Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009

Transkripsi

1 Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 Rizki Komalasari 1, Ilham Perdana 2 Jurusan Manajemen Bisnis Telekomunikasi & Informatika Fakultas Ekonomi & Bisnis Universitas Telkom, Bandung rizki_komala@yahoo.com 1), lhamdana@gmail.com 2) ABSTRACT Most of public service agencies have not yet or are drafting information security framework that meet the standard of SNI ISO/IEC 27001: One of them is PT PLN (Persero) DJBB. Some cases occur related to information security policy, physical and environmental security, and communication and operation management. Therefore, an audit s conducted for improvement of information security management system, especially in the improvement and preparation of Standard Operating Procedure (SOP) related information sercurity to be more optimal. This research type is applied research. This research is descriptive qualitative research. This research uses technique triangulation (structured interview, observation, and documentation). Gap analysis is stated in a work paper gap analysis table. This research measures the level of performace of Information Technology that uses Capability Maturity Model Integration (CMMI). The result of the audit indicates that level of security policy and physical and environmental security is 4 (managed), while level of communication and operation management is 5 (optimized). Keywords : Gap Analysis, Information Security Audit, Maturity Level, SNI ISO/IEC 27001: Pendahuluan IT Governance merupakan salah satu pilar utama dari GCG, maka dalam pelaksanaan IT Governance atau tata kelola TI yang baik sangat diperlukan standar tata kelola Tl dengan mengacu kepada standar tata kelola TI internasional yang telah diterima secara luas dan teruji implementasinya. Tata kelola TI termasuk di dalamnya adalah kemanan informasi [7]. 201

2 Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: Dalam rangka mendukung sistem keamanan informasi bagi lembaga penyelenggara pelayanan publik, Badan Standarisasi Nasional (BSN) mengadopsi ISO/IEC 27001: 2005 sebagai Standar Nasional Indonesia (SNI) ISO/IEC 27001: Namun mayoritas instansi penyelenggara pelayanan publik belum memiliki/ sedang menyusun kerangka kerja keamanan informasi yang memenuhi standar SNI ISO/IEC 27001: 2009 [6]. Salah satunya adalah PT PLN (Persero) DJBB. Beberapa kasus yang ditemui terkait keamanan informasi di Bagian TI PLN (Persero) DJBB. Terkait dengan klausul A.5 Kebijakan Keamanan, walaupun sudah ada kebijakan keamanan, masih terdapat beberapa Standar Operating Procedure (SOP) keamanan informasi yang masih dalam penyusunan dan masih ada pula yang belum didokumentasikan. Terkait dengan klausul A.9 Keamanan Fisik dan Lingkungan, masih dijumpai penataan kabel yang tidak rapi, tidak ada pengecekan ataupun larangan penggunaan kamera photo oleh pihak ketiga, di satu sisi gedung TI sangat memerlukan pengamanan khusus karena di dalamnya menyimpan server utama. Sedangkan terkait dengan klausul A.10 Manajemen Komunikasi dan Operasi, berdasarkan status gangguan sistem informasi pada akhir tahun 2013 ada beberapa gangguan yang sering terjadi adalah kondisi down pada jaringan Local Area Network (LAN) karena berbagai gangguan misalnya serangan virus dan gangguan listrik sehingga daya konektivitas lambat, adanya gangguan aplikasi pelayanan pelanggan terpadu, juga gangguan koneksi jaringan lambat karena banyaknya information technology broadcast sehingga data melebihi dari kapasitas bandwidth yang ada, kerusakan perangkat Wide Area Network (WAN) karena petir dan angin, apalagi saat ini sangat dipengaruhi oleh kondisi cuaca yang buruk, serta putusnya kabel, serta beberapa kali terjadi di mana server dalam kondisi down. Oleh karena itu diperlukan audit keamanan informasi menggunakan standar SNI ISO/IEC 27001: 2009 untuk menjawab rumusan masalah penelitian sebagai berikut: a. Bagaimana maturity level dan gap pada kebijakan keamanan Bagian Teknologi Informasi PT PLN (Persero) Distribusi Jawa Barat dan Banten berdasarkan standar SNI ISO/IEC 27001: 2009? b. Bagaimana maturity level dan gap pada keamanan fisik dan lingkungan Bagian Teknologi Informasi PT PLN (Persero) Distribusi Jawa Barat dan Banten berdasarkan standar SNI ISO/IEC 27001: 2009? 202

3 Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) c. Bagaimana maturity level dan gap pada manajemen komunikasi dan operasi Bagian Teknologi Informasi PT PLN (Persero) Distribusi Jawa Barat dan Banten berdasarkan standar SNI ISO/IEC 27001: 2009? 2 Landasan Teori 2.1 Definisi Informasi Kaitannya dengan konsep informasi, informasi adalah semua hal yang diperlukan dalam proses pembuatan keputusan, misalnya pengetahuan, fakta, data, angka, dan sebagainya [1]. Selain itu juga disebutkan, Information is the stuff of paper work system just as material is the stuff of production system. Pendapat tersebut menunjukan bahwa informasi merupakan komoditi yang sangat penting bagi pelaksanaan operasional manajemen efektif [1]. 2.2 Definisi Keamanan Informasi Keamanan informasi (information security) adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan/menjamin kelangsungan bisnis (business continuity), meminimasi risiko bisnis (reduce business risk), dan memaksimalkan/mempercepat pengembalian investasi dan peluang bisnis [8]. Keamanan informasi merupakan suatu keharusan untuk melindungi aset perusahaan dari berbagai ancaman. Tujuannya adalah untuk meyakinkan integritas, kelanjutan, dan kerahasiaan dari pengolah data [10]. 2.3 Jenis Keamanan Informasi Kelemahan keamanan informasi berdasarkan lubang keamanan (security hole) dapat diklasifikasikan menjadi empat bagian utama yang akan dijelaskan sebagaimana berikut: a. Keamanan yang bersifat fisik (physical security). Hal tersebut mencakup akses orang ke gedung, peralatan dan media yang digunakan. b. Keamanan yang berhubungan dengan orang (personal security). Hal ini termasuk identifikasi dan profil risiko dari pihak atau karyawan yang mempunyai akses.seringkali kelemahan keamanan informasi bergantung kepada manusia (pemakai dan pengelola). c. Keamanan dari data dan media serta teknik komunikasi (communications security). Yang termasuk dalam bagian ini adalah kelemahan dalam perangkat lunak (software) untuk pengelolaan data. Seorang pelaku 203

4 Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: kejahatan dapat memasang virus atau trojan horse sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses. d. Keamanan dalam operasional/manajemen teknologi informasi (management security). Hal ini mencakup kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan dan juga prosedur setelah serangan (post attack recovery), seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur tersebut [8]. 2.4 Audit Keamanan Informasi Audit merupakan proses atau aktivitas yang sistematik, independen, dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara objektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan [8]. Audit keamanan informasi adalah suatu alat atau perangkat dalam menentukan, mendapatkan, dan mengelola setiap level keamanan dalam suatu organisasi. Audit keamanan informasi dimaksudkan untuk meningkatkan level keamanan informasi, mencegah rancangan keamanan informasi yang tidak layak, dan mengoptimalkan efisiensi benteng keamanan, dan proses keamanan informasi itu sendiri. Audit ini akan memastikan atau menjamin berjalannya proses operasional, reputasi dan aset suatu organisasi. Hasil dari audit keamanan informasi adalah tersusunnya dokumen laporan audit yang terkait pada keamanan teknologi informasi yang digunakan di lingkungan organisasi tersebut [5]. 2.5 Standar Keamanan Informasi Lima standar keamanan informasi berdasarkan best practice yang umum digunakan antara lain sebagai berikut: a. BS BS 7799 merupakan standar yang diterbitkan oleh British Standard Institution (BSI) Group pada Bagian pertama, berisi praktik terbaik untuk sistem manajemen keamanan informasi, direvisi pada 1998, yang akhirnya diadopsi oleh ISO sebagai ISO 17799, Teknologi Informasi-Kode Praktek untuk Manajemen Keamanan Informasi. Bagian kedua diterbitkan pada 1999, dikenal dengan BS 7799 part 2, berjudul Sistem Manajemen Keamanan Informasi-Spesifikasi dengan panduan penggunaan, yang terfokus dalam menerapkan sistem manajemen keamanan informasi, mengacu pada struktur dan kontrol manajemen keamanan informasi yang diidentifikasi dalam BS , yang kemudian menjadi ISO b. PCIDSS. The Payment Card Industry Data Security Standard (PCIDSS) adalah standar keamanan informasi di seluruh dunia yang ditetapkan oleh 204

5 Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) Payment Card Industry Security Council. Standar ini diciptakan untuk membantu proses organisasi industri dalam pembayaran kartu dan mencegah penipuan kartu kredit melalui peningkatan kontrol data. c. ITIL. The Information Technology Infrastructure Library (ITIL) adalah seperangkat konsep dan praktek manajemen layanan TI, pengembangan TI, dan operasi TI yang memiliki bagian fokus pada keamanan mengandung delapan komponen utama antara lain adalah Service Support, Service Delivery, ICT Infrastructure Management, Security Management, Application Management, Software Asset Management, Planning to Implement Service Management, dan Small-Scale Implementation. d. COBIT. The Control Objectives for Information and related Technology (COBIT) adalah sertifikasi yang dibuat ISACA dan IT Governance Institute (ITGI) pada 1996, yang merupakan kerangka kerja tata kelola TI dan seperangkat alat yang mendukung manajer untuk menjembatani kesenjangan antara persyaratan kontrol, masalah teknis, risiko bisnis, dan masalah keamanan. e. ISO/IEC 27001: ISO/IEC 2700: 2005 adalah standar keamanan informasi (information security) yang diterbitkan pada Oktober 2005 oleh ISO (The International Organization for Standardization) dan IEC (The International Electrotechnical Commission). ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa, dan memelihara serta mendokumentasikan standar sistem manajemen keamanan informasi [9]. ISO/IEC mendefinisikan 11 klausul, 39 objektif kontrol (sasaran pengendalian), dan 133 kontrol (pengendalian) yang dapat diterapkan untuk membangun sistem manajemen keamanan informasi [5]. Kelompok kebutuhan pengendalian keamanan ditunjukkan pada Gambar

6 Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: A.5 Kebijakan Keamanan A.6 Organisasi Keamanan Informasi A.7 Pengelolaan Aset A.15 Kesesuaian (compliance) Organizational A.8 Keamanan Sumber Daya Manusia A.9 Keamanan Fisik dan Lingkungan A.11 Akses Kontrol Technical A..12 Akuisisi, Pengembangan, dan Pemeliharaan Sistem Informasi A.10 Manajemen Komunikasi dan Operasi A.13 Manajemen Insiden Keamanan Informasi A.14 Business Continuity Management Operational Gambar 1 Kelompok Kebutuhan Pengendalian Keamanan [5] 2.6 Maturity Model Dalam mengidentifikasi tingkat kematangan penerapan keamanann informasi berstandar SNI ISO/IEC 27001: 2009, mengacu kepada tingkatan kematangan yang digunakan oleh kerangka kerja COBIT (Control Objective for Information and related Technology) atau CMMI (Capability Maturity Model for Integration) [6]. CMMI adalah model kematangan yang digunakan untuk melakukan penilaian oleh manajemen TI secara lebih efisien yang dapat diterapkan/diaplikasikan ke masing-masing klausul ISO/IEC 27001: 2005 [4]. Model kematangan untuk pengelolaan dan pengendalian pada proses teknologi informasi didasarkan pada metode evaluasi organisasi sehingga dapat mengevaluasi sendiri dari level 0 (tidak ada) hingga level 5 (Optimis). Model kematangan dimaksudkan untuk mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas peningkatan. [2]. Adapun tingkatan kematangan CMMI secara umum ditunjukkan pada Tabel

7 Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) Tingkatan Kematangan 0 - Non- Existent Tabel 1 Tingkatan Generic CMMI [2] Definisi Kekurangan yang menyeluruh terhadap proses apapun yang dapat dikenali. Perusahaan bahkan tidak mengetahui bahwa terdapat permasalahan yang harus diatasi. 1 Initial Terdapat bukti bahwa perusahaan mengetahui adanya permasalahan yang harus diatasi. Bagaimanapun juga tidak terdapat proses standar, namun menggunakan pendekatan ad hoc yang cenderung diperlakukan secara individu/ per kasus. Secara umum pendekatan proses tidak terorganisasi. 2 Repeatable Proses dikembangkan ke dalam tahapan di mana prosedur serupa diikuti oleh pihak-pihak yang berbeda untuk pekerjaan yang sama. Tidak terdapat pelatihan formal/pengkomunikasian prosedur, standar, dan tanggung jawab diserahkan kepada individu masing-masing. Terdapat tingkat kepercayaan yang tinggi terhadap individu sehingga memungkinkan terjadi error sangat besar. 3 Defined Prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan melalui pelatihan. Kemudian diamanatkan bahwa proses-proses tersebut harus diikuti. Namun penyimpangan tidak mungkin dapat terdeteksi. Prosedur sendiri tidak lengkap namun sudah menformalkan praktek yang berjalan. 4 Managed Manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif. Proses berada di bawah peningkatan yang konstan dan penyediaan praktek yang baik. Otomatisasi dan perangkat digunakan dalam batasan tertentu. 5 Optimized Proses telah dipilih ke dalam tingkat praktek yang baik, berdasarkan hasil dari perbaikan berkelanjutan dan pemodelan kedewasaan dengan perusahaan lain. Teknologi informasi digunakan sebagai cara terintegrasi untuk mengotomatisasi alur kerja, penyediaan alat untuk peningkatan kualitas dan efektivitas serta membuat perusahaan cepat beradaptasi. Jika di kelompokan berdasarkan nilai level kematangan maka dapat dirinci seperti Tabel 2. Tabel 2 Level Kematangan Tata Kelola TI [3] Indeks Kematangan Level Kematangan 0 0, Non-Existent 0,50 1,49 1 Initial 1,5-2,49 2 Repeatable 2,5 3,49 3 Defined 207

8 Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: Indeks Kematangan Level Kematangan 3,5 4,49 4 Managed 4,5 5,00 5 Optimized Penggunaan model kematangan memungkinkan manajemen dapat mengidentifikasi kondisi perusahaan sekarang, kondisi sekarang dari industri untuk perbandingan, kondisi yang diinginkan perusahaan, dan pertumbuhan yang diinginkan antara as-is dan to-be [3]. Urutan tingkat kematangan tata kelola TI dalam perusahaan ditunjukkan pada Gambar 2. Gambar 2 Urutan Tingkat Kematangan [3] 3 Metode Penelitian 3.1 Jenis Penelitian Berdasarkan tujuannya, penelitian ini menggunakan metode penelitian terapan (applied research). Pendekatan penelitian yang digunakan adalah penelitian kualitatif. Penelitian ini termasuk ke dalam rancangan penelitian deskriptif. Penelitian ini termasuk ke dalam jenis-jenis penelitian tersebut karena dalam penelitian ini dilakukan audit keamanan informasi dengan menerapkan instrumen/indikator dalam teori SNI ISO/IEC 27001: Penelitian ini juga berisi kutipan-kutipan dari data/fakta di lapangan yang dideskripsikan secara lebih lengkap. 3.2 Tahapan Penelitian Tahapan penelitian terdiri dari lima tahap antara lain sebagai berikut: a. Tahap Identifikasi Tahap awal penelitian yang dilakukan adalah tahap identifikasi masalah dengan merumuskan masalah dan menentuan tujuan penelitian. Selanjutnya dilakukan perizinan objek penelitian yang ditentukan. Studi literatur 208

9 Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) menggunakan beberapa referensi terkait dengan keamanan informasi menggunakan SNI ISO/IEC 27001: 2009, seperti buku Manajemen Keamanan Informasi, Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik Edisi 2.0, Bakuan Audit Keamanan Informasi Kemenpora, dan beberapa buku serta penelitian terdahulu. b. Tahap Perancangan Selanjutnya dilakukan perancangan lingkup audit sesuai dengan kondisi eksisting PT PLN (Persero) DJBB, agar rekomendasi dapat diterima dan sejalan dengan proses bisnis yang berlaku di perusahaan. c. Tahap Pengumpulan Data Pada tahap pengumpulan data, sebelum dilakukan audit, dibuat work paper berisi daftar pertanyaan audit sesuai dengan ruang lingkup yang telah ditentukan. Kemudian audit keamanan informasi dilakukan menggunakan SNI ISO/IEC 27001: 2009 menggunakan bebaerapa teknik pengumpulan data seperti triangulasi, wawancara, observasi, dan dokumentasi. d. Tahap Analisa dan Rekomendasi Setelah pengumpulan data dilakukan, tahap selanjutnya adalah melakukan analisis data. Dimulai dengan mereduksi hasil wawancara, observasi, dan dokumentasi ke dalam verbatm, catatan lapangan, dan DFI (Deskripsi Fenomena Individu). Selanjutnya dilakukan display data dengan menyederhanakan data yang ada ke dalam matriks kategorisasi dan coding. Berikutnya temuan yang didapat ditampilkan ke dalam tabel work paper gap analysis dan dibuat rekomendasi. Tahap berikutnya adalah dilakukan penilaian kesiapan keamanan informasi dengan menggunakan metode Capability Maturity Model Integration (CMMI) yang terdiri dari enam tingkatan kematangan. e. Tahap Kesimpulan dan Saran Tahap terakhir dalam penelitian ini adalah pembuatan kesimpulan dan saran. 4 Hasil Penelitian dan Pembahasan 4.1 Gap Analysis Setelah dilakukan audit keamanan informasi dengan beberapa teknik pengumpulan data, tahap selanjutnya adalah gap analysis, yaitu membandingkan fakta di lapangan dengan standar SNI ISO/IEC 27001: 2009 sehingga didapat temuan penelitian. Tetapi sebelumnya dilakukan reduksi data dengan merubah hasil wawancara ke dalam verbatim dan catatan lapangan, kemudian direduksi kembali ke DFI dan dilakukan kategorisasi dan pengkodean. Sedangkan hasil dokumentasi dan observasi, serta temuan penelitian dituangkan ke dalam tabel work paper gap analysis. 209

10 Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: Pada tabel work paper gap analysis terdapat kolom jawaban untuk status perseroan dalam menerapkan tiap sasaran pengendalian, kolom temuan, kolom evidence, dan kolom gap. Sebanyak 105 pertanyaan dari 121 pertanyaan atau sekitar 86,78% memberikan jawaban ya, sedangkan hanya 16 pertanyaan atau sekitar 13,22% memberikan jawaban tidak. Kolom temuan berisi temuan-temuan yang diperoleh dari lapangan yang menunjukkan gap antara penerapan perseroan dengan SNI ISO/IEC 27001: Pada klausul kebijakan keamanan, sebesar 16% adalah temuan terkait dengan peninjauan ulang kebijakan keamanan, sedangkan sisanya sudah sesuai standar. Pada klausul keamanan fisik dan lingkungan, paling besar temuan sebanyak 5% masing-masing adalah perlindungan terhadap ancaman eksternal dan lingkungan, serta keamanan kabel. Sedangkan pada klausul manajemen komunikasi dan operasi tidak ada temuan. Sedangkan kolom evidence berisi bukti-bukti yang mendukung pernyataan narasumber pada kolom jawaban. Evidence dapat berupa foto hasil observasi yang dilampirkan, maupun dokumen-dokumen seperti surat keputusan direksi, Standard Operating Procedure (SOP), dan standar pengelolaan. 4.2 Analisis Maturity Level Model Penilaian maturity level dilakukan terhadap masing-masing klausul untuk masing-masing sasaran pengendalian, berdasarkan kriteria penilaian yang telah disediakan dengan memilih skor 0 sampai dengan 5. Setelah masing-masing sasaran pengendalian pada tiap klausul mendapat nilai maturity, maka dilakukan penggabungan seluruh nilai sasaran pengendalian tersebut untuk mendapatkan rata-rata maturity level keamanan informasi untuk klausul tersebut. Tingkat kematangan tiap klausul yang didapatkan merefleksikan kondisi keamanan informasi organisasi, yang selanjutnya akan dibuat rekomendasi perbaikan. Setelah dilakukan penilaian maturity level untuk masing-masing klausul yang diteliti, maka indeks maturity level tersebut akan dirata-ratakan kembali untuk mendapatkan indeks akhir maturity level pada klausul keamanan informasi Ringkasan indeks akhir maturity level keamanan informasi organisasi ditunjukkan oleh Tabel

11 Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) Klausul/ Pengendalian/ Sasaran Pengendalian A.5 Kebijakan Keamanan 5.1 Kebijakan Keamanan Informasi Dokumen Kebijakan Keamanan Informasi Tabel 3 Ringkasan Hasil Penilaian Akhir Maturity Level Rata-Rata Rata-Rata indeks/ indeks/ Pengendalian Klausul Maturity Level 1. Dokumentasi 4,25 Managed 2. Pemberlakuan 4, Kajian Kebijakan Keamanan Informasi 1. Cakupan 2. Peninjauan ulang A.9 Keamanan Fisik dan Lingkungan 9.1 Area yang Aman Perimeter Keamanan Fisik 4 3,714 Managed Pengendalian Entri yang Bersifat Fisik Mengamankan Kantor, Ruangan, dan Fasilitas Perlindungan terhadap Ancaman Eksternal dan 211

