BAB 4 HASIL DAN PEMBAHASAN

(1)

54

HASIL DAN PEMBAHASAN

4.1 Analisa Temuan Audit

Pada hari Senin tanggal 23 Desember 2013, penulis telah melakukan audit pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT. Audit dilakukan dengan menggunakan standar internasional untuk SMKI yaitu ISO/IEC 27001:2005 yang terdiri dari 11 klausal, 39 objektif, dan 133 kontrol keamanan. Berikut merupakan analisa penulis terhadap hasil temuan audit yang diperoleh:

• A.5 Kebijakan Keamanan

A.5.1 Kebijakan Keamanan Informasi

A.5.1.1 Dokumen Kebijakan Keamanan Informasi

Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

Tanggal Audit : 23 Desember 2013 Auditor : Dessy Liana

Auditee : Agung Sukmono (Manajer Operasional)

Tabel 4.1 Analisa Temuan Audit Pada A.5.1.1 Analisa Hasil Audit:

Berdasarkan audit yang dilakukan, PT. AGIT memiliki kebijakan Data Integrity Test untuk penyimpanan hasil data rekaman CCTV.

Berdasarkan kebijakan tersebut, maka akan menghasilkan laporan Video Monitoring Monthly untuk memastikan kondisi rekaman setiap bulannya. Dalam pengaksesan hasil data rekaman CCTV tersebut hanya Bagian EOS dan Manajer Operasional yang dapat mengakses data rekamannya. Selain itu, seluruh jaringan menggunakan jaringan VPN

Persyaratan ISO/IEC 27001:2005 :

A.5.1.1

Kategori Temuan:

Not Comply (Major)

(2)

IP sehingga keamanan data dapat terjaga, tetapi belum ada dokumen kebijakan secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV yang terdokumentasi. Hasil temuan audit pada annex ini termasuk kategori temuan major karena dapat terjadi penyalahgunaan wewenang dalam melakukan pemantauan rekaman CCTV.

Analisa Penyebab:

PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat ketentuan secara tertulis mengenai kebijakan keamanan informasi pada saat melakukan pemantauan rekaman CCTV.

Saran Tindakan Perbaikan :

Membuat ketentuan atau pedoman secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV agar prosedur yang sudah ada dapat berjalan lebih efektif dan tertulis pada pedoman yang ada, sehingga keamanan informasi rekaman CCTV dapat lebih terjaga.

Target Selesai :

Minggu ke 3, bulan Maret 2014

A.5.1.2 Tinjauan Ulang Kebijakan Keamanan Informasi

Tabel 4.2 Analisa Temuan Audit Pada A.5.1.2 Analisa Hasil Audit :

Berdasarkan audit yang telah dilakukan, dapat disimpulkan bahwa PT. AGIT tidak melakukan tinjauan secara rutin terhadap

Kategori Temuan:

(3)

pedoman kebijakan mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV karena mengacu pada hasil temuan audit A.5.1.1.

A.5.1.2 Not Comply (Minor)

Analisa Penyebab :

PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat pedoman secara tertulis mengenai kebijakan keamanan informasi pada saat melakukan pemantauan rekaman CCTV.

Membuat ketentuan atau pedoman secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV agar prosedur yang sudah ada dapat berjalan lebih efektif dan tertulis pada pedoman yang ada sehingga keamanan informasi rekaman CCTV dapat lebih terjaga.

Setelah pedoman tersebut tertulis dan disetujui oleh pihak manajemen maka pedoman tersebut harus ditinjau secara rutin agar apabila terjadi perubahan terhadap pedoman tersebut seluruh karyawan yang terkait dapat memahaminya dan menerapkannya.

• A.6 Organisasi Keamanan Informasi

A.6.1 Organisasi Internal Keamanan Informasi

A.6.1.1 Komitmen Manajemen Terhadap Keamanan Informasi

(4)

Berdasarkan audit yang dilakukan, manajemen dari PT. AGIT sudah melakukan meeting untuk mendukung pemberian tanggung jawab mengenai keamanan data rekaman CCTV kepada setiap karyawan.

A.6.1.1

Kategori Temuan :

Comply

Tidak terdapat analisa penyebab pada hasil audit ini.

Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.6.1.1

-

A.6.1.2 Koordinasi Keamanan Informasi

Berdasarkan audit yang dilakukan, bahwa setiap karyawan sudah diberikan informasi- informasi mengenai tugas dan tanggung jawabnya terhadap keamanan data rekaman CCTV sehingga karyawan dapat menjalankan tugas dan tanggung jawabnya tersebut.

A.6.1.2

Kategori Temuan :

Comply

(5)

Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.6.1.2

-

A.6.1.3 Alokasi Tanggung Jawab Keamanan Informasi

Berdasarkan hasil audit yang dilakukan, A.6.1.3 ini berkaitan dengan A.6.1.2 bahwa selain karyawan sudah diberikan informasi mengenai tugas dan tanggung jawabnya masing-masing, karyawan sudah memahami tugas dan tanggung jawab mereka masing- masing terhadap keamanan data rekaman CCTV. Manajemen juga sudah membuat dokumen yang menyatakan tugas dan tanggung jawab masing-masing karyawan tersebut

A.6.1.3

Kategori Temuan :

Comply

Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.6.1.3.

