Proses Keamanan TI

(1)

Dokumen Tata Kelola Proses Keamanan TI

Berdasarkan COBIT 5 – APO13

2016

STUDI KASUS : 5 LABORATORIUM DI JURUSAN SISTEM INFORMASI ITS

• WAHYU PRIAMBODO : 5210 100 1XX

• KANTHY SYLVIA PARAMITHA : 5212 100 001

• AHMAD FAJAR PRASETYA : 5212 100 XXX

(2)

DAFTAR ISI

DAFTAR ISI ... 2

DAFTAR TABEL ... 3

1. INTRODUCTION ... 4

1.1. PENDAHULUAN ... 4

1.2. KEBIJAKAN DAN ATURAN ... 5

2. MAPPING CONTROL ... 7

2.1. Key Management Practice APO-13.01 ... 7

3. MAPPING DOCUMENT ... 9

4. PEDOMAN DASAR DAN ACUAN ... 11

4.1. Dasar ... 11

4.2. Acuan ... 11

PROSEDUR ... 12

PR-APO.13.01 ... 12

PROSEDUR Membuat Daftar Inventaris dan Peran serta Tanggung Jawab Pengamnan Inventaris . 14 1. Deskripsi ... 15

2. Standar yang Berlaku ... 15

3. Indikator Kerja ... 15

4. Masukan... 15

6. Peralatan dan Perlengkapan ... 17

7. Aktivitas ... 17

PROSEDUR ... 18

PR-APO.13.02 ... 18

PROSEDUR PENGECEKAN BERKALA INVENTARIS LABORATORIUM ... 20

1. Deskripsi ... 21

3. Indikator Kerja ... 21

4. Masukan... 21

6. Peralatan dan Perlengkapan ... 22

7. Aktivitas ... 22

PROSEDUR ... 23

PR-APO.13.02 ... 23

PROSEDUR PROSEDUR PEMBUATAN RISK REGISTER DAN TINDAKAN MITIGASI RISIKO ... 0

(3)

8. Deskripsi ... 1

10. Indikator Kerja ... 1

11. Masukan... 1

13. Peralatan dan Perlengkapan ... 2

14. Aktivitas ... 2

DAFTAR TABEL

Table 1 Aturan dan Kebijakan Laboratorium ... 5

Table 2 Mapping Control - KMP APO-13.01 ... 7

Table 5 Mapping Document ... 9

(4)

1. INTRODUCTION

1.1. PENDAHULUAN

Perkembangan Teknologi Informasi (TI) yang sangat pesat dewasa ini telah menjadi bagian penting dari organisasi. Keuntungan yang dapat dirasakan dengan jelas adalah penurunan biaya usaha dengan tingkat pelayanan membaik, kepuasan meningkat dan omset meningkat tinggi.

Penerapan TI sangat mendukung kinerja suatu organisasi, dimana inovasi TI sebagai faktor penting. Oleh karena itu TI mulai dikembangkan untuk pendidikan Perguruan Tinggi untuk mendukung kegiatan operasional seperti administrasi, belajar mengajar, melakukan riset, mengembangkan TI dengan menghasilkan software dan hardware, dan menghasilkan Sumber Daya Manusia (SDM) yang menguasai TI.

Implementasi teknologi informasi memerlukan sistem keamanan yang memadai. Salah satu keamanan yang harus diperhatikan adalah keamanan fisik dan lingkungan TI. Keamanan Fisik dan Lingkungan TI di sini meliputi tata letak, kondisi infrastruktur, fasilitas TI yang tersedia, pengamanan akses fisik itu sendiri, penempatan kabel, pemindahan dan pembuangan komponen TI yang sensitif, serta perawatan peralatan TI. Keamanan fisik dan lingkungan TI ini mencegah kehilangan dan atau kerusakan data yang diakibatkan oleh lingkungan secara fisik, termasuk bencana alam dan pencurian data yang tersimpan dalam media penyimpanan atau dalam fasilitas penyimpan informasi yang lain.

