Abstrak— Kebutuhan informasi yang akurat, cepat, serta reliable mengharuskan perusahaan menjaga keamanan informasi agar tidak mengganggu dan mempengaruhi peforma organisasi atau perusahaan. Dengan adanya kebutuhan tersebut, keamanan informasi harus dapat dikelola dengan baik. Pengelolaan keamanan informasi akan memperkecil munculnya risiko yang berkaitan dengan aspek keamanan informasi seperti kerusakan perangkat TI, kehilangan data karena pencurian dan risiko lainnya. Data kerugian yang diakibatkan oleh risiko keamanan informasi pun telah mencapai 1 miliar dollar US [1]. Untuk itu diperlukan tata kelola keamanan informasi yang melingkupi seluruh aspek keamanan informasi. Namun dengan padatnya aktivitas bisnis, organisasi atau perusahaan cenderung kesulitan untuk menyiapkan alat kerja dalam melakukan tata kelola keamanan informasi. Oleh karena itu jika melihat permasalahan tersebut maka diperlukan template dokumen yang diharapkan menjadi solusi dalam mempersiapkan tata kelola keamanan informasi dalam organisasi atau perusahaan. Pembuatan template tata kelola keamanan informasi akan berfokus dengan area pengamanan yang diambil dari standar COBIT 5 dan ISO/IEC 27001:2005, serta standar lain yang terkait.

Kata Kunci— Tata Kelola, Keamanan Informasi, Framework, Standar, COBIT, ISO/IEC 27001, Template

I. PENDAHULUAN

ewasa ini, perkembangan teknologi informasi telah memberikan dampak yang cukup signifikan terhadap perubahan pada berbagai organisasi dan perusahaan. Seiring berjalannya waktu organisasi dan perusahaan semakin bergantung kepada teknologi informasi (TI) guna mencapai tujuan bisnisnya. TI menjadi salah satu elemen dalam mencapai tujuan bisnis, sehingga diarahkan untuk mendukung proses bisnis, mulai dari aktivitas operasional sampai pada tingkat strategik.

Disisi lain penyediaan sarana atau investasi TI belum cukup untuk dapat memaksimalkan kontribusi fungsi TI kedalam proses bisnis. Penerapan TI memerlukan biaya yang relatif tinggi dengan resiko keamanan informasi yang cukup besar. Berdasarkan survey yang dilakukan Future Workspace, belanja TI perusahaan di Indonesia cukup tinggi, namun hanya 10% dari total belanja TI di investasikan untuk keamanan informasi [2]. Selain itu data kerugian global akibat adanya lubang pada keamanan informasi mencapai 1 miliar dollar Amerika. Kultur pendokumentasian tata kelola keamanan informasi pun yang masih rendah menyebabkan perusahaan

kurang memperhatikan pembuatan dokumentasi dari tata kelola tersebut. Untuk itu, diperlukan sebuah tata kelola keamanaan informasi yang dapat terdokumentasi secara baik sebagai salah satu cara dalam mengatur pelaksanaan penggunaan seluruh elemen TI dalam organisasi dan perusahaan serta mekanisme dalam mengelola keamanan informasi.

Untuk menjamin proses dan dokumentasi pengelolaan keamanan informasi yang baik, diperlukan best practice atau framework sebagai acuan pembuatan tata kelola keamanan informasi. Salah satu best practice yang memiliki standar proses pengelolaan keamanan informasi adalah ISO/IEC 27001:2005 [3]. Pada standar ini terdapat langkah-langkah dalam melakukan pengelolaan keamanan informasi. Selain itu untuk memaksimalkan pengelolaan keamanan informasi diperlukan standar framework yang menyediakan kerangka kerja pengelolaan keamanan informasi. Salah satunya adalah COBIT 5. Dalam COBIT 5 terdapat domain dalam ruang lingkup Align, Plan, Organize (APO) yang mengatur tentang keamanan TI (Manage Security) [4]. Penggabungan best practice dan framework ini diharapkan dapat memberi gambaran mengenai bagaimana melakukan tata kelola keamanan informasi dapat dilakukan dan terdokumenasikan dengan baik.