-

(6)

A.6.1.4 Proses Otorisasi Terhadap Fasilitas Pengolahan Informasi

Berdasarkan hasil audit, Proyek CCTV Pada Bank XYZ ini baru berjalan selama 1 tahun lebih sejak Agustus tahun 2012 dan penyusunan configuration item masih belum tuntas sehingga belum ada otorisasi yang dilakukan terhadap penggunaan perangkat lunak. Akan tetapi, untuk otorisasi penggunaan perangkat keras, jaringan, dan pengguna sudah ada, yaitu pada CMDB mapping.

A.6.1.4

Kategori Temuan :

Comply (Observation)

Karena Proyek CCTV Pada Bank XYZ ini baru berjalan selama 1 tahun lebih dan semua peralatan yang mendukung proyek tersebut masih baru dan belum dibutuhkannya peralatan baru untuk mengganti peralatan yang sedang digunakan tersebut.

Configuration item harus di tuntaskan agar dapat memenuhi persyaratan standar keamanan informasi pada A.6.1.4

Target Selesai : -

A.6.1.5 Perjanjian Kerahasiaan

(7)

Berdasarkan hasil audit yang dilakukan, semua karyawan yang menangani proyek ini sudah terikat dengan NDA (Non - Disclosure Agreement) yang tertuai dalam surat kontrak kerja yang dikelola oleh HRD. Kemudian untuk vendor dikelola oleh supplier manager. Pada bagian operation juga terdapat NDA.

A.6.1.5

Kategori Temuan:

Comply

Target Selesai :

-

A.6.1.6 Hubungan Dengan Pihak Yang Terotorisasi

Berdasarkan analisa yang dilakukan, untuk

Persyaratan ISO/IEC

Kategori Temuan:

(8)

menindaklanjuti suatu fraud/incident keamanan data rekaman CCTV akan dilakukan oleh pihak yang sudah diberikan otoritas, yaitu CSC (Customer Service Center) / Helpdesk yang memiliki Document Service Catalouge dan juga Bagian EOS untuk insiden di lapangan. Contoh insiden yang ditangani adalah kamera mati, kabel putus, VPN putus, perangkat server crash/mati.

27001:2005 :

A.6.1.6 Comply

Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.6.1.6.

-

A.6.1.7 Hubungan Dengan Lembaga Khusus Terkait

Departemen/Fungsi/Proses yang diaudit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

Tabel 4.9 Analisa Temuan Audit PadaA.6.1.7 Analisa Hasil Audit :

Berdasarkan hasil audit yang sudah dilakukan, PT. AGIT sudah mengikuti forum internal perusahaan yang hanya melakukan sharing saja, tetapi pihak PT. AGIT belum pernah ada yang bergabung untuk forum profesional/asosiasi secara internasional.

A.6.1.7

Kategori Temuan :

Comply

(9)

PT. AGIT belum memiliki kesadaran bahwa bergabung dengan forum profesional/asosiasi secara internasional dapat meningkatkan pengetahuan mengenai perlindungan dalam keamanan informasi perusahaan

PT. AGIT seharusnya mengikuti forum profesional/asosiasi internasional untuk mengetahui lebih banyak mengenai pemahaman tentang lingkungan keamanan informasi terkini dan secara lengkap, untuk menjaga keamanan informasi CCTV tersebut.

-

A.6.1.8 Pembahasan Keamanan Informasi Secara Independen

Auditee : Agung Sukmono (Manajer Operasional) Tabel 4.10 Analisa Temuan Audit Pada A.6.1.8 Analisa Hasil Audit :

Berdasarkan audit yang sudah dilakukan, PT.

AGIT sudah melakukan internal audit pada Proyek CCTV Pada Bank XYZ. Namun, internal audit ini dilakukan oleh Manajer Operasional pada proyek ini. Internal audit tersebut dilakukan setiap 6 bulan terhubung dengan Data Integrity Test.

A.6.1.8

Kategori Temuan:

Not Comply (Minor)

Karena belum adanya bagian internal auditor pada PT. AGIT.

Seharusnya audit terhadap data rekaman dilakukan secara resmi oleh internal auditor pada bagian IT setiap periode

Minggu ke 3, bulan

(10)

tertentu sehingga kemungkinan terjadinya fraud sangat kecil dan mungkin tidak akan terjadi.

Maret 2014

A.6.2 Pihak Luar

A.6.2.1 Identifikasi Risiko Yang Terkait Dengan Pihak Luar

Tabel 4.11 Analisa Temuan Audit Pada A.6.2.1 Analisa HasilAudit :

Berdasarkan analisa yang sudah dilakukan, pihak luar tidak terlibat dalam pengolahan data rekaman sehingga pihak PT. AGIT tidak mengidentifikasi kemungkinan risiko yang akan terjadi. Apabila terkait kemungkinan risiko pasti ada, namun risiko itu telah dikunci di dalam NDA (Non – Disclosure Agreement).