Tatakelola TI pada tiap laboraturium telah dilakukan oleh pihak Jurusan Sistem Informasi Institut Teknologi Sepuluh Nopember, namun pelaksanaan penatakelolaan ini belum memiliki bakuan prosedur tatakelola TI, sehingga pihak Jurusan Sistem Informasi Institut Teknologi Sepuluh Nopember mengalami hambatan dalam melakukan pengelolaan keamanan fisik dan lingkungan TI yang ada pada tiap laboraturium. Bakuan atau panduan tatakelola TI merupakan kumpulan kertas yang dijilid yang berisi tulisan sebagai panduan untuk melakukan proses penatakelolaan bagi tiap laboraturium. Sehubungan dengan belum adanya panduan penatakelolaan TI dan pentingnya kemananan fisik dan lingkungan TI, maka diperlukan panduan tatakelolola TI di tiap laboraturium jurusan bagian Keamanan Fisik dan Lingkungan TI.

Penelitian tugas akhir ini bertujuan untuk menghasilkan panduan prosedur tatakelola teknologi informasi untuk pengelolaan keamanan fisik dan lingkungan TI pada tiap laboraturium Jurusan Sistem Informasi, Teknologi Sepuluh Nopember berdasarkan APO 13 yang digunakan. Hasil dari tugas akhir ini akan terdiri atas penjelasan mengenai tujuan, ruang lingkup, acuan dan

(5)

penanggung jawab pelaksanaan, prosedur tatakelola, prosedur checklist, dan formulir lain yang mendukung proses penatakelolan bagi keamanan fisik dan lingkungan TI. Pembuatan panduan ini diharapkan dapat membantu tiap kepala laboraturium untuk melakukan proses tatakelola di bagian keamanan fisik dan lingkungan TI lebih terstruktur.

1.2. KEBIJAKAN DAN ATURAN

Berdasarkan studi kasus yang kami angkat yaitu laboratorium yang ada di Jurusan Sistem Informasi ITS pada umumnya telah memiliki aturan dan kebijakan masing-masing sesuai dengan aturan dan kebijakan yang diberikan oleh kampus. Berikut ini merupakan aturan dan kebijakan dari 5 laboratorium yang terdapat di Jurusan Sistem Informasi ITS Surabaya.

Table 1 Aturan dan Kebijakan Laboratorium

Laboratorium Kebijakan dan Aturan Laboratorium

SE 1. Laboraturium

dibuka dari jam 08.00- 22.00 WIB.

2. Laboraturium buka dari hari Senin-Jumat.

3. Laboraturium memiliki kepala laboraturium dan admin.

4. Mahasiswa diperbolehkan menginap di Laboraturium jika memiliki surat ijin dari Jurusan.

1. Mahasiswa diwajibkan mengambil dua matakuliah pilihan laboraturium.

2. Mahasiswa yang ingin mengajukan sidang proposal Tugas Akhir wajib menyertakan

transkrip nilai perkuliahan, hasil test TOEFL, dan poster tentang topik tugas akhir.

3. Mahasiswa yang ingin mengajukan sidang tugas akhir wajib menyertakan transkrip nilai perkuliah, hasil tes lulus TOEFL, dan telah melakukan sidang progress sebanyak tiga kali.

IKTI 1. Mahasiswa diwajibkan mengambil dua

matakuliah pilihan laboraturium.

2. Mahasiswa yang ingin mengajukan sidang proposal Tugas Akhir wajib menyertakan transkrip nilai perkuliahan, hasil test TOEFL.

3. Mahasiswa yang ingin mengajukan sidang tugas akhir wajib menyertakan transkrip nilai perkuliah, hasil tes lulus TOEFL.

