum menerapkan pengelolaan aset informasi. Pada kasus ini, Jurusan Sistem Informasi Fakultas Teknologi Informasi Institur Teknologi Sepuluh Nopember (JSI) merupakan organisasi yang memiliki peran dalam bidang pendidikan di Indonesia. Sebagai salah satu jurusan yang bergerak dibidang teknologi, sudah seharusnya JSI menerapkan pengelolaan aset informasi pada seluruh aset informasi yang digunakan.

Pada hal ini, Jurusan Sistem Informasi memiliki ruang server sebagai pusat lokasi aset informasi.

Berdasarkan hasil pengumpulan data pada penelitian sebelumnya, akses Ruang Server ini terbilang belum memadai karena ruang server tidak berada pada ruangan sendiri, melainkan bergabung dengan ruang dosen. Hal ini menimbulkan kerentanan pada aset informasi yang ada pada ruang server karena dapat diakses oleh pihak yang tidak berwenang. Dengan mengacu pada hasil wawancara pada penelitian sebelumnya, ruang server berisi aset informasi seperti, database SITV, database fingerprint, database nilai dan absensi, server utama Jurusan Sistem Informasi, perangkat keras pendukung server.

Berdasarkan peran penting ruang server JSI, mengharuskan adanya pengelolaan hak akses aset informasi Ruang Server JSI. Oleh karena itu, dibutuhkan pengelolaan hak akses dalam hal ini dengan COBIT 5. Penggunaan COBIT 5 didasarkan dengan proses yan terdapat pada menggunakan COBIT 5 mendukung dalam pengerjaan pengelolaan akses aset ruang server JSI. Pengelolaan ini akan didasarkan pada proses COBIT 5 DSS05 Manage Security Services. Proses ini berisi seluruh hal terkait pengamanan aset informasi perusahaan secara umum. Pada tambahan pengelolaan aset informasi ini akan digunakan ISO 27002 yang menjadi pedoman acuan proses DSS05 Manage Security Services sebagai rincian aktivitas yang akan dilakukan pada proses pengelolaan.

(13)

LEMBAR PENGESAHAN

PEDOMAN

Judul : Dasar dan Acuan

No.Dokumen : PE-DSS-05-02

Rilis : 00

Revisi : 00

Histori Distribusi :

Tanggal:

(14)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

(15)

PE-DSS-05-02

DASAR DAN ACUAN

^HALAMAN ^:

Dasar dan Acuan

Tata Kelola

Tata Kelola atau Tata Pemerintahan Perusahaan di Indonesia merupakan terjemahan dari “Corporate Governance” yaitu struktur yang mengatur pola hubungan yang harmonis tentang peran Dewan Komisaris, Direksi, Rapat Umum Pemegang Saham dan para stakeholder lainnya. Dapat dikatakan juga tata kelola adalah rangkaian dari proses, kebijakaan, kebiasaan, aturan dan institusi yang memengaruhi pengarahan, pengelolaan, serta pengontrolan suatu perusahaan atau korporasi. Pihak- pihak utama dalam tata kelola perusahaan adalah pemegang saham, manajemen, dan dewan direksi.

Pemangku kepentingan lainnya termasuk karyawan, pemasok, pelanggan, bank dan kreditor lain, regulator, lingkungan, serta masyarakat luas.

Tata Kelola TI

Definisi tata kelola TI adalah suatu cabang dari tata kelola perusahaan yang terfokus pada sistem/teknologi informasi serta manajemen kinerja dan risikonya. Tata kelola TI adalah struktur kebijakan atau prosedur dan kumpulan proses yang bertujuan untuk memastikan kesesuaian penerapan TI dengan dukungannya terhadap pencapaian tujuan institusi, dengan cara mengoptimalkan keuntungan dan kesempatan yang ditawarkan TI, mengendalikan penggunaan terhadap sumber daya TI dan mengelola resiko-resiko terkait TI.

Tata kelola teknologi informasi bukan bidang yang terpisah dari pengelolaan perusahan, melainkan merupakan komponen pengelolaan perusahaan secara keseluruhan, dengan tanggung jawab utama sebagai berikut:

1. Memastikan kepentingan stakeholder diikutsertakan dalam penyusunan strategi perusahaan.

2. Memberikan arahan kepada proses-proses yang menerap kan strategi perusahaan.

3. Memastikan proses-proses tersebut menghasilkan keluaran yang terukur.

4. Memastikan adanya informasi mengenai hasil yang diperoleh dan mengukurnya.

5. Memastikan keluaran yg dihasilkan sesuai dengan yg diharapkan COBIT 5

COBIT versi 5 atau dikenal dengan nama COBIT 5 adalah edisi terbaru dari framework COBIT ISACA yang menyediakan penjabaran bisnis secara end-to-end dari tata kelola teknologi informasi untuk menggambarkan peran utama dari informasi dan teknologi dalam menciptakan nilai perusahaan.

COBIT 5 adalah sebuah versi pembaharuan yang menyatukan cara berpikir yang mutakhir di dalam teknik-teknik dan tata kelola TI perusahaan. Menyediakan prinsip-prinsip, praktek-praktek, alat-alat analisa yang telah diterima secara umum untuk meningkatkan kepercayaan dan nilai sistem-sistem informasi. COBIT 5 dibangun berdasarkan pengembangan dari COBIT 4.1 dengan mengintegrasikan Val IT dan Risk IT dari ISACA, ITIL, dan standar-standar yang relevan dari ISO.

COBIT 5 : DSS05

Manage Security Services memberikan panduan dasar mengidentifikasi, mengoperasikan dan memonitor sistem untuk manajemen keamanan secara umum. Deskripsi dari proses DSS05 adalah melindungi informasi perusahaan untuk mempertahankan tingkatan dari keamanan informasi yang dapat diterima oleh perusahaan sesuai dengan kebijaksanaan keamanan.

