Jurusan Sistem

“ EVALUASI KEAMANAN INFORMASI MENGGUNAKAN INDEKS

KEAMANAN INFORMASI (KAMI) BERDASARKAN SNI ISO/IEC

27001:2009 STUDI KASUS: BIDANG APLIKASI DAN TELEMATIKA DINAS

KOMUNIKASI DAN INFORMATIKA SURABAYA “

Oleh :

 Pendahuluan

 Latar Belakang

 Permasalahan

 Batasan masalah

 Tujuan

 Manfaat

 Tinjauan Pustaka

 Metode Penelitian

 Hasil Penelitian dan Analisis Data

 Perbaikan Keamanan Informasi

 Jadwal Kegiatan

 Daftar Pustaka

 LATAR BELAKANG

 Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi

kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik.

 Dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek

yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika

informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan

informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan

ketersediaan (availability).

 Penyelenggara Pelayanan Publik harus menerapkan Tata Kelola Keamanan Informasi

secara andal dan aman serta bertanggung jawab sesuai dengan ketentuan Pasal 15

Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.

 Sejak tahun 2008 Kementerian Kominfo telah menyelenggarakan sosialisasi dan

bimbingan teknis (bimtek) untuk meningkatkan kesadaran akan pentingnya keamanan

informasi.

 Bimtek menjelaskan metode atau cara melakukan penilaian mandiri (self assessment)

menggunakan alat bantu indeks KAMI yang telah disusun Direktorat Keamanan

Informasi - Kementerian Kominfo.

 Dari hasil sosialisasi dan bimtek keamanan informasi tersebut, diketahui bahwa

mayoritas instansi peserta belum memiliki atau sedang menyusun kerangka kerja

keamanan informasi yang memenuhi standar SNI ISO/IEC 27001.

 Beberapa instansi yang telah memiliki dokumentasi sistem manajemen keamanan

informasi juga belum mengetahui apakah kerangka kerja yang mereka bangun telah

memenuhi persyaratan standar SNI ISO/IEC 27001 karena belum menjalani audit secara

independen.

 Dari pemaparan diatas, perlu diadakannya tindak lanjut untuk mengawal dan

memonitoring keamanan informasi pada instansi pemerintah dengan menggunakan

aplikasi KAMI.

 Hasil ini nantinya bisa memberikan gambaran mengenai kesiapan dan kematangan

keamanan informasi serta tindak lanjut dari hasil penilaian yang telah dilakukan.

 Rumusan Masalah

Rumusan masalah yang akan diselesaikan dalam pengerjaan tugas akhir ini meliputi:

 Bagaimana melakukan evaluasi kesiapan keamanan sistem informasi pada bidang

aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya ?

 Bagaimana melakukan penilaian terhadap kesiapan keamanan informasi pada bidang

aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya ?

 Bagaimana meningkatkan tingkat kelengkapan dan kematangan keamanan informasi

pada bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya ?

 Batasan Masalah

Batasan pemasalahan dalam tugas akhir ini adalah:

 Evaluasi ini hanya mencakup lingkup keamanan informasi pada bidang aplikasi dan

telematika Dinas Komunikasi dan Informatika Surabaya

 Evaluasi ini menggunakan Indeks Keamanan Informasi (KAMI) oleh Kementerian

Kominfo berdasarkan Standart SNI ISO/IEC 27001:2009

 Tugas Akhir ini tidak membahas mengenai TIK secara keseluruhan, hanya mencakup

pada bagian keamanan informasi mengenai tata kelola, pengelolaan resiko, kerangka

kerja, pengelolaan asset dan teknologi yang digunakan

 Tujuan Tugas Akhir

Tujuan dari tugas akhir ini antara lain adalah sebagai berikut :

 Untuk mengetahui kebutuhan keamanan informasi pada bidang aplikasi dan telematika

Dinas Komunikasi dan Informatika Surabaya.

 Untuk mengetahui tingkat kematangan kesiapan keamanan informasi pada bidang

aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya.

 Agar dapat memberikan saran perbaikan untuk keamanan informasi pada bidang

aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya.

 Relevansi atau Manfaat Kegiatan Tugas Akhir

 Mengetahui hasil pengukuran tingkat kematangan keamanan informasi menggunakan

indeks keamanan informasi (Indeks KAMI)

 Memberikan gambaran kepada bidang aplikasi dan telematika Dinas Komunikasi dan

Informatika Surabaya mengenai kesiapan keamanan informasi pada instansi yang

dikelola

 Memberikan informasi kepada Kementerian Kominfo mengenai kematangan keamanan

informasi pada instansi yang berada di daerah-daerah khususnya bidang aplikasi dan

telematika Dinas Komunikasi dan Informatika dikota Surabaya.

 Target Luaran

Adapun target luaran yang diharapkan dengan adanya Tugas Akhir ini adalah sebagai

berikut:

 Hasil analisa menggunakan aplikasi KAMI

 Saran perbaikan Keamanan Informasi berdasarkan indeks KAMI

 Indeks KAMI

Indeks KAMI adalah alat evaluasi untuk menganalisis tingkat kesiapan pengamanan

informasi di instansi pemerintah.Alat evaluasi ini tidak ditujukan untuk menganalisis

kelayakan atau efektivitas bentuk pengamanan yang ada, melainkan sebagai perangkat

untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka

kerja keamanan informasi kepada pimpinan Instansi. Evaluasi dilakukan terhadap

berbagai area yang menjadi target penerapan keamanan informasi dengan ruang

lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan

oleh standar SNI ISO/IEC 27001:2009. Hasil evaluasi indeks KAMI menggambarkan

tingkat kematangan, tingkat kelengkapan penerapan SNI ISO/IEC 27001:2009 dan peta

area tata kelola keamanan sistem informasi di instansi pemerintah. Sebagai gambaran,

hasil evaluasi indeks KAMI dapat dilihat pada gambar dibawah ini.

