vi
Universitas Kristen Maranatha
ABSTRAK
ABSTRACT
Rapid technological developments impact it brings great risk. Analysis is needed to determine whether perusaaan ready to address these risks. Analysis of the Retail Management Information Systems at PT Pos Indonesia (Persero) using the COBIT 4.1 framework aims to determine the extent to which the company responds to the needs of risk management. Analysis performed using the COBIT 4.1 PO9 Assess and Manage IT Risk, Manage Change AI6, DS4 Ensure Continuous System, DS5 Ensure Systems Security, and DS12 Manage the Physical Environment as a reference for analysis. Data obtained from interviews with the Manager of Risk Management, Operational Support Staff Helpdesk and Retail, and Retail SIM Application Developer and related documents.It is expected that the creation of this report can help companies to improve the system performance.
viii
Universitas Kristen Maranatha
DAFTAR ISI
LEMBAR PENGESAHAN ... i
PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... ii
PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... iii
PRAKATA ... iv
Konsep Sistem , Informasi, dan Sistem Informasi ... 6
Manajemen Risiko ... 6
Konsep Audit, Auditor, dan Auditee ... 7
Audit Sistem Informasi ... 8
COBIT Framework ... 8
Maturity Model ... 9
Beberapa Proses COBIT yang Digunakan ... 10
PO9 Assess and Manage IT Risks ... 10
AI6 Manage Changes ... 15
DS4 Ensure Continuous Service ... 19
DS5 Ensure Systems Security ... 26
DS12 Manage the Physical Environment ... 32
BAB III ANALISIS DAN EVALUASI ... 37
Profil PT. Pos Indonesia (Persero)... 37
Visi dan Misi Serta Motto PT. Pos Indonesia (Persero) ... 39
Visi PT Pos Indonesia (Persero) ... 39
Misi PT Pos Indonesia (Persero) ... 39
Motto PT Pos Indonesia (Persero) ... 40
Nilai-nilai Budaya PT Pos Indonesia (Persero) ... 40
Struktur Organisasi ... 41
Dewan Komisaris PT Pos Indonesia ... 41
Direksi PT Pos Indonesia (Persero) ... 42
Sistem Informasi Manajemen Ritel (SIM Ritel) ... 42
Hasil Analisis ... 43
PO9 Assess and Manage IT Risk ... 43
AI6 Manage Changes ... 51
DS4 Ensure Continuous Service ... 56
DS5 Ensure Systems Security ... 70
DS12 Manage the Physical Environment ... 86
Simpulan Analisis Maturity Level ... 96
Saran yang Dapat Dilakukan Oleh Perusahaan ... 102
BAB IV SIMPULAN dan SARAN ... 106
Simpulan ... 106
Saran ... 107
x
Universitas Kristen Maranatha
DAFTAR GAMBAR
DAFTAR TABEL
Tabel I Resume Maturity Level Control ...49
Tabel II Resume Maturity Level Control ...55
Tabel III Resume Maturity Level Control ...67
Tabel IV Resume Maturity Level Control ...83
Tabel V Resume Maturity Level Control ...92
Tabel VI Rekapitulasi Maturity Level ...95
Tabel VII Simpulan Analisis Maturity Level ...96
xii
Universitas Kristen Maranatha
DAFTAR LAMPIRAN
DAFTAR ISTILAH
Administrator : Pegawai perusahaan yang ditunjuk untuk
mengelola dan memelihara data SIM Ritel.
Benda Mitra : Barang milik pemerintah maupun swasta yang
dititipkan untuk dijual secara konsinyasi oleh kantor pos. real time on-line maupun hanya on line.
FBK : Formulir benda konsinyasi. Merupakan
kelompok produk titipan pihak ketiga dengan menggunakan kantor pos sebagai gerai atau outlet penjualannya.
Informasi : Data yang telah diolah sebagai bahan masukan
untuk pengambilan keputusan. pada kantor pos bawahannya.
Manajemen : Proses yang terdiri dari kegiatan
merencanakan, mengorganisasikan,
memimpin, menggerakkan dan mengendalikan sumberdaya organisasi untuk mencapai tujuan organisasi.
Perusahaan : PT Pos Indonesia (Persero).
Produk Ritel : Related product dan non related product (dalam
bentuk produk pelengkap bagi yang related dan produk substitusi bagi yang non related) yang
memperkuat core business dan atau
meningkatkan utilisasi core process
perusahaan.
