Petunjuk Pengadaan Sistem Manajemen Keamanan

(1)

(2)

2

DAFTAR ISI

1. Pendahuluan ... 2

1.1. Latar Belakang ... 3

1.2. Kondisi Eksisting ... 4

1.3. Kajian Penelitian ... 4

2. Kebutuhan Kontrol ... 7

2.1. Pengunaan APO13... 7

2.2. Mapping Kontrol ... 8

3. Mapping Dokumen ... 11

3.1. Prosedur ... 12

3.1.1. (PS-APO13.01.01) Prosedur pendefinisian ruang lingkup dan batasan ISMS ... 12

3.1.2. (PS-APO13.01.02) Prosedur persiapan kebijakan organisasi ... 16

3.1.3. (PS-APO13.01.03) Prosedur persiapan kebijakan pengelolaan ISMS... 20

3.1.4. (PS-APO13.01.04) Prosedur Pendefinisian Pendekatan ISMS ... 24

3.1.5. (PS-APO13.01.05) Prosedur penentuan Role dan Tanggung Jawab ... 30

3.2. Kebijakan ... 36

3.2.1. Kebijakan untuk prosedur pendefinisian ruang lingkup dan batasan ISMS ... 36

3.2.2. Kebijakan untuk prosedur persiapan kebijakan organisasi ... 36

3.2.3. Kebijakan untuk prosedur kebijakan pengelolaan ISMS... 36

3.2.4. Kebijakan untuk prosedur pendefinisian pendekatan ISMS ... 36

3.2.5. Kebijakan untuk prosedur penentuan Role dan Tanggung Jawab ... 37

3.3. Formulir ... 39

FORMULIR RUANG LINGKUP DAN BATASAN ISMS ... 39

FORMULIR PERSYARATAN PENERAPAN TEKNOLOGI INFORMASI DAN ATURAN ... 41

FORMULIR KEBIJAKAN SETIAP AKTIVITAS ISMS ... 43

FORMULIR PENGEMBANGAN DAN PERUBAHAN KRITERIA RISIKO KEDALAM VERSI TERBARU ... 45

FORMULIR ROLE DAN TANGGUNG JAWAB DALAM MENGELOLA ISMS ... 47

FORMULIR DATA ASSET ... 49

FORMULIR RISK REGISTER ... 51

Daftar Pustaka ... 53

(3)

3

1. Pendahuluan

1.1. Latar Belakang

Penerapan tata kelola Teknologi Informasi kini sudah menjadi kebutuhan dan tutunan di setiap instansi dalam penyelenggaraan proses bisnisnya. Mengingat pentingnya peran Teknologi informasi dalam upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola yang baik. Dalam penyelenggaraan tata kelola tekonologi informasi, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan menyangkut kerahasiaan informasi, keutuhan dan ketersediaannya. Oleh karena itu penting sekali adanya manajemen pengelolaan sertifikasi bagi instansi yang belum pernah melakukannya. Maka disini kami akan memberikan saran prosedur–prosedur yang nantinya perlu dilakukan untuk mendapatakan sertifikasi kemanan informasi.

Tentunya dalam membuat prosedur tidak sembarang atau asal membuat, disini kami membuat prosedur berdasarkan standar APO 13 yaitu mengenai Manage Security yang berorientasi pada proses bisnis dan tata kelola TI. Untuk membuat prosedur kami harus memilih Key Management Practice yang cocok atau sesuai dengan kasus yang akan dilakukan. APO 13 ini terdiri dari 3 Key Management Practice :

Dapat dilihat dari ketiga key management practice diatas, dari ketiga tersebut yang paling cocok dengan pengelolaan persiapan serftifikasi keamanan informasi di Jurusan Sistem Informasi adalah key management practice yang pertama yaitu APO13.01, alasannya adalah karena sertifikasi ini masih belum dilaksanakan hanya untuk merencanakan atau persiapan sertifikasi saja.

APO 13.01 Establish and maintain an ISMS.

APO 13.02 Define and manage an information security risk treatment plan.

APO 13.03 Monitor and review the ISMS.

(4)

4

1.2. Kondisi Eksisting

Penerapan Keamanan Informasi pada Jurusan SIstem Informasi saat ini belum terlaksanan. Tidak ada proses operasional yang dilakukan oleh Jurusan Sistem Informasi terkait dengan kegiatan keamanan Sistem Informasi sehingga perlu diadakannya tindakan preventif dalam pelaksanaan kegiatan keamanan Sistem Informasi. Sampai saat ini proses pelaksanaan keamanan informasi yang dilakukan pada Jurusan Sistem Informasi hanya sebatas pada kegiatan pengamanan data menggunakan firewall dan komponen – komponen lain yang mendukung untuk pelaksanaan keamanan Informasi. Belum terdapat peraturan tertulis atau yang bersifat formal dalam proses penganangan aktivitas keamanan sistem informasi sehingga dirasa perlu untuk melakukan kontrol atau peninjauan secara resmi terkait kegiatan keamanan informasi untuk mendukung dan menjaga proses bisnis Jurusan Sistem Informasi khusunya terkai keamanan sistem informasi

1.3. Kajian Penelitian

Kajian pustaka di dalam penulisan penelitian ini adalah didasarkan pada hasil penelitian yang telah dilakukan sebelumnya yang dianggap mendukung kajian teori di dalam penelitian yang tengah dilakukan. Di bawah ini adalah uraian beberapa hasil penelitian terdahulu yang dianggap relevan :

Judul Penelitian

PENYUSUNAN TEMPLATE TATA KELOLA KEAMANAN INFORMASI BERBASIS ISO/IEC 27001:2005 DAN PATUH TERHADAP COBIT 5 MANAGEMENT PROCESSES

APO13 MANAGE SECURITY Nama Peneliti Faridl Mughoffar

Tahun

Penelitian 2014 Permasalahan

Bagaimana hasil penyusunan template tata kelola keamanan informasi berdasarkan penggabungan beberapa standar best practice keamanan informasi.