 Standart SNI ISO/IEC 27001:2009

Standart SNI ISO/IEC 27001:2009 “Teknologi informasi – Teknik keamanan – Sistem

manajemen keamanan informasi - Persyaratan” disusun secara adopsi identik terhadap

ISO 27001:2005, Information technology – Security techniques – Information security

management systems – Requirement, dengan metode terjemahan oleh Panitia Teknis

PK 03-02 Sistem Manajemen Mutu yang dibentuk oleh BSN.

SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari

ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam

membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat

independen terhadap produk teknologi informasi, mensyaratkan penggunaan

pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar

kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko

dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.

Standar menyatakan persyaratan utama yang harus dipenuhi menyangkut:

 Sistem manajemen keamanan informasi (kerangka kerja, proses dan dokumentasi)

 Tanggung jawab manajemen

 Audit internal SMKI

 Manajemen tinjau ulang SMKI

Disamping persyaratan utama di atas, standar ini mensyaratkan penetapan sasaran kontrol

dan kontrol-kontrol keamanan informasi meliputi 11 area pengamanan sebagai berikut:

 Kebijakan keamanan informasi

 Organisasi keamanan informasi

 Manajemen aset

 Sumber daya manusia menyangkut keamanan informasi

 Keamanan fisik dan lingkungan

 Komunikasi dan manajemen operasi

 Akses kontrol

 Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem

 informasi

 Pengelolaan insiden keamanan informasi

 Manajemen kelangsungan usaha (business continuity management)

 Kepatuhan

Namun, pada buku "Pedoman Penerapan Tata Kelola Keamanan Informasi bagi

Penyelenggara Pelayanan Publik", Kondisi keamanan yang akan dievaluasi meliputi 5 (lima)

area berikut:

 Tata Kelola Keamanan Informasi

 Manajemen Risiko Keamanan Informasi

 Kerangka Kerja Pengelolaan Keamanan Informasi

 Pengelolaan Aset Informasi

 Teknologi Keamanan Informasi

Metode Penelitian

Tahap pendahuluan penelitian

Tahap evaluasi kesiapan keamanan informasi

Tahap analisa dan kesimpulan

- - - - - -

Tahapan penelitian

Studi pendahuluan - Studi pustaka - Observasi - Wawancara Perumusan Masalah Penetapan tujuan penelitian

Studi Literatur Studi Lapangan

Pengumpulan Data - Profil Dinas Komunikasi

dan Informatika - Proses bisnis Dinas Komunikasi dan Informatika

Mendefinisikan ruang lingkup

Menetapkan Peran atau Tingkat Kepentingan TIK di Instansi Menilai Kelengkapan Pengamanan 5 Area Mengkaji Hasil Indeks KAMI Analisa dan pembahasan perbaikan keamanan informasi Hasil

- Dokumen TA Hasil analisa menggunakan KAMI dan - Saran perbaikan keamanan informasi

Pelaksanaan Pendahuluan TA

(Tahap Pendahuluan Penelitian)

 Sidang Proposal

: 26 Maret 2012

 Pengumpulan data dan informasi terkait

: 27 - 8 April 2012

Dinas Komunikasi dan Informasi

(Website surabaya.go.id dan Kominfo)

Pelaksanaan Evaluasi TA

(Tahap Evaluasi Kesiapan Keamanan Informasi)

 Menganalisa Dokumen Hasil Risk Assement dan SOP : 16 - 22 April 2012

Penerapan SMKI (ISO 27001)

 Pelatihan BIMTEK Indeks KAMI

: 17 - 18 April 2012

 Menganalisa Dokumen Hasil ICT Pura Kota Surabaya

: 23 - 29 April 2012

 Menyusun hasil evaluasi dan Buku Tugas Akhir

: 01 - 13 Mei 2012

 Menganalisa Dokumen Manajemen Mutu

: 14 - 27 Mei 2012

ISO 9001 : 2008

Pelaksanaan evaluasi TA

(Tahap Analisa dan Kesimpulan)

 Menganalisa hasil penilaian yang telah dilakukan

: 14-16 Juni 2012

 Membuat saran perbaikkan

: 18-24 Juni 2012

Persiapan dan

perlengkapan survei

Pelaksanaan evaluasi TA

Kegiatan BIMTEK KAMI

Kegiatan Analisa Di

Dinas Kominfo

Pelaksanaan evaluasi TA

Kondisi Server

Dinkominfo

Ruang Kantor

Dinkominfo

Pelaksanaan evaluasi TA

Pelaksanaan evaluasi TA

Dokumen Sumber

Informasi

(Offline)

Pelaksanaan evaluasi TA

Dokumen Sumber

Informasi

(Online)

http://www.surabaya.go.id/

http://jdih.surabaya.go.id/

Pelaksanaan evaluasi TA

Apa Itu KAMI???

Indeks KAMI adalah alat evaluasi untuk menganalisa tingkat

kesiapan pengamanan informasi di Instansi pemerintah.

