Abstrak— Kebutuhan informasi yang akurat, cepat, serta reliable mengharuskan perusahaan menjaga keamanan informasi agar tidak mengganggu dan mempengaruhi peforma organisasi atau perusahaan. Dengan adanya kebutuhan tersebut, keamanan informasi harus dapat dikelola dengan baik. Pengelolaan keamanan informasi akan memperkecil munculnya risiko yang berkaitan dengan aspek keamanan informasi seperti kerusakan perangkat TI, kehilangan data karena pencurian dan risiko lainnya. Data kerugian yang diakibatkan oleh risiko keamanan informasi pun telah mencapai 1 miliar dollar US [1]. Untuk itu diperlukan tata kelola keamanan informasi yang melingkupi seluruh aspek keamanan informasi. Namun dengan padatnya aktivitas bisnis, organisasi atau perusahaan cenderung kesulitan untuk menyiapkan alat kerja dalam melakukan tata kelola keamanan informasi. Oleh karena itu jika melihat permasalahan tersebut maka diperlukan template dokumen yang diharapkan menjadi solusi dalam mempersiapkan tata kelola keamanan informasi dalam organisasi atau perusahaan. Pembuatan template tata kelola keamanan informasi akan berfokus dengan area pengamanan yang diambil dari standar COBIT 5 dan ISO/IEC 27001:2005, serta standar lain yang terkait.
Kata Kunci— Tata Kelola, Keamanan Informasi, Framework, Standar, COBIT, ISO/IEC 27001, Template
I. PENDAHULUAN
ewasa ini, perkembangan teknologi informasi telah memberikan dampak yang cukup signifikan terhadap perubahan pada berbagai organisasi dan perusahaan. Seiring berjalannya waktu organisasi dan perusahaan semakin bergantung kepada teknologi informasi (TI) guna mencapai tujuan bisnisnya. TI menjadi salah satu elemen dalam mencapai tujuan bisnis, sehingga diarahkan untuk mendukung proses bisnis, mulai dari aktivitas operasional sampai pada tingkat strategik.
Disisi lain penyediaan sarana atau investasi TI belum cukup untuk dapat memaksimalkan kontribusi fungsi TI kedalam proses bisnis. Penerapan TI memerlukan biaya yang relatif tinggi dengan resiko keamanan informasi yang cukup besar. Berdasarkan survey yang dilakukan Future Workspace, belanja TI perusahaan di Indonesia cukup tinggi, namun hanya 10% dari total belanja TI di investasikan untuk keamanan informasi [2]. Selain itu data kerugian global akibat adanya lubang pada keamanan informasi mencapai 1 miliar dollar Amerika. Kultur pendokumentasian tata kelola keamanan informasi pun yang masih rendah menyebabkan perusahaan
kurang memperhatikan pembuatan dokumentasi dari tata kelola tersebut. Untuk itu, diperlukan sebuah tata kelola keamanaan informasi yang dapat terdokumentasi secara baik sebagai salah satu cara dalam mengatur pelaksanaan penggunaan seluruh elemen TI dalam organisasi dan perusahaan serta mekanisme dalam mengelola keamanan informasi.
Untuk menjamin proses dan dokumentasi pengelolaan keamanan informasi yang baik, diperlukan best practice atau framework sebagai acuan pembuatan tata kelola keamanan informasi. Salah satu best practice yang memiliki standar proses pengelolaan keamanan informasi adalah ISO/IEC 27001:2005 [3]. Pada standar ini terdapat langkah-langkah dalam melakukan pengelolaan keamanan informasi. Selain itu untuk memaksimalkan pengelolaan keamanan informasi diperlukan standar framework yang menyediakan kerangka kerja pengelolaan keamanan informasi. Salah satunya adalah COBIT 5. Dalam COBIT 5 terdapat domain dalam ruang lingkup Align, Plan, Organize (APO) yang mengatur tentang keamanan TI (Manage Security) [4]. Penggabungan best practice dan framework ini diharapkan dapat memberi gambaran mengenai bagaimana melakukan tata kelola keamanan informasi dapat dilakukan dan terdokumenasikan dengan baik.