II. METODOLOGI PENELITIAN

Proses pengerjaan penelitian ini dilakukan melalui beberapa tahapan. Tahapan – tahapan tersebut meliputi analisis kebutuhan tata kelola keamanan informasi, referensi tata kelola keamanan informasi serta standar-standar terkait yang akan digunakan yang dibagi menjadi beberapa tahap.

Gambar 1 : Metodologi

PENYUSUNAN

TEMPLATE

TATA KELOLA KEAMANAN

INFORMASI BERBASIS ISO/IEC 27001:2005 DAN PATUH

TERHADAP COBIT 5

MANAGEMENT PROCESSES

APO13 MANAGE SECURITY

Faridl Mughoffar, Ir. Ahmad Holil Noor Ali, M.Kom, dan Anisah Herdiyanti, S.Kom, M.Sc

Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS)

Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia

e-mail

: faridlmughoffar@gmail.com, holil@its-sby.edu, anisah@its-sby.edu

Berikut penjelasan dari pelaksanaan metodologi : A. Tahap Persiapan

Pada tahapan ini akan dilakukan analisis awal mengenai literatur dan kebutuhan lain yang menunjang penelitian meliputi studi literatur mengenai standar, framework dan tata kelola keamanan informasi, serta extensive desk research mengenai metodologi pengembangan template dokumen. B. Tahap Pemetaan Best Practice

Pembuatan penyusunan template tata kelola diawali dengan memetakan proses yang ada di ISO/IEC 27001:2005 ke dalam COBIT 5 APO13 Manage Security atau standar lainnya. Pada tahap penyusunan dokumen tata kelola ini nanti akan dipetakan terlebih dahulu domain yang akan di buatkan tata kelola. Dalam ISO/IEC 27001:2005 terdapat proses yang dapat dipetakan kedalam domain manage security yang memiliki beberapa proses kunci untuk mendukung tujuan teknologi informasi yang digunakan.

C. Tahap Penyusunan Template

Pada tahap ini adalah menyusun template dokumen tata kelola keamanan informasi yang mengacu pada pemetaan yang telah dilakukan sebelumnya. Dalam pemetaan tersebut terdapat aktivitas-aktivitas yang memerlukan dokumentasi berupa kebijakan, prosedur, instruksi, formulir atau pun template dokumen itu sendiri. Selain dokumen template

D. Tahap Verifikasi

Tahap ini menjelaskan bagaimana melakukan verifikasi terhadap template dokumen yang telah dibuat terhadap standar yang digunakan. Selanjutnya juga terdapat verifikasi antara template zdan referensi tata kelola keamanan informasi yang pernah dibuat di lingkungan tugas akhir sistem informasi ITS. E. Tahap Akhir

Tahap akhir dari metodologi ini adalah menyimpulkan dan memeberikan rekomendasi hasil peniyusunan template. Selain itu output akhir dari tahap ini adalah buku tugas akhir, template dokumen tata kelola keamanan informasi dan buku panduan penggunaan template dokumen.

III. HASILDANPEMBAHASAN

A. Standar Best Practice Tata Kelola Teknologi Informasi Terkait Dengan Kemanaan Informasi.

Berikut ini adalah hasil dari studi literatur mengenai standar yang terkait dengan keamanan inforamasi. Standar ini akan digunakan dalam membuat template dokumen tata kelola keamanan informasi.