Ada 6 area yg akan dievaluasi :

 Peran TIK di dalam Instansi

 Tata Kelola Keamanan Informasi

 Pengelolaan Risiko Keamanan Informasi

 Kerangka Kerja Keamanan Informasi

 Pengelolaan Aset Informasi, dan

 Teknologi dan Keamanan Informasi

AREA PERAN DAN TINGKAT

KEPENTINGAN TIK

DI DINAS KOMINFO

Paramater Penilaian

Peran dan Tingkat Kepentingan TIK di Instansi

Area Peran dan Tingkat Kepentingan TIK di Instansi

(Tahap wawancara dan pengamatan)

Karakteristik Instansi

1.1 Total anggaran tahunan yang dialokasikan untuk TIK

A. Rp. 20 Milyard atau lebih

B. Rp. 8 Milyard sampai dengan Rp. 20 Milyard C. Rp. 3 Milyard sampai dengan Rp 8 Milyard D. Rp. 1 Milyard sampai dengan Rp. 3 Milyard E. Kurang dari Rp. 1 Milyard

Kritis 4

A. Rp. 20 Milyard atau lebih,

Dinas Kominfo mendapat anggaran dari APBD sebanyak Rp. 20 milyard atau lebih untuk keperluan TIK

Bukti Pendukung

 Daftar anggaran dana APBD Pemerintah kota Surabaya (Rahasia)  _{Hasil wawancara}

Catatan Tambahan

Untuk dana TIK yang dikeluarkan oleh pemerintah kota surabaya lebih dari 20 Milyard dan digunakan untuk kebutuhan TIK Dinas – Dinas di pemerintahan kota Surabaya. Untuk kebutuhan Dinas Kominfo Surabaya

Kesimpulan

:

Penggunaan TIK merupakan satu-satunya cara untuk menjalankan proses kerja

yang bersifat strategis atau berskala nasional.

INSTITUT TEKNOLOGI SEPULUH NOVEMBER

Area Peran dan Tingkat Kepentingan TIK di Instansi

(Tahap wawancara dan pengamatan)

Hasil

Skor Peran dan Tingkat Kepentingan TIK di

Instansi

45

Tingkat Ketergantungan

Kritis

Paramater Penilaian

5 Area Keamanan Informasi

Paramater Penilaian

5 Area Keamanan Informasi

 Dalam perencanaan

 Sudah menjadi rencana resmi instansi dan akan dilaksanakan melalui

kegiatan internal/proyek

 Kebijakan/prosedur pengamanan dalam versi draft

 Dalam penerapan atau diterapkan sebagian

 Proyek/kegiatan sedang berjalan atau diterapkan secara bertahap

 Kebijakan/prosedur sudah dirilis secara resmi tetapi masih tahap

implementasi

 Diterapkan secara menyeluruh

 Sudah berjalan di seluruh area sesuai dengan ruang lingkup yang

didefinisikan

AREA TATA KELOLA

KEAMANAN INFORMASI

Area Tata Kelola Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Diterapkan secara menyeluruh

2.1 II 1 Apakah pimpinan Instansi anda secara prinsip dan resmi bertanggungjawab terhadap pelaksanaan program keamanan informasi (misal yang tercantum dalam ITSP), termasuk penetapan kebijakan terkait?

A. Diterapkan secara menyeluruh

B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan Diterapkan secara menyeluruh 3

A. Diterapkan secara menyeluruh, pimpinan pada Dinas Kominfo secara prinsip dan resmi bertanggung jawab terhadap pelaksanaan keamanan informasi

Bukti Pendukung

 Tugas pokok dan fungsi Dinas Kominfo pada bidang Aplikasi dan Telematika  Kebijakan Kepala Dinas, lampiran bukti B.8 Gambar No.38

Catatan Tambahan

Pimpinan instansi di Dinas Kominfo yaitu kepala Dinas Kominfo bertanggung jawab terhadap pelaksanaan program keamanan informasi yang diterapkan pada lingkungan Dinas. Untuk masing-masing bagian, setiap kepala bidang bertanggung jawab atas keamanan informasi di Dinas Kominfo. Lampiran bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI No. 6

Area Tata Kelola Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Dalam penerapan / diterapkan sebagian

2.6 II 1 Apakah Instansi anda sudah mendefinisikan persyaratan / standar kompetensi dan keahlian pelaksana pengelolaan keamanan informasi?

A. Diterapkan secara menyeluruh

B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan

D. Tidak dilakukan

Dalam penerapan /

diterapkan sebagian 2

B. Dalam penerapan/diterapkan sebagian, di Dinas Kominfo masih dalam tahap mengimplementasikan sebagian dari definisi persyaratan khusus/standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi

Bukti Pendukung

 Data Nominatif Pegawai Negeri Sipil Dinas Komunikasi dan Informatika Pemerintah kota Surabaya

 Data Tenaga Kontrak 2011 Dinas Komunikasi dan Informatika

 SOP Job Description pada ISO 9001:2008, lampiran bukti B.4 Dokumen SOP ISO 9001 : 2008 Gambar No. 21

 Peraturan mengenai standart kompetensi, kesadaran dan pelatihan, lampiran bukti B.3 Dokumen Manual Mutu ISO 9001 : 2008 Gambar No. 12

Catatan Persyaratan / standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi

Area Tata Kelola Keamanan Informasi

(Tahap wawancara dan pengamatan)

Hasil

Total Nilai Evaluasi Tata Kelola

112

Tingkat Kematangan

III+

AREA PENGELOLAAN RESIKO

KEAMANAN INFORMASI

Area Pengelolaan Resiko Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Diterapkan secara menyeluruh

3.8 II 1 Apakah Instansi anda sudah menjalankan inisiatif analisa / kajian risiko keamanan informasi secara terstruktur terhadap aset informasi yang ada (untuk nantinya digunakan dalam mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian dari program pengelolaan keamanan informasi)?