II. METODOLOGI PENELITIAN
Proses pengerjaan penelitian ini dilakukan melalui beberapa tahapan. Tahapan – tahapan tersebut meliputi analisis kebutuhan tata kelola keamanan informasi, referensi tata kelola keamanan informasi serta standar-standar terkait yang akan digunakan yang dibagi menjadi beberapa tahap.
Gambar 1 : Metodologi
PENYUSUNAN
TEMPLATE
TATA KELOLA KEAMANAN
INFORMASI BERBASIS ISO/IEC 27001:2005 DAN PATUH
TERHADAP COBIT 5
MANAGEMENT PROCESSES
APO13 MANAGE SECURITY
Faridl Mughoffar, Ir. Ahmad Holil Noor Ali, M.Kom, dan Anisah Herdiyanti, S.Kom, M.Sc
Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS)
Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia
: faridlmughoffar@gmail.com, holil@its-sby.edu, anisah@its-sby.edu
Berikut penjelasan dari pelaksanaan metodologi : A. Tahap Persiapan
Pada tahapan ini akan dilakukan analisis awal mengenai literatur dan kebutuhan lain yang menunjang penelitian meliputi studi literatur mengenai standar, framework dan tata kelola keamanan informasi, serta extensive desk research mengenai metodologi pengembangan template dokumen. B. Tahap Pemetaan Best Practice
Pembuatan penyusunan template tata kelola diawali dengan memetakan proses yang ada di ISO/IEC 27001:2005 ke dalam COBIT 5 APO13 Manage Security atau standar lainnya. Pada tahap penyusunan dokumen tata kelola ini nanti akan dipetakan terlebih dahulu domain yang akan di buatkan tata kelola. Dalam ISO/IEC 27001:2005 terdapat proses yang dapat dipetakan kedalam domain manage security yang memiliki beberapa proses kunci untuk mendukung tujuan teknologi informasi yang digunakan.
C. Tahap Penyusunan Template
Pada tahap ini adalah menyusun template dokumen tata kelola keamanan informasi yang mengacu pada pemetaan yang telah dilakukan sebelumnya. Dalam pemetaan tersebut terdapat aktivitas-aktivitas yang memerlukan dokumentasi berupa kebijakan, prosedur, instruksi, formulir atau pun template dokumen itu sendiri. Selain dokumen template
D. Tahap Verifikasi
Tahap ini menjelaskan bagaimana melakukan verifikasi terhadap template dokumen yang telah dibuat terhadap standar yang digunakan. Selanjutnya juga terdapat verifikasi antara template zdan referensi tata kelola keamanan informasi yang pernah dibuat di lingkungan tugas akhir sistem informasi ITS. E. Tahap Akhir
Tahap akhir dari metodologi ini adalah menyimpulkan dan memeberikan rekomendasi hasil peniyusunan template. Selain itu output akhir dari tahap ini adalah buku tugas akhir, template dokumen tata kelola keamanan informasi dan buku panduan penggunaan template dokumen.
III. HASILDANPEMBAHASAN
A. Standar Best Practice Tata Kelola Teknologi Informasi Terkait Dengan Kemanaan Informasi.
Berikut ini adalah hasil dari studi literatur mengenai standar yang terkait dengan keamanan inforamasi. Standar ini akan digunakan dalam membuat template dokumen tata kelola keamanan informasi.
