Analisis Keamanan Informasi Aplikasi Smart-one pada PT. PLN (Persero) Distribusi Jawa Barat dan Banten Berdasarkan Standar ISO 27001 (Information Security Management System).

(1)

ii_{Universitas Kristen Maranatha}

ABSTRACT

Analysis of Information Systems Security is important for a company, especially for companies that have a cooperative relationship with the outside, where some of the data and information can be accessed by outsiders. This understanding can be used to assess the process - a process the company to provide security of data and information. Issues to be discussed is the analysis of information security in-one Smart applications that are on PT PLN (Persero) Distribution of West Java and Banten particular office APJ South Java. The theory used is based on the ISO 27001 standard that discusses the security of information systems. Source of the data obtained is the result of interviews conducted with people who have the authority to access Smart-one application and direct observation to PT.PLN Distribution of West Java and Banten especially APJ South Bandung office. The research method by performing an understanding of ISO 27001 and conduct research techniques with direct reviews and interviews.

(2)

iii_{Universitas Kristen Maranatha}

ABSTRAK

Analisis Keamanan Sistem Informasi merupakan hal yang penting bagi sebuah perusahaan, terutama bagi perusahaan yang memiliki hubungan kerjasama dengan pihak luar, dimana beberapa data dan informasi dapat diakses oleh pihak luar. Pemahaman ini dapat digunakan untuk melakukan penilaian terhadap proses – proses yang dilakukan perusahaan dalam melakukan pengamanan data dan informasi. Masalah yang dibahas adalah mengenai analisis keamanan informasi pada aplikasi Smart-one yang berada pada PT.PLN (Persero) Distribusi Jawa Barat dan Banten khususnya kantor APJ Bandung Selatan. Teori yang digunakan adalah standar berdasarkan ISO 27001 yang membahas tentang keamanan sistem informasi. Sumber data yang didapat merupakan hasil dari wawancara yang dilakukan dengan orang yang memiliki wewenang untuk dapat mengakses aplikasi Smart-one dan melakukan observasi langsung ke PT.PLN Distribusi Jawa Barat dan Banten khususnya kantor APJ Bandung Selatan. Metode penelitian yang dilakukan dengan cara melakukan pemahaman tentang ISO 27001 dan melakukan teknik penelitian dengan tinjauan langsung dan wawancara.

(3)

iv_{Universitas Kristen Maranatha}

DAFTAR ISI

PRAKATA ... i

ABSTRACT ... ii

ABSTRAK ... iii

DAFTAR ISI ... iv

DAFTAR GAMBAR ... vi

DAFTAR TABEL ... vii

DAFTAR LAMPIRAN ... viii

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup Kajian ... 3

1.5 Sumber Data ... 3

1.6 Sistematika Penyajian ... 3

BAB II KAJIAN TEORI ... 5

2.1 Keamanan Informasi ... 5

2.2 Manajemen Keamanan Informasi ... 7

2.3 Information Security Management Sistem ... 10

2.4 Jenis jenis Serangan Keamanan Informasi ... 11

2.4.1 Hacking ... 11

2.4.2 Denial Of Services (DOS) ... 11

2.4.3 Malcious Code (Kode Berbahaya) ... 12

2.4.4 Social Engineering ... 12

2.5 Flowchart ... 13

2.5.1 Simbol Simbol Flowchart ... 13

2.5.2 Jenis-Jenis Flowchart ... 15

2.6 ISO 27001 ... 17

BAB III ANALISIS DAN EVALUASI ... 27

3.1 Sejarah PT.PLN Distribusi Jawa Barat dan Banten ... 27

3.1.1 Visi dan Misi Perusahaan ... 29

3.1.2 Struktur Organisasi ... 29

3.2 Penjelasan Sistem Sidalang SMART-ONE (SIDALANG) ... 30

3.3 Pengelolaan Aset ... 37

3.3.1 Tanggung Jawab Terhadap Aset ... 38

3.3.1.1 Inventaris Aset ... 38

3.3.2 Penggunaan aset yang dapat diterima ... 41

3.4 Keamanan Sumberdaya Manusia ... 43

3.4.1 Selama Bekerja ... 43

3.4.1.1 Tanggung Jawab Manajemen ... 44

3.4.1.2 Kepedulian,Pendidikan, dan Pelatihan Kemanan Informasi ... 45

3.4.2 Manajemen Komunikasi dan Operasi ... 48

3.4.2.1 Back-Up Informasi ... 48

3.4.2.2 Manajemen Keamanan Jaringan ... 50

3.4.2.2.1 Pengendalian Jaringan ... 51

3.4.2.3 Pertukaran Informasi ... 53

3.4.2.3.1 Kebijakan dan Prosedur Pertukaran Informasi ... 53

3.5 Proses Pengendalian Akses ... 55

(4)