A.1 ISO/IEC 27001:2005 Section 4

Dalam penyusunan template dokumen tata kelola keamanan informasi ini akan digunakan ISO/27001:2005 sebagai best practice yang akan dikaitkan dengan kerangka kerja COBIT 5 khususnya APO13 Manage Security yang telah dijelaskan sebelumnya. Secara umum ISO/IEC 27001:2005 telah dijelaskan pada daftar pustaka, namun keterkaitan

COBIT 5 dan ISO/IEC 27001:2005 terdapat pada bagian ke 4 best practice ini sesuai dokumen COBIT 5 Enabling Process. Dalam standar ini membahas mengenai Sistem Manajemen Keamanan Informasi (SMKI), dimana terdapat empat proses utama yaitu :

Tabel 1 Proses Sistem Manajemen Keamanan Informasi[5]

No. Proses Deskripsi Proses

1. Menetapkan SMKI

Dalam proses ini merupakan proses pendefinisian perencanaan dan pembangunan SMKI meliputi ruang lingkup, batasan, kebijakan, risiko dan perlakuan resiko 2. Menerapkan dan

Mengoperasikan SMKI

Proses ini menjelaskan bagaimana merumuskan rencana perlakuan resiko, implementasi SMKI, pengukuran SMKI dan pengelolaan SMKI.

3. Memantau dan Mengkaji SMKI

Proses ini menjelaskan aktivitas pemantauan dan pengkajian dari implementasi dan pengelolaan SMKI yang dilakukan

4. Meningkatkan SMKI

Proses ini menjelaskan mengenai aktivitas hasil evaluasi SMKI, hasil audit dan rekomendasi untuk meningkatkan peformas SMKI.

Keempat proses diatas akan dipetakan kedalam praktek kunci yang ada pada COBIT 5 APO13 Manage Security.

.

A.2 Proses COBIT 5 APO13 Manage Security

Pada COBIT 5 APO13 Manage Security, terdapat penjelasan mengenai proses pengelolaan keamanan yang berada pada area manajemen. Proses pada COBIT 5 APO13 Manage Security bertujuan menjaga dampak dan terjadinya insiden keamanan informasi dalam tingkat risk appetite perusahaan melalui penentuan, pengoperasian dan monitoring SMKI. Untuk menjalan proses ini, COBIT 5 membaginya kedalam tiga praktek kunci yaitu sebagai berikut ini :

Tabel 2 Praktek Kunci Manajemen Manage Security[5] Practice

ID

Practice

Name Governance Practice APO13.01 Membangun

dan memelihara SMKI

Membangun dan memelihara SMKI yang menyediakan standar, pendekatan formal dan berkesinambungan untuk manajemen keamanan informasi serta memungkinkan penggunaan teknologi dan operasional bisnis yang aman dengan proses yang sesuai dengan kebutuhan bisnis dan manajemen keamanan perusahaan. APO13.02 Menentukan dan mengelola rencana perlakuan resiko keamanan informasi.

Menjaga rencana keamanan informasi yang menggambarkan bagaimana risiko keamanan informasi harus dapat dikelola dan diselaraskan dengan strategi perusahaan serta arsitektur enterprise. Selain itu memastikan bahwa rekomendasi untuk melaksanakan perbaikan keamanan didasarkan pada kasus bisnis yang disetujui dan dilaksanakan sebagai bagian peningkatan layanan dan pengembangan solusi yang kemudian dioperasikan sebagai bagian peningkatan operasi bisnis.

Practice ID

Practice

Name Governance Practice APO13.03 Memonitor

and mereview SMKI.

Menjaga dan secara teratur mengkomunikasikan kebutuhan, dan manfaat serta peningkatan keamanan informasi secara terus-menerus. Mengumpulkan dan menganalisis data mengenai SMKI, dan meningkatkan efektivitas SMKI. Menilai ketidaksesuaian untuk mencegah terulangnya risiko yang sama serta Mempromosikan budaya keamanan dan perbaikan yang berkelanjutan. Praktek kunci manajemen diatas dibagi kedalam RACI Chart berdasarkan posisi atau organisasi umum pada COBIT 5.