A.1 ISO/IEC 27001:2005 Section 4
Dalam penyusunan template dokumen tata kelola keamanan informasi ini akan digunakan ISO/27001:2005 sebagai best practice yang akan dikaitkan dengan kerangka kerja COBIT 5 khususnya APO13 Manage Security yang telah dijelaskan sebelumnya. Secara umum ISO/IEC 27001:2005 telah dijelaskan pada daftar pustaka, namun keterkaitan
COBIT 5 dan ISO/IEC 27001:2005 terdapat pada bagian ke 4 best practice ini sesuai dokumen COBIT 5 Enabling Process. Dalam standar ini membahas mengenai Sistem Manajemen Keamanan Informasi (SMKI), dimana terdapat empat proses utama yaitu :
Tabel 1 Proses Sistem Manajemen Keamanan Informasi[5]
No. Proses Deskripsi Proses
1. Menetapkan SMKI
Dalam proses ini merupakan proses pendefinisian perencanaan dan pembangunan SMKI meliputi ruang lingkup, batasan, kebijakan, risiko dan perlakuan resiko 2. Menerapkan dan
Mengoperasikan SMKI
Proses ini menjelaskan bagaimana merumuskan rencana perlakuan resiko, implementasi SMKI, pengukuran SMKI dan pengelolaan SMKI.
3. Memantau dan Mengkaji SMKI
Proses ini menjelaskan aktivitas pemantauan dan pengkajian dari implementasi dan pengelolaan SMKI yang dilakukan
4. Meningkatkan SMKI
Proses ini menjelaskan mengenai aktivitas hasil evaluasi SMKI, hasil audit dan rekomendasi untuk meningkatkan peformas SMKI.
Keempat proses diatas akan dipetakan kedalam praktek kunci yang ada pada COBIT 5 APO13 Manage Security.
.
A.2 Proses COBIT 5 APO13 Manage Security
Pada COBIT 5 APO13 Manage Security, terdapat penjelasan mengenai proses pengelolaan keamanan yang berada pada area manajemen. Proses pada COBIT 5 APO13 Manage Security bertujuan menjaga dampak dan terjadinya insiden keamanan informasi dalam tingkat risk appetite perusahaan melalui penentuan, pengoperasian dan monitoring SMKI. Untuk menjalan proses ini, COBIT 5 membaginya kedalam tiga praktek kunci yaitu sebagai berikut ini :
Tabel 2 Praktek Kunci Manajemen Manage Security[5] Practice
ID
Practice
Name Governance Practice APO13.01 Membangun
dan memelihara SMKI
Membangun dan memelihara SMKI yang menyediakan standar, pendekatan formal dan berkesinambungan untuk manajemen keamanan informasi serta memungkinkan penggunaan teknologi dan operasional bisnis yang aman dengan proses yang sesuai dengan kebutuhan bisnis dan manajemen keamanan perusahaan. APO13.02 Menentukan dan mengelola rencana perlakuan resiko keamanan informasi.
Menjaga rencana keamanan informasi yang menggambarkan bagaimana risiko keamanan informasi harus dapat dikelola dan diselaraskan dengan strategi perusahaan serta arsitektur enterprise. Selain itu memastikan bahwa rekomendasi untuk melaksanakan perbaikan keamanan didasarkan pada kasus bisnis yang disetujui dan dilaksanakan sebagai bagian peningkatan layanan dan pengembangan solusi yang kemudian dioperasikan sebagai bagian peningkatan operasi bisnis.
Practice ID
Practice
Name Governance Practice APO13.03 Memonitor
and mereview SMKI.
Menjaga dan secara teratur mengkomunikasikan kebutuhan, dan manfaat serta peningkatan keamanan informasi secara terus-menerus. Mengumpulkan dan menganalisis data mengenai SMKI, dan meningkatkan efektivitas SMKI. Menilai ketidaksesuaian untuk mencegah terulangnya risiko yang sama serta Mempromosikan budaya keamanan dan perbaikan yang berkelanjutan. Praktek kunci manajemen diatas dibagi kedalam RACI Chart berdasarkan posisi atau organisasi umum pada COBIT 5.