A.6.2.1

Kategori Temuan:

Comply

-

A.6.2.2 Menjelaskan Keamanan Saat Berhubungan Dengan Pelanggan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

Tanggal Audit : 23 Desember 2013

(11)

Auditor : Dessy Liana

Berdasarkan analisa yang sudah dilakukan, Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT termasuk jenis BPO (Business Process Outsourcing) sehingga pihak Bank XYZ tidak memiliki hak akses untuk mengolah data rekaman CCTV, tetapi hanya menerima hasil data rekaman CCTV yang telah diolah oleh PT.

AGIT.

A.6.2.2

Kategori Temuan:

Comply

Tidak ada analisa penyebab pada hasil audit ini.

-

A.6.2.3 Menjelaskan Keamanan Dalam Kesepakatan Dengan Pihak Ketiga Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

Berdasarkan analisa yang sudah dilakukan, teknisi tidak memiliki akses ke data, tetapi

Kategori Temuan:

(12)

pada saat link mati dan teknisi harus datang mengambil SD card maka kemungkinan pengambilan data tersebut bisa terjadi. Ruang lingkup pekerjaan sudah ada, namun Rencana Penyusunan Layanan belum terlalu detail, hanya menangani implementasi dan pemeliharaan saja tidak untuk keamanan data.

A.6.2.3

Comply (Observation)

PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum terdapat ketentuan secara spesifik mengenai keamanan data CCTV di lingkungan kerja.

Manajemen dari PT. AGIT seharusnya melengkapi ruang lingkup pekerjaan yang akan dilakukan oleh teknisi beserta tanggung jawab yang harus dilakukan oleh teknisi tersebut terkait dengan keamanan data rekaman CCTV agar teknisi dapat lebih bertanggung jawab dan keamanan data dapat lebih terjamin kerahasiannya.

• A.7 Manajemen Aset

A.7.1 Tanggung Jawab Terhadap Aset A.7.1.1 Inventarisasi Terhadap Aset

Berdasarkan analisa yang sudah dilakukan,

Persyaratan ISO/IEC

Kategori Temuan:

(13)

semua peralatan sudah disediakan dahulu sebelum dilakukan pemasangan. Setiap perangkat telah diberikan kode unik dengan serial number yang diberikan oleh PT.AGIT saat pemetaan ke CMDB dan sudah dilengkapi dengan detail dari peralatan itu sendiri. Belum dilakukan pemeliharaan secara rutin, karena perangkat masih dalam kondisi baru. Selain itu, terdapat preventive maintenance yang dapat mendeteksi peralatan yang akan rusak dan akan segera dicegah oleh PT. AGIT.

27001:2005 :

A.7.1.1 Comply

-

A.7.1.2 Kepemilikan Aset

Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ

Berdasarkan audit yang dilakukan, penanggung jawab dari setiap peralatan yang digunakan di dalam Proyek CCTV Pada

Kategori Temuan :

(14)

Bank XYZ adalah Manajer Operasional dan Manajer Konfigurasi. Manajer Operasional bertanggung jawab pada CMDB, sedangkan Manajer Konfigurasi bertanggung jawab untuk keseluruhan dari CMDB.

A.7.1.2 Comply

-

A.7.1.3 Penggunaan Aset Yang Sesuai Dengan Aturan

Auditee : Agung Sukmono (Manajer Operasional) Tabel 4.16 Analisa Temuan Audit Pada A.7.1.3 Analisa Hasil Audit :

Berdasarkan audit yang dilakukan, peraturan mengenai penggunaan aset teknologi informasi di dalam perusahaan terdapat pada dokumen roles and responsibility yg merupakan bagian dari dokumen rencana penyusunan layanan serta SOP untuk panduan cara pernggunaan.

A.7.1.3

Kategori Temuan:

Comply

Tidak terdapat saran yang ditujukan untuk tindakan

Target Selesai :

(15)

perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A.7.1.3.

-

A.7.2 Klasifikasi Informasi A.7.2.1 Pedoman Klasifikasi

Berdasarkan audit yang dilakukan, tidak ada klasifikasi pada tingkat kerahasiaan untuk setiap data rekaman CCTV karena semua letak CCTV adalah di lingkungan publik.

A.7.2.1

Kategori Temuan :

NA

Pihak Bank XYZ menyatakan bahwa setiap hasil data rekaman CCTV tersebut memiliki tingkat kerahasiaan yang sama, sehingga PT. AGIT tidak mengklasifikasi tingkat kerahasiaan pada hasil data rekaman CCTV tersebut.

Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A.7.2.1 tidak berlaku pada Proyek CCTV Pada Bank XYZ.

-

A.7.2.2 Pemberian Label Dan Penanganan Informasi

(16)

Berdasarkan audit yang dilakukan, karena tidak adanya tingkat kerahasiaan untuk setiap data rekaman CCTV, maka penanganan data rekaman CCTV tidak dibedakan.

A.7.2.2

Kategori Temuan:

NA

Pihak Bank XYZ menyatakan bahwa setiap hasil data rekaman CCTV tersebut memiliki tingkat kerahasiaan yang sama, sehingga PT. AGIT tidak mengklasifikasi tingkat kerahasiaan pada hasil data rekaman CCTV tersebut.

-

• A.8 Keamanan Sumber Daya Manusia A.8.1 Sebelum Masa Kerja

A.8.1.1 Peran Dan Tanggung Jawab

Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

Auditor : Tria Yulita dan Dessy Liana

Auditee : Agung Sukmono (Manajer Operasional)

Berdasarkan audit yang dilakukan, hasil audit pada annex ini berkaitan dengan A.6.1.2 dan

Kategori Temuan:

(17)

A.6.1.3 yang telah menjelaskan bahwa setiap karyawan sudah diberikan informasi mengenai peran dan tanggung jawabnya masing-masing.

Karyawan juga sudah memahami peran dan tanggung jawab mereka masing-masing terhadap keamanan data rekaman CCTV.

Pihak Manajemen PT. AGIT sudah membuat dokumen yang menyatakan tugas dan tanggung jawab masing-masing karyawan tersebut.

A.8.1.1 Comply

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.8.1.1.

Target Selesai:

-

A.8.1.2 Seleksi

Tanggal Audit : 23 Desember 2013 Auditor : Tria Yulita

Auditee : Agung Sukmono (Manajer Operasional)

Berdasarkan audit yang dilakukan, sudah ada penyaringan yang dilakukan untuk calon karyawan baru. Setiap divisi dapat mengajukan Form Personnel Requesition yaitu berisi kriteria yang dibutuhkan untuk merekrut karyawan baru. Selain itu, terdapat tiga tahap

A.8.1.2

Kategori Temuan :

Comply

(18)

penyaringan yang harus dilewati oleh calon karyawan baru, yaitu:

1. Tes tertulis;

2. Interview oleh user (divisi yang bersangkutan);

3. Interview oleh HRD.

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.8.1.2.

Target Selesai:

-

A.8.1.3 Syarat Dan Kondisi Kerja

Tanggal Audit : 23 Desember 2013 Auditor : Tria Yulita

Berdasarkan audit yang dilakukan, terdapat suatu perjanjian ikatan kerja berupa dokumen NDA (Non - Disclosure Agreement) yang menyatakan bahwa karyawan harus menjaga dengan baik kerahasiaan informasi perusahaan dari pihak luar. NDA harus ditanda tangani oleh calon karyawan baru sebagai bukti bahwa perjanjian tersebut sudah disepakati oleh kedua belah pihak.

A.8.1.3

Kategori Temuan:

Comply

(19)

Tidak terdapat analisa penyebab pada hasil audit ini.

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.8.1.3.

Target Selesai:

-

A.8.2 Selama Masa Kerja

A.8.2.1 Tanggung Jawab Manajemen

Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ

Berdasarkan audit yang dilakukan, belum ada kebijakan dan prosedur dalam mengatur setiap karyawan untuk memelihara keamanan data rekaman CCTV yang dibuat oleh pihak manajemen PT. AGIT. Akan tetapi, setiap karyawan sudah memelihara keamanan data rekaman CCTV.

A.8.2.1

Kategori Temuan:

Comply (Minor)

PT. AGIT belum berfokus pada SMKI sehingga tidak memiliki perencanaan untuk membuat kebijakan dalam mengatur karyawan untuk memelihara keamanan data rekaman CCTV.

Membuat kebijakan dan prosedur yang dapat mengatur setip karyawan untuk memelihara keamanan data rekaman CCTV yang merupakan salah satu aset informasi perusahaan

Target Selesai:

Minggu ke 3, bulan

(20)

sehingga kerahasiaan, keakuratan, dan ketersediaan data rekaman CCTV tetap terjaga agar dapat bermanfaat bagi pihak yang membutuhkannya.

Maret 2014

A.8.2.2 Pengetahuan Tentang Keamanan Informasi, Pendidikan, Dan Pelatihan

Auditee : Agung Sukmono (Manajer Operasional)

Berdasarkan audit yang dilakukan, tidak ada kebijakan dan prosedur yang menyatakan tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV.

Namun, Manajer Operasional secara teknis sudah memberikan pengetahuan mengenai keamanan data rekaman CCTV pada saat project meeting dilaksanakan.

A.8.2.2

Kategori Temuan :

Not Comply (Minor)

PT. AGIT belum memiliki fokus terhadap SMKI pada Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum adanya kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV.

Membuat sebuah kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV yang dapat dipatuhi oleh setiap karyawan agar kerahasiaan, keakuratan, dan ketersediaan data rekaman CCTV tetap terjaga dengan baik dan mencegah modifikasi kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan

Target Selesai:

(21)

tersebut.

A.8.2.3 Proses Kedisiplinan

Berdasarkan audit yang dilakukan, HRD sudah memberitahukan sanksi-sanksi pelanggaran secara lisan pada saat calon karyawan menandatangani dokumen NDA (Non – Disclosure Agreement). Terdapat proses dalam pemberian sanksi bagi karyawan yang melakukan pelanggaran yaitu SP 1, SP 2, dan SP 3 (pemecatan). Sudah tertulis di Human Resources dan terdapat buku pedoman untuk setiap karyawan PT. AGIT.

A.8.2.3

Kategori Temuan :

Comply

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.8.2.3.

Target Selesai:

-

A.8.3 Pemutusnn Atau Perubahan Hubungan Kerja A.8.3.1 Tanggung Jawab Pemutusan

(22)

Berdasarkan audit yang dilakukan, sudah terdapat prosedur pemutusan atau perubahan hubungan kerja. Prosedur yang dilakukan yaitu Manajer Operasional mengajukan Form Perubahan Status Kerja kepada HRD untuk ditindaklanjuti terkait dengan karyawan yang ingin melakukan pemutusan hubungan kerja.

HRD akan memberikan FEC (Form Exit Clearance) kepada karyawan yang bersangkutan untuk mengisinya. Setelah form diisi, karyawan akan mengembalikannya kepada HRD dan HRD akan menindaklanjuti pemutusan hubungan kerja karywan tersebut.

A.8.3.1

Kategori Temuan :

Comply

Target Selesai:

-

A.8.3.2 Pengembalian Aset

(23)

Auditor : Tria Yulita

Berdasarkan audit yang dilakukan, perusahaan sudah melakukan pendataan pada semua aset perusahaan yang digunakan oleh setiap karyawan. Dimana Tim Aset telah membuat database CAR (Company Asset Request) yang mendata semua aset perusahaan yang digunakan oleh setiap karyawan. Apabila terjadi pemutusan hubungan kerja, HRD akan memberikan FEC yang telah diisi oleh karyawan kepada Tim Aset untuk disesuaikan dengan database CAR sehingga dapat dilakukan pembaharuan data pada database CAR.

A.8.3.2

Kategori Temuan:

Comply

Tidak terdapat analisa penyebab pada hasi audit ini.

Target Selesai:

-

A.8.3.3 Penghapusan Hak Akses

(24)

Berdasarkan audit yang dilakukan, sudah terdapat prosedur penghapusan hak akses terhadap karyawan yang tidak memiliki hubungan kerja dengan perusahaan. Prosedur tersebut tercantum dalam FEC (Form Exit Clearance) yang diberikan HRD kepada karyawan yang akan melakukan pemutusan hubungan kerja.

A.8.3.3

Kategori Temuan :

Comply

Target Selesai:

-

• A.9 Keamanan Fisik Dan Lingkungan A.9.1 Wilayah Aman

A.9.1.1 Pembatas Keamanan Fisik

Berdasarkan audit yang dilakukan, sudah ada perlindungan secara fisik yang dilakukan untuk

Kategori Temuan:

(25)

melindungi ruang pemantauan CCTV, ruang server, ruang helpdesk. Adanya pemisahan area antara ruang-ruang tersebut. Pada setiap pintu telah terpasang proximity access cards, terdapat kamera CCTV, alat perlindungan bencana (i.e.fire extinguisher, fire alarm, dsb.), satpam, security organic pada ruang server, dan rak-rak server yang dapat dikunci.

A.9.1.1 Comply

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.9.1.1.

Target Selesai:

-

A.9.1.2 Pengendalian Masuk Fisik

Tabel 4.29 Analisa Temuan Audit Pada A.9.1.2 Analisa Temuan Audit:

Berdasarkan audit yang dilakukan, sudah terpasang alat proximity access cards pada setiap pintu di ruang pemantauan CCTV, ruang server, dan ruang helpdesk serta terdapat kamera CCTV yang dapat memantau siapa saja yang memasuki area-area tersebut.

A.9.1.2

Kategori Temuan:

Comply

Saran Tindakan Perbaikan : Target Selesai:

(26)

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.9.1.2.

-

A.9.1.3 Pengamanan Kantor, Ruangan, Dan Fasilitas

Berdasarkan audit yang dilakukan, sudah ada perlindungan secara fisik terhadap keamanan area kerja para karyawan yang diterapkan oleh perusahaan. Perlindungan fisik yang diterapkan sudah memenuhi kebutuhan keamanan yang diperlukan sehingga karyawan merasa aman dan nyaman selama bekerja. Mengacu pada A.9.1.1 yang telah menjelaskan perlindungan secara fisik yang dilakukan oleh PT. AGIT.

A.9.1.3

Kategori Temuan:

Comply

Target Selesai:

-

A.9.1.4 Perlindungan Terhadap Ancaman Eksternal Dan Lingkungan

(27)

Berdasarkan audit yang dilakukan, perlindungan terhadap bencana alam sudah dilakukan oleh perusahaan dengan menyediakan alat perlindungan bencana alam seperti fire extinguisher, fire alarm, smoke detector, dan hydran di setiap area-area operasional pemantauan CCTV dan penyimpanan data rekaman CCTV (i.e ruang pemantauan, server, helpdesk).

A.9.1.4

Kategori Temuan :

Comply

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.9.1.4.

Target Selesai:

-

A.9.1.5 Bekerja Di Area Aman

(28)

Berdasarkan audit yang dilakukan, sudah ada pelatihan perlindungan secara mandiri yang diberikan kepada setiap karyawan. Setiap tiga bulan sekali, pihak gedung akan melakukan fire drill untuk seluruh orang yang berada di dalam gedung agar dapat melindungi diri dari bencana alam secara mandiri.