Gambar 2 RACI Chart Praktik Kunci Manajemen[4]

B. Pemetaan ISO/IEC 27001:2005 dan COBIT 5 APO 13 Manage Security.

B.1. Pemetaan Proses ISO/IEC 27001:2005 ke Key Management Practice COBIT 5 APO 13 Manage Security

Dari hasil pemetaan aktivitas dan proses pengelolaan keamanan informasi ini nanti akan memberikan pandangan bagaimana cara melakukan uji relevansi aktivitas terhadap praktik kunci yang akan dimasukan kedalam dokumen template tata kelola keamanan informasi yang akan dibuat.

Selain itu, pemetaan ini juga berguna melihat bagaimana cara memasukan best practice ISO/IEC 27001:2005 agar memenuhi kerangka kerja COBIT 5 APO13 Manage Security. Berikut ini adalah tabel hasil pemetaan aktivitas dan proses dari standar best practice dan kerangka kerja yang digunakan.

Berikut ini adalah temuan dari hasil proses pemetaan best practice ISO/IEC 27001:2005 terhadap COBIT 5 APO13 Manage Security :

a. 10 Aktivitas pada proses Menetapkan SMKI terpetakan kedalam APO13.01 Membangun dan Memelihara SMKI b. Aktivitas pada proses Menerapkan dan Mengoperasikan

SMKI terpetakan kedalam APO13.02 Menentukan dan mengelola rencana perlakuan resiko keamanan informasi. c. 4 Aktivitas pada proses Menerapkan dan Mengoperasikan SMKI terpetakan kedalam APO13.01 Membangun dan Memelihara SMKI.

d. 7 Aktivitas pada proses Memantau dan Mengkaji SMKI terpetakan kedalam APO13.03 Mrmantau dan Meninjau SMKI

e. 4 Aktivitas pada proses Meningkatkan dan Memelihara SMKI terpetakan kedalam APO13.01 Membangun dan memelihara SMKI

f. Terdapat aktivitas pengimplementasian SMKI pada ISO/IEC 27001:2005 yang terpetakan kedalam

APO13.01 Membangun dan memelihara SMKI karena konteks yang patuh pada COBIT 5 APO13 Manage Security adalah perencanaan pengelolaan sehingga diasumsikan bahwa aktivitas pengimplementasian harus direncanakan terlebih dahulu.

B.2. Pemetaaan Organisasi Keamanan Informasi ISO/IEC 27001:2005 ke dalam COBIT 5 APO13 Manage Security

Pemetaan pada tahap ini merupakan pendefinisian relevansi organisasi keamanan informasi pada ISO/IEC 27001 terhadap organisasi keamanan informasi yang didefinisikan pada COBIT 5 APO13 Manage Security.:

Gambar 3 Struktur Umum Organisasi Keamanan Informasi Bagan diatas menggambarkan hierarki organisasi keamanan informasi yang mengacu pada ISO/IEC 27001:2005. Selanjutnya pendefinisian organisasi keamanan informasi dipetakan berdasarkan ketiga praktek kunci yaitu sebagai berikut :

Gambar 5 Pemetaan Organisasi Pada Praktek Kunci APO13.02

Gambar 6 Pemetaan Organisasi Pada Praktek Kunci APO13.02 Pemetaan diatas berfungsi untuk melakukan penyesuaian terhadap kondisi eksisting perusahaan jika perusahaan tidak memiliki seluruh elemen stakeholder pada struktur organisasinya, maka dapat dirangkap oleh posisi lain sesuai dengan pemetaan diatas. Selain itu pemetaan diatas juga berfungsi sebagai acuan prioritasi tanggung jawab organisasi keamanan informasi.