Server : Komputer untuk menampung data SIM Ritel,
yang berada di Data Center Jakarta.
Sistem : Kumpulan bagian / komponen (sub sistem)
xiv
Universitas Kristen Maranatha
SIM RITEL : Sistem aplikasi internal yang dibangun di atas
jaringan client-server, dengan pengelola
database terpusat berada di Data Center
Jakarta.
UPT : Kantor pos yang melaksanakan aktivitas
pendistribusian, penjualan, penyimpanan
barang dan pembuatan laporan.
User : Pegawai yang ditunjuk untuk menggunakan
sistem aplikasi Ritel.
Website : Wadah atau tempat meletakkan naskah yang
BAB I PENDAHULUAN
Latar Belakang Masalah
Penggunaan teknologi informasi sudah tidak dapat dipisahkan dari
kehidupan sehari - hari. Banyak sekali organisasi dan perusahaan yang
menggunakan teknologi informasi sebagai sarana pendukung kinerjanya.
Proses secara manual yang pada awalnya dirasa cukup sudah tidak tepat
lagi untuk digunakan pada saat ini. Dibutuhkan teknologi informasi untuk
mengefisienkan proses manual tersebut. Teknologi informasi dapat
membantu sebuah organisasi untuk terhubung satu sama lain dan
mengintegrasikan semua kinerjanya sehingga tidak akan terjadi kesalahan
data karena telah terkontrol secara terpusat. Salah satu organisasi yang
memanfaatkan kemajuan teknologi tersebut adalah PT Pos Indonesia
(Persero).
PT Pos Indonesia (Persero) adalah perusahaan milik negara yang
bertugas untuk mengatur pendistribusian surat – surat yang ada di
Indonesia. Seiring dengan majunya perkembangan informasi, komunikasi,
dan teknologi, PT Pos Indonesia (Persero) pun tak mau ketinggalan untuk
memperbarui proses – proses manual yang ada didalamnya. Pengembangan
bisnis ritel di PT Pos Indonesia (Persero) merupakan salah satu upaya yang
dilakukan dalam kerangka transformasi bisnis, dimana potensi dan
opportunity dalam assessment di masa mendatang menjadi salah satu aspek
bisnis yang mempunyai prospek besar di masa mendatang. PT Pos
Aplikasi Ritel merupakan aplikasi yang bertujuan menyajikan suatu
2
Universitas Kristen Maranatha dan pemantauan data fisik, persediaan, kemudahan kalkulasi data,
penyimpanan stock benda pos, dan benda filateli.
Rumusan Masalah
Berdasarkan latar belakang yang telah diuraikan pada bagian 1.1,
maka rumusan masalah adalah :
1. Apakah PT Pos Indonesia (Persero) memiliki kerangka
manajemen risiko keamanan sistem informasi pada aplikasi Ritel?
2. Bagaimana manajemen keamanan aplikasi Ritel yang digunakan
PT Pos Indonesia (Persero) agar dapat melindungi sistem?
3. Bagaimana PT Pos Indonesia (Persero) melakukan pengelolaan
perubahan terhadap aplikasi Ritel?
4. Apakah PT Pos Indonesia (Persero) memiliki kerangka kerja untuk
menjaga kelangsungan layanan Ritel?
Tujuan Pembahasan
Berdasarkan rumusan masalah pada bagian 1.2, maka tujuan dari
laporan ini adalah sebagai berikut :
1. Menganalisis apakah PT Pos Indonesia (Persero) memiliki
kerangka risiko keamanan sistem informasi pada aplikasi Ritel.
2. Menganalisis dan mendeskripsikan manajemen keamanan yang
dimiliki PT Pos Indonesia (Persero) pada aplikasi Ritel baik
terhadap keamanan sistem maupun lingkungan sekitar sistem.
3. Menganalisis dan mendeskripsikan pengelolaan perubahan
terhadap aplikasi Ritel yang dilakukan oleh PT Pos Indonesia
(Persero).