12 Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: Klausul/ Pengendalian/ Sasaran Pengendalian Rata-Rata indeks/ Pengendalian Rata-Rata indeks/ Klausul Maturity Level Lingkungan Bekerja di Area yang Aman 9.2 Keamanan Peralatan Penempatan dan Perlindungan Peralatan 3, Sarana Pendukung Keamanan Kabel Pemeliharaan Peralatan Keamanan Peralatan di Luar Lokasi Pembuangan atau Penggunaan Kembali Peralatan secara Aman Pemindahan Barang A.10 Manajemen Komunikasi dan Operasi 10.3 Perencanaan dan Penerimaan Sistem 5 5 Optimized Manajemen Kapasitas 212

13 Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) Klausul/ Pengendalian/ Sasaran Pengendalian Rata-Rata indeks/ Pengendalian Rata-Rata indeks/ Klausul Maturity Level Penerimaan Sistem 10.4 Perlindungan terhadap Malicious & Mobile Code Kontrol terhadap Malicious Code dan Kontrol terhadap Mobile Code Manajemen Keamanan Jaringan Kontrol Jaringan dan Keamanan dalam Layanan Jaringan 5 Rata-rata indeks akhir dan maturity level pada klausul keamanan informasi 4,32 Managed Berdasarkan Tabel 3 terlihat bahwa indeks maturity level klausul kebijakan keamanan dan keamanan fisik dan lingkungan secara berturut-turut adalah 4,25 dan 3,714, yang berarti berada pada maturity level managed. Sedangkan indeks maturity level klausul manajemen komunikasi dan operasi memiliki indeks 5, yang berarti berada pada maturity level optimized. Secara umum rata-rata indeks akhir keamanan informasi organisasi adalah 4,32, yang berarti berada pada maturity level managed. Analisis maturity level menggunakan grafik maturity level model dilakukan agar mengetahui posisi maturity level tiap klausul organisasi dalam menerapkan keamanan informasi berdasarkan SNI ISO/IEC 27001: 2009 dibandingkan dengan rata-rata maturity level industri dan maturity level yang ditargetkan perseroan. Berdasarkan Peraturan Menteri BUMN Nomor: PER-02/MBU/2013 menyatakan target maturity level dari tata kelola TI BUMN adalah minimal maturity level 3. Sedangkan menurut Deputi Manager TI, maturity level yang 213

14 Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: ditargetkan untuk keamanan informasi di PT PLN (Persero) DJBB adalah 4. Maka grafik maturity level model organisasi adalah sebagai berikut: a. Grafik Maturity Level Klausul Kebijakan Keamanan Informasi Gambar 3 Grafik Maturity Level Kebijakan Keamanan Informasi Setelah dilakukan analisis dengan menggunakan grafik maturity level model seperti Gambar 3 terlihat bahwa organisasi dalam hal kebijakan keamanan telah mencapai level 4 (managed). Hal ini menunjukkan bahwa kebijakan keamanan informasi yang ada sudah termonitor dan terukur. Level yang telah dicapai oleh organisasi sudah cukup jauh dengan level minimum BUMN yaitu 3 dan sesuai dengan target maturity level yang ingin dicapai perusahaan yaitu 4. b. Grafik Maturity Level Klausul Keamanan Fisik dan Lingkungan Gambar 4 Grafik Maturity Level Keamanan Fisik dan Lingkungan Setelah dilakukan analisis dengan menggunakan grafik maturity level model seperti Gambar 4, terlihat bahwa organisasi dalam hal keamanan fisik dan lingkungan telah mencapai level 4 (managed), yang berarti sudah termonitor dan terukur. Level yang telah dicapai oleh organisasi sudah cukup jauh dengan level minimum BUMN yaitu 3 dan sesuai dengan target maturity level yang ingin dicapai perusahaan yaitu 4. Walaupun begitu masih banyak temuan yang ditemukan di lapangan. c. Grafik Maturity Level Klausul Manajemen Komunikasi dan Operasi Gambar 5 Grafik Maturity Level Manajemen Komunikasi dan Operasi 214