C. Referensi Template Dokumen Tata Kelola Keamanan Informasi

Referensi dokumen tata kelola keamanan informasi diambil dari dokumen buku tugas akhir keamanan informasi yang berada dalam lingkungan jurusan sistem informasi. Dokumen ini akan dijadikan salah satu acuan dalam membuat template serta bagian dari evaluasi hasil template yang akan dibuat. Berikut ini adalah hasil referensi template dokumen tata kelola keamanan informasi yang meliputi 4 area pengamanan yaitu sebagai berikut:

1.Area Pengamanan Lingkungan Fisik

Dokumen area pengaman ini didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Lingkungan Fisik Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan dan Perbendahaaran Negara Surabaya II” oleh Rizky Bareta [6]

2.Area Pengamanan Komunikasi dan Operasional

Dokumen area pengamanan Komunikasi dan Operasional didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Komunikasi dan Operasional Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I" oleh M. Hasyim Wahid [7]

3.Area Pengamanan Sumber Daya Manusia

Dokumen area pengamanan Sumber Daya Manusia didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Sumber Daya Manusia Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I" oleh Harpanda Eka Swadarmana. [8]

4. Area Pengamanan Kontrol Akses

Dokumen area pengamanan Kontrol Akses didapatkan dari judul tugas akhir “Pembuatan Tata Kelola Keamanan Informasi Kontrol Akses Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I" oleh Margo Utomo. [9]

Keempat dokumen tata kelola keamanan diatas memiliki persamaan komposisi dalam bentuk dan struktur dokumen yaitu : Kebijakan, Prosedur, Instruksi, dan Formulir.

D. Pembuatan Template Tata Kelola Keamanan Informasi Pengembangan template dokumen ini merupakan bagian dari adopsi best practice yang dikeluarkan oleh Kementerian Teknologi Informasi dan Komunikasi yang mengacu pada ISO/IEC 27001:2005 dan COBIT 5. Dalam dokumen ini dibagi menjadi tiga tingkatan yaitu

Tabel 3 Tingkatan Dokumen

No. Tingkat Jenis Dokumen

1. Tingkat 1 Panduan, Pedoman, dan Kebijakan, Standar 2. Tingkat 2 Prosedur, Petunjuk pelaksanaan,

3. Tingkat 3 Instruksi Kerja, Formulir, Template 1. Pedoman

Berikut ini adalah dokumen template pedoman :

Tabel 4 Dokumen Pedoman

Nomor Dokumen Nama Dokumen

PE-APO13-01 R00 Pendahuluan PE-APO13-02 R00 Dasar Acuan PE-APO13-03 R00 Tujuan PE-APO13-04 R00 Ruang Lingkup PE-APO13-05 R00 Proses Bisnis PE-APO13-06 R00 Istilah dan Definisi 2. Panduan

Berikut ini adalah dokumen template dokumen panduan

Tabel 5 Dokumen Panduan

Nomor Dokumen Nama Dokumen

PA-APO13-01 R00 Mengelola Keamanan 3. Kebijakan

Berikut ini adalah dokumen template untuk kebijakan

Tabel 6 Dokumen Kebijakan

Nomor Dokumen Nama Dokumen

KE-APO13-02 R00 Menentukan dan mengelola rencana perlakuan risiko

KE-APO13-03 R00 Meninjau dan memantau SMKI KE-APO13.01 R00 Kebijakan Umum SMKI 4. Pembuatan Prosedur

Berikut ini adalah dokumen prosedur

Tabel 7 Dokumen Prosedur

Nomor Dokumen Nama Dokumen

PR-APO13.01 R00 Membangun dan Memelihara SMKI PR-APO13.02 R00 Menentukan dan mengelola rencana

perlakuan risiko

PR-APO13.03 R00 Meninjau dan memantau SMKI PR-ANNEX A Paket Prosedur Annex A*

*Yang tersedia hanya control fisik dan lingkungan 5. Instruksi

Berikut ini adalah template dokumen instruksi

Tabel 8 Dokumen Instruksi

Nomor Dokumen Nama Dokumen

IN-APO13.01.01 R00 Tindakan Detektif IN-APO13.01.01 R00 Tindakan Detektif (Visio) IN-APO13.01.02 R00 Tindakan Korektif IN-APO13.01.02 R00 Tindakan Korektif (Visio) IN-APO13.01.03 R00 Tindakan Preventif IN-APO13.01.03 R00 Tindakan Preventif (Visio) 6. Formulir