4. Menganalisis apakah PT Pos Indonesia (Persero) memiliki
Ruang Lingkup Kajian
Adapun ruang lingkup dalam laporan ini adalah sebagai berikut :
1. Proses analisis akan berfokus pada aplikasi SIM Ritel.
2. Analisis sistem akan mengacu pada framework COBIT 4.1
Domain yang akan digunakan untuk menganalisis adalah :
a. PO9 Assess and Manage IT Risks
Control Objective :
i. PO9.1 IT Risk Management Framework
ii. PO9.2 Establishment of Risk Context
iii. PO9.3 Event Identification
iv. PO9.4 Risk Assessment
v. PO9.5 Risk Response
vi. PO9.6 Maintenance and Monitoring of a Risk Action
Plan
b. DS5 Ensure Systems Security
Control Objective :
i. DS5.1 Management of IT Security
ii. DS5.2 IT Security Plan
iii. DS5.3 Identify Management
iv. DS5.4 User Account Management
v. DS5.5 Security Testing, Surveillance and Monitoring
vi. DS5.6 Security Incident Definition
vii. DS5.7 Protection of Security Technology
viii. DS5.8 Cryptographic Key Management
ix. DS5.9 Malicious Software Prevention, Detection, and
Corection
x. DS5.10 Network Security
4
Universitas Kristen Maranatha
c. DS4 Ensure Continuous System
Control Objective :
i. DS4.1 IT Continuity Framework
ii. DS4.2 IT Continuity Plan
iii. DS4.3 Critical IT Resource
iv. DS4.4 Maintenance of the IT Continuity Plan
v. DS4.5 Testing of the IT Continuity Plan
vi. DS4.6 IT Continuity Plan Training
vii. DS4.7 Distribution of the IT Continuity Plan
viii. DS4.8 IT Service Recovery and Resumption
ix. DS4.9 Offsite Backup Storage
x. DS4.10 Post – resumption Review
d. DS12 Manage the Physical Environment
Control Objective :
i. DS12.1 Site Selection and Layout
ii. DS12.2 Physical Security Measures
iii. DS12.3 Physical Access
iv. DS12.4 Protection Against Environmental Factors
v. DS12.5 Physical Facilities Management
e. AI6 Manage Changes
Control Objective :
i. AI6.1 Changes Standards and Procedures
ii. AI6.2 Impact Assessment, Prioritisation, and
Authorisation
iii. AI6.3 Emergency Changes
iv. AI6.4 Change Status Tracking and Reporting
Sumber Data
Sumber data yang didapatkan yaitu melalui wawancara kepada
Manager TI dan stafnya di PT Pos Indonesia (Persero). Sumber data lain
yang akan digunakan melalui browsing internet, buku, dan survey ke
perusahaan.
Sistematika Penyajian
Sistematika penulisan laporan tugas akhir ini terdiri dari empat bab
yang di dalamnya mencangkup hal-hal sebagai berikut :
BAB I PENDAHULUAN
Membahas mengenai latar belakang masalah, rumusan
masalah, tujuan pembahasan, ruang lingkup kajian, dan
sistematika penyajian.
BAB II KAJIAN TEORI
Membahas mengenai teori-teori yang berhubungan dengan
materi penulisan yang diambil dari beberapa referansi baik
buku, jurnal maupun internet.
BAB III ANALISIS dan HASIL PENELITIAN
Membahas mengenai analisis pada sistem informasi yang
akan dilakukan pada perusahaan.
BAB IV SIMPULAN dan SARAN
Membahas mengenai kesimpulan dan saran dari penulis
106
Universitas Kristen Maranatha
BAB IV SIMPULAN dan SARAN
Kesimpulan merupakan langkah terakhir yang dilakukan dalam analisis.
Kesimpulan yang dirumuskan dibuat berdasarkan atas pengolahan dan
analisis data. Setelah membuat kesimpulan selanjutnya memberikan saran
berdasarkan hasil analisis data
Simpulan
Berikut ini simpulan yang didapat setelah melakukan analisis :
1. PT Pos Indonesia (Persero) sudah menyadari akan pentingnya
memiliki kerangka manajemen risiko. Pembentukan dokumen
penanganan risiko yang diberi nama dokumen Disaster Recovery
Plan (DRP) menjadi bukti dari kesungguhan manajemen tingkat
atas untuk memiliki prosedur penanganan dan pencatatan risiko.
Setelah dilakukan analisis menggunakan proses PO9 Assess and
Manage IT Risk, maka maturity level yang diberikan untuk PT Pos
Indonesia (Persero) adalah level dua (2) Repeatable but Intuitive.