Tujuan

Tujuan dari penelitian adalah untuk mengembangkan solusi pengelolaan keamanan informasi berupa template dan panduan penggunaan template dokumen tata kelola keamanan informasi

Hasil

Pembahasan Hasil

Standar Best Practice tata kelola teknologi informasi terkait kemanan informasi

Hasil dari studi literatur mengenai standar best practice menunjukan bahwa ISO/IEC 27001:2005 dan COBIT 5 APO13 Manage Security memiliki proses dan praktek

(5)

5

kunci dalam melakukan pengelolaan keamanan informasi yang dapat digabungkan dan dipetakan untuk mendapatkan proses pengelolaan kemananan informasi yang tidak hanya dilihat dari teknis dalam melakukan pengamanan namun juga dalam mengelola sistem manajemen keamanan informasi.

Referensi template dokumen tata kelola keamanan informasi yang digunakan pada penelitian sebelumnya

Melalui studi ini didapatkan informasi mengenai proses pengelolaan,

pendokumentasian, dan struktur hierarki dokumen tata kelola keamanan informasi sekaligus bahan verifikasi untuk template dokumen tata kelola keamanan informasi yang dikembangkan. Dari referensi ini juga didapatkan bagaimana dokumen tata kelola disusukan berdasarkan komponen konten yaitu struktur isi dokumen dan komponen visual yang berupa layout identitas dokumen, logo organisasi atau perusahaan, serta tanggal-tanggal penerbitan dokumen

Pemetaan atau penggabungan best practice COBIT 5 terhadap ISO/IEC 27001.

Hasil dari proses ini adalah terpetakannya proses dan praktek kunci pengelolaan keamanan informasi pada ISO/IEC 27001:2005

yang patuh pada COBIT 5 APO13 Manage Security. Dari hasil pemetaan ini menunjukan

(6)

6

bagaimana penggabungan dua best practice ini dapat mengakomodasi tidak hanya dalam membuat SMKI (Sistem

Manajemen Keamanan

Informasi), namun juga dalam mengelola SMKI.

Pembuatan template tata kelola keamanan informasi.

Hasil dari proses ini adalah terbentuknya template dokumen tata kelola keamanan informasi yang terdiri dari Pedoman, Panduan, Kebijakan, Prosedur, Instruksi, Formulir, dan Template. Gambaran Proses pengelolaan keamaan informasi terdapat pada Lampiran G.

Pembuatan panduan

penggunaan template tata kelola keamanan informasi

Hasil dari proses ini adalah berupa hasil penyesuaian :

 Susunan panduan penggunaan template (4.5)

 Penyesuaian organisasi keamanan infromasi (4.6.1.a)

 Penyesuaian aktivitas terhadap penanggung jawab aktivitas.

Evaluasi template dan panduan (Manual Book) tata kelola kemanan informasi.

Terdapat 2 evaluasi yang telah dilakukan yaitu evaluasi pemenuhan standard (4.6.1) dan evaluasi referensi tata kelola keamanan informasi (4.6.2). Dari dua evaluasi tersebut didapatkan :

 Checklist Mandatory

Documentation dari Standart

 Checklist ketersediaan template dokumen terhadap aktivitas

 Checklist Mandatory

(7)

7

Documentations terhadap template dan tata kelola

 Checklist pengakomodasian template terhadap tata kelola keamanan informasi sesuai dengan sasaran pengendalian yang dipilih.

2. Kebutuhan Kontrol

Kebutuhan kontrol dilakukan sesuai dengan penerapan Key Management Practice (KMP) dari COBIT 5 yang akan digunakan dalam pembuatan prosedur. Pada tahap selanjutnya akan dilakukan mapping atau pengkategorian aktivitas dan kontrol apa saja yang diterapkan dalam pembuatan dokumen prosedur verkaitan dengan APO13 Keamanan Sistem Informasi.

2.1. Pengunaan APO13 Key

Management Practice

Deskripsi Justifikasi Keterangan

APO13. 01 Membangun dan

memelihara SMKI

Membangun dan memelihara SMKI yang menyediakan standar, pendekatan formal dan berkesinambungan untuk

manajemen keamanan

informasi serta memungkin-kan penggunaan teknologi dan operasional bisnis yang aman dengan proses yang sesuai dengan kebutuhan bisnis dan

manajemen keamanan

perusahaan.

Tahapan ini adalah langkah pertama

apabila sebuah organisasi akan

merealisasikan sebuah SMKI, dimana

dalam tahapan ini berisi aktivitas apa

saja yang harus dilakukan dalam

mendefinisikan kebutuhan dalam

membangun dan memelihara SMKI.

Digunakan

APO13.02 Menentukan dan

mengelola perencanaan penanganan

Menjaga rencana keamanan informasi yang menggambarkan bagaimana risiko keamanan informasi harus dapat dikelola dan diselaraskan dengan

Tahapan ini berisi perencanaan dalam

menangani risiko yang berkaitan dengan keamanan

Tidak digunakan

(8)

8 risiko

keamanan informasi

strategi perusahaan serta arsitektur enterprise. Selain itu

memastikan bahwa

rekomendasi untuk

melaksanakan perbaikan keamanan didasarkan pada kasus bisnis yang disetujui dan dilaksanakan sebagai bagian peningkatan layanan dan pengembangan solusi yang kemudian dioperasikan sebagai bagian peningkatan operasi bisnis.

informasi, sehingga tidak termasuk didalam scope pada

studi kasus ini dikarenakan studi kasus kali ini hanya

sebatas persiapan sebuah sertfifikasi

SMKI, belum mencakup mengenai aktivitas operasional

SMKI.

APO13.03 Memonitor dan

meninjau ulang SMKI

Menjaga dan secara teratur mengkomunikasikankebutuhan, dan manfaat serta peningkatan keamanan informasi secara terus-menerus. Mengumpulkan dan menganalisis data mengenai SMKI, dan meningkatkan efektivitas SMKI.

Menilai ketidaksesuaian untuk mencegah terulangnya risiko

yang sama serta

Mempromosikan budaya keamanan dan perbaikan yang berkelanjutan.