(16)

Jurusan Sistem Informasi – Tata Kelola TI – Pengelolaan Akses Aset Informasi Ruang Server | 16 Proses COBIT 5 : DSS05

Proses Key Management Practice Kontrol

DSS05.01 Perlindunga

n terhadap malware

1. Mengkomunikasikan kesadaran terhadap perangkat lunak berbahaya dan menguatkan prosedur pencegahan dan tanggung jawab.

Preventive

2. Menginstal dan mengaktivasi alat perlindungan perangkat lunak pada setiap fasilitas pemprosesan dimana file perlindungan terhadap perangkat lunak berbahaya terbaharui sesuai kebutuhan (secara otomatis atau semi otomatis).

Preventive

3. Mendistribusikan semua perlindungan perangkat lunak secara terpusat dengan menggunakan konfigurasi yang tersentralisasi dan manajemen perubahan.

Preventive

4. Memeriksa dan mengevaluasi informasi mengenai ancaman potensial terbaru secara berkala (contoh memeriksa produk dari vendor dan layanan keamanan dari konsultan).

Corrective

5. Menyaring arus masuk seperti email atau unduhan untuk perlindungan terhadap informasi yang tidak diinginkan (contoh spyware, email phising).

Preventive

6. Mengadakan pelatihan berkala mengenai malware pada email dan penggunaan internet. Pengguna dilatih untuk tidak menginstal perangkat lunak yang terbagi atau tidak disetujui.

Preventive

DSS05.02 Pengelolaan

pada keamanan jaringan dan konektivitas

1. Membuat dan mengelola peraturan untuk keamanan konektivitas berbasis dari penilaian risiko dan kebutuhan bisnis.

Preventive

2.

Memberikan akses informasi dan jaringan kepada perangkat-

perangkat yang telah terdaftar. Melakukan konfigurasi perangkat agar memiliki password untuk mengaksesnya.

Preventive

3.

Implementasi mekanisme penyaringan jaringan seperti firewall dan perangkat lunak pendeteksi penyusup sesuai dengan peraturan yang terkait untuk mengontrol arus masuk dan arus keluar pada jaringan.

Preventive dan Detective

4.

Mengenkripsi Informasi yang dikirim berdasarkan klasifikasi informasi

Preventive

5.

Mengaplikasikan protokol keamanan yang sudah disetujui terhadap konektivitas jaringan.

Detective

6.

Melakukan konfigurasi peralatan jaringan dengan cara yang aman

Preventive

7.

Membuat mekanisme terpercaya untuk mendukung pemancaran dan penerimaan informasi yang aman.

Preventive

8.

Melakukan tes penetrasi secara berkala untuk menentukan

kecukupan dari proteksi jaringan.

Detective

9.

Melakukan tes berkala pada keamanan sistem untuk menentukan kelengkapan dari proteksi sistem.

Detective

(17)

DSS05.03 Pengelolaan

keamanan pada perangkat

endpoint

1. Melakukan konfigurasi sistem operasi secara aman. Preventive 2. Mengimplementasi mekanisme penguncian perangkat. Preventive 3. Melakukan enkripsi informasi pada media penyimpanan yang

sesuai dengan klasifikasinya.

Preventive

4. Mengelola akses dan kontrol jarak jauh. Detective 5. Mengelola konfigurasi jaringan secara aman. Detective 6. Mengimplementasikan penyaringan arus jaringan pada

perangkat endpoint.

Preventive

7. Melakukan intergrasi sistem Preventive

8. Menyediakan perlindungan secara fisik pada perangkat endpoint.

Preventive 9. Membuang perangkat endpoint secara aman. Preventive DSS05.04

Mengelola identitas pengguna dan akses

logikal

1. Mengelola hak akses pengguna sesuai dengan fungsional bisnis dan kebutuhan proses. Menyelaraskan identitas manajemen dan hak akses terhadap peran dan tanggung jawab masing- masing berdasrkan prinsip least-previlege, need-to-have, dan need-to-know

Detective

2. Mengidentifikasi semua aktivitas memproses informasi berdasarkan peran fungsional, berkordinasi dengan unit bisnis untuk memastikan bahwa semua peran sudah terdefinisi secara konsisten, termasuk peran-peran yang didefinisikan oleh bisnis sendiri dalam aplikasi proses bisnis

Preventive

3.

Melakukan autentikasi semua akses terhadap aset informasi berdasarkan dengan klasifikasi keamanan dan mengkoordinasikan dengan unit bisnis yang mengelola autentikasi pada aplikasi yang digunakan di proses bisnis untuk memastikan kontrol autentikasi telah dilakukan secara benar.

Detective

4. Mengatur semua perubahan terhadap hak akses (pembuatan, modifikasi dan penghapusan) untuk dilakukan pada waktu yang tepat hanya berdasrakan persetujuan dan semua transaksi didokumentasikan oleh individu yang ditunjuk oleh pihak manajemen

Preventive

5. Memisahkan dan mengelola hak akses akun pengguna. Detective 6. Melakukan pengecekan manajemen secara berkala pada

seluruh akun dan hak akses terkait.

Corrective 7. Memastikan seluruh pengguna (internal, eksternal, dan

sementara) dan aktivitas mereka pada sistem TI (aplikasi bisnis, infrastruktur TI, operasi sistem, pengembangan, dan pemeliharaan) teridentifikasi secara unik. Semua aktivitas pemprosesan informasi oleh pengguna diidentifikasi secara unik.

Detective

8. Memelihara jejak audit pada akses informasi yang terklasifikasi sangat sensitif.

Preventive

(18)

DSS05.05 Mengelola

akses fisik terhadap

aset TI

1. Mengelola permintaan dan pemberian akses ke dalam fasilitas komputer. Permintaan akses formal akan diselesaikan dan disetujui oleh pihak manajemen pada lokasi TI, dan permintaan kunjungan dicatat. Formilir harus secara spesifik mengidentifikasi daerah mana yang disetujui untuk dikunjungi

Preventive

2. Memastikan akses terhadap profil tetap ada. Akses dasar terhadap area TI (ruang server, bangunan, area atau zona) pada fungsional dan tanggung jawab kerja.