Gambar 2 RACI Chart Praktik Kunci Manajemen[4]
B. Pemetaan ISO/IEC 27001:2005 dan COBIT 5 APO 13 Manage Security.
B.1. Pemetaan Proses ISO/IEC 27001:2005 ke Key Management Practice COBIT 5 APO 13 Manage Security
Dari hasil pemetaan aktivitas dan proses pengelolaan keamanan informasi ini nanti akan memberikan pandangan bagaimana cara melakukan uji relevansi aktivitas terhadap praktik kunci yang akan dimasukan kedalam dokumen template tata kelola keamanan informasi yang akan dibuat.
Selain itu, pemetaan ini juga berguna melihat bagaimana cara memasukan best practice ISO/IEC 27001:2005 agar memenuhi kerangka kerja COBIT 5 APO13 Manage Security. Berikut ini adalah tabel hasil pemetaan aktivitas dan proses dari standar best practice dan kerangka kerja yang digunakan.
Berikut ini adalah temuan dari hasil proses pemetaan best practice ISO/IEC 27001:2005 terhadap COBIT 5 APO13 Manage Security :
a. 10 Aktivitas pada proses Menetapkan SMKI terpetakan kedalam APO13.01 Membangun dan Memelihara SMKI b. Aktivitas pada proses Menerapkan dan Mengoperasikan
SMKI terpetakan kedalam APO13.02 Menentukan dan mengelola rencana perlakuan resiko keamanan informasi. c. 4 Aktivitas pada proses Menerapkan dan Mengoperasikan SMKI terpetakan kedalam APO13.01 Membangun dan Memelihara SMKI.
d. 7 Aktivitas pada proses Memantau dan Mengkaji SMKI terpetakan kedalam APO13.03 Mrmantau dan Meninjau SMKI
e. 4 Aktivitas pada proses Meningkatkan dan Memelihara SMKI terpetakan kedalam APO13.01 Membangun dan memelihara SMKI
f. Terdapat aktivitas pengimplementasian SMKI pada ISO/IEC 27001:2005 yang terpetakan kedalam
APO13.01 Membangun dan memelihara SMKI karena konteks yang patuh pada COBIT 5 APO13 Manage Security adalah perencanaan pengelolaan sehingga diasumsikan bahwa aktivitas pengimplementasian harus direncanakan terlebih dahulu.
B.2. Pemetaaan Organisasi Keamanan Informasi ISO/IEC 27001:2005 ke dalam COBIT 5 APO13 Manage Security
Pemetaan pada tahap ini merupakan pendefinisian relevansi organisasi keamanan informasi pada ISO/IEC 27001 terhadap organisasi keamanan informasi yang didefinisikan pada COBIT 5 APO13 Manage Security.:
Gambar 3 Struktur Umum Organisasi Keamanan Informasi Bagan diatas menggambarkan hierarki organisasi keamanan informasi yang mengacu pada ISO/IEC 27001:2005. Selanjutnya pendefinisian organisasi keamanan informasi dipetakan berdasarkan ketiga praktek kunci yaitu sebagai berikut :
Gambar 5 Pemetaan Organisasi Pada Praktek Kunci APO13.02
Gambar 6 Pemetaan Organisasi Pada Praktek Kunci APO13.02 Pemetaan diatas berfungsi untuk melakukan penyesuaian terhadap kondisi eksisting perusahaan jika perusahaan tidak memiliki seluruh elemen stakeholder pada struktur organisasinya, maka dapat dirangkap oleh posisi lain sesuai dengan pemetaan diatas. Selain itu pemetaan diatas juga berfungsi sebagai acuan prioritasi tanggung jawab organisasi keamanan informasi.