A.9.1.5

Kategori Temuan :

Comply

Target Selesai:

-

A.9.1.6 Area Akses Publik, Pengiriman, Dan Penurunan Barang

Berdasarkan audit yang dilakukan, hasil audit pada annex ini mengacu pada A.9.1.1 yang telah menyebutkan perlindungan pada area-area operasional pemantauan CCTV dan penyimpanan data rekaman CCTV dari akses ilegal yang mungkin terjadi.

A.9.1.6

Kategori Temuan :

Comply

(29)

Target Selesai:

-

A.9.2 Keamanan Peralatan

A.9.2.1 Penempatan Dan Perlindungan Terhadap Peralatan

Berdasarkan audit yang dilakukan, penempatan peralatan yang digunakan dalam proses operasional Proyek CCTV Pada Bank XYZ sudah diletakkan dengan aman. Salah satunya penempatan server di dalam rak-rak khusus. Satu rak dapat memuat lima server dan memiliki jarak 3cm pada setiap server yang diletakkan pada rak.

Rak-rak tersebut dapat dikunci sehingga meminimalisir kemungkinan ancaman dan risiko yang terjadi.

A.9.2.1

Kategori Temuan :

Comply

Tidak ada saran yang diajukan untuk tindakan perbaikan karena

Target Selesai:

(30)

proses operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.9.2.1.

-

A.9.2.2 Keperluan Pendukung

Berdasarkan audit yang dilakukan, sudah ada perlindungan terhadap peralatan yang digunakan pada proses operasional Proyek CCTV Pada Bank XYZ dari penyalahgunaan wewenang oleh karyawan untuk keperluan pendukung. Dimana terdapat database CAR (Company Asset Return) yang memuat keterangan siapa yang menggunakan dan aset apa saja yang digunakan oleh setiap karyawan selama masa kerja serta dokumen Rencana Penyusunan Layanan yang memuat keterangan peran dan tanggung jawab, dan SOP untuk penggunaan aset TI perusahaan.

A.9.2.2

Kategori Temuan :

Comply

Target Selesai:

-

A.9.2.3 Keamanan Perkabelan

(31)

Berdasarkan audit yang dilakukan, penempatan kabel-kabel yang digunakan pada proses operasional Proyek CCTV Pada Bank XYZ sudah diletakkan dan ditata dengan rapih. Dimana penempatan kabel pada server sudah dibuatkan jalurnya dan pada ruang pemantauan menggunakan cable duct untuk menata kabel- kabel agar terlihat rapih.

A.9.2.3

Kategori Temuan :

Comply

Target Selesai:

-

A.9.2.4 Pemeliharaan Peralatan

Auditee : Agung Sukmono (Manajer Operasional) Tabel 4.37 Analisa Temuan Audit Pada A.9.2.4 Analisa Hasil Audit:

Berdasarkan audit yang dilakukan, pemeliharaan perangkat CCTV dilakukan dengan incidental

Kategori Temuan :

(32)

yaitu hanya pada saat gangguan atau kerusakan terjadi. Setiap gangguan atau kerusakan akan terdokumentasi pada sistem Helpdesk secara otomatis.

A.9.2.4 Comply

Target Selesai:

-

A.9.2.5 Keamanan Peralatan Di Luar Tempat Yang Tidak Di Syaratkan Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

Berdasarkan audit yang dilakukan, tidak ada kebijakan keamanan mengenai peralatan yang berada atau digunakan diluar area kerja. Semua peralatan terkait dengan keberadaan data rekaman CCTV berada di dalam area kerja.

A.9.2.5

Kategori Temuan :

NA

Memang tidak ada peralatan yang tekait dengan keberadan data rekaman CCTV berada atau digunakan diluar area kerja.

Target Selesai:

-

A.9.2.6 Pengamanan Pembuangan Atau Penggunaan Ulang Peralatan

(33)

Berdasarkan audit yang dilakukan, sudah dilakukan pengamanan terhadap data rekaman CCTV yang berada pada perangkat CCTV yang akan ditarik atau diganti oleh teknisi karena masa jatuh tempo kontrak, atau adanya gangguan atau kerusakan yang terjadi. Dimana data rekaman sebelumnya disimpan dan dilakukan back-up serta data rekaman yang ada pada SD Card kamera CCTV di enkripsi ke format khusus H.264 sehingga tidak dapat diakses oleh pihak yang tidak berwenang.

A.9.2.6

Kategori Temuan :

Comply

Tidak terdapar analisa penyebab pada hasil audit ini.

Target Selesai:

-

A.9.2.7 Hak Penghapusan Properti

(34)

Berdasarkan audit yang dilakukan, setiap teknisi yang ingin melakukan penarikan atau penggantian perangkat CCTV akan membawa surat tugas yang diberikan kepada kantor cabang untuk menjelaskan bahwa Teknisi tersebut diperintahkan dan ditugaskan untuk melakukan penarikan atau penggatian perangkat CCTV sehingga mengurangi terjadinya penyalahgunaan wewenang oleh pihak-pihak yang tidak diinginkan dan melindungi keamanan perangkat CCTV. Kemudian Teknisi akan mengisi BAKT (Berita Acara Kunjungan Teknisi) setelah selesai melakukan penarikan atau penggantian perangkat CCTV.