Detective

3. Mencatat dan memantau semua titik masuk ke lokasi TI.

Mencatat semua pengunjung yang masuk ke dalam lokasi TI tidak terkecuali kontraktor dan vendor.

Detective

4. Menginstruksikan semua personil untuk menunjukan tanda identitas pada setiap waktu. Mencegah pengeluaran kartu identitas tanpa ada persetujuan dari yang berwenang

Preventive

5. Mewajibkan pengunjung untuk selalu diawasi selama berada di lokasi TI. Jika ditemukan seseorang yang tidak dikenal tanpa mengenakan tanda identitas staff, maka pihak keamanan akan dihubungi

Preventive

6. Membatasi akses ke dalam area TI yang sensitif dengan membuat pembatasan perimeter, seperti pagar, tembok dan perangkat keamanan pada interior dan eksterior area TI.

Memastikan semua perangkat pencatatan masuk ruangan, dan membunyikan alarm jika terjadi akses yang tidak berwenang.

Contoh perangkat tersebut bisa berupa keypads, atau biometric scanner

Preventive

7. Melakukan pelatihan kesadaran keamanan fisik secara berkala. Preventive DSS05.06

Mengelola dokumen

dan perangkat

output sensitif

1. Membuat prosedur untuk mengelola penerimaan, penggunan, pemindahan, dan pembuangan benda khusus beserta perangkat output, masuk ke dalam, di dalam, dan keluar dari perusahaan.

Preventive

2. Menetapkan hak akses terhadap dokumen dan perangkat output sensitif berdasarkan prinsip hak-terkecil, risiko yang seimbang, dan kebutuhan bisnis.

Preventive

3. Membangun sebuah inventarisasi untuk dokumen dan perangkat output sensitif dan melakukan penyesuaian secara berkala.

Preventive

4. Membangun perlindungan fisik yang sesuai terhadap perangkat yang sensitif dan berbentuk khusus.

Preventive 5. Menghilangkan informasi sensitif dan melindungi perangkat

output (contoh gangguan pada media elektronik, pengrusakan fisik pada perangkat memori, penyediaan penghancur kertas atau wadah kertas yang terkunci untuk menghancurkan dokumen penting)

Preventive

DSS05.07 Memantau infrastruktur

yang berkaitan

1. Mencatat peristiwa keamanan yang dilaporkan oleh infrastruktur pemantau keamanan yang mengidentifikasi tingkat informasi yang akan direkam berdasarkan pertimbangan terhadap risiko. Catatan itu digunakan sementara untuk membantu investigasi lanjutan.

Detective

(19)

dengan keamanan

2. Merumuskan dan mengkomunikasikan sifat dan karateristik dari insiden keamanan potensial sehingga dapat dikenal secara mudah dan dapat memberikan respon yang tepat terhadap dampaknya.

Preventive

3. Memeriksa catatan peristiwa secara berkala untuk mengecek potensi insiden.

Corrective 4. Menjaga kesetaraan prosedur pengumpulan bukti dengan

peraturan forensik setempat mengenai bukti dan memastikan semua staf sadar akan kebutuhan tersebut.

Preventive

5.

Memastikan tiket insiden keamanan dibuat sesegera mungkin saat pemantauan terhadap identifikasi potensi insiden keamanan

Detective

Aset Informasi

Aset Informasi adalah sesuatu yang terdefinisi dan terkelola sebagai satu unit informasi sehingga dapat dipahami, dibagi, dilindungi, dan dimanfaatkan secara efektif (Rohmani, M.Kom). Aset Informasi dibagi menjadi dua, yaitu aset fisik dan aset logika. Berikut ini merupakan contoh contoh aset informasi.

Aset Fisik : Aset Logika

 Hardware  Data

 Dokumentasi  Software

 Fasilitas  File

(20)

LEMBAR PENGESAHAN

PEDOMAN

Judul : Tujuan dan Indikator No.Dokumen : PE-DSS-05-03

Rilis : 00

Revisi : 00

Histori Distribusi :

Tanggal:

(21)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

(22)

PE-DSS-05-03

TUJUAN DAN INDIKATOR

^HALAMAN ^:

Tujuan dan Indikator

Tujuan Indikator

Menjamin penyesuaian dan dukungan TI agar bisnis sesuai dengan hukum dan peraturan eksternal

 Biaya dari ketidaksesuaian TI, termasuk denda dan biaya penyelesaian dan dampak dari penurunan reputasi.

 Isu ketidaksesuaian Ti yang dilaporkan kepada dewan atau yang menyebabkan penurunan citra di public

 Isu ketidaksesuaian yang terkait dengan perjanjian kontrak dengan pihak penyedia layanan TI.

 Cakupan dari penilaian kesesuaian.

Menangani risiko bisnis yang terkait dengan TI  % proses bisnis yang kritis, servis TI, dan program bisnis berbasis TI yang termasuk ke dalam penilaian risiko aset informasi Ruang Server Jurusan Sistem Informasi

Menyediakan keamanan untuk informasi, infrastruktur, dan aplikasi pengolahan

 Insiden keamanan yang menyebabkan kehilangan finansial, gangguan pada bisnis

 layanan TI dengan kebutuhan keamanan tingkat tinggi

 Waktu untuk memenuhi, mengganti, dan menghilangkan hak akses khusus dibandingkan dengan level pelayanan pada perjanjian.