C. Referensi Template Dokumen Tata Kelola Keamanan Informasi
Referensi dokumen tata kelola keamanan informasi diambil dari dokumen buku tugas akhir keamanan informasi yang berada dalam lingkungan jurusan sistem informasi. Dokumen ini akan dijadikan salah satu acuan dalam membuat template serta bagian dari evaluasi hasil template yang akan dibuat. Berikut ini adalah hasil referensi template dokumen tata kelola keamanan informasi yang meliputi 4 area pengamanan yaitu sebagai berikut:
1.Area Pengamanan Lingkungan Fisik
Dokumen area pengaman ini didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Lingkungan Fisik Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan dan Perbendahaaran Negara Surabaya II” oleh Rizky Bareta [6]
2.Area Pengamanan Komunikasi dan Operasional
Dokumen area pengamanan Komunikasi dan Operasional didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Komunikasi dan Operasional Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I" oleh M. Hasyim Wahid [7]
3.Area Pengamanan Sumber Daya Manusia
Dokumen area pengamanan Sumber Daya Manusia didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Sumber Daya Manusia Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I" oleh Harpanda Eka Swadarmana. [8]
4. Area Pengamanan Kontrol Akses
Dokumen area pengamanan Kontrol Akses didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Akses Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I" oleh Margo Utomo. [9]
Keempat dokumen tata kelola keamanan diatas memiliki persamaan komposisi dalam bentuk dan struktur dokumen yaitu : Kebijakan, Prosedur, Instruksi, dan Formulir.
D. Pembuatan Template Tata Kelola Keamanan Informasi Pengembangan template dokumen ini merupakan bagian dari adopsi best practice yang dikeluarkan oleh Kementerian Teknologi Informasi dan Komunikasi yang mengacu pada ISO/IEC 27001:2005 dan COBIT 5. Dalam dokumen ini dibagi menjadi tiga tingkatan yaitu
Tabel 3 Tingkatan Dokumen
No. Tingkat Jenis Dokumen
1. Tingkat 1 Panduan, Pedoman, dan Kebijakan, Standar 2. Tingkat 2 Prosedur, Petunjuk pelaksanaan,
3. Tingkat 3 Instruksi Kerja, Formulir, Template 1. Pedoman
Berikut ini adalah dokumen template pedoman :
Tabel 4 Dokumen Pedoman
Nomor Dokumen Nama Dokumen
PE-APO13-01 R00 Pendahuluan PE-APO13-02 R00 Dasar Acuan PE-APO13-03 R00 Tujuan PE-APO13-04 R00 Ruang Lingkup PE-APO13-05 R00 Proses Bisnis PE-APO13-06 R00 Istilah dan Definisi 2. Panduan
Berikut ini adalah dokumen template dokumen panduan
Tabel 5 Dokumen Panduan
Nomor Dokumen Nama Dokumen
PA-APO13-01 R00 Mengelola Keamanan 3. Kebijakan
Berikut ini adalah dokumen template untuk kebijakan
Tabel 6 Dokumen Kebijakan
Nomor Dokumen Nama Dokumen
KE-APO13-02 R00 Menentukan dan mengelola rencana perlakuan risiko
KE-APO13-03 R00 Meninjau dan memantau SMKI KE-APO13.01 R00 Kebijakan Umum SMKI 4. Pembuatan Prosedur
Berikut ini adalah dokumen prosedur
Tabel 7 Dokumen Prosedur
Nomor Dokumen Nama Dokumen
PR-APO13.01 R00 Membangun dan Memelihara SMKI PR-APO13.02 R00 Menentukan dan mengelola rencana
perlakuan risiko
PR-APO13.03 R00 Meninjau dan memantau SMKI PR-ANNEX A Paket Prosedur Annex A*
*Yang tersedia hanya control fisik dan lingkungan 5. Instruksi
Berikut ini adalah template dokumen instruksi
Tabel 8 Dokumen Instruksi
Nomor Dokumen Nama Dokumen