Tahapan ini berisi aktivitas untuk

melakukan monitoring dan meninjau ulang SMKI

yang telah dibangun, sedangkan studi kasus

kali ini hanya sebatas persiapan sertifikasi

sebuah SMKI, sehingga tidak termasuk didalam scope studi kasus kali

ini.

Tidak digunakan

2.2. Mapping Kontrol Key Management

Practice

Aktivitas Kontrol

APO13.01 Membangun dan

memelihara SMKI

1. Mendifinisikan ruang lingkup dan batasan SMKI

Preventive 2. Menyiapkan kebijakan

organisasi, Preventive

(9)

9

mengkategorikan sesuai dengan organisasi, aset, dan teknologi

3. Mempersiapkan

kebijakan penerapan ISMS pada perusahaan yang menggambarkan ruang lingkup ISMS

Preventive

4. Menyelaraskan

pendekatan ISMS secara keseluruhan proses pengelolaan keamanan

Preventive

5. Mendefiniskan peran dan tanggung jawab dalam mengelola ISMS

Preventive

(10)

10

(11)

11

3. Mapping Dokumen

Dalam bagian ini akan dilakukan pengelompokkan dokumen yang dihasilkan dari proses pembuatan prosedur pada key management practice yang telah diitetapkan seperti table dibawah ini :

Key Management

Practice

Aktivitas Nama

Prosedur

ID-

Prosedur Formulir ID-Formulir

APO13.01 Membangun

dan memelihara

SMKI

1. Mendifinisikan ruang lingkup dan batasan

SMKI

Prosedur pendefinisian ruang lingkup dan batasan

ISMS

PS- APO13.01.01

Formulir Ruang Lingkup

dan Batasan ISMS

FM- APO13.01.01

Formulir data aset

FM- APO13.01.06 2. Menyiapkan

kebijakan organisasi, mengkategorikan

sesuai dengan organisasi, aset, dan

teknologi

Prosedur persiapan kebijakan organisasi

PS- APO13.01.02

Persyaratan Penerapan

Teknologi Informasi

FM- APO13.01.02

3. Mempersiapkan kebijakan penerapan

ISMS pada perusahaan yang menggambarkan ruang lingkup ISMS

Prosedur persiapan kebijakan pengelolaan

ISMS

PS- APO13.01.03

Formulir kebijakan setiap aktivitas

ISMS

FM- APO13.01.03

4. Menyelaraskan pendekatan ISMS secara keseluruhan proses pengelolaan

keamanan

Prosedur Pendefinisian

Pendekatan ISMS

PS- APO13.01.04

Formulir pengembangan dan perubahan kriteria risiko

FM- APO13.01.04

5. Mendefiniskan peran dan tanggung jawab

dalam mengelola ISMS

Prosedur penentuan

Role dan Tanggung

PS- APO13.01.05

Formulir pendefinisian

role dan tanggung jawab civitas

FM- APO13.01.05

(12)

12

Jawab akademik

terkait pengelolaan

keamanan Informasi Jurusan Sistem

Informasi

Formulir Risk Register

FM- APO13.01.07

3.1. Prosedur

3.1.1. (PS-APO13.01.01) Prosedur pendefinisian ruang lingkup dan batasan ISMS 3.1.1.1. Deskripsi

Suatu organisasi ketika ingin melakukan manajemen pengelolaan persiapan sertifikasi keamanan informasi, alangkah baiknya perlu membuat prosedur terlebih dahulu, supaya apa yang akan dikerjakan akan lebih terarah. Cakupan prosedur untuk menyebutkan ruang lingkup dan batasan ISMS adalah mulai dari pendekatan keamanan organisasi apa saja yang akan diterapkan, kemudian mendefinisikan ruang lingkup dan batasan ISMS, dan mendaftar asset apa saja yang dimiliki saat ini.

3.1.1.2. Tujuan

Prosedur ini dibuat bertujuan untuk mendefinisikan ruang lingkup dan batasan ISMS dalam persiapan untuk melakukan manajemen pengelolaan persiapan sertifikasi keamanan informasi.

3.1.1.3. Standar Berlaku

 COBIT 5: APO 13.01 Membangun dan Memelihara ISMS (Information System Management Security)

3.1.1.4. Indikator Kerja

 Jumlah pendekatan keamanan organisasi yang akan diterapkan

 Definisi ruang lingkup dan batasan ISMS

 Jumlah aset yang dimiliki oleh Jurusan Sistem Informasi saat ini

 Dokumentasi aktivitas diskusi kedalam formulir : FM-APO13.01.01

(13)

13 3.1.1.5. Masukan

No Sumber Masukan Jenis Masukan Nomor & Nama Dokumen 1 Standar Best Practice Pengelolaan

Keamanan COBIT 5 APO 13 Manage Security 3.1.1.6. Luaran

No Tujuan Keluaran Jenis Keluaran Nomor & Nama Dokumen

1 Internal

Formulir yang berhubungan dengan

prosedur untuk menyebutkan ruang lingkup dan batasan

ISMS

FM-APO13.01.01 Ruang Lingkup dan Batasan

ISMS

2 Internal Formulir data aset FM-APO13.01.06

3.1.1.7. Aktivitas Prosedur

Pada bagian ini akan disebutkan aktivitas terkait prosedur pendefinisian ruang lingkup dan batasan ISMS pengelolaan keamanan informasi :

 Ketua Jurusan dan Manajer TI melakukan diskusi mengenai pendekatan keamanan organisasi yang akan diterapkan.

 Ketua Jurusan dan Manajer TI mendefiniskan ruang lingkup dan batasan ISMS.

 Ketua Jurusan dan Manajer TI menetapkan ruang lingkup dan batasan ISMS.

 Manajer TI dan Bagian Administrator TI mendaftar asset apa saja yang dimiliki saat ini - ada formulir daftar asset (formulir FM-APO13.01.06).

 Bagian administrator TI mendokumentasikan aktivitas diskusi ke dalam formulir (formulir FM-APO13.01.01).

(14)

3.1.1.8. Bagan Prosedur

Pada bagian ini akan digambarkan alur dari aktivitas terkait prosedur pendefinisian ruang lingkup dan batasan ISMS pengelolaan keamanan informasi :

URAIAN PROSEDUR Penanganan Insiden

Pelaksana Dokumen Terkait

Ketua Jurusan Manajer TI Bagan

Adminstrator TI Input Output

1

Melakukan diskusi mengenai pendekatan keamanan organisasi yang akan diterapkan

2

Mendefiniskan ruang lingkup dan batasan ISMS

3

Menetapkan ruag lingkup dan batasan ISMS

1

(15)

15 4

Mendaftar asset apa saja yang dimiliki saat ini - ada formulir daftar asset (Formulir FM-APO13.01.07)

5

Mendokumentasikan aktivitas diskusi ke dalam formulir (formulir FM- APO13.01.01)

1

Formulir FM- APO13.01.07

Formulir FM- APO13.01.01

(16)

3.1.2. (PS-APO13.01.02) Prosedur persiapan kebijakan organisasi 3.1.2.1. Deskripsi

Prosedur ini menjelaskan kebijakan yang perlu disiapakan oleh organisasi ketika akan melakukan manajemen pengelolaan persiapan sertifikasi keamanan informasi.

Adapun cakupan yang terdapat dalam prosedur ini adalah seperti membuat kerangka untuk menjelaskan sasaran dan tindakan yang akan dilakukan bersangkutan dengan keamanan informasi, kemudian dilakukan rapat koordinasi mengenai persyaratan dan penerapan teknologi informasi, serta aturan hukum yang berlaku dan kewajiban organisasi terhadap keamanan informasi. Diharapakan prosedur ini dapat mengkategorisasikan kebijakan sesuai dengan karakteristik organisasi, asset maupun teknologi.

3.1.2.2. Tujuan

Prosedur ini dibuat bertujuan untuk menyiapkan kebijakan organisasi, kemudian dikategorikan sesuai dengan karakteristik organsasi, asset, dan teknologi dalam persiapan untuk melakukan manajemen pengelolaan persiapan sertifikasi keamanan informasi.

COBIT 5: APO 13.01 Membangun dan Memelihara ISMS (Information System Management Security)

 Kerangka kerja untuk menjelaskan sasaran dan tindakan yang akan dilakukan bersangkutan dengan keamanan informasi

 Rapat koordinasi dengan ketua jurusan mengenai persyaratan mengenai penerapan teknologi informasi, aturan hukum yang berlaku, serta kewajiban organisasi terhadap keamanan informasi.

 Jumlah rapat untuk mempertimbangkan persyaratan mengenai penerapan teknologi informasi, aturan hukum yang berlaku, serta kewajiban organisasi terhadap keamanan informasi.

 Dokumentasi aktivitas diskusi kedalam formulir : FM-APO13.01.02 3.1.2.5. Masukan

No Sumber Masukan Jenis Masukan Nomor & Nama Dokumen 1 Standar Best Practice Pengelolaan

Keamanan COBIT 5 APO 13 Manage Security

(17)

17 3.1.2.6. Luaran

1 Internal

Formulir yang berhubungan dengan

prosedur untuk menyiapkan kebijakan

organisasi, kemudian dikategorikan sesuai dengan karakteristik organsasi, asset, dan

teknologi

FM-APO13.01.02 Persyaratan Penerapan Teknologi Informasi dan

Pada bagian ini akan disebutkan aktivitas terkait prosedur persiapan kebijakan organisasi dalam rangka penyesuaian dengan proses pengelolaan keamanan informasi

 Ketua Jurusan dan Manajer TI membuat kerangka kerja untuk menjelaskan sasaran dan tindakan yang akan dilakukan bersangkutan dengan keamanan informasi (dasar bisa diambil dari formulir FM-APO13.01.01 dan kebutuhan arsitektur tata kelola).

 Manajer TI melakukan rapat koordinasi dengan ketua jurusan mengenai persyaratan mengenai penerapan teknologi informasi, aturan hukum yang berlaku, serta kewajiban organisasi terhadap keamanan informasi.

 Manajer TI dan Ketua Jurusan mempertimbangkan persyaratan mengenai penerapan teknologi informasi, aturan hukum yang berlaku, serta kewajiban organisasi terhadap keamanan informasi.

 Membuat pendokumentasian hasil diskusi dalam sebuah formulir (formulir FM- APO13.01.02)

(18)

Pada bagian ini akan digambarkan alur dari aktivitas terkait prosedur persiapan kebijakan organisasi dalam rangka penyesuaian dengan proses pengelolaan keamanan informasi :

Pelaksana DokumenTerkait

Ketua Jurusan Manajer TI Bagan

1

Membuat kerangka

kerja untuk

menjelaskan sasaran dan tindakan yang

akan dilakukan

bersangkutan dengan keamanan informasi (dasar bisa diambil dari formulir FM-

APO13.01.01 dan

kebutuhan arsitektur

tata kelola). 2

FM-APO 13.01.01

(19)

19 2

Melakukan rapat koordinasi mengenai persyaratan mengenai penerapan teknologi informasi, aturan hukum yang berlaku, serta kewajiban organisasi terhadap keamanan informasi

3

Mempertimbangkan persyaratan mengenai penerapan teknologi informasi, aturan hukum yang berlaku, serta kewajiban organisasi terhadap keamanan informasi.

4

Membuat

pendokumentasian hasil diskusi dalam sebuah formulir (formulir FM- APO13.01.02)

formulir FM- APO13.

01.02 2

(20)

3.1.3. (PS-APO13.01.03) Prosedur persiapan kebijakan pengelolaan ISMS 3.1.3.1. Deskripsi

Prosedur Mempersiapkan Kebijakan Penerapan ISMS pada Perusahaan yang menggambarkan ruang lingkup ISMS tersebut berfokus pada proses mengidentifikasi pendekatan ISMS yang telah diterapkan oleh perusahaan. Proses tersebut berisikan breakdown dari pendekatan ISMS yang telah dijadikan menjadi aktivitas ISMS. Dalam prosedur ini juga terdapat dokumentasi mengenai aktivitas-aktivitas pada ISMS dan kebijakan-kebijakan yang terdapat pada setiap aktivitas tersebut.

3.1.3.2. Tujuan

Tujuan dari pembuatan prosedur berikut adalah untuk mempersiapkan kebijakan pada penerapan ISMS pada perusahaan yang didalamnya menggambarkan ruang lingkup pada ISMS.

COBIT 5 proses TI APO 13.01 membangun dan memelihara ISMS (Informastion System Management Security)

Berikut indikator kerja yang dilakukan :

1. Frekuensi pertemuan perencanaan ISMS 2. Kebijakan organisasi

3. Kebijakan penerapan ISMS

4. Frekuensi update mengenai aktivitas-aktivitas pada ISMS 5. Laporan berkala dokumentasi aktivitas-aktivitas pada ISMS 6. Pengkategorian ruang lingkup perusahaan

3.1.3.5. Masukan

No Sumber Masukan Jenis Masukan Nomor & Nama Dokumen 1 Standar Best

Practice

Pengelolaan Keamanan

COBIT 5 APO13 Manage Security

2 Dokumen Formulir

Formulir pendefinisian ruang

lingkup ISMS

FM-APO13.01.01 3.1.3.6. Luaran

No Tujuan Keluaran Jenis Keluaran Nomor & Nama Dokumen 1 Internal Formulir kebijakan

setiap aktivitas ISMS FM-APO13.01.03

(21)

21 3.1.3.7. Aktivitas Prosedur

Pada bagian ini akan disebutkan aktivitas terkait prosedur persiapan pembuatan dan penerapan kebijakan pengeloaan keamanan informasi :

 Manajer TI melakukan rapat koordinasi dengan ketua jurusan untuk mengidentifkasi pendekatan ISMS yang diterapkan disesuaikan dengan ruang lingkup dan batasan (referensi sesuai dengan FM-APO13.01.01).

 Manajer TI dan Bagian Administrator TI melakukan breakdown pendekatan ISMS menjadi aktivitas ISMS.

 Bagian Administrator TI mendokumentasikan aktivitas ISMS kedalam (formulir FM-APO13.01.03).

 Manajer TI melaporkan aktivitas ISMS kepada Ketua Jurusan Sistem Informasi ITS Surabaya.

 Ketua Jurusan menetapkan kebijakan setiap aktivitas ISMS.

(22)

Pada bagian ini akan digambarkan alur dari aktivitas terkait prosedur persiapan pembuatan dan penerapan kebijakan pengeloaan keamanan informasi :

Ketua Jurusan Manajer TI Bagian

Administrator TI Input Output

1

Melakukan rapat

koordinasi untuk

mengidentifkasi pendekatan ISMS yang diterapkan

disesuaikan dengan ruang lingkup dan batasan (referensi sesuai dengan FM- APO13.01.01).

2

Melakukan breakdown pendekatan ISMS menjadi aktivitas ISMS

3

FM-APO 13.01.01

(23)

23 3

Mendokumentasikan aktivitas ISMS kedalam (formulir FM-

APO13.01.03)

4 Melaporkan aktivitas ISMS

5 Menetapkan kebijakan setiap aktivitas ISMS

formulir FM-APO 13.01.03 3

(24)

3.1.4. (PS-APO13.01.04)Prosedur Pendefinisian Pendekatan ISMS 3.1.4.1. Deskripsi

Pada prosedur Menyelaraskan pendekatan ISMS secara keseluruhan proses pengelolaan keamanan berisikan dokumen klasifikasi, kategori antar risiko, dokumen hasil pengembangan risiko dan perubahan kriteria risiko. Dalam dokumen-dokumen tersebut berisikan metodologi mengenai penilaian risiko yang telah sesuai dengan ISMS dan keamanan informasi.

3.1.4.2. Tujuan

Prosedur ini dibuat untuk dapat menyeleraskan mengenai pendekatan ISMS secara keseluruhan pada proses pengelolaan keamanan pada perusahaan.

COBIT 5 proses TI APO 13.01 membangun dan memelihara ISMS (Informastion System Management Security)

Berikut indikator kerja yang dilakukan :

1. Frekuensi pertemuan mengenai dokumentasi klasifikasi pengkategorian risiko

2. Laporan berkala dokumen klasifikasi pengkategorian risiko 3. Frekuensi pengelolaan keamanan

4. Laporan berkala dokumen metodologi penilaian risiko 5. Laporan berkala hasil metodologi pengkategorian risiko 3.1.4.5. Masukan

No Sumber Masukan Jenis Masukan Nomor & Nama Dokumen 1 Standar Best

Practice Pengelolaan Keamanan

COBIT 5 APO13 Manage Security

3.1.4.6. Luaran

1 Internal

Formulir pengembangan dan perubahan kriteria

risiko

FM-APO13.01.04

Pada bagian ini akan disebutkan aktivitas terkait prosedur pendekatan yang digunakan dalam pengeloaan keamanan informasi

 Bagian administrator TI membuat klasifikasi dan pengkategorian risiko

 Bagian administrator TI mendokumentasi klasifikasikan pengkaegorian risiko (formulir FM-APO13.01.04)

(25)

25

 Bagian administrator TI melaporkan hasil klasifikasi pengkategorian risiko kepada Manajer TI

 Manajer TI mengkaji kembali hasil klasifikasi dan pengkategorian risiko

 Manajer TI dan Bagian administrator TI menetapkan hasil klasifikasi dan pengkategorian risiko

 Manajer TI mengidentifikasi metodologi penilaian risiko yang sesuai dengan ISMS dan keamanan informasi

 Manajer TI melaporkan dan mendiskusikan hasil pengklasifikasian, pengkategorian, dan metodologi penilaian risiko dengan ketua jurusan

 Ketua Jurusan dan Manajer TI mengembangkan kriteria untuk menerima risiko dan mengidentifikasi tingkat risiko yang dapat diterima

 Manajer TI dan Bagian administrator TI mendokumentasikan hasil pengembangan dan perubahan kriteria risiko kedalam versi terbaru (formulir FM-APO13.01.04)

(26)

Pada bagian ini akan digambarkan alur dari aktivitas terkait prosedur pendekatan yang digunakan dalam pengeloaan keamanan informasi :

Pelaksana Mutu Baku

Ketua Jurusan Manajer TI Bagian

1

Membuat klasifikasi dan pengkategorian risiko

2

Mendokumentasi klasifikasikan

pengkaegorian risiko (formulir FM-

APO13.01.04)

4

formulir FM-APO 13.01.04

(27)

27 3

Melaporkan hasil klasifikasi

pengkategorian risiko kepada Manajer TI

4

Mengkaji kembali hasil klasifikasi dan

pengkategorian risiko

5

Menetapkan hasil klasifikasi dan

pengkategorian risiko

4

5

(28)

28 6

Mengidentifikasi metodologi penilaian risiko yang sesuai dengan ISMS dan keamanan informasi

7

Melaporkan dan mendiskusikan hasil pengklasifikasian, pengkategorian, dan metodologi penilaian risiko

8

Mengembangkan kriteria untuk menerima risiko dan mengidentifikasi tingkat risiko yang

dapat diterima 6

5

(29)

29 9

Mendokumentasikan hasil pengembangan dan perubahan kriteria risiko kedalam versi terbaru (formulir FM- APO13.01.04)

formulir FM-APO 13.01.03 6

(30)

3.1.5. (PS-APO13.01.05)Prosedur penentuan Role dan Tanggung Jawab 3.1.5.1. Deskripsi

Pada prosedur ini akan dijelaskan mengenai bagaimana dan apa saja role dari setiap civitas akademik dalam Juruan Sistem Informasi yang berkaitan dengan kegiatan dan aktivitas pengelolaan keamanan informasi. Penentuan role digunakan untuk membagi penanggung jawab dalam menjalankan proses operasional pengelolaan keamanan informasi di Jurusan Sistem Informasi. Selain membagi siapa saja penanggung jawab dalam aktivitas pengelolaan keamanan sistem informasi, akan ditentukan juga setiap tanggung jawab dari role yang telah dibagikan kepada civitas akademik yang langsung berkaitan dengan proses operasional pengelolaan keamanan informasi.

3.1.5.2. Tujuan

Tujuan dari adanya prosedur ini untuk mendefinisikan dan membagi role maupun tanggung jawab dari setiap aktivitas yang akan dijalankan pada proses pengelolaan keamanan informasi yag ada dijurusan sistem informasi.

 COBIT 5 proses TI APO 13.01 membangun dan memelihara ISMS (Informastion System Management Security)

 Laporan mengenai perencaan risiko yang akan dilakukan terkait keamanan informasi di Jurusan Sistem Informasi

 Jumlah SDM yang dapat berkontribusi dalam proses pengelolaan keamanan informasi

 Jumalh rapat yang dilakukan terkait pendiskusian kriteria sumber daya yang dibutuhkan.

 Laporan hasil pembagian role dari civitas akademik dalam proses pengelolaan keamanan informasi

 Laporan hasil pembagian tanggung jawab dari setiap role yang berkaitan dengan proses pengelolaan keamanan informasi

3.1.5.5. Masukan

No Sumber Masukan Jenis Masukan Nomor & Nama Dokumen 1 Standart Best Practice Pengelolaan Keamanan COBIT 5 APO13 Manage

Security 3.1.5.6. Luaran

No Tujuan Keluaran Jenis Keluaran Nomor & Nama Dokumen 1 Internal Formulir pendefinisian

role dan tanggung FM-APO13.01.05

(31)

31

jawab civitas akademik terkait pengelolaan keamanan Informasi

Jurusan Sistem Informasi

2 Internal Formulir Risk Register FM-APO13.01.07

Pada bagian ini akan disebutkan aktivitas terkait prosedur penentuan role dan tanggung jawab pengelolaan keamanan informasi

 Manajer TI dan Bagian administrator TI melakukan perencanaan perlakuan risiko (formulir FM-APO13.01.07)

 Manajer TI dan Bagian administrator TI melakukan perhitungan kebutuhan sumber daya

 Manajer TI memberikan kriteria sumber daya yang mengelola risiko kepada Ketua Jurusan

 Ketua Jurusan bersama dengan sekretaris jurusan mendiskusikan kriteria sumber daya yang diperlukan dalam mengelola risiko

 Sekretaris jurusan mengidentifkasi SDM dan menentukan peran dan tanggung jawab

 Sekretaris jurusan melakukan dokumentasi terhadap penentuan peran dan tanggung jawab (formulir FM-APO13.01.05)

 Sekretaris jurusan melaporkan hasil analisa SDM dan penentuan peran dan tanggung jawab kepada ketua jurusan

(32)

Pada bagian ini akan digambarkan alur dari aktivitas terkait prosedur penentuan role dan tanggung jawab pengelolaan keamanan informasi :

Ketua Jurusan Sekretaris Jurusan Manajer TI Bagian

1

Melakukan

pendiskusian rencana perlakuan risiko

2

Melakukan perhitungan kebutuhan sumber daya

7

(33)

33 3

Memberikan kriteria sumber daya yang mengelola risiko kepada Ketua Jurusan

4

Mendiskusikan kriteria sumber daya yang diperlukan dalam mengelola risiko

5

Mengidentifkasi SDM dan menentukan peran dan tanggung jawab

6

Melakukan

dokumentasi terhadap penentuan peran dan tanggung jawab (formulir FM- APO13.01.05)

7

8

formulir FM- APO13.01.05

(34)

34 7

Melaporkan hasil analisa SDM dan penentuan peran dan tanggung jawab

8

(35)

K E B I J A K A N

(36)

36

3.2. Kebijakan

Kebijakan ini dibuat untuk mengakaji rangkaian konsep dan asas yang menjadi garis besar dan dasar rencana dalam manajemen pengelolaan persiapan sertifikasi keamanan informasi di Jurusan Sistem Informasi. Tujuannya dibuat kebijakan ini adalah untuk memonitor dan menilai sejauh mana atau kinerja dari Jurusan Sistem Informasi dalam mempersiapkan sertifikasi keamanan informasi.

Kebijakan ini dibuat dengan mengacu pada Key Managemenct Practice APO13.01 dan melihat dari aktifitas-aktifitas setiap prosedur.

3.2.1. Kebijakan untuk prosedur pendefinisian ruang lingkup dan batasan ISMS

 Penetapan ruang lingkup dan batasan ISMS berdasarkan proses bisnis utama Jurusan Sistem Informasi.

 Pendataan pendefinisian harus berisi ruang lingkup dan batasan ISMS yang telah dimiliki oleh Jurusan Sistem Informasi sebelumnya dan yang akan dibuat saat ini.

 List informasi mengenai asset yang dimiliki oleh jurusan sistem infromasi saat ini harus disertai dengan laporan kondisi asset saat ini.

3.2.2. Kebijakan untuk prosedur persiapan kebijakan organisasi

 Kerangka kerja yang dibuat untuk menjelasakna sasaran dan tindakan yang akan dilakukan bersangkutan dengan keamanan informasi harus sesuai dengan proses bisnis utama Jurusan Sistem Informasi

3.2.3. Kebijakan untuk prosedur kebijakan pengelolaan ISMS

 Penerapan ISMS pada perusahaan harus mendokumentasikan penerapan kebijakan dan standar ISMS pada perusahaan.

 Aktivitas ISMS yang telah dibuat harus dilaporkan kepada pihak yang berkaitan pada Jurusan Sistem Informasi.

 List pendektatan ISMS menjadi aktivitas ISMS harus sesuai dengan ruang lingkup dan batasan ISMS yang telah dimiliki oleh Jurusan Sistem Informasi.

 Setiap kebijakan yang dibuat harus relevan dengan aktivitas-aktivitas pada setiap ISMS.

3.2.4. Kebijakan untuk prosedur pendefinisian pendekatan ISMS

 Harus dilakukan penentuan kriteria yang akan digunakan untuk melakukan klasifikasi dan pengkategorian risiko.

 Penetapan metodologi harus didesuikan dengan proses yang berjalan dalam Jurusan Sistem Informasi sehingga tidak menganggu proses bisnis sistem informasi.

(37)

37

 Harus dilakukan justifikasi dan pembuatankriteria terkait dengan penggolongan risiko yang dapat digunakan untuk melakukan penilaian risiko.

3.2.5. Kebijakan untuk prosedur penentuan Role dan Tanggung Jawab

 Terdapat daftar SDM yang diperkirakan dapat berkontribusi dalam proses dan aktifitas pengelolaan keamanan informasi.

 Terdapat pendefinisian kriteria SDM pada saat proses analisa perlakukan terhadap risiko yang harus dilakukan.

 Peran dan tanggung jawab yang didefinisikan harus sesuai dengan peran yang dilakukan pada sebelumnya dan saat ini.

 Pengaturan tanggung jawab yang diberikan harus disesuaikan dengan ruang lingkup peran yang diberikan kepada pihak yang bersangkutan.

(38)

38

(39)

39

3.3. Formulir

LEMBAR PENGESAHAN

FORMULIR RUANG LINGKUP DAN BATASAN ISMS

Judul Formulir : Ruang Lingkup dan Batasan ISMS NO. Dokumen : FM-APO13.01.01

Rilis :

Revisi :

Riwayat Perubahan :

No.Rilis No.

Revisi Halaman Penambahan/

Modifikasi/Penghapusan Deskripsi Perubahan Tanda Tangan

Dibuat Oleh Dibuat Oleh Dibuat Oleh

TTD TTD TTD

Jabatan : Jabatan : Jabatan :

Tanggal : Tanggal : Tanggal :

(40)

Jurusan Sistem Informasi

Nama Departemen

FM-APO13.01.01 No.Rilis : No Revisi : Ruang Lingkup dan Batasan ISMS Tanggal Terbit :

Halaman : FORMULIR

FORMULIR RUANG LINGKUP DAN BATASAN ISMS

Ruang Lingkup :

Deskripsi Ruang Lingkup:

Batasan :

Tujuan :

(41)

41

LEMBAR PENGESAHAN

FORMULIR PERSYARATAN PENERAPAN TEKNOLOGI INFORMASI DAN ATURAN

Judul Formulir : Persyaratan Penerapan Teknologi Informasi dan Aturan NO. Dokumen : FM-APO13.01.02

Rilis :

Revisi :

TTD TTD TTD

(42)

FORMULIR PERSYARATAN PENERAPAN TEKNOLOGI INFORMASI DAN ATURAN

Dasar Acuan Proses Penerapan Teknologi :

Dasar Acuan Aturan :

Tujuan :

Nama Departemen

FM-APO13.01.02 No.Rilis : No Revisi : Persyaratan Penerapan Teknologi

Informasi dan Aturan Tanggal Terbit : Halaman : FORMULIR

(43)

LEMBAR PENGESAHAN

FORMULIR KEBIJAKAN SETIAP AKTIVITAS ISMS

Judul Formulir : Kebijakan Setiap Aktivitas ISMS NO. Dokumen : FM-APO13.01.03

Rilis :

Revisi :

TTD TTD TTD

(44)

FORMULIR KEBIJAKAN SETIAP AKTIVITAS ISMS

Sasaran Pengendalian : <Masukan sasaran pengendalian yang ingin didaftarkan risikonya>

Tanggal : < Masukan tanggal pendaftaran>

Penanggung Jawab : <Masukan nama penanggung jawab>

Dasar Acuan Kebijakan Setiap Aktivitas ISMS :

Dasar Acuan Aturan :

Tujuan :

Nama Departemen

FM-APO13.01.03 No.Rilis : No Revisi : Kebijakan Setiap Aktivitas ISMS Tanggal Terbit :

(45)

45

LEMBAR PENGESAHAN

FORMULIR PENGEMBANGAN DAN PERUBAHAN KRITERIA RISIKO KEDALAM VERSI TERBARU

Judul Formulir : Hasil Pengembangan dan Perubahan Kriteria Risiko Kedalam Versi Terbaru

NO. Dokumen : FM-APO13.01.04

Rilis :

Revisi :

TTD TTD TTD

(46)

FORMULIR PENGEMBANGAN DAN PERUBAHAN KRITERIA RISIKO KEDALAM VERSI TERBARU

Pendahuluan :

Ruang Lingkup :

Tujuan :

Dasar Acuan :

Nama Perusahaan / Organisasi

Nama Departemen

FM-APO13.01.04 No.Rilis : No Revisi : Pengembangan dan Perubahan

Kriteria Risiko Kedalam Versi Terbaru

Tanggal Terbit : Halaman : FORMULIR

(47)

47

LEMBAR PENGESAHAN

FORMULIR ROLE DAN TANGGUNG JAWAB DALAM MENGELOLA ISMS

Judul Formulir : Role dan Tanggung Jawab dalam Mengelola ISMS NO. Dokumen : FM-APO13.01.05

Rilis :

Revisi :

TTD TTD TTD

(48)

48

FORMULIR ROLE DAN TANGGUNG JAWAB DALAM MENGELOLA ISMS

Sasaran Alokasi : <Masukan sasaran pengendalian>

Tanggal : <Masukan tanggal pengalokasian>

Penanggung Jawab : <Masukkan nama penanggung jawab pengalokasian >

Deskripsi Peran Sumber Daya :

Wewenang :

Tanggung Jawab :

Kriteria:

Kompeten

Nama Departemen

FM-APO13.01.05 No.Rilis : No Revisi : Role Dan Tanggung Jawab Dalam

Mengelola Isms Tanggal Terbit : Halaman : FORMULIR

(49)

49

LEMBAR PENGESAHAN

FORMULIR DATA ASSET

Judul Formulir : Data Asset NO. Dokumen : FM-APO13.01.06

Rilis :

Revisi :

TTD TTD TTD

(50)

50

FORMULIR DATA ASSET

ID Asset Asset Kategori Asset Status Kondisi Asset Keterangan Asset

Keterangan :

1. ID Asset ID ini digunakan untuk memberikan penanda pada asset apa saja yang dimiliki oleh Jurusan Sistem Infromasi saat ini, cara memberikan ID Asset ini bisa ini adalah dengan mengkombinasikan huruf dengan angka.

2. Asset disini untuk menyebutkan atau menge-list nama asset apa saja yang dimiliki oleh Jurusan Sistem Informasi.

3. Kategori Kondisi Asset disini adalah untuk mengkategorisasikan asset yang sudah disebutkan pada kolom Asset sebelumnya.

4. Status Kondisi Asset menjelaskan mengenai status kondisi asset saat ini yang dimiliki oleh Jurusan Sistem Informasi, tujuannya adalah karena formulir ini dibuat untuk manajemen pengelolaan persiapan sertifikasi keamanan informasi, maka diperlukan transparasi mengenai kondisi asset yang dimiliki, supaya mengetahui asset mana yang masih layak untuk digunakan dan mana yang tidak.

5. Keterangan Asset disini mendeskripsikan atau mejelaskan asset apakah tersebut.

Nama Departemen

FM-APO13.01.06 No.Rilis : No Revisi : Data Asset Tanggal Terbit :

(51)

51

LEMBAR PENGESAHAN

FORMULIR RISK REGISTER

Judul Formulir : Risk Register NO. Dokumen : FM-APO13.01.07

Rilis :

Revisi :

TTD TTD TTD

(52)

52

FORMULIR RISK REGISTER

ID No. Risk Description Category Root

Cause Triggers Potential

Responses Status

Keterangan :

6. ID No. menjelaskan mengenai nomor ID yang digunakan sebagai nomor penanda pada masing-masing resiko. Didalamnya berisikan kombinasi antara angka dan huruf.

7. Risk menjelaskan mengenai risiko apa saja yang terjadi. Didalamnya hanya berisikan nama risiko apa yang muncul atau terjadi

8. Description menjelaskan mengenai penjelasan dari risk atau risiko yang muncul atau terjadi. Didalamnya menjelaskan dengan detail maksud dari risiko tersebut 9. Category menjelaskan mengenai risiko tersebut digolongkan pada kategori yang

seperti apa. Category ini sendiri terdapat beberapa bagian, yaitu :

a. Process risk : menjelaskan mengenai risiko yang berkaitan dengan sebuah proses

b. People risk : menjelaskan mengenai risiko yang berkaitan dengan sumber daya manusia

c. Financial risk : menjelaskan mengenai risiko yang berkaitan dengan keuangan

Nama Departemen

FM-APO13.01.07 No.Rilis : No Revisi : Risk Register Tanggal Terbit :

(53)

53

d. Technology risk : menjelaskan mengenai risiko yang berkaitan dengan teknologi

10. Root Cause menjelaskan mengenai akar penyebab terjadinya risiko tersebut.

Didalamnya berisi sebuah penjelasan mengenai identifikasi mengapa risiko tersebut dapat muncul

11. Trigger menjelaskan mengenai penjelasan mengenai terjadinya risiko

12. Potential responses menjelaskan mengenai respon apa yang harus dilakukan oleh organisasi untuk menanggulangi risiko tersebut. Respon tersebut harus berpotensi untuk mencegah terjadinya risiko.

13. Status menjelaskan mengenai status pada sebuah risiko. Didalamnya berisikan mengenai bagaimana status dari risiko tersebut, apakah risiko tersebut sudah ditangani atau belum. Status tersebut juga dapat berisikan proses respon apa saja yang telah dilakukan dalam menangani risiko.

Daftar Pustaka

R. Meadows, dalam COBIT 5 Enabling Process, ISACA, 2012.

Mughoffar, PENYUSUNAN TEMPLATE TATA KELOLA KEAMANAN INFORMASI BERBASIS ISO/IEC 27001:2005 DAN PATUH TERHADAP COBIT 5 MANAGEMENT PROCESSES , Surabaya