A.9.2.7

Kategori Temuan :

Comply

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTVPada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A.9.2.7.

Target Selesai:

-

• A.10 Manajemen Komunikasi Dan Operasi

A.10.1 Prosedur Dan Tanggung Jawab Operasional A.10.1.1 Pendokumentasian Prosedur Operasi

(35)

Auditee : Agung Sukmono (Manajer Operasional)

Berdasarkan audit yang dilakukan, proses operasional Proyek CCTV Pada Bank XYZ sudah terdokumentasi dengan baik. Setiap hasil rekaman CCTV tersimpan pada NVR server yang merupakan storage untuk data rekaman CCTV. Hasil rekaman CCTV dienkripsi ke dalam format khusus H.264 yang tidak dapat diketahui dan digunakan oleh pihak yang tidak berwenang. Manajer Operasional tidak memiliki video rekaman CCTV, tetapi hanya memiliki detail dari data rekaman CCTV. Sedangkan video rekaman CCTV hanya dimiliki oleh pihak Bank XYZ selaku customer pada Proyek CCTV ini.

A.10.1.1

Kategori Temuan :

Comply

Target Selesai:

-

A.10.1.2 Perubahan Manajemen

(36)

Berdasarkan audit yang dilakukan, sudah ada prosedur mengenai perubahan manajemen di dalam perusahaan. Terdapat prosedur Change Request, dimana prosedur tersebut harus dilakukan pada setiap perubahan manajemen yang terjadi baik di dalam proyek maupun di luar proyek. Apabila di dalam Proyek CCTV terjadi perubahan sistem atau yang lainnya harus mengikuti prosedur Change Request yang dibuat oleh perusahaan.

A.10.1.2

Kategori Temuan :

Comply

Target Selesai:

-

A.10.1.3 Pembagian Tugas

Tabel 4.43 Analisa Temuan Audit Pada A.10.1.3 Analisa Temuan Audit:

Berdasarkan audit yang dilakukan, sudah dilakukannya pembagian tugas di dalam Proyek CCTV Pada Bank XYZ. Hasil audit ini mengacu pada A.8.1.1 yang telah menjelaskan bahwa

Kategori Temuan:

(37)

sudah adanya dokumen secara tertulis yang memuat tentang peran dan tanggung jawab masing-masing karyawan terhadap pekerjaannya.

Selain itu, pada saat pengrekrutan calon karyawan baru, HRD sudah memberitahukan secara lisan mengenai peran dan tanggung jawab.

A.10.1.3 Comply

Target Selesai:

-

A.10.1.4 Pemisahan Pengembangan, Pengujian dan Operasional Fasilitas Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ

Berdasarkan audit yang dilakukan, sudah dilakukan pemisahan lingkungan antara area pengembangan, pengujian, dan operasional fasilitas Proyek CCTV Pada Bank XYZ. R&D (Research and Development) berada di gedung ANZ terpisah dengan area produksi. Pemantauan CCTV dan penyimpanan server berada di kantor pusat monitoring yang terletak di Bandung.

Pemantauan sistem Helpdesk berada di kantor

A.10.1.4

Kategori Temuan :

Comply

(38)

PT. AGIT yang terletak di Kramat Raya.

Target Selesai:

-

A.10.2 Manajemen Layanan Pengiriman Oleh Pihak Ketiga A.10.2.1 Layanan Pengiriman

Berdasarkan audit yang dilakukan, teknisi yang menjadi pihak ketiga dalam Proyek CCTV Pada Bank XYZ sudah memberikan pelayanan sesuai dengan kesepakatan yang telah dibuat. Dimana terdapat dokumen scope of work yang menjelaskan lingkup kerja dari masing-masing divisi di dalam proyek ini.

A.10.2.1

Kategori Temuan :

Comply

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank

Target Selesai:

-

(39)

XYZ yang dilakukan sudah memenuhi persyaratan pada A.10.2.1.

A.10.2.2 Pengawasan Dan Pembahasan Terhadap Layanan Pihak Ketiga Departemen/Fungsi/Proses yang di audit : Proses Implementasi dan Operasional Proyek CCTV Pada Bank XYZ

Berdasarkan audit yang dilakukan, setiap 3 bulan akan dilaksanakan Review Meeting untuk mengetahui kemajuan dari Proyek CCTV Pada Bank XYZ yang dijalankan. Review Meeting dilaksanakan berdasarkan agenda yang dibuat oleh Manajer Operasional. Namun, terkadang dilaksanakan incidental meeting apabila terjadi insiden di dalam proses operasional proyek ini.