IN-APO13.01.01 R00 Tindakan Detektif IN-APO13.01.01 R00 Tindakan Detektif (Visio) IN-APO13.01.02 R00 Tindakan Korektif IN-APO13.01.02 R00 Tindakan Korektif (Visio) IN-APO13.01.03 R00 Tindakan Preventif IN-APO13.01.03 R00 Tindakan Preventif (Visio) 6. Formulir
Berikut ini adalah template dokumen formulir
Tabel 9 Dokumen Formulir
Nomor Dokumen Nama Dokumen
FM-APO13.01.01 Daftar Aset
FM-APO13.01.02 Rencana Managemen Komunikasi FM-APO13.01.03 Persyaratan Bisnis dan Hukum FM-APO13.01.04 Kriteria Risiko
FM-APO13.01.05 Metodologi Asesmen Risiko FM-APO13.01.06 Kriteria Penerimaan Risiko FM-APO13.01.07 Daftar Risiko
FM-APO13.01.08 Daftar Dampak Risiko
FM-APO13.01.09 Matriks Dampak dan Probabilitas Risiko FM-APO13.01.10 Penilaian Dampak dan Probabilitas risiko FM-APO13.01.11 Daftar Residual Resiko
FM-APO13.01.12 Rencana Manajemen Sumber Daya Manusia FM-APO13.01.13 Pembelajaran Keamanan Informasi FM-APO13.01.14 Rencana Tindakan Detektif FM-APO13.01.15 Pengajuan Tindakan Pengendalian FM-APO13.01.16 Rencana Tindakan Preventif FM-APO13.01.17 Rencana Tindakan Korektif FM-APO13.02.01 Daftar Perlakuan Risiko FM-APO13.02.02 Daftar Sumber Daya
FM-APO13.02.03 Pernyataan Penyediaan Sumber Daya FM-APO13.02.04 Sasaran Pengendalian Perlakuan Risiko FM-APO13.02.05 Sumber Daya Pendanaan
FM-APO13.02.06 Peran dan Tanggung Jawab
FM-APO13.02.07 Rencana Manajemen Sumber Daya SMKI FM-APO13.02.08 Rencana Pengukuran Efektifits Pengendalian FM-APO13.03.01 Laporan Pendeteksian Penyimpangan FM-APO13.03.02 Evaluasi Kegiatan Keamanan Informasi FM-APO13.03.03 Laporan Berkala Peninjauan SMKI FM-APO13.03.04 Checklist Persyaratan Keamanan FM-APO13.03.05 Pengukuran Efektifitas Pengendalian FM-APO13.03.06 Laporan Penerimaan Risiko FM-APO13.03.07 Kejadian Eksternal FM-APO13.03.08 Daftar Tim Audit
FM-APO13.03.09 Rekomendasi Peningkatan SMKI FM-APO13.03.10 Temuan
Nomor Dokumen Nama Dokumen
FM-APO13.03.11 Rencana Realisasi Peningkatan SMKI FM-ANNEX A Formulir Paket Annex A*
*Yang tersedia hanya control fisik dan lingkungan 7. Template
Berikut ini adalah template dokumen tata kelola keamanan informasi
Tabel 10 Dokumen Template
Nomor Dokumen Nama Dokumen
TE-APO13.01.01 Ruang Lingkup TE-APO13.01.02 Kebijakan SMKI TE-APO13.01.03 Inventori Aset Informasi TE-APO13.01.04 Penilaian Risiko TE-APO13.01.05 Proposal SMKI
TE-APO13.01.06 SoA (Statement of Applicability) TE-APO13.01.07 Rencana Pengelolaan SMKI TE-APO13.01.01 Rencana Perlakuan Resiko
TE-APO13.01.03 Rencana Program Pelatihan dan Kepedulian TE-APO13.03.01 Panduan Audit SMKI
TE-APO13.03.02 Prosedur Internal Audit TE-APO13.03.03 Audit Report
E. Pembuatan Buku Panduan Template Dokumen Tata Kelola Keamanan Informasi
Pada tahap ini, template dokumen yang telah ada akan dibuat panduan penggunaan template dokumen. Panduan ini dikembangakan berdasarkan panduan buku dari Kementrian Teknologi dan Informasi melalui tatanan dokumen berdasarkan tingkatannya. Panduan ini berbentuk buku yang memiliki komposisi sebagai berikut:
a. Pendahuluan b. Panduan Umum
1. Petunjuk Pengisian Halaman Pengesahan 2. Petunjuk Pengisian Halaman Revisi 3. Petunjuk Pengisian Halaman Isi 4. Aturan Penomoran Dokumen 5. Pengecualian
c. Panduan Penyesuaian
1. Struktur Umum Organisasi Keamanan Inforamsi 2. Penyesuaian Organisasi Keamaman Informasi d. Penutup
Dengan adanya buku panduan ini diharapkan template dokumen tata kelola keamanan informasi ini dapat digunakan pada organisasi dan perusahaan yang ingin menggunakan template ini.