A. Diterapkan secara menyeluruh

B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan

D. Tidak dilakukan

Diterapkan secara

menyeluruh 3

A. Diterapkan secara menyeluruh, Dinas Kominfo bidang aplikasi dan telematika sudah menjalankan inisiatif analisa / kajian risiko keamanan informasi secara terstruktur terhadap aset informasi yang ada (untuk nantinya digunakan mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian program pengelolaan keamanan informasi)

Bukti Pendukung

 Dokumen Risk Assestment dan laporan mendalam keamanan informasi, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 1

Catatan Tambahan

Dinas Komunikasi dan informatika khususnya bidang aplikasi dan telematika sudah menjalankan inisiatif analisa / kajian risiko keamanan informasi secara terstruktur terhadap aset informasi yang ada (untuk nantinya digunakan dalam mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian dari program pengelolaan keamanan informasi).

Area Pengelolaan Resiko Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Dalam penerapan/diterapkan sebagian

3.1 II 1 Apakah Instansi anda mempunyai program kerja pengelolaan risiko keamanan informasi yang terdokumentasi dan secara resmi digunakan?

A. Diterapkan secara menyeluruh

B. Dalam penerapan / diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan Dalam penerapan / diterapkan sebagian 2

B. Dalam penerapan / diterapkan sebagian, Dinas Kominfo bidang aplikasi dan telematika mempunyai program kerja pengelolaan risiko keamanan informasi yang terdokumentasi dan secara resmi digunakan.

Bukti Pendukung

 Sebagian contoh tugas/ program kerja terkait pengelolaan resiko yang telah diterapkan oleh dinas kominfo khususnya bidang aplikasi dan telematika.

 _{Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk}

Assestment dan SOP SMKI Gambar No. 2

Catatan Tambahan

Dokumen SOP keamanan informasi merupakan pedoman bagi bidang aplikasi dan telematika dalam pengelolaan resiko terkait keamanan informasi. Dari dokumen SOP

Area Pengelolaan Resiko Keamanan Informasi

(Tahap wawancara dan pengamatan)

Hasil

Total Nilai Evaluasi Pengelolaan Risiko

Keamanan Informasi

53

Tingkat Kematangan

III

AREA KERANGKA KERJA

KEAMANAN INFORMASI

Area Kerangka Kerja Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Diterapkan secara menyeluruh

4.6 II 1 Apakah aspek keamanan informasi yang mencakup pelaporan insiden, menjaga kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset tercantum dalam kontrak dengan pihak ketiga?

A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan

D. Tidak dilakukan

Diterapkan secara

menyeluruh 3

A. Diterapkan secara menyeluruh, aspek keamanan informasi yang mencakup pelaporan insiden, menjaga kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset tercantum dalam kontrak dengan pihak ketiga.

Bukti Pendukung

 Contoh surat kontrak dengan pegawai kontrak Dinas Kominfo bidang aplikasi dan telematika, B.6 Dokumen Kontrak Kerja Gambar No.30, No.31, No. 32 dan No 33  Pengumuman kebijakan keamanan informasi untuk bidang aplikasi dan telematika yang

telah disahkan oleh kepala Dinas Komunikasi dan Informatika, lampiran bukti B.10 Dokumentasi ruangan kantor Aptel Gambar No. 38

Catatan Tambahan

Setiap ada pihak ketiga yang ingin mengakses, bekerjasama ataupun melakukan sebuah riset terdapat sebuah pemberitahuan ataupun kontrak tertulis dengan pihak ketiga mengenai menjaga kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset serta ancaman jika terdapat pihak ketiga yang melanggar.

Area Kerangka Kerja Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Dalam penerapan / diterapkan sebagian

4.1 II 1 Apakah kebijakan dan prosedur keamanan informasi sudah disusun dan dituliskan dengan jelas, dengan mencantumkan peran dan tanggungjawab pihak-pihak yang diberikan wewenang untuk menerapkannya?

A. Diterapkan secara menyeluruh

B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan Dalam penerapan / diterapkan sebagian 2

B. Dalam penerapan/diterapkan sebagian, kebijakan dan prosedur keamanan informasi sudah disusun dan dituliskan dengan jelas, dengan mencantumkan peran dan tanggungjawab pihak-pihak yang diberikan wewenang untuk menerapkannya

Bukti Pendukung

 Dokumen Risk Assestment dan laporan mendalam keamanan informasi, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 1. Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 2

Catatan Tambahan

Pengimplementasian keamanan informasi berdasarkan SOP yang sudah dibuat telah menjadi dokumen resmi dari Keamanan Informasi bidang aplikasi dan telematika serta telah memasuki tahap pengimplementasian secara bertahap oleh bidang aplikasi dan telematika seperti prosedur peningkatan pelatihan pegawai dengan memberikan BIMTEK terkait keamanan informasi.