A.10.2.2

Kategori Temuan:

Comply

Target Selesai:

-

A.10.2.3 Mengatur Perubahan Pada Layanan Pihak Ketiga

(40)

Auditor : Tria Yulita

Berdasarkan audit yang dilakukan, terdapat ketentuan yang harus diikuti oleh pihak ketiga apabila ingin melakukan perubahan. Pihak ketiga menghubungi bagian OMC (Operation Monitoring Center) untuk melaporkan perubahan yang terjadi, kemudian membuat tiket ke sistem Helpdesk, dan mengisi laporan di dalam BAKT (Berita Acara Kunjungan Teknisi).

A.10.2.3

Kategori Temuan:

Comply

Target Selesai:

-

A.10.3 Perencanaan Dan Penerimaan Sistem A.10.3.1 Manajemen Kapasitas

Berdasarkan audit yang dilakukan, di dalam proyek terdapat Capacity Management yang di

Kategori Temuan:

(41)

dalamnya terdapat Capacity Planning yang direncanakan sebelum proyek dimulai yang menghasilkan dokumen Capacity Plan dan Capacity Monitoring yang dilakukan setiap minggu. Laporan akan dibuat oleh System Specialist untuk dikirim ke Manajer Operasional sebagai informasi dalam pengambilan keputusan mengenai kapasitas infrastruktur CCTV yang digunakan.

A.10.3.1 Comply

Target Selesai:

-

A.10.3.2 Penerimaan Sistem

Berdasarkan audit yang dilakukan, sampai saat ini belum ada perencanaan mengenai mekanisme penerimaan sistem baru karena OS (Operating System) yang digunakan masih tergolong baru dan telah sesuai dengan tujuan proyek.

A.10.3.2

Kategori Temuan:

Comply

OS yang digunakan pada operasional Proyek CCTV Pada Bank XYZ telah sesuai

(42)

dengan tujuan proyek.

Target Selesai:

-

A.10.4 Perlindungan Terhadap Kode Berbahaya Dan Dapat Ditransmisikan A.10.4.1 Pengendalian Terhadap Kode Berbahaya

Berdasarkan audit yang dilakukan, sudah diterapkan perlindungan terhadap kode berbahaya seperti malicious code / virus yang dapat menyerang sistem pada Proyek CCTV Pada Bank XYZ. Pendeteksian dan pencegahan dilakukan dengan menggunakan anti virus. Selain itu, server tidak terhubung dengan internet sehingga mengurangi timbulnya malicious code / virus.

Metode penghapusan yang dilakukan tergantung pada malicious code / virus yang dihadapi sehingga berbeda pula cara untuk pemulihannya.

A.10.4.1

Kategori Temuan:

Comply

Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ yang

Target Selesai:

-

(43)

dilakukan sudah memenuhi persyaratan pada A.10.4.1.

A.10.4.2 Pengendalian Terhadap Kode Yang Dapat Ditransmisikan

Berdasarkan audit yang dilakukan, tidak ada kontrol atau aturan mengenai penggunaan mobile code. Pihak Bank XYZ selaku customer pada Proyek CCTV ini harus menghubungi bagian OMC (Operation Monitoring Center) untuk meminta video hasil rekaman CCTV, tidak dapat secara langsung mengakses hasil rekaman CCTV.

Bagian OMC akan mengirimkan video hasil rekaman CCTV melalui media Flash Disk kepada pihak Bank XYZ.

A.10.4.2

Kategori Temuan:

NA

PT. Astra Graphia Information Technology tidak menerapkan kontrol atau aturan mengenai penggunaan mobile code karena pengiriman hasil data trekaman CCTV tidak melalui jaringan tertentu, melainkan dengan menggunakan media Flash Disk yang kemudian diberikan kepada pihak Bank XYZ.

Target Selesai:

-

(44)

A.10.5 Back-Up

A.10.5.1 Back-Up Informasi

Berdasarkan audit yang dilakukan, pada proses operasional Proyek CCTV Pada Bank XYZ telah dilakukan back-up data rekaman CCTV yang tersimpan di dalam NVR (Network Video Recorder) yang dilakukan setiap 6 bulan sekali.

Kemudian data rekaman tersebut dipindahkan ke NAS (Network Attached Storage) untuk disimpan selama 1-2 bulan. Setelah bulan ke-8, akan dilakukan penghapusan data rekaman CCTV. Mengacu pada peraturan Bank Indonesia yaitu untuk menyimpan data rekaman CCTVselama 3 bulan.

A.10.5.1

Kategori Temuan:

Comply

Target Selesai:

-

A.10.6 ManajemenKeamanan Jaringan

(45)

A.10.6.1 Pengendalian Jaringan

Berdasarkan audit yang dilakukan, pada Proyek CCTV Pada Bank XYZ telah menerapkan perlindugan terhadap jaringan yang digunakan.

VPN IP (Virtual Private Network Internal Protocol) digunakan untuk mentransmisikan data. Data yang melalui VPN IP akan dienkripsi ke dalam format khusus H.264 (.ava). VPN IP juga menjaga keutuhan dari data dan melakukan otentikasi sumber data untuk menghindari masuknya data ilegal.

A.10.6.1

Kategori Temuan:

Comply

Target Selesai:

-

A.10.6.2 Keamanan Layanan Jaringan