v_{Universitas Kristen Maranatha}

3.5.1.1 Kebijakan Pengendalian Akses ... 55

3.5.2 Manajemen Akses Pengguna ... 57

3.5.2.1 Pendaftaran Pengguna ... 58

3.5.2.2 Manajemen Hak Khusus ... 60

3.5.3 Tanggung Jawab Pengguna ... 62

3.5.3.1 Penggunaan Password ... 62

3.5.3.2 Peralatan Yang Ditinggal Oleh Penggunanya ... 64

3.5.4 Pengendalian Akses Aplikasi dan Informasi ... 65

3.5.4.1 Pembatasan Akses Informasi ... 66

3.5.4.2 Isolasi Sistem yang Sensitif ... 68

3.5.5 Manajemen Insiden Keamanan Informasi ... 70

3.5.5.1 Pelaporan Kejadian Keamanan Informasi ... 70

BAB IV SIMPULAN DAN SARAN ... 72

4.1 Simpulan ... 72

4.1.1 Tabel Kesesuaian ... 73

(5)

vi_{Universitas Kristen Maranatha}

DAFTAR GAMBAR

Gambar 1 Elemen – Elemen Keamanan Informasi ... 5

Gambar 2 Contoh Flowchart Sistem ... 26

Gambar 3 Contoh Flowchart Dokumen ... 27

Gambar 4 Struktur Organisasi PT.PLN Distribusi Jawa Barat dan Banten ... 43

Gambar 5 Arsitektur Perangkat Lunak SMART-ONE ... 44

Gambar 6 Arsitektur Jaringan SMART-ONE ... 46

Gambar 7 Diagram Alir Aplikasi SMART-ONE ... 47

Gambar 8 Diagram Alir Input SKKI/SKKO SMART-ONE ... 47

Gambar 9 Diagram Alir Pembuatan RAB/SPK ... 47

Gambar 10 Diagram Alir Pembuatan RAB/SPK Operasi POS53 ... 49

Gambar 11 Diagram Alir Pembuatan RAB/SPK oleh Tusbung ... 50

Gambar 12 Diagram Alir Pembayaran SPK ... 51

(6)

vii_{Universitas Kristen Maranatha}

DAFTAR TABEL

Tabel I Pengelolaan Aset ... 27

Tabel II Keamanan Sumberdaya Manusia ... 29

Tabel III Manajemen Komunikasi dan Operasi... 30

Tabel IV Pengendalian Akses ... 32

Tabel V Manajemen Insiden Keamanan Informasi ... 34

Tabel VI Inventaris Aset ... 36

Tabel VII Penggunaan Aset yang dapat Diterima ... 39

Tabel VIII Tanggung Jawab Manajemen ... 42

Tabel IX Kepedulian, Pendidikan, dan Pelatihan Keamanan Informasi ... 44

Tabel X Back-Up Informasi ... 46

Tabel XI Pengendalian Jaringan ... 49

Tabel XII Kebijakan dan Prosedur Pertukaran Informasi ... 51

Tabel XIII Kebijakan Pengendalian Akses ... 53

Tabel XIV Pendaftaran Pengguna ... 56

Tabel XV Manajemen Hak Khusus ... 58

Tabel XVI Penggunaan Password ... 60

Tabel XVII Peralatan yang Ditinggal oleh Penggunanya ... 62

Tabel XVIII Pembatasan Akses Informasi ... 64

Tabel XIX Isolasi Sistem yang Sensitif ... 66

(7)

viii_{Universitas Kristen Maranatha}

DAFTAR LAMPIRAN

(8)

1 Universitas Kristen Maranatha

BAB I PENDAHULUAN

1.1 Latar Belakang

Informasi merupakan salah satu aset perusahaan yang sangat

penting. Dengan perkembangan teknologi informasi yang sangat

pesat,kemungkinan terjadinya gangguan keamanan informasi semakin

meningkat. Untuk itu perusahaan harus menerapkan kebijakan yang tepat

untuk melindungi asset informasi yang dimiliki, maka kebijakan tentang

pengamanan informasi harus mencakup sekurang-kurangnya terdapat

prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia,

prosedur pengamanan fisik dan lingkungan, prosedur pengamanan

logical

security,

prosedur

pengamanan

operasional

teknologi

informasi,terutama untuk sistem informasi yang digunakan dan prosedur

penanganan insiden dalam pengamanan informasi.