Area Kerangka Kerja Keamanan Informasi

(Tahap wawancara dan pengamatan)

Hasil

Total Nilai Evaluasi Kerangka Kerja

123

Tingkat Kematangan

II

+

AREA PENGELOLAAN ASET

KEAMANAN INFORMASI

Area Pengeloaan Aset Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Diterapkan secara menyeluruh

5.1 II 1 Apakah tersedia daftar inventaris aset informasi yang lengkap dan akurat?

A. Diterapkan secara menyeluruh

B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan Diterapkan secara menyeluruh 3

A. Diterapkan secara menyeluruh, tersedia daftar inventaris aset informasi yang lengkap dan akurat

Bukti Pendukung

 Daftar inventaris Dinas Kominfo Surabaya bidang APTEL, lampiran bukti B.14 Data dari PPT, PDF, dll Gambar No. 56

Catatan Tambahan

Dinas Kominfo Surabaya bidang APTEL telah memiliki daftar inventaris aset informasi yang didokumentasikan dan diupdate.

Area Pengeloaan Aset Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Dalam penerapan / diterapkan sebagian

5.30 II 2 Apakah konstruksi ruang penyimpanan perangkat pengolah informasi penting menggunakan rancangan dan material yang dapat menanggulangi risiko kebakaran dan dilengkapi dengan fasilitas pendukung (deteksi kebakaran/asap, pemadam api, pengatur suhu dan kelembaban) yang sesuai?

A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan Dalam penerapan/ditera pkan sebagian 2

B. Dalam penerapan/ diterapkan sebagian, konstruksi ruang penyimpanan perangkat pengolah informasi penting menggunakan rancangan dan material yang dapat menanggulangi risiko kebakaran dan dilengkapi dengan fasilitas pendukung (deteksi kebakaran/asap, pemadam api, pengatur suhu dan kelembaban) yang sesuai

Bukti Pendukung

 Prosedur Server, lampiran bukti B.4 Dokumen SOP ISO 9001 : 2008 Gambar No. 15

Area Pengeloaan Aset Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Dalam perencanaan

5.20 III 2 Prosedur penghancuran data/aset yang sudah tidak diperlukan

A. Diterapkan secara menyeluruh

B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan

D. Tidak dilakukan

Dalam

perencanaan 1

C. Dalam perencanaan, Dinas Kominfo bidang aplikasi dan telematika menerapkan prosedur penghancuran data/aset yang sudah tidak diperlukan

Bukti Pendukung

 Draf Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 2

Catatan Tambahan

Dinas Komunikasi dan Informatika bidang aplikasi dan telematika telah memiliki SOP keamanan informasi resmi terkait prosedur penghancuran data/aset yang sudah tidak diperlukan yaitu SOP Pemusnahan Media Back Up

Area Pengeloaan Aset Keamanan Informasi

(Tahap wawancara dan pengamatan)

Hasil

Total Nilai Evaluasi Pengelolaan Aset

120

Tingkat Kematangan

II

AREA TEKNOLOGI &

KEAMANAN INFORMASI

Area Teknologi & Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Diterapkan secara menyeluruh

6.15 III 2 Apakah sistem dan aplikasi yang digunakan sudah menerapkan pembatasan waktu akses termasuk otomatisasi proses timeouts, lockout setelah kegagalan login,dan penarikan akses?

A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan

D. Tidak dilakukan

Diterapkan secara

menyeluruh 3

A. Diterapkan secara menyeluruh, semua sistem dan aplikasi yang digunakan sudah menerapkan pembatasan waktu akses termasuk otomatisasi proses timeouts, lockout setelah kegagalan login,dan penarikan akses

Bukti Pendukung

 Percobaan akses pada website JDIH, lampiran bukti B.13 Data dari Website Gambar No.52

 Percobaan akses di server dan client menerapkan sistem otomatisasi proses timeout.

Area Teknologi & Keamanan Informasi

(Tahap wawancara dan pengamatan)

Jawaban :

Dalam penerapan / diterapkan sebagian

6.5 II 1 Apakah jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/keutuhan konfigurasi?

A. Diterapkan secara menyeluruh B. Dalam penerapan/ diterapkan sebagian C. Dalam perencanaan D. Tidak dilakukan Dalam penerapan/ diterapkan sebagian 2 B. Dalam penerapan/ diterapkan sebagian, jaringan, sistem dan aplikasi yang digunakan

secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/keutuhan konfigurasi

Bukti Pendukung

 Draf Dokumen SOP keamanan informasi SMKI, Lampiran Bukti B.1 Dokumen Hasil Risk Assestment dan SOP SMKI Gambar No. 2

 _{Dokumen SOP ISO 9001:2008, lampiran bukti B.4 Dokumen SOP ISO 9001 : 2008} Gambar No. 13

 Lampiran bukti jadwal check list perawatan ruangan APTEL B.5 Dokumen Laporan SOP ISO 9001 : 2008 Gambar No. 27

Catatan Tambahan

Dinas Kominfo khususnya bidang aplikasi dan telematika telah memiliki jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/keutuhan konfigurasi yaitu draf SOP tindakan perbaikkan dan pencegahan. Untuk SOP ISO 9001:2008, terdapat SOP yang mengatur pengembangan dan

Area Teknologi & Keamanan Informasi

(Tahap wawancara dan pengamatan)

Hasil

Total Nilai Evaluasi Teknologi dan

Keamanan Informasi

90

Tingkat Kematangan

II+

Grafik Hasil Penilaian KAMI

Grafik Hasil Penilaian KAMI

(Tahap wawancara dan pengamatan)

Tata Kelola

Pengelolaan

Risiko

Kerangka Kerja

Pengelolaan

Aset

Aspek Teknologi

Kepatuhan ISO 27001/SNI

Proses Penerapan

Kerangka Kerja Dasar

Responden

98,24 %

77,94 %

83,33 %

PERBAIKKAN

KEAMANAN INFORMASI

Dari hasil saran perbaikkan point-point yang kurang pada area tata kelola keamanan

informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan

kematangan keamanan informasi adalah sebagai berikut :

 Efektifitas pengamanan dievaluasi secara berkala dengan melalui proses yang terstruktur.