 Frekuensi penilaian keamanan dibandingkan dengan standar dan panduan terbaru

(23)

LEMBAR PENGESAHAN

PEDOMAN

Judul : Ruang Lingkup

No.Dokumen : PE-DSS-05-04

Rilis : 00

Revisi : 00

Histori Distribusi :

Tanggal:

(24)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

(25)

PE-DSS-05-04

Ruang Lingkup

^HALAMAN ^:

Ruang Lingkup

Adapun ruang lingkup dari pengelolaan akses aset Ruang Server Jurusan Sistem Informasi akan mengacu pada Proses COBIT 5 DSS 05 pada poin DSS05.04 dan DSS05.05

a. Mengelola identitas pengguna dan akses logical (DSS05.04)

Memastikan bahwa semua pengguna memiliki hak akses informasi sesuai dengan kebutuhan bisnis dan mengelola hak akses semua pengguna

1. Mengelola hak akses pengguna sesuai dengan fungsional bisnis dan kebutuhan proses.

Menyelaraskan manajemen identifikasi dan hak akses dengan peran dan tanggung jawab yang jelas sesuai dengan prinsip hak-akses-paling-rendah, kebutuhan-untuk-memiliki, dan kebutuhan-untuk-mengetahui.

2. Identifikasi seluruh aktivitas pemprosesan informasi berdasarkan peran fungsional secara unik, mengkoordinasikan dengan unit bisnis terkait untuk mamstikan semua peran sudah terdefinisikan termasuk peran yang terdefinisikan melalui bisnis itu sendiri di dalam aplikasi proses bisnis.

3. Autentikasi semua akses terhadap aset informasi berdasarkan dengan klasifikasi keamanan dan mengkoordinasikan dengan unit bisnis yang mengelola autentikasi pada aplikasi yang digunakan di proses bisnis untuk memastikan kontrol autentikasi telah dilakukan secara benar.

4. Mengatur seluruh perubahan pada hak akses (pembuatan, modifikasi, penghapusan) untuk mengambil efek pada waktu yang tepat berdasarkan hanya pada transaksi yang disetujui dan didokumentasikan oleh individual yang bertanggung jawab.

5. Memisahkan dan mengelola hak akses akun pengguna.

6. Melakukan pengecekan manajemen secara berkala pada seluruh akun dan hak akses terkait.

7. Memastikan seluruh pengguna (internal, eksternal, dan sementara) dan aktivitas mereka pada sistem TI (aplikasi bisnis, infrastruktur TI, operasi sistem, pengembangan, dan pemeliharaan) teridentifikasi secara unik. Semua aktivitas pemprosesan informasi oleh pengguna diidentifikasi secara unik.

8. Pemeliharaan jejak audit pada akses informasi yang terklasifikasi sangat sensitif.

b. Mengelola akses fisik terhadap aset TI (DSS05.05)

Menentukan dan menerapkan hak akses ke bangunan dan area perusahaan sesuai dengan kebutuhan bisnis.

1. Mengelola permintaan dan penjaminan akses ke dalam fasilitas komputasi. Permintaan akses formal diselesaikan dan diautentikasi oleh manajeman pada lokasi TI yang terkait dan catatan permintaan ditahan oleh manajemen yang terkait. Formulir harus mengidentifikasi area dimana akses diberikan kepada seorang individu.

2. Memastikan akses terhadap profil tetap ada. Akses dasar terhadap area TI (ruang server, bangunan, area atau zona) pada fungsional dan tanggung jawab kerja.

3. Pengukuran dan pemantauan semua seluruh titik masuk pada lokasi TI termasuk kontraktor dan vendor pada lokasi TI.

(26)

Jurusan Sistem Informasi – Tata Kelola TI – Pengelolaan Akses Aset Informasi Ruang Server | 26 4. Menginstruksikan seluruh personil untuk menunjukkan identifikasi yang jelas pada setiap

waktu. Mencegah penggunaan kartu identitas atau lencana tanpa pengautentikasian yang tepat.

5. Mewajibkan pengawasan kepada pengunjung sepanjang waktu saat mereka ada di area.

Apabila ada orang yang tidak dikenal dan tidak ditemani siapapun yang tidak menggunakan identifikasi staf, peringatkan personil keamanan.

6. Membatasi akses ke dalam area TI yang sensitif dengan memasang batasan seperti pagar, 7. tembok, dan perangkat keamanan pada interior dan eksterior area. Memastikan perangkat untuk mencatat dan memicu alarm saat terjadi akses yang tidak terautentikasi.

Contoh perangkat terasuk di dalamnya lencana atau kartu akses, keypad 8. Melakukan pelatihan kesadaran keamanan fisik secara berkala

(27)

LEMBAR PENGESAHAN

PEDOMAN

Judul : Proses Bisnis

No.Dokumen : PE-DSS-05-05

Rilis : 00

Revisi : 00

Histori Distribusi :

Tanggal:

(28)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

(29)

PE-DSS-05-05

PROSES BISNIS

^HALAMAN ^:

Proses Bisnis

Struktur Organisasi

(30)

Jurusan Sistem Informasi – Tata Kelola TI – Pengelolaan Akses Aset Informasi Ruang Server | 30 Penanggung Jawab

Jabatan Singkatan Keterangan

Kepala Jurusan Sistem Informasi

KAJUR Bertanggungjawab atas proses bisnis yang terjadi di Jurusan Sistem Informasi

Koordinator SI/TI KASI Bertanggungjawab atas seluruh tindakan yang dilakukan pada bidang SI/TI

Koordinator Sumber Daya Manusia

KASDM Bertanggungjawab atas seluruh tindakan yang berhubungan atas sumber daya manusia yang ada pada Jurusan Sistem Informasi

Konsultan Aset SI/TI KOSI Berwenang untuk menentukan prioritas yang akan dilakukan pada aset informasi Jurusan Sistem Informasi

Pegawai Aset Informasi (Pegawai SI/TI)

PAI Bertugas pada pengelolaan aset informasi yang berada pada Ruang Server Jurusan Sistem Informasi

Pegawai Konsultan SI/TI PKSI Bertugas untuk menjalankan seluruh arahan yang berkaitan dengan pengaturan hak akses pengguna atau aset informasi

(31)

PANDUAN

(32)