ADDI 1. Mahasiswa diwajibkan mengambil dua

(6)

Laboratorium Kebijakan dan Aturan Laboratorium

RDIB 1. Mahasiswa diwajibkan mengambil dua

MSI 1. Mahasiswa diwajibkan mengambil dua

2. Mahasiswa yang ingin mengajukan sidang proposal Tugas Akhir wajib menyertakan

transkrip nilai perkuliahan, hasil test TOEFL, dan poster undangan.

(7)

2. MAPPING CONTROL

2.1. Key Management Practice APO-13.01

Table 2 Mapping Control - KMP APO-13.01

Key Management

Practice

Kategori Aktivitas

Kontrol Kategori Kontrol

Prosedur Formulir

APO-13.01 Establish

and Maintain

ISMS

Membuat pendataan terkait

daftar Inventaris yang dimiliki Laboratorium

Preventive Membuat Daftar Inventaris dan

Peran serta Tanggung

Jawab Pengamnan

Inventaris (PR- APO13.01.01)

Pendaftaran Inventaris Laboraturium

(FR- APO13.01.01) Menetapkan ISMS

sesuai dengan kebijakan organisasi yang

selaras dengan karakteristik organisasi, lokasi, aset dan teknologi.

Memperoleh izin manajemen untuk

menerapkan dan mengoperasikan

Melakukan penyelarasan antara

pendekatan ISMS dengan perusahaan

secara keseluruhan dalam melakukan

pengelolaan keamanan Menetapkan peran dan tanggung jawab

Peran dan Tanggung Jawab

(8)

terhadap pengelolaan

keamanan Inventaris

Pengamanan Inventaris

(FR- APO13.01.02)

Practice

APO-13.02 Define and

Manage an Information Security

Risk Treatment

plan.

Melakukan analisis risiko

terkait keamanan fisik dan lingkungan Laboratorium

Preventive Pembuatan Risk Register dan

Tindakan Mitigasi Risiko

(PR- APO13.02.01)

Pendaftaran Risiko (FR-APO13.02.01)

Melakukan pembobotan pada risiko yang

ada serta Peran dan tanggung

jawab terkait risiko

Pembobotan Risk Register (FR-APO13.02.02)

Risk Roles and Responsibilities (FR-APO13.02.03)

Membuat mitigasi risiko sesuai dengan Risk Register

Pendaftaran Tindakan Mitigasi

Risiko (FR-APO13.02.04)

(9)

Practice

APO-13.03 Monitor

and Review the

ISMS

Melakukan pengecekan inventaris secara

berkala

Preventive, Detective

Pengecekan Berkala Inventaris Laboratorium

PR- APO13.03.01)

Status Ketersediaan

Inventaris FR-APO13.03.01)

Memberikan alat pendeteksi pencurian seperti

CCTV pada tiap ruangan Laboratorium

3. MAPPING DOCUMENT

Table 5 Mapping Document

KEBIJAKAN No

Prosedur

PROSEDUR No Formulir FORMULIR

Aturan dan Kebijakan Laboratorium

PR- APO13- 01.01

Membuat Daftar Inventaris dan Peran serta Tanggung Jawab Pengamnan Inventaris

FR-

APO13.01.01

Formulir Pendaftaran Inventaris

Laboraturium

FR-

APO13.01.02

Formulir Peran dan Tanggung Jawab Pengamanan Inventaris Prosedur Pembuatan

Risk Register dan

FR-

APO13.02.01

Formulir Pendaftaran Risiko

(10)

PR- APO13- 02.01

FR-

APO13.02.02

Formulir

Pembobotan Risk Register

FR-

APO13.02.03

Formulir Risk Roles and Responsibilities FR-

APO13.02.04

Formulir Rencana Tindakan Mitigasi Risiko

PR- APO13- 03.01

Prosedur Pengecekan Berkala Inventaris Laboratorium

FR-

APO13.03.01

FormulirStatus Ketersediaan Inventaris

(11)

4. PEDOMAN DASAR DAN ACUAN

4.1. Dasar

Pedoman ini dibuat berdasarkan pada:

1. Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik

2. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik 3. Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik

4. Peraturan Pemerintah No. 05/SE/M.KOMINFO/07/2011 tentang Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik

4.2. Acuan

Pembuatan dokumen tata keloloa ini mengacu pada 1. Cobit 5 Enabling Process APO-13 Manage Security 2. Standar ISO 27001

(12)

PROSEDUR PR-APO.13.01

LOGO INSTITUSI

(13)

LEMBAR PENGESAHAN

PROSEDUR

Judul : Membuat Daftar Inventaris dan Peran serta Tanggung Jawab Pengamnan Inventaris

NO. Dokumen : PR-APO13-01

Rilis :

Revisi :

Riwayat Perubahan :

No.Rilis No.

Revisi Halaman Penambahan/

Modifikasi/Penghapusan Deskripsi Perubahan Tanda Tangan

Dibuat Oleh Dibuat Oleh Dibuat Oleh

TTD TTD TTD

Jabatan : Jabatan : Jabatan :

Tanggal : Tanggal : Tanggal :

(14)

Nama Institusi

Nama Departemen Nama Laboraturium

PR-APO13-01 No. Rilis :

No. Revisi : Membuat Daftar Inventaris dan

Peran serta Tanggung Jawab Pengamanan Inventaris

Tanggal Terbit : Halaman :

PROSEDUR

PROSEDUR Membuat Daftar Inventaris dan Peran serta Tanggung Jawab Pengamnan Inventaris

Riwayat Perubahan

No Rilis No Revisi T,M,X* Deskripsi Perubahan

Tanda Perubahan

Keterangan : T : Penambahan M : Modifikasi X : Penghapusan

LOGO

INSTITUSI

(15)

Nama Institusi

No. Revisi : Membuat Daftar Inventaris dan

Peran serta Tanggung Jawab Pengamanan Inventaris

PROSEDUR

1. Deskripsi

Prosedur ini bertujuan untuk menjadi panduan dalam melakukan pencatatan terhadap seluruh inventaris / asset yang dimiliki leh masing-masing Laboratorium serta mendeskripsikan peran dan tanggung jawab terkait inventaris tersebut.

2. Standar yang Berlaku

a. COBIT 5: APO 13.01 Establish and Maintain Information System Management Security

b. ISO/IEC : 27001 : 2009

3. Indikator Kerja

a. Frekuensi pertemuan perencanaan ISMS b. Izin penerapan dan operasi ISMS

c. Kebijakan dan aturan Labratorium

4. Masukan

No Sumber Masukan Jenis Masukan Nomor & Nama Dokumen

LOGO

INSTITUSI

(16)

1 Standart Best Practice

Pendekatan Keamanan Perusahaan

ISO/IEC 27001:2005

Pengelolaan Keamanan Informasi

COBIT 5 APO 13 Manage Security

(17)

5. Keluaran

No Tujuan

Keluaran

Jenis Keluaran Nomor & Nama Dokumen

1 Internal Daftar Inventaris Laboratorium

FR-APO 13.01.01

2 Internal Peran dan Tanggung Jawab Keamanan

Inventaris Laboratorium

FR-APO 13.01.02

6.

Peralatan dan Perlengkapan

a. Kertas Kerja dan Alat Tulis b. PC / Laptop

7. Aktivitas

1. Kepala departemen dan Kepala bagian administrator dari tiap laboratorium serta yang berwenang lainnya melakukan diskusi terkait pebangunan ISMS.

2. Kepala departemen dan Kepala bagian administrator dari tiap laboratorium serta yang berwenang lainnya melakukan pendataan terkait daftar asset/inventaris yang dimiliki oleh tiap Laboratorium.

3. Kepala departemen dan Kepala bagian administrator dari tiap laboratorium serta yang berwenang lainnya mendeskripsikan peran dan tanggung jawab terhadap kemanan dari tiap asset yang telah didata.