F. Evaluasi Template Dokumen Tata Kelola Keamanan Informasi
F.1 Evaluasi Pemenuhan Template Dokumen Terhadap Standart
Proses verifikasi dilakukan dengan evaluasi pemenuhan template tata kelola keamanan informasi yang dibuat terhadap standar ISO/IEC 27001:2005 yang patuh COBIT 5 APO13 Manage Security. Evaluasi ini dilakukan untuk memeriksa apakah dokumen template tata kelola keamanan informasi memenuhi prose dan aktivitas pengelolaan keamanan informasi (yang sudah disesuaikan dengan ISO/IEC 27001:2005 dan COBIT 5) serta standar lainya yang terkait.
Table 1 Checklist Mandatory Documents [10]
Nama Dokumen Status
ISMS Scope √
ISMS Statement √
Procedures supporting the ISMS √
Risk Assessment Methods √
Risk Assessment Report √
Risk Treatment Plan √
International Standard Records √
ISMS Operational Records √
Statement of Applicability √
Document Control Systems √
Management √
Prevention & Correction √
Company ISMS Audits √
F.2. Evaluasi Template dan Panduan Penggunaan terhadap Referensi Tata Kelola Keamanan Inforamsi.
Evaluasi kedua merupakan checklist template terhadap dokumen tata kelola keamanan informasi pada kontrol fisik dan lingkungan pada KPPN II Surabaya. Dari hasil penyesuaian organisasi keamanan informasi dan pembuatan dokumen tata kelola berdasarkan template berikut ini checklist pengakomodasian template terhadap dokumen :
Table 2 Checklist Pengakomodasian Template Tingkat
Dokumen Dokumen Tata Kelola Status
Tingkat 1 Kebijakan Umum Sistem Manajemen Keamanan Informasi
Terakomodasi Tingkat 1 SMKI-01 Kontrol Keamanan Fisik Dan
Lingkungan
Terakomodasi Tingkat 2 Perimeter Keamanan Fisik Terakomodasi Tingkat 2 Pengendalian Akses Masuk Terakomodasi Tingkat 2 Mengamankan Kantor, Ruangan, Dan
Fasilitas
Terakomodasi Tingkat 2 Perlindungan Terhadap Ancaman Ekternal Terakomodasi Tingkat 2 Bekerja Di Area Yang Aman Terakomodasi Tingkat 2 Area Akses Publik Dan Bongkar Muat Terakomodasi Tingkat 2 Penempatan Dan Perlindungan Peralatan Terakomodasi Tingkat 2 Sarana Pendukung Terakomodasi Tingkat 2 Keamanan Kabel Terakomodasi Tingkat 2 Pemeliharaan Peralatan Terakomodasi Tingkat 2 Keamanan Peralatan Di Luar Lokasi Terakomodasi Tingkat 2 Pembuangan Atau Penggunaan Kembali
Peralatan Secara Aman
Terakomodasi Tingkat 2 Pemindahan Barang Terakomodasi Tingkat 3 FM-01 – Buku Tamu Ruang Server Terakomodasi Tingkat 3 FM-02 – Izin Akses Ruang Server Terakomodasi Tingkat 3 FM-03 – Pemeliharaan Peralatan Terakomodasi Tingkat 3 FM-04 – Catatan Back up Data Terakomodasi Tingkat 3 FM-05 – Catatan Restore Data Terakomodasi Tingkat 3 FM-06 – Berita Acara Pemindahan Barang Terakomodasi
IV. KESIMPULAN/RINGKASAN Dari hasil proses pembuatan template dokumen ini dapat diambil kesimpulan sebagai berikut.
1.