LEMBAR PENGESAHAN

PANDUAN

Judul : Proses Bisnis

No.Dokumen : PA-DSS-05-01

Rilis : 00

Revisi : 00

Histori Distribusi :

Tanggal:

(33)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

(34)

PA-DSS-05-01

PANDUAN TANGGAL TERBIT :

PROSES BISNIS

^HALAMAN ^:

Proses Bisnis Deskripsi Proses

Melindungi informasi Jurusan Sistem Informasi untuk mengelola resiko keamanan aset informasi pada Ruang Server Jurusan Sistem Informasi . Membangun dan memelihara peran keamanan informasi dan hak akses serta pemantauan kemananan ruang server Jurusan Sistem Informasi

Tujuan Proses

Mengurangi pengaruh kerentanan dan kejadian penerapan/operasional kemananan informasi aset informasi Ruang Server Jurusan Sistem Informasi

Tujuan dan Indikator Kerja

Tujuan Indikator Kinerja

Informasi yang disampaikan, telah dilaksanakan

 Persentase individu yang menerima training awareness yang berhubungan dengan aset informasi

 Jumlah kejadian yang melibatkan aset informasi ruang server berkurang

 Jumlah perangkat yang tidak dikenali yang dideteksi pada jaringan aset informasi berkurang Semua pengguna diidentifikasi dan

memiliki hak akses sesuai dengan peran bisnisnya

 Data akun baru

 Data akun saat ini

 Data akun yang tidak aktif

 Jumlah akun (vs. jumlah pengguna atau staff yang tidak dikenali)

Tindakan/ukuran fisik telah diimplementasikan untuk melindungi informasi dari akses yang tidak dikenali, bahaya dan campur tangan ketika diproses, disimpan dan dipancarkan

 Jumlah keamanan fisik yang berhubungan dengan kejadian

 Jumlah kejadian yang

berhubungan dengan akses

terhadap informasi yang tidak

dikenali

(35)

Praktik Manajemen Kunci

Dalam proses mengelola layanan keamanan, terdapat dua praktik manajemen kunci yang melibatkan pemangku kepentingan terkait, sebagaimana terlihat pada tabel berikut ini.

Praktek Manajemen Kunci

KAJUR KASI KASDM KOSI PAI PKSI

DSS05-04

Mengelola identitas pengguna dan akses logikal ^R ^A ^C ^I ^R ^R

DSS05-05

Mengelola akses fisik terhadap aset TI R A I R R

(36)

LEMBAR PENGESAHAN

PEDOMAN

Judul : Analisa Kondisi

No.Dokumen : PA-DSS-05-02

Rilis : 00

Revisi : 00

Histori Distribusi :

Tanggal:

(37)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

(38)

PA-DSS-05-02

PANDUAN TANGGAL TERBIT :

ANALISA KONDISI

^HALAMAN ^:

Analisa Kondisi

Analisis kondisi saat ini Analisa Kondisi Ideal Fit In Keamanan aplikasi yang masih

sangat lemah, ditandai dengan kasus pembobolan website Jurusan Sistem Informasi yang terjadi sudah terjadi berulangkali

Melihat penting nya data dan informasi yang terdapat dalam Jaringan IS NET, maka pembobolan seharusnya tidak terjadi

Perlu diadakan Pentest secara rutin serta pengamanan yang kuat supaya tidak terjadi pembobolan oleh pihak yang tidak berwenang

Keamanan fisik ISNET belum sepenuhnya dipenuhi karena belum adanya aturan-aturan tertulis mengenai siapa saja pihak yang memiliki akses terhadap ruangan ISNET

Fisik ISNET komponen yang penting supaya tujuan dari ISNET tetap berjalan, maka perlu strategi atau aturan tentang autorisasi yang bisa mengakses

Dibentuknya sebuah tata kelola/aturan serta perangkatnya (dokumen, formulir) supaya

Layanan wifi yang disediakan kurang aman dikarenakan akses wifi mudah dibobol.

Enkripsi pada proxy merupakan enkripsi plain

sehingga tingkat

keamanannya kurang

Data yang terdapat di dalam ISNET merupakan data yang penting dalam jalan nya roda bisnis, oleh karena itu seharusnya terhindar dari dibobolnya akses wifi

Menggunakan enkripsi pada proxy yang lebih baik sehingga tingkat keamanan nya lebih memadai

Jaringan di Jurusan Sistem Informasi ini masih sangat mudah untuk di bobol

Harus diberikan keamanan yang memadai pada jaringan

Menggunakan enkripsi pada proksi yang lebih baik dan juga pengamanan lain nya, kemudian dilakukan pentest secara berkala supaya tetap menjaga keamanan dalam jaringan

Belum ada aturan tertulis yang menjelaskan siapa saja yang berhak untuk memasuki ruangan server

Tata kelola seharusnya dibuat supaya dapat mencapai tujuan dan menghindari resiko

Membuat tata kelola dengan berpedoman pada cobit 5 supaya lebih komprehensif, juga membuat perangkat lainnya seperti formulir dll

(39)

KEBIJAKAN

(40)

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : Kebijakan Perlindungan Aset TI No.Dokumen : KB-DSS05-01

Rilis : 00

Revisi : 00

Histori Distribusi :

Tanggal:

(41)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

(42)

KE-DSS-05-01

KEBIJAKAN TANGGAL TERBIT :

KEBIJAKAN PERLIDUNGAN ASET TEKNOLOGI INFORMASI

HALAMAN :

Kebijakan Perlindungan Aset Teknologi Informasi

Dalam Kebijakan Perlindungan Infrastruktur TI merupakan kebijakan yang mencakup:

 Perlindungan perangkat fisik TI

 Perlindungan jaringan A. Perlindungan perangkat fisik TI

1. Mencatat dan memantau semua titik masuk ke lokasi TI. Mencatat semua pengunjung yang masuk ke dalam lokasi TI tidak terkecuali kontraktor dan vendor (DSS05.05 - Aktivitas 03)

1.1. Melakukan pemantauan dengan memasang perangkat elektronik misalnya CCTV pada ruangan yang penting

2. Membatasi akses ke dalam area TI yang sensitif dengan membuat pembatasan perimeter, seperti pagar, tembok dan perangkat keamanan pada interior dan eksterior area TI.