 Memperbaiki beberapa kelemahan dalam sistem manajemen tata kelola masih ditemukan sehingga

dapat mengakibatkan dampak yang signifikan.

 Meningkatkan tata kelola pengamanan yang sudah mematuhi ambang batas minimum standar atau

persyaratan hukum yang terkait.

 Meningkatkan kesadaran kepada semua pihak yang terlibat, untuk menyadari tanggungjawab

mereka dalam pengamanan informasi.

 Menerapkan seluruh persyaratan dan standart kompetensi dan keahlian pelaksana pengelolaan

keamanan informasi keseluruh lingkup area kerja bidang aplikasi dan telematika.

Dari hasil saran perbaikkan point-point yang kurang pada area pengelolaan resiko keamanan

informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan

kematangan keamanan informasi adalah sebagai berikut :

 Menerapkan secara menyeluruh pengelolaan resiko untuk menjadi bagian dari kriteria proses

penilaian obyektif kinerja efektifitas pengamanan terhadap semua aktivitas IT bidang Aplikasi dan

telematika.

 Melaksanakan evaluasi secara menyeluruh terhadap program pengelolaan resiko keamanan

informasi yang telah dilaksanakan.

 Melakukan dokumentasi terhadap penyelesaian langkah mitigasi yang sudah diterapkan untuk

mengetahui kondisi perkembangan status penyelesaian langkah mitigasi resiko dipantau secara

berkala.

Dari hasil saran perbaikkan point-point yang kurang pada area kerangka kerja keamanan

informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan

kematangan keamanan informasi adalah sebagai berikut :

 Menerapkan secara menyeluruh kebijakan dan prosedur keamanan informasi terhadap semua

aktivitas IT bidang aplikasi dan telematika.

 Menerapkan secara menyeluruh proses penerapan perencanaan pemulihan bencana terhadap

layanan TIK (disaster recovery plan) yang sudah didefinisikan komposisi, peran, wewenang dan

tanggungjawab tim yang ditunjuk.

 Melaksanakan evaluasi secara menyeluruh terhadap pengelolaan kebijakan dan prosedur keamanan

informasi yang telah disusun dan dituliskan dengan jelas, dengan mencantumkan peran dan

tanggungjawab pihak-pihak yang telah diberikan wewenang.

 Melakukan dokumentasi dan pelaporan terhadap penerapan kerangka kerja keamanan informasi

yang dipantau secara berkala.

Area Kerangka Kerja Pengelolaan

Keamanan Informasi

Dari hasil saran perbaikkan point-point yang kurang pada area pengelolaan aset informasi.

Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan kematangan

keamanan informasi adalah sebagai berikut :

 Menerapkan secara menyeluruh proses penerapan definisi tingkatan akses yang berbeda dan matrix

yang merekam alokasi akses pada bidang aplikasi dan telematika.

 Menerapkan secara menyeluruh proses penerapan konstruksi ruang penyimpanan perangkat

pengolah informasi penting menggunakan rancangan dan material yang dapat menanggulangi

segala resiko yang akan terjadi.

 Melaksanakan secara menyeluruh prosedur pengelolaan aset informasi.

 Menerapkan sanksi atau denda yang telah dibuat, kepada semua pihak yang lalai dalam

melaksanakan pengelolaan aset informasi.

 Melaksanakan secara menyeluruh tata tertib penggunaan komputer, email, internet dan intranet

serta peraturan pengamanan data pribadi.

 Melakukan kajian terhadap pengelolaan aset informasi.

 Melaksanakan secara menyeluruh dokumentasi dan pelaporan terhadap segala aktivitas

pengelolaan aset informasi.

Dari hasil saran perbaikkan point-point yang kurang pada area teknologi dan keamanan

informasi. Langkah-langkah yang harus diambil untuk meningkatkan tingkat kelengkapan dan

kematangan keamanan informasi adalah sebagai berikut :

 Menerapkan secara menyeluruh proses penerapan konfigurasi standar untuk keamanan sistem bagi

keseluruhan aset komputer dan perangkat jaringan, yang dimutakhirkan sesuai perkembangan dan

kebutuhan pada bidang aplikasi dan telematika.

 Menerapkan secara menyeluruh proses penerapan menerapkan pengamanan untuk mendeteksi

dan mencegah penggunaan akses jaringan (termasuk jaringan nirkabel) yang tidak resmi.

 Melaksanakan secara menyeluruh prosedur keamanan informasi.

 Menerapkan sanksi atau denda yang telah dibuat, kepada semua pihak yang lalai dalam

melaksanakan pengelolaan teknologi dan keamanan informasi.

 Melaksanakan secara menyeluruh dokumentasi dan pelaporan terhadap segala aktivitas

pengelolaan teknologi dan keamanan informasi.

Area Tata Kelola Keamanan Informasi

No Kategori Kematangan

Kategori

Pengamanan Point Evaluasi Tata Kelola

Status

/ Kondisi Skor 2.6 II 1 Apakah Instansi anda sudah mendefinisikan persyaratan / standar kompetensi

dan keahlian pelaksana pengelolaan keamanan informasi? Dalam Penerapan / Diterapkan Sebagian

3

Saran Perbaikkan

1. Menerapkan seluruh persyaratan dan standart kompetensi dan keahlian pelaksana pengelolaan keamanan informasi keseluruh lingkup area kerja bidang aplikasi dan telematika. Dengan cara menerapkan langkah sebagai berikut :

 Melakukan seleksi secara selektif terhadap SDM yang akan diterima, dilihat dari :

 CV

 Pendidikan terakhir, minimal S1 Jurusan IT

 Prestasi dan keahlian di bidang IT

 Tes IQ dan Kepribadian

 Sertifikat keahlian dibidang IT.