4. Kepala bagian administrator dari tiap laboratorium mengisi formulir terkait Daftar Inventaris dan Peran serta Tanggung Jawab terhadap Keamanan Inventaris Laboratorium.

(18)

PROSEDUR PR-APO.13.02

LOGO INSTITUSI

(19)

LEMBAR PENGESAHAN

PROSEDUR

Judul Formulir : Prosedur Pengecekan Berkala Inventaris Laboratorium NO. Dokumen : PR-APO13-03

Rilis :

Revisi :

TTD TTD TTD

(20)

Nama Institusi

No. Revisi : Prosedur Pengecekan Berkala

Inventaris Laboratorium

PROSEDUR

PROSEDUR PENGECEKAN BERKALA INVENTARIS LABORATORIUM

Tanda Perubahan

LOGO

INSTITUSI

(21)

Nama Institusi

No. Revisi : Prosedur Pengecekan Berkala

Inventaris Laboratorium

PROSEDUR

1. Deskripsi

Prosedur ini bertujuan untuk menjadi panduan dalam membuat daftar risiko yang memiliki kemungkinan untuk terjadi untuk kemudian diberikan pembobotan nilain dan memberikan saran rencana mitigasi terkait risiko-risiko tersebut

2. Standar yang Berlaku

b. ISO/IEC : 27001 : 2009

3. Indikator Kerja

d. Frekuensi pertemuan perencanaan ISMS e. Izin penerapan dan operasi ISMS

f. Kebijakan dan aturan Labratorium

4. Masukan

No Sumber Masukan Jenis Masukan Nomor & Nama Dokumen 1 Standart Best

Practice

ISO/IEC 27001:2005

LOGO

INSTITUSI

(22)

5. Keluaran

No Tujuan

Keluaran

Jenis Keluaran Nomor & Nama Dokumen

1 Internal FormulirStatus Ketersediaan Inventaris

FR-APO13.03.01

6.

Peralatan dan Perlengkapan

7. Aktivitas

1. Kepala departemen dan Kepala bagian administrator dari tiap laboratorium serta yang berwenang lainnya melakukan diskusi terkait pembangunan ISMS.

2. Kepala bagian administrator dari tiap laboratorium serta yang berwenang lainnya melakukan pengecekan berkala terkait status dari tiap inventaris yang dimiliki.

3. Kepala bagian administrator dari tiap laboratorium mengisi formulir terkait Status Ketersediaan Inventaris.

(23)

PROSEDUR PR-APO.13.02

LOGO INSTITUSI

(24)

LEMBAR PENGESAHAN

PROSEDUR

Judul Formulir : Prosedur Pembuatan Risk Register dan Tindakan Mitigasi Risiko NO. Dokumen : PR-APO13-02

Rilis :

Revisi :

TTD TTD TTD

(25)

Nama Institusi

No. Revisi : Prosedur Pembuatan Risk Register

dan Tindakan Mitigasi Risiko

PROSEDUR

PROSEDUR PROSEDUR PEMBUATAN RISK REGISTER DAN TINDAKAN MITIGASI RISIKO

Tanda Perubahan

LOGO

INSTITUSI

(26)

Nama Institusi

No. Revisi : Prosedur Pembuatan Risk Register

dan Tindakan Mitigasi Risiko

PROSEDUR

8. Deskripsi

Prosedur ini bertujuan untuk menjadi panduan dalam membuat daftar risiko yang memiliki kemungkinan untuk terjadi untuk kemudian diberikan pembobotan nilain dan memberikan saran rencana mitigasi terkait risiko-risiko tersebut

9. Standar yang Berlaku

b. ISO/IEC : 27001 : 2009

10. Indikator Kerja

g. Frekuensi pertemuan perencanaan ISMS h. Izin penerapan dan operasi ISMS

i. Kebijakan dan aturan Labratorium

11. Masukan

No Sumber Masukan Jenis Masukan Nomor & Nama Dokumen

LOGO

INSTITUSI

(27)

ISO/IEC 27001:2005

12. Keluaran

No Tujuan Keluaran Jenis Keluaran Nomor & Nama Dokumen

1 Internal Formulir Pendaftaran

Risiko ^FR-APO13.02.01

2 Internal Formulir Pembobotan

Risk Register ^FR-APO13.02.02

3 Internal Formulir Risk Roles

and Responsibilities ^FR-APO13.02.03 4 Internal Formulir Rencana

FR-APO13.02.04

13.

Peralatan dan Perlengkapan

14. Aktivitas

1. Kepala departemen dan Kepala bagian administrator dari tiap laboratorium serta yang berwenang lainnya melakukan diskusi terkait pembangunan ISMS.

2. Kepala departemen dan Kepala bagian administrator dari tiap laboratorium serta yang berwenang lainnya melakukan pendataan risiko yang mungkin terjadi terhadap keamanan fisik dan lingkungan laboratorium

(28)

3. Kepala departemen dan Kepala bagian administrator dari tiap laboratorium serta yang berwenang lainnya melakukan pembobotan pada risiko yang telah tercantum pada Risk Register untuk dilakukan pegkategorian tingkat risiko.

4. Kepala departemen dan Kepala bagian administrator dari tiap laboratorium serta yang berwenang lainnya mendeskripsikan peran dan tanggung jawab terhadap kemanan dari tiap asset yang telah didata.

5. Kepala departemen dan Kepala bagian administrator dari tiap laboratorium serta yang berwenang lainnya membuat perencanaan mitigasi risiko sesuai dengan hasil penilaian risiko yang telah dilakukan.

6. Kepala bagian administrator dari tiap laboratorium mengisi formulir terkait Daftar Risiko, Pembobotan Risk Register, Risk Roles and Responsibilities, dan Rencana Tidakan Mitigasi.

(29)

LEMBAR PENGESAHAN

FORMULIR

Judul Formulir : Pendaftaran Inventaris NO. Dokumen : FR-APO13.01.01

Rilis :

Revisi :

TTD TTD TTD

(30)

FORMULIR PENDAFTARAN INVENTARIS

Petugas Administrator Labortrium :

Kepala Laboratotium :

Periode Review :

ID

INVENTARIS NAMA DESKRIPSI LOKASI TIPE

INVENTARIS PENANGGUNGJAWAB

IN-01 BUKU TUGAS

AKHIR MAHASISWA

Kumpulan buku Tugas Akhir dari Mahasiswa yang berasal dari Laboratorium ini

RAK-01 DATA /

DOKUMEN

Administrator Laboratorium

Daftar Tipe Inventaris:

1. Data dan dokumen

2. Perangkat Lunak (Sotware) 3. Perangkat Keras (Hardware) 4. Perangkat Jaringan

5. Sumber Daya Manusia 6. Database Laboratorium

(31)

LEMBAR PENGESAHAN

FORMULIR

Judul Formulir : Peran dan Tanggung Jawab Pengamanan Inventaris NO. Dokumen : FR-APO13.01.02

Rilis :

Revisi :

TTD TTD TTD

(32)

FORMULIR PERAN DAN TANGGUNG JAWAB PENGAMANAN INVENTARIS

ID INVENTARIS NAMA PENANGGUNGJAWAB DESKRIPSI TUGAS PENANGGUNGJAWAB

IN-01 BUKU TUGAS

AKHIR MAHASISWA

Administrator Laboratorium

(33)

LEMBAR PENGESAHAN

FORMULIR

Judul Formulir : Pendaftaran Risiko NO. Dokumen : FR-APO13.02.01

Rilis :

Revisi :

TTD TTD TTD

(34)

FORMULIR PENDAFTARAN RISIKO

ID RISIKO NAMA RISIKO

ANCAMAN

R-01 KEHILANGAN BUKU TUGAS AKHIR

MAHASISWA

TIDAK LENGKAPNYA BUKU TUGAS AKHIR MAHASISWA

(35)