Memastikan semua perangkat pencatatan masuk ruangan, dan membunyikan alarm jika terjadi akses yang tidak berwenang. Contoh perangkat tersebut bisa berupa keypads, atau biometric scanner (DSS05.05 - Aktivitas 06)

2.1. Area TI yang sensitif harus dibatasi dengan memasang batasan seperti tembok, pagar, dan perangkat keamanan di dalam dan luar area.

2.2. Memastikan bahwa perangkat harus mencatat dan memicu alarm saat terjadi akses yang tidak terautentikasi.

2.3. Memastikan bahwa perangkat terlidung dari tempat-tempat yang dapat menyebabkan rusaknya perangkat seperti tetesan air, kelembaban yang dapat menimbulkan jamur, sirkulasi udara

B. Perlindungan Jaringan

1. Implementasi mekanisme penyaringan jaringan seperti firewall dan perangkat lunak pendeteksi penyusup sesuai dengan peraturan yang terkait untuk mengontrol arus masuk dan arus keluar pada jaringan (DSS05.02 - Aktivitas 03)

1.1. Jaringan organisasi harus memiliki sistem penyaringan khusus terhadap arus masuk dan arus keluar contohnya dengan memasang firewall pada jaringan organisasi 1.2. Sistem penyaringan khusus yang dipasang pada jaringan organisasi harus sesuai

dengan peraturan yang berlaku di organisasi.

1.3. Jaringan yang telah dipasangn perangkat lunak pendeteksi penyusup harus di uji ketahanannya terhadap serangan dari luar

(43)

43

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : Kebijakan Perlindungan Hak Akses Ruang Server Jurusan Sistem Informasi

No.Dokumen : KB-DSS05-02

Rilis : 00

Revisi : 00

Histori Distribusi :

Pegawai Aset Informasi Koordinator SI/TI Kepala Jurusan Sistem Infornasi Tanggal:

(44)

44 RIWAYAT PERUBAHAN

Keterangan:

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

(45)

45

KE-DSS-05-02

KEBIJAKAN TANGGAL TERBIT :

KEBIJAKAN PERLIDUNGAN HAK AKSES RUANG SERVER JSI

HALAMAN :

Kebijakan Perlindungan Hak Akses Ruang Server Jurusan Sistem Informasi

1. Memberikan akses informasi dan jaringan kepada perangkat-perangkat yang telah terdaftar.

Melakukan konfigurasi perangkat agar memiliki password untuk mengaksesnya. (DSS05.02 - Aktivitas 02)

1.1 Hak akses terhadap dokumen dan perangkat yang penting hanya diberikan kepada orang- orang yang berwenang, yang memilki surat persetujuan akses akun

1.2 Username dan password tidak boleh disebarkan ke orang lain

2. Mengelola hak akses pengguna sesuai dengan fungsional bisnis dan kebutuhan proses.

Menyelaraskan identitas manajemen dan hak akses terhadap peran dan tanggung jawab masing- masing berdasrkan prinsip least-previlege, need-to-have, dan need-to-know (DSS05.04 - Aktivitas 01)

2.1. Hak akses pengguna harus berdasarkan peran fungsional masing-masing

2.2. Manajemen identitas dan hak akses harus diselaraskan dengan peran dan tanggung jawab yang jelas dengan prinsip least previlege, need-to-have, dan need-to-know 2.3. Seluruh hak akses logical harus terdaftar, dan hanya pihak yang berwenang yang memiliki

akses terhadap daftar hak akses logical

3. Memastikan akses terhadap profil tetap ada. Akses dasar terhadap area TI (ruang server, bangunan, area atau zona) pada fungsional dan tanggung jawab kerja (DSS05.05 - Aktivitas 02)

3.1. Melakukan pendataan untuk memberikan hak akses yang sesuai dengan fungsionalitas dan tanggungjawab

3.2. Akses dasar terhadap area TI (ruang server, bangunan, dan area) harus sesuai fungsional dan tanggung jawab kerja.

4. Melakukan autentikasi semua akses terhadap aset informasi berdasarkan dengan klasifikasi keamanan dan mengkoordinasikan dengan unit bisnis yang mengelola autentikasi pada aplikasi yang digunakan di proses bisnis untuk memastikan kontrol autentikasi telah dilakukan secara benar. (DSS05.04 - Aktivitas 03)

4.1. Semua akses terhadap aset informasi oleh pengguna harus diautentikasi berdasarkan klasifikasi keamanan

4.2. Auntentikasi semua akses terhadap aset informasi harus dikoordinasian dengan unit bisnis yang mengelola aplikasi

4.3. Kontrol autentikasi dilakukan setiap akhir semester.

5. Mengatur semua perubahan terhadap hak akses (pembuatan, modifikasi dan penghapusan) untuk dilakukan pada waktu yang tepat hanya berdasrakan persetujuan dan semua transaksi didokumentasikan oleh individu yang ditunjuk oleh pihak manajemen (DSS05.04 - Aktivitas 04)

5.1. Pembuatan hak akses akun harus disetujui oleh pihak manajemen

5.2. Karyawan yang sudah tidak bekerja di perusahaan maka hak akses miliknya harus dicabut.

5.3. Perubahan baik peningkatan maupun penurunan hak akses akun harus disetujui oleh pihak manajemen

(46)