Berikut ini adalah template dokumen formulir

Tabel 9 Dokumen Formulir

Nomor Dokumen Nama Dokumen

FM-APO13.01.01 Daftar Aset

FM-APO13.01.02 Rencana Managemen Komunikasi FM-APO13.01.03 Persyaratan Bisnis dan Hukum FM-APO13.01.04 Kriteria Risiko

FM-APO13.01.05 Metodologi Asesmen Risiko FM-APO13.01.06 Kriteria Penerimaan Risiko FM-APO13.01.07 Daftar Risiko

FM-APO13.01.08 Daftar Dampak Risiko

FM-APO13.01.09 Matriks Dampak dan Probabilitas Risiko FM-APO13.01.10 Penilaian Dampak dan Probabilitas risiko FM-APO13.01.11 Daftar Residual Resiko

FM-APO13.01.12 Rencana Manajemen Sumber Daya Manusia FM-APO13.01.13 Pembelajaran Keamanan Informasi FM-APO13.01.14 Rencana Tindakan Detektif FM-APO13.01.15 Pengajuan Tindakan Pengendalian FM-APO13.01.16 Rencana Tindakan Preventif FM-APO13.01.17 Rencana Tindakan Korektif FM-APO13.02.01 Daftar Perlakuan Risiko FM-APO13.02.02 Daftar Sumber Daya

FM-APO13.02.03 Pernyataan Penyediaan Sumber Daya FM-APO13.02.04 Sasaran Pengendalian Perlakuan Risiko FM-APO13.02.05 Sumber Daya Pendanaan

FM-APO13.02.06 Peran dan Tanggung Jawab

FM-APO13.02.07 Rencana Manajemen Sumber Daya SMKI FM-APO13.02.08 Rencana Pengukuran Efektifits Pengendalian FM-APO13.03.01 Laporan Pendeteksian Penyimpangan FM-APO13.03.02 Evaluasi Kegiatan Keamanan Informasi FM-APO13.03.03 Laporan Berkala Peninjauan SMKI FM-APO13.03.04 Checklist Persyaratan Keamanan FM-APO13.03.05 Pengukuran Efektifitas Pengendalian FM-APO13.03.06 Laporan Penerimaan Risiko FM-APO13.03.07 Kejadian Eksternal FM-APO13.03.08 Daftar Tim Audit

FM-APO13.03.09 Rekomendasi Peningkatan SMKI FM-APO13.03.10 Temuan

Nomor Dokumen Nama Dokumen

FM-APO13.03.11 Rencana Realisasi Peningkatan SMKI FM-ANNEX A Formulir Paket Annex A*

*Yang tersedia hanya control fisik dan lingkungan 7. Template

Berikut ini adalah template dokumen tata kelola keamanan informasi

Tabel 10 Dokumen Template

Nomor Dokumen Nama Dokumen

TE-APO13.01.01 Ruang Lingkup TE-APO13.01.02 Kebijakan SMKI TE-APO13.01.03 Inventori Aset Informasi TE-APO13.01.04 Penilaian Risiko TE-APO13.01.05 Proposal SMKI

TE-APO13.01.06 SoA (Statement of Applicability) TE-APO13.01.07 Rencana Pengelolaan SMKI TE-APO13.01.01 Rencana Perlakuan Resiko

TE-APO13.01.03 Rencana Program Pelatihan dan Kepedulian TE-APO13.03.01 Panduan Audit SMKI