 Penguasaan bahasa

 Pendidikan dan pelatihan keamanan informasi. Ada beberapa alternatif pendidikan dan alternatif mengenai keamanan informasi, antara lain :

 CISA (Certified Information Systems Auditor)

Biaya ujian CISA sebesar USD 475. Informasi lengkap mengenai CISA bisa diakses di http://www.isaca.org. Secara teratur, ISACA mengadakan ujian CISA di Jakarta setiap 6 bulan.

 CISSP dikeluarkan oleh International Information Systems Security Certification Consortium (ISC)². CISSP dengan membayar USD 550. Jika lulus ujian dan belum memiliki pengalaman selama 5 tahun di 2 CBK domain yang berbeda, orang tersebut masih berstatus CISSP Associate. Ujian diadakan setiap tahunnya dijakarta, Informasi lengkap mengenai CISSP bisa diakses di http://www.isc2.org

2.7 II 1 Apakah semua pelaksana pengamanan informasi di Instansi anda memiliki kompetensi dan keahlian yang memadai sesuai persyaratan / standar yang berlaku?

Dalam Penerapan/ Diterapkan

Sebagian

3

1. Menerapkan secara menyeluruh pengamanan informasi di Instansi dengan memasukkan SDM yang memiliki kompetensi dan keahlian memadai sesuai persyaratan/standar yang berlaku.

Perbaikkan Keamanan Informasi

Meningkatkan awarness pegawai terhadap

Keamanan Informasi

Perbaikkan Keamanan Informasi

Meningkatkan teknologi Keamanan

Informasi

Internasional Information Systems Security Certification

Consortium (ISC) ²

 Berkantor pusat di Amerika Serikat ,

berdiri tahun

1988

Information Systems Audit and Contro; Association (ISACA)

 ISACA berdiri pada tahun

1967

 Keanggotaan

lebih dari 95.000

yang kuat di seluruh dunia.

 Anggota tinggal dan bekerja di

lebih dari 160 negara

dan mencakup

berbagai posisi yang berkaitan dengan IT profesional meilputi: auditor,

konsultan, pendidik, IS keamanan profesional, regulator, petugas

Kesimpulan

Kesimpulan yang dapat diambil dalam pengerjaan tugas akhir dengan studi kasus

evaluasi kesiapan keamanan sistem informasi pada bidang aplikasi dan telematika Dinas

Komunikasi dan Informatika Surabaya antara lain:

 Dengan menggunakan aplikasi Indeks KAMI yang diterbitkan oleh Kementerian

Komunikasi dan Informatika berdasarkan SNI ISO/IEC 27001:2009. Indeks KAMI

digunakan untuk mengevaluasi tingkat kesiapan dan kematangan keamanan informasi

pada instansi pemerintahan pada 5 area evaluasi keamanan.

 Hasil analisis data menjelaskan bahwa ketergantungan bidang aplikasi dan telematika

(Aptel) masuk dalam kategori kritis. Sedangkan untuk tingkat keamanan, aptel

mendapatkan

skor

498,

skor

ini

masuk

dalam

kategori

baik

untuk

mengimplementasikan standart ISO 27001.

 Untuk meningkatkan tingkat kelengkapan dan kematangan keamanan informasi. Bidang

aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya harus menerapkan

seluruh prosedur dan kebijakan keamanan informasi pada seluruh area.

Saran

Saran yang dapat diambil untuk perbaikan secara menyeluruh, dalam pengerjaan tugas

akhir dengan studi kasus evaluasi kesiapan keamanan sistem informasi pada bidang aplikasi dan

telematika Dinas Komunikasi dan Informatika Surabaya dengan menerapkan tahap 5 D antara lain:

1.

Dilaksanakan, bidang aplikasi dan telematika Dinas Komunikasi dan Informatika Surabaya harus

melaksanakan semua kebijakan dan prosedur keamanan informasi pada semua area. Hal ini

bertujuan untuk memaksimalkan pencapaian dan tingkat kematangan keamanan informasi

2.

Dimonitoring, setelah melakukan dan melaksanakan seluruh kebijakan dan prosedur yang ada.

Bidang Aplikasi dan telematika harus selalu memonitoring segala aktivitas IT meliputi kinerja

pegawai, kinerja hardware dan software pengamanan serta penerapan regulasi(sanksi dan

hukuman) yang ada terkait keamanan informasi.

3.

Dievaluasi, tahapan ini bertujuan untuk mengevaluasi setiap penerapan kebijakan dan prosedur

terkait keamanan informasi. Evaluasi ini menilai efektifitas, kinerja, dan efisiensi terhadap segala

aktivitas IT yang dilakukan

4.

Diperbarui, tahapan ini merupakan langkah selanjutnya dari proses evaluasi penerapan kebijakan

dan prosedur. Apabila dalam hasil evaluasi tersebut terdapat kekurangan baik dalam penerapan

kebijakan, prosedur, teknologi dan SDM, maka perlu adanya tindakan pembaruan atau perbaikan.

5.