46 5.4. Segala aktivitas pembuatan, perubahan, dan penghapusan hak akses harus

didokumentasikan oleh pihak yang berwenang

5.5. Dokumentasi aktivitas pembuatan, perubahan, dan penghapusan hak akses hanya bisa diakses oleh pihak yang berwenang.

6. Memisahkan dan mengelola hak akses akun pengguna. (DSS05.04 - Aktivitas 05)

6.1. Hak akses akun pengguna harus dipisahkan antara pengguna biasa, administrator dan superadministrator

6.2. Hak akses akun pengguna diperiksa, dan diperbarui setiap semester.

7. Melakukan pengecekan manajemen secara berkala pada seluruh akun dan hak akses terkait.

(DSS05.04 - Aktivitas 06)

8.1 Evaluasi terhadap hak akses akun dilakukan setiap semester.

8. Mengelola permintaan dan pemberian akses ke dalam fasilitas komputer. Permintaan akses formal akan diselesaikan dan disetujui oleh pihak manajemen pada lokasi TI, dan permintaan kunjungan dicatat. Formulir harus secara spesifik mengidentifikasi daerah mana yang disetujui untuk dikunjungi (DSS05.01 Aktivitas 01)

8.1. Permintaan akses formal harus diselesaikan dan disetujui oleh manajemen pada lokasi TI terkait

8.2. Permintaan akses formal harus dicatat dan didokumentasikan oleh manajemen terkait 8.3. Catatan permintaan akses formal disimpan oleh manajemn pada lokasi TI terkait 8.4. Terdapat formulir yang mengidentifikasi area yang bisa diakses

(47)

47

PROSEDUR

(48)

48

LEMBAR PENGESAHAN

PROSEDUR

Judul : Prosedur Pelatihan Mengenai Layanan Keamanan Akses Aset Informasi Jurusan Sistem Informasi

No.Dokumen : PR-DSS05-01

Rilis : 00

Revisi : 00

Histori Distribusi :

Pegawai SI/TI Konsultan SI/TI Kepala Jurusan Sistem Infornasi Tanggal:

(49)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

(50)

50

PR-DSS-05-01

PROSEDUR TANGGAL TERBIT :

Prosedur Pelatihan Mengenai Layanan Keamanan

HALAMAN :

Prosedur Pelatihan Mengenai Layanan Keamanan

1. DESKRIPSI

Prosedur ini menjelaskan tata cara mengadakan pendidikan dan pelatihan terkait kesadaran keamanan untuk semua elemen organisasi untuk memberikan informasi akan pentingnya pengelola layanan keamanan pada aset informasi yang terletak di Ruang Server Jurusan Sistem Informasi

2. TUJUAN :

2.1. Elemen organisasi menyadari pentingnya pengelolaan aset informasi JSI

2.2. Memberikan pelatihan terhadap karyawan terhadap penggunaan aset informasi JSI 2.3. Meminimalisir terjadinya masalah pada aset informasi

3. STANDAR YANG BERLAKU

3.1. COBIT 5 : DSS05.04 Mengelola identitas pengguna dan akses logikal

3.2. ISO/IEC 27002:2005 poin 8.2.2 Information Security Awareness, Education, and Training

4. INDIKATOR KERJA

3.1. Jumlah training yang diadakan dalam satu periode masa jabatan

3.2. Jumlah kehadiran individu yang menerima training terkait kesadaran keamanan minimal 50% dari seluruh karyawan JSI

5. MASUKAN

No. Sumber Masukan Jenis Masukan Nama dan Nomor

Dokumen

1. Internal Surat Tugas Mengikuti

Pelatihan

FM-DSS05-01-01

(51)

51 6. KELUARAN

No. Tujuan Keluaran Jenis Keluaran Tujuan dan Nomor Dokumen

1. Internal Berita Acara Kegiatan

Pelatihan

FM-DSS05-01-02

2. Internal Laporan Pertanggung

jawaban acara

FM-DSS05-01-03

7. PERALATAN DAN PERLENGKAPAN 7.1. BUKU DAN ALAT TULIS 7.2. PERANGKAT KOMPUTER 7.3. PERANGKAT PRESENTASI 8. AKTIVITAS

8.1. Koordinator SDM melakukan pembentukan tim pengadaan pelatihan berdasarkan Kebijakan Pelatihan dan Awarness Karyawan

8.2. Koordinator SDM menentukan tempat dan waktu pengadaan pelatihan

8.3. Koordinator SDM menentukan kebutuhan pengadaan pelatihan dengan rincian sebagai berikut:

8.3.1. Menentukan jumlah peserta pelatihan dan sistem perekrutan peserta 8.3.2. Menentukan kebutuhan konsumsi

8.4. Koordinator SDM menentukan kebutuhan materi dan rundown acara pelatihan berdasarkan Kebijakan Pelatihan dan Awarness Karyawan dengan rincian sebagai berikut:

8.4.1. Menentukan materi yang akan disajikan dalam pelatihan 8.4.2. Menentukan pemateri untuk tiap materi

8.5. Koordinator SDM mendokumentasikan hasil persiapan berdasarkan Kebijakan Pelatihan dan Awarness Karyawan

8.6. Kepala JSI menentukan peserta pelatihan berdasarkan Kebijakan Pelatihan dan Awarness Karyawan

8.7. Kepala JSI menyerahkan daftar peserta pelatihan

8.8. Koordinator SDM mengeluarkan surat tugas pelatihan dalam bentuk dokumen FM- DSS-05-01-01 berdasarkan Kebijakan Pelatihan dan Awarness Karyawan

8.9. Koordinator SDM bersama tim pelaksana pelatihan melaksanakan pelatihan

8.10. Koordinator SDM mendokumentasikan kegiatan pelatihan dengan bukti berita acara dalam dokumen FM-DSS-05-01-02

8.11. Koordinator SDM bersama Kepala JSI mengadakan evaluasi kegiatan pelatihan 8.12. Koordinator SDM mendokumentasikan hasil evalusi dalam draf laporan pertanggung

jawaban kegiatan pelatihan

8.13. Koordinator SDM mengkonsultasikan draf laporan pertanggung jawaban kegiatan pelatihan kepada Koordinator SDM SI/TI

8.14. Koordinator SI/TI mereview dan menyetujui draf laporan pertanggung jawaban kegiatan pelatihan dan terbentuk dokumen FM-DSS-05-01-03

8.15. Koordinator SDM mengarsipkan dokumen laporan pertanggungjawaban FM-DSS05- 01-03

(52)

52 9. ALUR PROSEDUR

AKTIVITAS PELAKSANA DOKUMEN

TERKAIT

KSDM KAJUR KASI

Pembentukan tim pengadaan pelatihan

Menentukan tempat dan waktu pengadaan pelatihan

menentukan

kebutuhan pengadaan pelatihan

menentukan

kebutuhan materi dan rundown acara pelatihan

mendokumentasikan hasil persiapan menentukan peserta pelatihan

menyerahkan daftar peserta pelatihan mengeluarkan surat tugas pelatihan

FM-DSS-05- 01-01

melaksanakan pelatihan

mendokumentasikan kegiatan pelatihan

FM-DSS-05- 01-02

mengadakan evaluasi kegiatan pelatihan

mendokumentasikan hasil evalusi

(53)

53 mengkonsultasikan

draf laporan

pertanggung jawaban mereview dan menyetujui draf laporan pertanggung jawaban

FM-DSS-05- 01-03

mengarsipkan dokumen laporan pertanggungjawaban

FM-DSS-05- 01-03

(54)

54

LEMBAR PENGESAHAN

PROSEDUR

Judul : Prosedur Pengajuan Hak Akses Pengguna No.Dokumen : PR-DSS05-02

Rilis : 00

Revisi : 00

Histori Distribusi :

Pegawai Aset Informasi Konsultan SI/TI Kepala Jurusan Sistem Infornasi Tanggal:

(55)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

(56)

56

PR-DSS-05-02

PROSEDUR TANGGAL TERBIT :

Prosedur Pengajuan Hak Akses Pengguna

HALAMAN :

Prosedur Pengajuan Hak Akses Pengguna

1. DESKRIPSI

Prosedur ini berisikan tata cara untuk pengajuan hak akses pengguna baru pada ruang server jurusan sistem informasi.

2. TUJUAN

 Mengetahui data pengguna baru

 Membuat tata cara yang terstruktur untuk melakukan penambahan akses pengguna 3. STANDAR YANG BERLAKU

2.1. COBIT 5 : DSS05.04 - Mengelola identitas pengguna dan akses logikal 2.2. ISO/IEC 27002 : Access Controls, User Registration

4. INDIKATOR KERJA

 Waktu yang diperlukan untuk melakukan persetujuan

 % persetujuan yang dikeluarkan per permohonan yang masuk

 Kesesuaian jumlah akun yang ada dengan yang ada di formulir daftar akun 5. MASUKAN

No Sumber Masukan Jenis Masukan Nomor dan Nama

Dokumen

1. Internal Surat Permohonan hak akses

pengguna

FM-DSS05-02-01

6. KELUARAN

No Tujuan Keluaran Jenis Keluaran Nomor dan Nama

Dokumen

1. Internal Surat persetujuan hak akses

pengguna baru

FM-DSS05-02-02 2. Internal Daftar registrasi akun dan hak akses FM-DSS05-02-03 7. PERALATAN DAN PERLENGKAPAN

Alat tulis dan laptop 8. AKTIVITAS

8.1. Koordinator SDM mengajukan permohonan tertulis akses pengguna baru ke Pegawai Aset Informasi JSI (FM-DSS-05-02-01).

8.2. Pegawai Aset Informasi JSI menganalisa fungsional bisnis dan kebutuhan proses dari user baru yang sedang diajukan

8.3. Pegawai Aset Informasi JSI meneruskan permohonan akses pengguna tersebut ke Konsultan SI/TI

8.4. Konsultan SI/TI menganalisa kebutuhan akses yang diperlukan oleh user baru tersebut

(57)

57 8.5. Konsultan SI/TI mengeluarkan surat persetujuan atas hak akses akun (FM-DSS-05-02-02) kepada Koordinator SDM. Didalam surat tersebut ada tembusan ke Pegawai Konsultan SI/TI 8.6. Pegawai Konsultan SI/TI mencatat daftar akun baru ke dalam form daftar registrasi akun (FM-

DSS-05-02-03)

8.7. Pegawai Konsultan SI/TI membuka layanan tersebut setelah ada persetujuan dari Konsultan SI/TI

8.8. Koordinator SDM memberikan username dan password ke user baru

9. ALUR

PROSEDUR

Sub-Aktivitas

Pelaksana Dokumen

Terkait KOORDI

NATOR SDM

PEGAWAI ASET INFORMASI

KONSUL TAN SI/TI

PEGAW AI KONSUL

TAN SI/TI

Koordinator SDM

mengajukan permohonan tertulis akses pengguna baru ke Pegawai Aset Informasi JSI (FM-DSS-05- 02-01).

FM-DSS- 05-02-01

Pegawai Aset Informasi JSI menganalisa fungsional bisnis dan kebutuhan proses dari user baru yang sedang diajukan

Pegawai Aset Informasi JSI meneruskan permohonan akses pengguna tersebut ke Konsultan SI/TI

Konsultan SI/TI

menganalisa kebutuhan akses yang diperlukan oleh user baru tersebut Konsultan SI/TI

mengeluarkan surat persetujuan atas hak akses akun (FM-DSS-05- 02-02) kepada

Koordinator SDM.

Didalam surat tersebut ada tembusan ke Pegawai Konsultan SI/TI Pegawai Konsultan SI/TI mencatat daftar akun baru ke dalam form daftar registrasi akun (FM-DSS-05-02-03)

FM-DSS- 05-02-02

Pegawai Konsultan SI/TO membuka layanan tersebut

FM-DSS- 05-02-03

START

(58)

58 setelah ada persetujuan

dari Konsultan SI/TI Koordinator SDM memberikan username dan password ke user baru