Untuk itu diperlukan analsis keamanan sistem informasi untuk

memastikan keamanan informasi diterapkan sesuai dengan prosedur.

Standar yang digunakan yaitu ISO 27001. Beberapa hal penting yang

patut dijadikan pertimbangan mengapa standar ISO 27001 dipilih karena

dengan standar ini sangat fleksibel dikembangkan karena sangat

tergantung dari kebutuhan organisasi, tujuan organisasi, persyaratan

keamanan, proses bisnis dan jumlah pegawai dan ukuran struktur

organisasi

ISO/IEC 27001 adalah standar keamanan informasi yang

diterbitkan pada Oktober 2005 oleh International

Organization for

Standarization (ISO) dan

International Electrotechnical Commission

(IEC). Standar ini menggantikan BS-77992:2002 (British Standard).

ISO/IEC 27001 merupakan salah satu model manajemen keamanan

(9)

2

Universitas Kristen Maranatha

kepada pengguna agar informasi yang dimilikinya aman dari ancaman

dan gangguan.

1.2 Rumusan Masalah

Berdasarkan latar belakang yang telah dijelaskan pada bagian 1.1,

maka rumusan masalah, yaitu sebagai berikut :

1. Apakah semua prosedur serta proses-proses yang terkait dengan

usaha-usaha pengimplementasian keamanan informasi aplikasi

Smart-one di

perusahaan sudah dijalankan dengan benar?

2. Bagaimana kontrol yang dilakukan PT.PLN (Persero) Distribusi Jawa

Barat dan Banten dalam menjaga keamanan data dan informasi dari

aplikasi Smart-one yang ada di perusahaan?

3. Apakah kebijakan dan tindakan yang ditetapkan perusahaan dalam

melindungi sistem keamanan informasi aplikasi

Smart-one sudah

dilaksanakan dengan benar ?

4. Bagaimana tanggung jawab pegawai dalam menggunakan aplikasi

Smart-one perusahaan dan fasilitas perusahaan?

1.3 Tujuan Pembahasan

Tujuan dari penelitian ini adalah sebagai berikut :

1. Pembahasan mengenai bukti

–

bukti dan prosedur tentang pengelolaan &

pengamanan informasi smart-one sesuai standar ISO 27001.

2. Melaksanakan analisis terhadap kontrol keamanan informasi

smart-one

pada PT. PLN (Persero) Distribusi Jawa Barat dan Banten sesuai standar

ISO 27001

dengan menganalisis hasil wawancara berupa bukti dan

temuan-temuan yang ada.

3. Menganalisis kebijakan dan tindakan yang berhubungan dengan

keamanan informasi smart-one perusahaan.

4. Melakukan

analisis

terhadap

tanggung

jawab

pegawai

yang

menggunakan aplikasi

smart-one

dan fasilitas yang diberikan

(10)

3

Universitas Kristen Maranatha

1.4 Ruang Lingkup Kajian

Dari permasalahan yang sudah dijelaskan, maka yang menjadi

batasan dalam penelitian ini adalah :

1. Perencanaan analisis yang dibuat, lebih diarahkan sebagai panduan

analisis internal.

2. Penelitian hanya dilakukan pada kantor PT. PLN (Persero) Distribusi

Jawa Barat dan Banten khususnya pada kantor APJ Bandung Selatan

saja.

3. Penelitian bukan menerapkan ISO 27001 pada perusahaan, melainkan

melakukan analisis keamanan informasi yang dilakukan perusahaan

untuk disesuaikan dengan standar ISO 27001.

4. Kontrol objek dari standar ISO 27001 yang terdapat di dalam penelitian

ini, diambil berdasarkan kebutuhan perusahaan.

1.5 Sumber Data

Sumber yang di dapat dalam melakukan penelitian ini diantaranya :

1. Wawancara, merupakan metode pengumpulan data yang dilakukan

dengan cara mengajukan pertanyaan

–

pertanyaan dan melakukan tanya

jawab secara langsung dengan pembimbing lapangan dari perusahaan.

2.

Observasi, merupakan metode pengumpulan data yang digunakan

dengan cara melakukan pengamatan langsung kegiatan yang ada di

perusahaan untuk memperoleh informasi yang akurat.

1.6 Sistematika Penyajian

Sistematika pembahasan laporan Sidang Tugas Akhir dan Tugas

Akhir ini dibagi menjadi 4 (empat) bab. Berikut penjelasan tentang

masing-masing bab :

1. BAB I PENDAHULUAN

BAB I Pendahuluan membahas mengenai dasar-dasar dan latar

belakang, perumusan masalah, tujuan, batasan masalah, sumber data,

(11)

4

Universitas Kristen Maranatha

2. BAB II KAJIAN TEORI

BAB II Kajian Teori membahas mengenai teori-teori yang digunakan

untuk melakukan analisis keamanan sistem informasi berdasarkan ISO

27001.

3. BAB III ANALISIS

BAB III Analisis berisi tentang analisis dan hasil analisis keamanan sistem

yang dilakukan selama proses pengumpulan data, yang kemudian akan

dilakukan analisis dan evaluasi yang disesuaikan dengan standar ISO

27001.

4. Bab IV Simpulan dan Saran

Berisi Kesimpulan dan Saran dari hasil analisis dan evaluasi dari

penerapan dan pengendalian yang telah dilakukan disesuaikan terhadap

(12)

72 Universitas Kristen Maranatha

BAB IV SIMPULAN DAN SARAN

4.1 Simpulan

Berdasarkan hasil analisis yang telah dilakukan selama penelitian

berlangsung, dapat disimpulkan bahwa :

1. Prosedur dan proses

–

proses yang dilakukan perusahaan dalam

mengimplementasikan keamanan informasi pada sistem

Smart-one

sudah dijalankan dan dilakukan dengan benar, dimana setiap peraturan

terdapat dokumentasi dan peraturan tersebut sudah dijalankan oleh

setiap pegawai. Dengan menggunakan standar

ISO

27001, perusahaan

dapat mengetahui bahwa proses - proses pengamanan yang dilakukan

tidak hanya berfokus pada sisi teknis dari aplikasi Smart-one saja, tetapi

juga dapat dilihat dari aspek

–

aspek lainnya yang mendukung fungsi

kerja dari aplikasi Smart-one.

2. Dalam menjaga keamanan informasi dari sistem

Smart-one, perusahaan

sudah melakukan berbagai macam kontrol, dimana setiap kontrol

tersebut berupa dokumentasi yang sudah sesuai dengan standar

ISO

27001, namun terdapat beberapa kontrol dan kebijakan yang belum

sesuai dengan

ISO 27001, dikarenakan kontrol

–

kontrol tersebut belum

memiliki dokumentasi dan pengendalian yang sesuai dengan aturan

ISO

27001.

3. Beberapa kebijakan dan tindakan yang ditetapkan perusahaan dalam

mengamankan informasi

Smart-one masih menemui beberapa kendala,

salah satunya kebijakan tentang penggunaan akses internet, dimana

penggunaan internet hanya dapat dilakukan pada jam yang ditetapkan,

sedangkan kebutuhan akan akses internet sangat diperlukan di waktu

yang tidak tetap. Selain itu tindakan pelaporan kejadian keamanan

informasi, dimana proses pelaporan harus mengikuti prosedur,

sedangkan insiden keamanan informasi tidak dapat diperkirakan.

(13)

73

Universitas Kristen Maranatha

sesuai dengan aturan

ISO 27001, seperti kontrol

–

kontrol yang

disesuaikan pada Tabel Kesesuaian.

4. Tanggung jawab pegawai terhadap penggunaan aplikasi

Smart-one dan

fasilitas perusahaan, di kontrol dan dikendalikan oleh kebijakan

–

kebijakan serta prosedur

–

prosedur yang sudah ditetapkan oleh

perusahaan.

4.1.1 Tabel Kesesuaian

Berdasarkan hasil analisis yang telah dilakukan terhadap beberapa

pengendalian yang disesuaikan dengan standar ISO 27001, maka bentuk

pengendalian yang sudah sesuai dengan standar ISO 27001dapat dilihat

pada tabel XXI.