15 Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) Setelah dilakukan analisis dengan menggunakan grafik maturity level model seperti Gambar 5, terlihat bahwa organisasi dalam hal manajemen komunikasi dan operasi telah mencapai level 5 (optimized), yang berarti organisasi telah mencapai praktek terbaik dalam manajemen komunikasi dan operasi dengan adanya perbaikan yang berkelanjutan. Level yang telah dicapai organisasi sudah jauh dengan level minimum BUMN yaitu 3 dan di atas target maturity level yang ingin dicapai perusahaan yaitu 4. 5 Kesimpulan dan Saran Berdasarkan hasil penelitian, maka dapat ditarik kesimpulan sebagai berikut: a. Maturity level terkait dengan kebijakan keamanan telah mencapai level 4 (managed). Kebijakan keamanan informasi yang berlaku sudah ada, lengkap, dan terdokumentasi, tetapi belum ada evaluasi sesuai dengan interval yang direncanakan, serta masih terdapat beberapa SOP yang belum didokumentasikan. b. Maturity level terkait dengan keamanan fisik dan lingkungan telah mencapai level 4 (managed). Paling banyak temuan terkait perlindungan terhadap ancaman eksternal dan lingkungan, serta keamanan kabel, yakni masingmasing sebesar 5%. c. Maturity level terkait dengan manajemen komunikasi dan operasi telah mencapai level 5 (optimized). Walaupun masih terdapat gangguan operasi tetapi perusahaan dapat mengatasinya dengan baik hingga tingkat praktik terbaik. Klausul sudah sesuai dengan standar. Berdasarkan kesimpulan, maka saran yang dapat diberikan untuk penelitian ini adalah sebagai berikut: a. Organisasi perlu memperbaiki kebijakan keamanan informasi dengan melakukan evaluasi perbaikan atau revisi kebijakan sesuai dengan interval yang direncanakan, serta melengkapi dokumentasi SOP terkait dengan keamanan informasi. b. Organisasi meningkatkan perlindungan keamanan fisik dan lingkungan khususnya terkait perlindungan terhadap ancaman eksternal dan lingkungan, serta keamanan kabel. c. Organisasi harus mempertahankan penerapan manajemen komunikasi dan operasi yang ada saat ini, terutama dalam hal pengevaluasian dengan perbaikan secara berkelanjutan. 215

16 Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: Daftar Pustaka [1] Darmawan, Deni dan Kunkun Nur Fauzi.(2013). Sistem Informasi Manajemen. Bandung: PT Remaja Rosdakarya Offset. [2] ISACA.(2008). Maturity Level. Diakses pada 19 Januari 2014, dari d+managed+optimized&source=web&cd=7&cad=rja&ved=0cfaqfjag&url=htt p:// Mc2jrQfWwICQCw&usg=AFQjCNF_WY7kVYe6WKQJqfgl_uK96k3jg&bvm=bv ,d.bmk. [3] ITGI.(2007). Framework Control Objectives Management Guidelines Maturity Models. Chicago: ISACA. [4] Jean dan Carbonel, Christophe CISA.(2008).Assessing IT Security Governance Through a Maturity Model and the Definition of a Governance Profile.Information System Control Journal, 2(1), 1-4. ISACA. [5] Kemenpora. (2012). Bakuan Audit Keamanan Informasi Kemenpora. Jakarta: Kementrian Pemuda dan Olahraga Republik Indonesia. [6] Kominfo.(2011). Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik Edisi 2.0. Jakarta: Tim Direktorat Keamanan Informasi. [7] Menteri Negara BUMN RI.(2013). Salinan Peraturan Menteri BUMN Nomor: PER-02/MBU/2013 tentang Panduan Penyusunan Pengelolaan TI BUMN. Jakarta: Kementrian BUMN. [8] Sarno, Riyanarto dan Irsyat Iffano.(2009). Sistem Manajemen Keamanan Informasi. Surabaya: ITSPRess. [9] Susanto, Heru dkk.(2011). Information Security Management System Standards:A Comparative Study of the Big Five.International Journal of Electrical & Computer Sciences IJECS-IJENS, 11(5), International Journals of Engineering and Sciences. [11] Sutabri, Tata.(2012). Konsep Sistem Informasi. Yogyakarta: Andi. 216