Dokumentasi, tahap ini bertujuan untuk, melaporkan mencatat dan merekam segala aktivitas IT

Daftar Pustaka

[1] Alexander, M. (2010). Excel Dashboard & Report. Hoboken: Wiley.

[2] Alter, S. (1992). Information System: A Management Perspective. The Benjamin/Cummings

Publishing Company, Inc.

[3] Alter, S. (2002). The Information System: The Foundation of E-Business (4th ed.). New Jersey:

Pearson Education, Inc.

[4] Arbiansyah, G., Kristianto, D., Neneng. (2010). Pemetaan Model Tata Kelola Teknologi Informasi Yang

Menunjang Strategi Dan Visi Oorganisasi Di Indonesia Pada Bank Swasta XYZ. Seminar Nasional

Aplikasi Teknologi Informasi 2010 (SNATI 2010), (hal. 133-137). Yogyakarta.

[5] Badan

Standardisasi

Nasional,

2.

(2009,

Februari

21).

http://websisni.bsn.go.id/index.php?/sni_main/sni/detail_sni/10233. Dipetik Februari 21, 2012, dari

websisni.bsn.go.id: http://websisni.bsn.go.id/index.php?/sni_main/sni/detail_sni/10233

[6] Basics of business intelligence. (2003). Dipetik February 2011, dari IBM:

www-03.ibm.com/systems/.../systems_storage_solutions_business_intelligence_pdf_business-intel.pdf

[7] Bonar, George H., Hopwood, William S. (1993). Accounting Information System (5th ed.).

Prentice-Hall, Inc.

Daftar Pustaka

[9] Detiknas. (2007). Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Jakarta:

Depkominfo.

[10] Few, S. (2006). Information Dashboard Design. Italy: Oreilly.

[11] Gasperz, V. (2002). ISO 9001:2000 And Continual Quality Improvement. Jakarta: PT. Gramedia

Pustaka Utama.

[12] Gelinas, Ulric J., Oram, Allan E., Wiggins, William P. (1990). Accounting Information System.

PWS-KENT Publishing Company.

[13] Guldentops, E., Van Grembergen, W., & De Haes, S. (2002). Control and Governance Maturity

Survey: Establishing a reference benchmark and a self assesment tool. Information System Control

Journal, 6 .

[15] Hall, J. A. (2001). Accounting Information Systems (3rd ed.). South Western College Publishing.

[16] Hisham, M. Haddad, Brunil, D. Romero. (2009). Asset Identification for Security Risk Assesment in

Web Application. International Journal Of Software Engineering, IJSE , II.

[17] Industry, M. o. (1999). Corporate approaches to IT Governance. Dipetik December 30, 2010, dari

www.jipdec.or.jp/chosa/MITIBE/sld001.htm

Daftar Pustaka

[19] ITGI. (2001). Board Briefing on IT Governance. Dipetik December 28, 2010, dari www.itgi.org

[20] ITGI. (2000). Control Objectives for Information and Related Technologies (COBIT) (3 ed.). USA.

[21] Joan Hash, d. 2. (2012, Februari 19).

http://csrc.nist.gov/publications/nistpubs/800-18-Rev1/sp800-18-Rev1-final.pdf.

Dipetik

Februari

2012,

2012,

dari

csrc.nist.gov:

http://csrc.nist.gov/publications/nistpubs/800-18-Rev1/sp800-18-Rev1-final.pdf

[22] Jobbe, D., & Lancaster., G. (2009). Selling and sales management — 8th ed. Edinburgh Gate:

Pearson Education Limited.

[23] Kadir, A. (2003). Pengenalan Sistem Informasi. Yogyakarta: Penerbit ANDI.

[24] Lucas, H. (2000). Information Technology for Management (7th ed.). Irwin/McGraw-Hill.

[25] Malik, S. (2005). Enterprise dashboards : design and best practices for IT. Hoboken, New Jersey.:

John Wiley & Sons, Inc.

[26] Martin, E. (1999). Managing Information Technology What Managers Need to Know (3rd ed.). New

Jersey: Pearson Education International.

[27] Mattord, M. W. (2010). Management Of Information System. . Course Technology CENGAGE

Learning.

Penulis bernama lengkap Moch. Rashid Ridho, lahir di surabaya 20 September 1989.

Penulis dalam pergaulannya dilingkungan sistem informasi biasa dipanggil “ridho”.

Penulis menempuh pendidikan TK Al-Hidayah Surabaya, SD Negeri Kebonsari II/415

Surabaya, SMP Negeri 22 Surabaya, SMA Negeri 18 Surabaya, Penulis melanjutkan

penddikan ke jenjang S1 di jurusan sistem informasi, fakultas teknologi

informasi,institut teknologi sepuluh nopember surabaya memalui jalur PMDK Mandiri

pada tahun 2008.

Selama kuliah penulis aktif dalam organisasi Himpunan Mahasiswa Jurusan (HMJ),

mengikuti UKM paduan suara ITS, aktif dalam kegiatan Latihan Keterampilan

Manajemen Mahasiswa (LKMM) ITS dan memiliki kegiatan bisnis selama masa

perkuliahan. Beberapa pencapaian prestasi penulis diantaranya adalah juara 2

kompetisi bisnis online jurusan sistem informasi (Siboy), juara 1 lomba kompetisi bisnis

ITS, dan juara favorit lomba bisnis online yang diadakan oleh bank CIMB serta beberapa

penghargaan lainnya. Jika terdapat pertanyaan mengenai tugas akhir ini, penulis dapat

dihubungi melalui

mrashidridho@gmail.com