TE-APO13.03.02 Prosedur Internal Audit TE-APO13.03.03 Audit Report

E. Pembuatan Buku Panduan Template Dokumen Tata Kelola Keamanan Informasi

Pada tahap ini, template dokumen yang telah ada akan dibuat panduan penggunaan template dokumen. Panduan ini dikembangakan berdasarkan panduan buku dari Kementrian Teknologi dan Informasi melalui tatanan dokumen berdasarkan tingkatannya. Panduan ini berbentuk buku yang memiliki komposisi sebagai berikut:

a. Pendahuluan b. Panduan Umum

1. Petunjuk Pengisian Halaman Pengesahan 2. Petunjuk Pengisian Halaman Revisi 3. Petunjuk Pengisian Halaman Isi 4. Aturan Penomoran Dokumen 5. Pengecualian

c. Panduan Penyesuaian

1. Struktur Umum Organisasi Keamanan Inforamsi 2. Penyesuaian Organisasi Keamaman Informasi d. Penutup

Dengan adanya buku panduan ini diharapkan template dokumen tata kelola keamanan informasi ini dapat digunakan pada organisasi dan perusahaan yang ingin menggunakan template ini.

F. Evaluasi Template Dokumen Tata Kelola Keamanan Informasi

F.1 Evaluasi Pemenuhan Template Dokumen Terhadap Standart

Proses verifikasi dilakukan dengan evaluasi pemenuhan template tata kelola keamanan informasi yang dibuat terhadap standar ISO/IEC 27001:2005 yang patuh COBIT 5 APO13 Manage Security. Evaluasi ini dilakukan untuk memeriksa apakah dokumen template tata kelola keamanan informasi memenuhi prose dan aktivitas pengelolaan keamanan informasi (yang sudah disesuaikan dengan ISO/IEC 27001:2005 dan COBIT 5) serta standar lainya yang terkait.

Table 1 Checklist Mandatory Documents [10]

Nama Dokumen Status

ISMS Scope √

ISMS Statement √

Procedures supporting the ISMS √

Risk Assessment Methods √

Risk Assessment Report √

Risk Treatment Plan √

International Standard Records √

ISMS Operational Records √

Statement of Applicability √

Document Control Systems √

Management √

Prevention & Correction √

Company ISMS Audits √

F.2. Evaluasi Template dan Panduan Penggunaan terhadap Referensi Tata Kelola Keamanan Inforamsi.

Evaluasi kedua merupakan checklist template terhadap dokumen tata kelola keamanan informasi pada kontrol fisik dan lingkungan pada KPPN II Surabaya. Dari hasil penyesuaian organisasi keamanan informasi dan pembuatan dokumen tata kelola berdasarkan template berikut ini checklist pengakomodasian template terhadap dokumen :

Table 2 Checklist Pengakomodasian Template Tingkat

Dokumen Dokumen Tata Kelola Status

Tingkat 1 Kebijakan Umum Sistem Manajemen Keamanan Informasi

Terakomodasi Tingkat 1 SMKI-01 Kontrol Keamanan Fisik Dan

Lingkungan

Terakomodasi Tingkat 2 Perimeter Keamanan Fisik Terakomodasi Tingkat 2 Pengendalian Akses Masuk Terakomodasi Tingkat 2 Mengamankan Kantor, Ruangan, Dan

Fasilitas

Terakomodasi Tingkat 2 Perlindungan Terhadap Ancaman Ekternal Terakomodasi Tingkat 2 Bekerja Di Area Yang Aman Terakomodasi Tingkat 2 Area Akses Publik Dan Bongkar Muat Terakomodasi Tingkat 2 Penempatan Dan Perlindungan Peralatan Terakomodasi Tingkat 2 Sarana Pendukung Terakomodasi Tingkat 2 Keamanan Kabel Terakomodasi Tingkat 2 Pemeliharaan Peralatan Terakomodasi Tingkat 2 Keamanan Peralatan Di Luar Lokasi Terakomodasi Tingkat 2 Pembuangan Atau Penggunaan Kembali

Peralatan Secara Aman

Terakomodasi Tingkat 2 Pemindahan Barang Terakomodasi Tingkat 3 FM-01 – Buku Tamu Ruang Server Terakomodasi Tingkat 3 FM-02 – Izin Akses Ruang Server Terakomodasi Tingkat 3 FM-03 – Pemeliharaan Peralatan Terakomodasi Tingkat 3 FM-04 – Catatan Back up Data Terakomodasi Tingkat 3 FM-05 – Catatan Restore Data Terakomodasi Tingkat 3 FM-06 – Berita Acara Pemindahan Barang Terakomodasi

IV. KESIMPULAN/RINGKASAN Dari hasil proses pembuatan template dokumen ini dapat diambil kesimpulan sebagai berikut.

1.