Standar
best practice
ISO/IEC 27001:2005 hanya
berfokus
pada
proses
implementasi
SMKI
sedangkan COBIT 5 APO13
Manage Security
berorientasi pada proses bisnis dan tata kelola TI.
Untuk membuat dokumen tata kelola keamanan
informasi diperlukan proses pengelolaan yang
berorientasi proses bisnis serta berfokus pada
implementasi
SMKI.
Untuk
itu,
diperlukan
pemetaan antara ISO 27001:2005 dan COBIT 5
APO13
Manage Security
. Hasil dari pemetaan
ISO/IEC 27001:2005 terhadap COBIT 5 APO13
Manage Security
menunjukkan bahwa pemetaan ini
mampu
melingkupi
seluruh
aktivitas
proses
keamanan dan praktek kunci keamanan informasi,
tidak hanya pada aktivitas implementasi SMKI.
2.
Dari menghasilkan proses pembuatan template
dokumen ini 2 produk yaitu template dokumen tata
kelola keamanan informasi dan buku panduan
penggunaan template.
3.
Hasil
checklist
mandatory documents
pada dua
standar yang digunakan yaitu COBIT 5 APO13
Manage Security
dan ISO/IEC 27001:2005 dan
memenuhi output standar minimal dokumentasi
sesuai yang diisyaratkan pada kedua standart.
UCAPANTERIMAKASIH
Penulis F.M mengucapkan terima kasih kepada Direktorat Pendidikan Tinggi, Departemen Pendidikan dan Kebudayaan Republik Indonesia yang telah memberikan dukungan finansial melalui Beasiswa Bidik Misi tahun 2010-2014.
DAFTARPUSTAKA
[1] ISACA, "isaca.org," COBIT 5 Information Security, [Online]. Available: http://www.isaca.org/CIO/Pages/CIO-Privacy-Compliance.aspx. [Accessed 23 May 2014].
[2] Tempo, "www.tempo.co," Tempo, 25 Februari 2014. [Online]. Available:
http://www.tempo.co/read/news/2014/02/25/072557517/Perusahaan-Indonesia-Abaikan-Sistem-Keamanan-IT. [Accessed 23 May 2014]. [3] A. Calder, Implementing Information Security based on ISO 27001/
ISO 27002 - A Management Guide, Zaltbommel: Van Haren Publising, 2009.
[4] ISACA, "COBIT 5," in COBIT 5 Enabling Process, Rolling Meadows, IL 6008 USA, ISACA, 2012, p. 230.
[5] ISO/IEC 27001:2005, "ISO/IEC 27001:2005," in Information Security Management Systems (ISMS), Geneva, ISO, 2005, p. 52. [6] R. Bareta and H. N. A. Ahmad , "Pembuatan Tata Kelola Keamanan
Informasi Kontrol Fisik dan Lingkungan Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan Perbendaharaan Surabaya II," 2013.
[7] M. H. Wahid, Pembuatan Tata Kelola Keamanan Informasi Kontrol Komunikasi dan Operasional Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I, Surabaya: ITS, 2012.
[8] H. E. Swardarmana, Pembuatan Tata Kelola Keamanan Informasi Kontrol Sumber Daya Manusia Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I, Surabaya: ITS, 2012.
[9] M. Utomo, Pembuatan Tata Kelola Keamanan Informasi Kontrol Akses Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I, Surabaya : ITS, 2012.
[10] J. Gardiner, "Mandatory Document of ISO/IEC 27001:2005," December 2012. [Online]. Available: http://joegardiner.co.uk/iso-27001-mandatory-documents/.