Tabel I Tabel Kesesuaian

Standard ISO 27001

Sesuai

Tidak Sesuai

Inventaris Aset

√

Penggunaan yang Dapat

Diterima

√

Tanggung Jawab

Manajemen

√

Kepedulian, Pendidikan,

dan Pelatihan Keamanan

Informasi

√

Back-up Informasi

√

(14)

74

Universitas Kristen Maranatha

Kebijakan dan Prosedur

Pertukaran Informasi

√

Kebijakan Pengendalian

Akses

√

Pendaftaran Pengguna

√

Manajemen Hak Khusus

√

Penggunaan Password

√

Peralatan yang Ditinggal

Oleh Penggunanya

√

Pembatasan Akses

Informasi

√

Isolasi Sistem yang

Sensitif

√

Pelaporan Kejadian

Keamanan Informasi

√

Jumlah keseluruhan dari hasil analisis untuk kontrol yang sesuai dengan

standar ISO 27001 yaitu sebanyak 11 dari 15 kontrol yang di analisis.

4.2 Saran

Saran yang dapat diberikan setelah dilakukannya analisis terhadap

keamanan informasi dari aplikasi Smart-one, yaitu bagi penelitian yang akan

datang, hasil dari penelitian ini terhadap beberapa kontrol yang sudah di

analisis, dapat digunakan sebagai salah satu acuan untuk dilakukannya

(15)

75

Universitas Kristen Maranatha

Selain itu apabila perusahaan ingin menerapkan

ISO 27001 di

perusahaan, sebaiknya dilakukan analisis lebih lanjut terhadap semua

kontrol yang terdapat pada standar

ISO 27001 dan membuat kebijakan

–

kebijakan keamanan informasi yang sudah di tetapkan oleh standar

ISO

(16)

DAFTAR PUSTAKA

Badan Standarisasi Nasional, “

Information Technology

–

Security

Techniques

–

Information Security Management Systems

–

Requirements

(ISO/IEC

27001:2009)”

David Icove, “

An Analysis Of Security Incidents On The Internet 1989 -

1995,” PhD

thesis,

Engineering and

Public

Policy,

Carnegie

Mellon

University, 1997.

Dr. Michael E. Whitman, Principles of Information Security, 4th Edition, 2011

from

http://dc581.2shared.com/download/VYSq0718/Principles_of_Information_Se

cu.pdf?tsid=20121007-115617-c27e0e9

Herny Februariyanti, Standar dan Manajemen Keamanan Komputer, 2006

from

http://www.unisbank.ac.id/ojs/index.php/fti1/article/download/43/38

Jimmy Hannytyo Pinontoan, Manajemen Keamanan Informasi dengan ISO

27001 & ISO 27002, 2007 from

http://elearning.amikom.ac.id/index.php/download/karya/568/87f53eec8c632

d7c395669f1a639006b

Krismiaji (2010). Sistem Informasi Akutansi.

Shahid Akhtar. Akademi Esensi Teknologi Informasi dan Komunikasi untuk

Pimpinan Pemerintahan, 2007, from

http://www.unapcict.org/academy/academy-modules/bahasa-Indonesia/module6/Academy-Module6-BahasaID-web.pdf

Tim Direktorat Keamanan Informasi, Penjelasan ISO 27001, 2011,

from

http://publikasi.kominfo.go.id/bitstream/handle/54323613/119/Panduan%20P

(17)

RIWAYAT HIDUP

Data Pribadi

Nama Lengkap

: Muhammad Fadel

Tempat/Tgl Lahir

: Bandung, 21 Oktober 1990

Alamat

: Jl. Kopo Perumahan Nata Endah E-84 Bandung

Telepon

: 085723589369

E-mail

:

devilz.castro@gmail.com

Pendidikan Formal

: TK Kusuma Bandung, 1994 - 1996

SD Nata Endah Bandung, 1996

–

2002

SMP Negeri 38 Bandung, 2002

–

2005

SMA Pasundan 1 Bandung, 2005 - 2008

Pendidikan Non Formal : 2008

–

Sertifikat SAP Fundamental Module

2009

–

Sertifikat SAP HR Module

2010

–

Sertifikat SAP Adm.Basis

2010

–

Sertifikat SAP ABAP

Pengalaman Organisasi : 2008

–

Anggota SIFC Maranatha