Standar

best practice

ISO/IEC 27001:2005 hanya

berfokus

pada

proses

implementasi

SMKI

sedangkan COBIT 5 APO13

Manage Security

berorientasi pada proses bisnis dan tata kelola TI.

Untuk membuat dokumen tata kelola keamanan

informasi diperlukan proses pengelolaan yang

berorientasi proses bisnis serta berfokus pada

implementasi

SMKI.

Untuk

itu,

diperlukan

pemetaan antara ISO 27001:2005 dan COBIT 5

APO13

Manage Security

. Hasil dari pemetaan

ISO/IEC 27001:2005 terhadap COBIT 5 APO13

Manage Security

menunjukkan bahwa pemetaan ini

mampu

melingkupi

seluruh

aktivitas

proses

keamanan dan praktek kunci keamanan informasi,

tidak hanya pada aktivitas implementasi SMKI.

2.

Dari menghasilkan proses pembuatan template

dokumen ini 2 produk yaitu template dokumen tata

kelola keamanan informasi dan buku panduan

penggunaan template.

3.

Hasil

checklist

mandatory documents

pada dua

standar yang digunakan yaitu COBIT 5 APO13

Manage Security

dan ISO/IEC 27001:2005 dan

memenuhi output standar minimal dokumentasi

sesuai yang diisyaratkan pada kedua standart.

UCAPANTERIMAKASIH

Penulis F.M mengucapkan terima kasih kepada Direktorat Pendidikan Tinggi, Departemen Pendidikan dan Kebudayaan Republik Indonesia yang telah memberikan dukungan finansial melalui Beasiswa Bidik Misi tahun 2010-2014.

DAFTARPUSTAKA

[1] ISACA, "isaca.org," COBIT 5 Information Security, [Online]. Available: http://www.isaca.org/CIO/Pages/CIO-Privacy-Compliance.aspx. [Accessed 23 May 2014].

[2] Tempo, "www.tempo.co," Tempo, 25 Februari 2014. [Online]. Available:

http://www.tempo.co/read/news/2014/02/25/072557517/Perusahaan-Indonesia-Abaikan-Sistem-Keamanan-IT. [Accessed 23 May 2014]. [3] A. Calder, Implementing Information Security based on ISO 27001/

ISO 27002 - A Management Guide, Zaltbommel: Van Haren Publising, 2009.

[4] ISACA, "COBIT 5," in COBIT 5 Enabling Process, Rolling Meadows, IL 6008 USA, ISACA, 2012, p. 230.

[5] ISO/IEC 27001:2005, "ISO/IEC 27001:2005," in Information Security Management Systems (ISMS), Geneva, ISO, 2005, p. 52. [6] R. Bareta and H. N. A. Ahmad , "Pembuatan Tata Kelola Keamanan

Informasi Kontrol Fisik dan Lingkungan Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan Perbendaharaan Surabaya II," 2013.

[7] M. H. Wahid, Pembuatan Tata Kelola Keamanan Informasi Kontrol Komunikasi dan Operasional Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I, Surabaya: ITS, 2012.

[8] H. E. Swardarmana, Pembuatan Tata Kelola Keamanan Informasi Kontrol Sumber Daya Manusia Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I, Surabaya: ITS, 2012.

[9] M. Utomo, Pembuatan Tata Kelola Keamanan Informasi Kontrol Akses Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya I, Surabaya : ITS, 2012.

[10] J. Gardiner, "Mandatory Document of ISO/IEC 27001:2005," December 2012. [Online]. Available: http://joegardiner.co.uk/iso-27001-mandatory-documents/.