2. Penerapan manajemen keamanan untuk melindungi keamanan
SIM Ritel milik PT Pos Indonesia (Persero) telah dilakukan.
Perlindungan keamanan yang dilakukan mencakup keamanan
tehadap sistem dan lingkungan fisik yang terkait dengan sistem.
Tanggung jawab untuk menjaga keamanan TI sudah diberikan
pada orang yang tepat yaitu divisi security dan data center.
Sedangkan standar yang digunakan untuk melindungi keamanan
sistem dan lingkungan fisik mengacu pada ISO 2007. Setelah
dilakukan analisis menggunakan proses DS5 Ensure Security
System maka, maturity level yang diberikan untuk PT Pos
Indonesia (Persero) adalah level dua (2) Repeatable but Intuitive
sedangkan untuk proses DS12 Manage the Physical Environment,
maka maturity level yang diberikan untuk PT Pos Indonesia
107
3. Perubahan yang terjadi pada sistem disesuaikan dengan
kebutuhan bisnis. Perubahan yang dilakukan berasal dari
permintaan divisi Ritel. Perubahan akan diinformasikan kepada
manajer pengembangan dan teknologi lalu akan dilanjutkan pada
bagian pengembang aplikasi Ritel. Setelah dilakukan analisis
menggunakan proses AI6 Manage Changes, maka maturity level
yang diberikan untuk PT Pos Indonesia (Persero) adalah level
satu (1) Initial / Ad Hoc.
4. PT Pos Indonesia (Persero) sedang mengembangkan sebuah
kerangka penanggulangan bencana TI. Kerangka kerja ini disebut
dengan Disaster Recovery Plan (DRP). Kerangka kerja ini dibuat
untuk mendukung kelangsungan bisnis manajemen saat
menghadapi bencana. Dokumen DRP disusun untuk mengurangi
dampak besar pada bisnis utama, fungsi, dan proses. Setelah
dilakukan analisis menggunakan proses DS4 Ensure Continuous
Service, maka maturity level yang diberikan untuk PT Pos
Indonesia (Persero) adalah level satu (1) Initial / Ad Hoc.
Saran
Berikut saran yang dapat diberikan untuk penelitian selanjutnya :
1. Melakukan penelitian dengan menggunakan proses lain yang
belum dimanfaatkan.
2. Melakukan penelitian dengan menggunakan proses yang sama
untuk melihat apakah nilai maturity level sudah meningkat atau
belum.
3. Membuat standar dan prosedur untuk mengelola perubahan
sistem.
4. Membuat standar dan prosedur berkaitan dengan manajemen
risiko TI.
5. Membuat standar dan prosedur untuk menjaga keamanan sistem
108
Universitas Kristen Maranatha
DAFTAR PUSTAKA
Darmawi, H. (2010). Manajemen Risiko. Jakarta: Bumi Aksara.
Hariyanto, A., & Dini, G. M. (2013). Penilaian Performance Measurement
Dan Resource Management Dengan Menggunakan Metode COBIT 4.1
Terhadap Aplikasi Persediaan Material Proyek Pada CV. Inti Pembangunan.
Retrieved Juni 15, 2013, dari Eprints STMIK GI MDP & MDP BUSINESS
SCHOOL: eprints.mdp.ac.id/
Hartono, J. (1999). Analisis & Disain Sistem Informasi : Pendekatan
Terstruktur Teori dan Praktik Aplikasi Bisnis (Edisi II). Yogyakarta: ANDI.
IBISA. (2011). Keamanan Sistem Informasi (Edisi 1). Yogyakarta: ANDI.
ISO, 1. (2011). Auditing Definitions Translated Into Plain English. Retrieved
Februari 10, 2013, dari ISO Standards:
http://www.praxiom.com/iso-19011-definitions.htm
IT Governance Institute, (. (2007). COBIT 4.1. USA.
McLeod, R. (2001). Management Information System (8th Edition). United
States: Prentice Hall.
Mulyadi. (1990). Pemeriksaan Akuntan (Edisi ketiga). Yogyakarta: Sekolah
Tinggi Ilmu Ekonomi YKPN.
O'Brien, J. (2007). Enterprise Information System (13th edition). United
109
Weber, R. (1999). Information System Control and Audit. New Jersey: