Pembuatan Perangkat Audit Internal TI Berbasis
Resiko menggunakan ISO/IEC 27002:2007 pada
Proses Pengelolaan Data Studi Kasus Digital Library
Institut Teknologi Sepuluh Nopember Surabaya
Seminar Tugas Akhir
Dipresentasikan oleh :
Mochammad Arief Ramadhana 5207100002
Abstrak
Banyaknya akses ke Digital library Institut Teknologi Sepuluh Nopember Surabaya (ITS)
menunjukkan bahwa Digital library ITS sebagai institutional repository yang relatif
sangat sibuk dan faktor keamanan merupakan faktor yang krusial. Memperhatikan
pentingnya peranan Fungsi Audit Internal TI, khususnya dalam pelaksanaan
manajemen resiko maka sudah seharusnya audit dilakukan sedangkan pihak
perpustakaan ITS belum pernah melakukan audit pada Digital library.
•
Pada Tahap awal, proses penilaian resiko (risk-assessment) akan dilakukan
berdasarkan dari domain yang dipilih dari ISO/IEC 27002:2007 lalu prioritas dari hasil
assessment akan dibuat sebuah perangkat audit.
•
Hasil tugas akhir berupa sebuah perangkat audit yang dapat digunakan untuk
melakukan audit TI yang bertujuan memperbaiki setiap permasalahan yang
berhubungan dengan proses pengelolaan data pada Digital library ITS
Pendekatan dalam audit berbasis risiko
No
Audit konvensional
Audit berbasis risiko
1
Perhatian auditor dititikberatkan pada risiko manajemen dalam kaitannya dengan pencapaian tujuan audit. Auditor akan melakukan analisis atas risiko manajemen yang mempengaruhi tujuan auditnya. Semakin memadai pengendalian intern maka pengujian dan pembuktian audit (besarnya sample pengujian) yang harus dilakukan akan berkurang.Perhatian auditor lebih jauh lagi dititikberatkan pada penaksiran atas risiko (risk assessment). Auditor melakukan penaksiran risiko bukan hanya semata-mata untuk audit namun lebih difokuskan pada risiko atas kelangsungan dan perkembangan aktivitas dalam rangka pencapaian tujuan manajemen.
2
Auditor berfokus pada kejadian dan kondisi masa lalu yang berdampak pada tujuan audit yang telah ditetapkan dengan tujuan untuk menilai tingkat kewajarannya.Auditor mencoba membuat skenario risiko di masa kini dan di masa depan yang akan berdampak pada pencapaian tujuan organisasi. Sehingga dalam memberikan rekomendasi audit, lebih dititikberatkan pada pengelolaan risiko (risk management) selain pengelolaan pengendalian (management control).
3
Laporan audit merupakan informasi yang disampaikan kepada pihak-pihak yang berkepentingan dan pengguna laporan sesuai tujuan audit yang sudah ditetapkan, terutama mengenai berfungsi atau tidaknya pengendalian.Dalam laporan audit, auditor lebih menitikberatkan pada pengungkapan proses yang memiliki risiko dibandingkan pengungkapan berfungsi atau tidaknya suatu pengendalian.
4
Pendekatan proses auditnya berbasis sistem (system based audit). Audit berbasis sistem dilaksanakan atas dasar keberadaan suatu sistem yang sesungguhnya ada dan pengendalian yang dijalankan terkait dengan sistem tersebut. Oleh karena itu dengan sistem yang ada, dianggap akan mampu mengatasi semua risiko. Biasanya pengujian dilakukan dengan ”kuesioner internal kontrol”, yaitu dokumen standar yang digunakan dalam setiap penugasan audit.Pendekatan proses auditnya berbasis risiko (risk based audit). Audit berbasis risiko dilaksanakan atas dasar risiko-risiko dan melaporkan kepada pihak manajemen apakah risiko-risiko tersebut telah dapat dikelola dengan baik atau sebaliknya. Dalam hal ini proses ABR dilaksanakan untuk mengelompokkan sejumlah risiko-risiko, dan proses menggambarkan ”sesuatu yang logis” dan bukan kondisi aktual. Jika terdapat suatu risiko tetapi tidak termasuk di dalam proses yang dipetakan maka harus dipecahkan melalui proses yang baru.
Proses implementasi ISO/IEC 27002
Memperoleh Dukungan
Manajemen Tingkat Atas
Definisikan Batasan
Keamanan
Membuat Kebijakan
Keamanan Informasi
Membuat Sistem
Manajemen
Keamanan
Keamanan Informasi
Melakukan Penilaian
Risiko
Pilih dan
Implementasi
Kontrol
Laporan
Dokumen
Akuntabilitas
Audit
Data penelitian: Tugas Akhir, Tesis, Disertasi dan referensi buku yang ada di perpustakaan ITS.
Persiapan
Studi literatur dan survey pada studi kasus
---Observasi Wawancara
Proses bisnis yang dikelola Pengumpulan
Data
---Penilaian terhadap
risiko Membuat dokumen statement of applicability
Risiko teridentifikasi Analisa informasi teridentifikasi
---klausul kontrol teridentifik asi Identifikasi komponen penyusun perangkat audit Menyusun perangkat auditUji coba Revisi
Pembuatan Perangkat Audit
Perangkat/Pedoman Audit
---Penyusunan buku tugas akhir
Kelemahan sistem yang dapat menimbulkan ancaman di Digilib ITS
Pihak terlibat: Sub-koordinator bidang TI dan tim Digital Library ITS
Output: Hasil penilaian risiko Output: Pedoman Audit
Struktur Organisasi
Kepala UPT Perpustakaan Koordinator IT, Kerjasama dan Pelatihan Koordinator Jasa teknis Koordinator jasa penggunaKasubag tata usaha Sub koordinator, kepegawaian,
kerumahtanggaan dan umum
Sub Koordinator IT dan Digital Library Sub koordinator kerjasama dan pelatihan Sub koordinator penambahan koleksi Sub koordinator klasifikasi dan katagolisasi Sub koordinator pasca klasifikasi, katagolisasi dan pemelihaan pustaka Sub koordinator jasa pengguna I (Lantai 3) Sub koordinator jasa pengguna II (Lantai 4) Sub koordinator jasa pengguna III
Proses bisnis Sub koordinator bidang TI dan Digital
Library
Sub koordinator IT dan Digital Library mempunyai rincian tugas sebagai berikut:
•
Mengkoordinasi, melaksanakan, membangun, mengembangkan dan melakukan
pengawasan semua pekerjaan yang berhubungan dengan automasi Perpustakaan,
termasuk jaringan, digital library dan lainnya.
•
Membatu melaksanakan pekerjaan-pekerjaan yang menjadi tanggung jawab
koordinator bagian IT, pemasaran dan pelatihan, termasuk perbaikan dan
perawatannya.
•
Melakukan bimbingan dan pelatihan peserta magang di perpustakaan.
•
Melaksankan tugas Perpustakaan lainnya bila diperlukan.
•
Bersenergi, mengamalkan, dan membagi ilmunya kepada siapa saja yang
membutuhkan dan yang dikehendaki.
•
Mengatur dan melaksanakan tata ruang, tata letak ruang bagiannya sehingga
nampak nyaman.
•
Memberi layanan sesuai dengan motto ITS-CAK kepada semua pemustaka dan
pustakawan lainnya.
Proses bisnis Sub koordinator bidang TI dan Digital
Library
Staf IT dan Digital Library mempunyai rincian tugas sebagai berikut:
•
Melaksanakan pemeliharaan hardware dan jaringan komputer.
•
Melakukan alihmedia koleksi cetak karya ilmiah ITS menjadi bentuk digital.
•
Mengolah koleksi ilmiah digital, yang meliputi proses pemecahan, pemberian
password dan watermark.
•
Mengupload dan mempublikasi karya ilmiah civitas ITS ke system digital library.
•
Melakukan aplikasi calon pemustaka yang mendaftar melalui Online.
•
Melayani pemustaka online yang berkunjung ke situs Perpustakaan dan Digital
Library.
•
Melakukan pekerjaan yang berhubungan dengan aktifitas Jasa Pemasaran dan
Pelatihan.
•
Melakukan jaga kontrol sesuai jadwal yang ditentukan.
•
Membantu urusan bidang pelayanan yang berhubungan dengan kegiatan ruang
komputer seperti Layanan Mandiri dan Upload Mandiri.
Proses bisnis Sub koordinator bidang TI dan
Digital Library
Untuk memperlancar dalam menjalankan tugasnya sehari-hari maka bidang
TI dan Digital Library membagi dirinya menjadi beberapa bagian atau tim,
bagian-bagian tersebut yaitu:
Bagian TI, yang terdiri dari:
•
Hardware dan jaringan.
•
Software.
•
Implementasi dan support IT.
Digital Library, yang terdiri dari:
•
Support pengguna.
•
Pengolahan Data.
Proses bisnis Sub koordinator bidang TI dan
Digital Library
Sedangkan Aset informasi yang dikelola oleh bidang ini yaitu:
•
SPITS (Sistem informasi perpustakaan), adalah program sistem
perpustakaan ITS yang berbasis komputer. Program ini terdiri dari
modul-modul yang mempresentasikan proses bisnis perpustakaan ITS seperti
meminjam buku dan mengembalikan buku.
•
OPAC, adalah katalog online perpustakaan. Dapat digunakan untuk
mencari koleksi buku secara cepat di perpustakaan ITS.
•
Digital Library ITS, adalah Digital Library atau perpustakaan digital
merupakan etalase karya ilmiah sivitas akademika ITS dan dapat diakses
pemustaka melalui dunia maya/internet dari seluruh penjuru dunia.
Value chain Proses bisnis bidang TI yang
berhubungan dengan Digital library
Mapping Proses bisnis dan Klausul dalam ISO
27002
Proses bisnis Penyediaan informasi, layanan dan bimbingan yang efektif Implementasi digital library Pengembangan perangkat lunak upload mandiri Pengembangan software watermark di digilib dan cantuman digilib yang corrupt Pelatihan karyawan penyedia layanan TI Pengawasan kinerja di tiap tiap entitas di bidang TI Meningkatkan implentasi digital library Klausul dalam ISO 27002 Clause 1 security policy Clause 7 access control Clause 3 asset management Clause 3 asset management Clause 4 human resource security Clause 6 communication and operation management Clause 7 access control Clause 2 organization of information system Clause 3 asset management Clause 5 physical and environmental security Clause 5 physical and environmental security Clause 6 communication and operation management Clause 9 information security incident management Clause 3 asset management Clause 10 business continuity management Clause 9 information security incident management Clause 8 information system acquisition, development and maintenance Clause 8 information system acquisition, development and maintenance Clause 11 compliance Clause 10 business continuity managementMapping Proses bisnis dan Klausul dalam ISO
27002
-
Klausul yang dipilih
-Proses bisnis Penyediaan informasi, layanan dan bimbingan yang efektif Implementasi digital library Pengembangan perangkat lunak upload mandiri Pengembangan software watermark di digilib dan cantuman digilib yang corrupt Pelatihan karyawan penyedia layanan TI Pengawasan kinerja di tiap tiap entitas di bidang TI Meningkatkan implentasi digital library Klausul dalam ISO 27002 Clause 3 asset management Clause 3 asset management Clause 3 asset management Clause 3 asset management
Perkembangan Digital Library
Karya yang diupload ke Digital Library
-No Jenis koleksi 2007 2008 2009 2010 Jumlah judul saat ini 1 Tugas Akhir (S1) 904 2562 5005 8471 2 Tesis (S2) 1500 121 493 861 2975 3 Disertasi (S3) 5 30 35 4 Non Degree 765 765 5 Clipping 6 Discussion materials 7 Book 8 Image 9 Proceedings 2 11 1 14 10 Research Report 245 149 394 11 Scientific Oration 4 1 5
12 Scientific journal articles 62 102 164
13 Course material 14 Distance learning 15 Journal 12 11 23 16 Multimedia 17 Publication 18 Software 19 Inaguration Speech 16 14 30 20 ITS heritage 1 1
21 Student paper and presentation
22 Brochure and Documentation
Perkembangan Digital Library
indikator kinerja
-Bulan per tahun
2007
2008
2009
2010
Januari
27.078
217.124
612.519
2.789.198
Februari
19.457
240.051
594.997
6.063.566
Maret
20.513
199.523
401.372
3.367.713
April
25.956
300.569
465.761
1.583.274
Mei
44.710
279.677
1.386.996
1.470.106
Juni
48.279
270.382
1.273.530
1.571.512
Juli
38.514
203.026
1.914.463
2.241.224
Agustus
37.769
266.187
1.313.195
1.319.922
September
33.774
436.981
2.609.129
2.641.809
Oktober
44.285
387.653
1.328.202
2.837.263
Nopember
118.078
471.832
2.404.897
2.753.115
Desember
122.869
505.185
2.751.527
3.742.287
Total
592.282
3.778.190
17.056.588
32.380.989
Kontrol Administrasi
Prosedur
Definisi
Ruang lingkup
Penanggung jawab
status
Koordinasi
bidang
komputerisasi
(administrasi
website
Digital Library)
Prosedur
yang
digunakan
sebagai
acuan perpustakaan
untuk
mengelola
administrasi website
digital library
Front-end Digital
Library
Administrator
dijalankan
Koordinasi
layanan
koleksi tugas akhir dan
karya ITS
Prosedur
yang
digunakan
sebagai
acuan perpustakaan
untuk
melayani
pengadaan
dan
peminjaman koleksi
Koleksi karya ITS
Petugas layanan
Ada dan
dijalankan
Kontrol Teknis dan Operasi
Prosedur Definisi Ruang lingkup Penanggung jawab status Koordinasi bidang
klasifikasi & katalogisasi Jasa Teknis
Prosedur yang digunakan sebagai acuan perpustakaan untuk melakukan klasifikasi dan katagolisasi buku
Bidang klasifikasi dan
katalogisasi Petugas layanan dijalankanAda dan
Koordinasi bidang komputerisasi (klasifikasi & katalogisasi)
Prosedur yang digunakan sebagai acuan perpustakaan untuk melakukan klasifikasi dan katagolisasi buku. khusus buku yang akan diupload ke Digilib
Digital Library Koordinator dan Sub
koordinator TI dijalankan Koordinasi bidang pascaklasifikasi & katalogisasi (termasuk perawatan dan penjilidan)
Prosedur yang digunakan sebagai acuan perpustakaan untuk merawat koleksi
Bidang klasifikasi dan
katalogisasi Petugas layanan dijalankanAda dan
Koordinasi bidang pengembangan
koleksi/pengadaan
Prosedur yang digunakan sebagai acuan perpustakaan untuk melakukan pengadaan koleksi
Bidang pengolahan dan
pengembangan koleksi Koordinatorkasubag perpustakaandan ITS Ada dan dijalankan Koordinasi bidang komputerisasi (entri data)
Prosedur yang digunakan sebagai acuan perpustakaan untuk melakukan entri data dan upload ke digital library
Digital library Koordinator dan sub
Kontrol Fisik
Prosedur
Definisi
Ruang lingkup
Penanggung jawab
status
Koordinasi
bidang
komputerisasi (jaringan
dan perawatan)
Prosedur
yang
digunakan
sebagai
acuan
perpustakaan
untuk
mengelola
jaringan
Digital Library
Koordinator dan sub
koordinator IT
dijalankan
Koordinasi
bidang
komputerisasi (server)
Prosedur
digunakan
sebagai
yang
acuan
perpustakaan
untuk mengelola server
Digital Library
Digital Library
Koordinator dan sub
Identifikasi risiko
Berkaitan
dengan
hasil
wawancara
yang
dilakukan oleh penulis, maka selanjutnya dapat
dilakukan analisis identifikasi risiko sesuai dengan
tahapan awal proses penilaian risiko yang terjadi
dan ditemukan di Digital library Perpustakaan ITS
dengan langkah sebagai berikut:
•
Melakukan
identifikasi
ancaman
(threat)
terhadap Digital Library sebagai aset instansi
dan dampak bisnis terkait dengan ancaman
tersebut.
•
Melakukan identifikasi terhadap kelemahan
(vulnerability) yang dapat memicu terjadinya
ancaman (threat).
Identifikasi aset yang berkaitan
kategori
Sumberdaya
Jaringan
Jaringan intranet, jaringan internet, teknologi
wireless
Perangkat lunak
Digital Library
Perangkat keras
Komputer server dan client, printer, scanner,
keyboard, mouse, switch, router, kabel LAN
Manusia
Koordinator dan sub koordinator bidang TI
termasuk
didalamnya
kepala,
staff,
administrator sistem, petugas teknis yang
setiap hari mengecek dan merawat digital
library
Data
Data koleksi tugas akhir, tesis, disertasi,
Risiko kesalahan
Tipe Risiko Risiko Kesalahan
No.
01
Risiko
Kesalahan klasifikasi data
Aset
Manusia, Data
Penyebab
Kesalahan klasifkasi dalam melakukan proses pengolahan data terjadi dikarenakan adanya
kesalahan atas individu yang melakukan pekerjaan itu sendiri (human error)
Dampak
jika data tidak berada pada cluster yang benar maka tidak menjamin data tersebut akan
mendapatkan proteksi yang sesuai
Kelemahan
Ketidaktelitian pegawai dalam melakukan proses pengolahan data
No.
02
Risiko
Kesalahan entri dan metadata
Aset
Manusia, Data
Penyebab
Kesalahan entri dalam melakukan proses pengolahan data terjadi dikarenakan adanya kesalahan
atas individu yang melakukan pekerjaan itu sendiri (human error)
Dampak
-Data menjadi available untuk di download
-
Integritas data terganggu
Kelemahan
Risiko Pengembangan
Tipe Risiko
Risiko Pengembangan
No.
03
Risiko
SQL injection
Aset
Software, Data
Penyebab
Tidak ada mekanisme validasi
data masukanpengguna.
Tidak ada batasan hak akses (priveleges) setiap pengguna.
Tidak ada mekanisme peringatan ketika terjadi kegagalan pada sistem.
Dampak
Kehilangan data, Perubahan data, Penghapusan data, Kegagalan sistem sementara, Proses
bisnis terganggu.
Kelemahan
Mekanisme validasi data masukan oleh sistem.
Mekanismepembatasan privelege pengguna.
Mekanisme pembatasan input karakter untuk login form.
No.
04
Risiko
Virus atau malware
Aset
Software, jaringan,
data
Penyebab
Tidak ada software keamanan yang dipasang dan tidak diupdate untuk melindungi database.
Dampak
Kerusakan data, kehilangan data, data tidak dapat diakses
Kelemahan
Risiko Pengungkapan Informasi
Tipe Risiko
Pengungkapan Informasi
No.
05
Risiko
Hacking
Aset
Software,
jaringan,
data
Penyebab
Hacking terjadi diakrenakan adanya celah keamanan yang bisa dimanfaatkan para hacker untuk
mencuri data, merusak data dan memindah data ke tempat lain.
Dampak
kehilangan data, data berubah, proses bisnis terganggu
Kelemahan
Sistem perlindungan server, source code, port yang terbuka
No.
06
Risiko
Social engineering
Aset
Software, data
Penyebab
Mekanisme otentikasi login tidak dienkripsi atau diberi perlindungan.
Tidak ada pembatasan waktu kepada pengguna yang telah masuk ke sistem.
Dampak
Pencurian data oleh orang lain, Hilangnya hak akses karyawan ke dalam sistem, Hilangnya
informasi penting ke orang lain.
Kelemahan
Penetapan tipe risiko
Untuk setiap tipe risiko, ancaman, kelemahan
sistem, dampak diberi skor/skala tinggi, cukup,
rendah, atau tidak ada
Hitung skor risiko:
(Menggunakan metode dari ISO 27002)
Urutkan risiko berdasarkan skor
Kaji ulang dan penyesuaian jika diperlukan
Buat rencana audit dengan prioritas risiko
Kaji ulang rencana dan penyesuaiannya
Laksanakan Audit
P
en
y
eg
a
ra
n
P
eri
o
d
ik
Informasi
dari luar
Informasi
dari organisasi
risiko terurut
hubungan dengan
manajemen
Rencana audit
prioritas
hubungan dengan
manajemen
A kum ul a si b as is pe n ge tah ua n audi to rMetode penilaian probabilitas risiko
ISO/IEC 27002
Probabilitas
kejadian
Frekuensi
Nilai
Tidak pernah terjadi
Tidak pernah
0
Sangat rendah
2-3 kali setiap 5
tahun
1
Rendah
<= 1 kali per tahun
2
Sedang
<= 1 kali setiap 6
bulan
3
Tinggi
<= 1 kali setiap
bulan
4
Sangat tinggi
>=1 kali setiap
bulan
5
Metode penilaian dampak risiko ISO/IEC
27002
Dampak kejadian
Derajat dampak
Nilai
Tidak berpengaruh
Tidak mempunyai
dampak.
0
Minor
Tidak perlu usaha
lebih untuk memperbaiki.
1
Signifikan
Dampak dapat
diukur, perlu usaha lebih untuk
memperbaiki.
2
Merusak
Merusak reputasi
dan keyakinan perusahaan.
Memerlukan sumber daya lebih
untuk memperbaiki
3
Serius
Kehilangan
konektivitas. Kehilangan banyak data
atau layanan.
4
Parah
Kegagalan sistem
Estimasi risiko dengan cara scoring,
ISO/IEC 27002
Perhitungan risiko
(Probabilitas x Dampak)
Nilai
0
Tidak
berpengaruh
1-3
Rendah
4-7
Sedang
8-14
Tinggi
15-19
Kritis
20-30
Ekstrim
Menilai risiko
Risiko Kesalahan klasifikasi data Probabilitas kejadian 3 Dampak kejadian 1
Nilai risiko 3
Kategori risiko: Rendah
Risiko Kesalahan entri
dan metadata Probabilitas kejadian 4
Dampak kejadian 1
Nilai risiko 4
Menilai risiko
Risiko SQL Injection Probabilitas kejadian 2
Dampak kejadian 3
Nilai risiko 6
Kategori risiko: Sedang
Risiko Virus atau
malware
Probabilitas kejadian 1
Dampak kejadian 2
Nilai risiko 2
Menilai risiko
Risiko Hacking Probabilitas kejadian 2
Dampak kejadian 4
Nilai risiko 8
Kategori risiko: Tinggi
Risiko Social
engineering
Probabilitas kejadian 1
Dampak kejadian 4
Nilai risiko 4
Penilaian risiko
Kesimpulan
-Setelah dilakukan penilian terhadap risiko-risiko yang ada di Digital Library Perpustakaan ITS maka
kesimpulan yang didapat dari hasil penilaian risiko diatas adalah sebagai berikut:
•
Risiko tersebut ada karena terdapat kelemahan di dalam prosedur keamanan sistem, rancangan
sistem, implementasi, pengendalian internal, dan sebagainya, yang bisa dieksploitasi untuk
melanggar kebijakan keamanan system. Sebagai bukti, tidak adanya kontrol keamanan tertulis
atau SOP yang dibuat untuk menangani hal ini. Upaya untuk mengatasi masalah spontan
dilakukan jika tiba-tiba terjadi sesuatu berkaitan dengan risiko tersebut.
•
Banyak terdapat risiko dengan kategori sedang bahkan tinggi yang dapat memberikan dampak
negatif bagi institusi.
•
Risiko dengan kategori tinggi mengindikasikan bahwa Sistem sangat lemah karena tidak
menerapkan semua teknik pengendalian. Risiko dengan kategori sedang juga dapat
menimbulkan ancaman serius jika tidak ditangani segera atau dibiarkan. Dibutuhkan penanganan
lebih untuk mengatasi risiko tersebut. Maka dari itu risiko dengan kategori sedang hingga
ekstrim dalam hal ini akan menjadi prioritas pemeriksaan untuk dilaksanakan pada tahap
selanjutnya.
•
Semakin tinggi risiko akan semakin menjadi fokus audit dan dengan kedalaman pengujian yang
Dokumen Statement of
Dokumen SOA
Dokumen SOA dibuat bertujuan untuk mengendalikan dan mengontrol
keamanan yang akan diimplementasikan dalam sebuah organisasi. SOA bisa
menjadi bagian dari dokumen penilaian risiko (risk assesment), tetapi
biasanya ini merupakan dokumen yang berdiri sendiri. Elemen yang
terdapat dalam SOA dapat dilihat pada tabel 4.16 berikut ini:
•
Nama dan nomor kontrol keamanan ISO/IEC 27002.
•
Deskripsi kontrol keamanan ISO/IEC 27002.
•
Adopsi dari klausul kontrol ISO/IEC 27002 ke organisasi
•
Justifikasi dalam implementasi kontrol keamanan yang ada.
•
Referensi yang digunakan dalam dokumen SOA.
Kontrol Deskripsi persetujuan justifikasi Prosedur atau Pedoman
3.1 Responsibility for Assets
3.1.1 Inventory of assets tidak Proses inventarisasi dilakukan dengan cara
melakukan upload ke Digital Library namun tidak ada prosedur terdokumentasi pada Bidang TI dalam melakukan inventarisasi terhadap aset dengan cara tersebut.
Tidak ada
3.1.2 Ownership of assets tidak Bidang TI memang melakukan tugasnya
namun tidak ada prosedur
tertulis/terdokumentasi yang menjelaskan mengenai tata cara melakukan hal tersebut, aktifitas tersebut dilakukan sebatas rutinitas sehari-hari. Misalnya seperti backup dan maintenance.
Tidak ada
3.1.3 Acceptable use of assets ya Terdapat panduan mengenai cara
melakukan upload secara mandiri untuk mahasiswa yang akan mengupload tugas akhir/tesisnya ke Digital library. Panduan tersebut terdapat pada Website Digital Library Digilib.its.ac.id.
Panduan upload mandiri tugas akhir/tesis/disertasi
3.2 Information classification
3.2.1 Classification guidelines ya Bidang TI dan bidang pengolahan data
berkoordinasi untuk melakukan katagolisasi atau pengklasifikasian terhadap semua aset yang berhubungan proses bisnis Digital Library. Keduanya melakukan klasifikasi terhadap aset yang dikelolanya.
SOP jasa teknis, koordinasi bidang klasifikasi dan katagolisasi
3.2.2 Information labeling and handling tidak Pelabelan terhadap aset dilakukan sebagai bagian dari proses klasifikasi. Pelabelan dilakukan untuk tujuan kelengkapan pustaka. Pelabelan yang dilakukan pada bidang TI dilakukan dengan memberikan metadata dan watermark namun tidak prosedur tertulis mengenai hal tersebut. Aktifitas tersebut dilakukan sebatas rutinitas mereka sehari hari
Menyusun perangkat / pedoman
audit
Komponen perangkat audit
Elemen Kriteria unjuk kerja
1. Klausul kontrol ISO 27002 1. Klausul kontrol yang ditetapkan adalah parameter dalam melakukan proses audit
2. Klausul kontrol dipetakan dengan proses bisnis utama untuk mengetahui proses yang paling kritis (butuh perhatian lebih)
3. Klausul terpilih relevan terhadap masalah
2. Mengidentifikasi dan menilai risiko
terkait 1.2. Risiko potensial dinilai dan menjadi prioritasRisiko diidentifikasi untuk merefleksikan ruang lingkup risiko
3. Dokumen SOA 1. Dokumen kerja dibutuhkan untuk membuat perangkat audit dikembangkan sesuai dengan kebutuhan dan keinginan organisasi
2. Dokumentasi yang ada diperiksa untuk memastikan keamanan berada dalam pengendalian yang seharusnya
4. Standart Operational Procedure
perpustakaan ITS 1. Legislasi yang relevan dari level pemerintah yang memperngaruhi aktivitasoperasional bisnis, khusunya yang berhubungan dengan masalah perpustakaan