BAB 4 HASIL DAN PEMBAHASAN

Transkripsi

1 BAB 4 HASIL DAN PEMBAHASAN 4.1 Analisa Temuan Audit Pada hari Senin tanggal 23 Desember 2013, penulis telah melakukan audit pada proses implementasi dan operasional yang dijalankan oleh PT. AGIT. Audit dilakukan dengan menggunakan standar internasional untuk SMKI yaitu 27001:2005 yang terdiri dari 11 klausal, 39 objektif, dan 133 kontrol keamanan. Berikut merupakan analisa penulis terhadap hasil temuan audit yang diperoleh: A.5 Kebijakan Keamanan A.5.1 Kebijakan Keamanan Informasi A Dokumen Kebijakan Keamanan Informasi Auditor : Dessy Liana Tabel 4.1 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, PT. AGIT memiliki kebijakan Data Integrity Test untuk penyimpanan hasil data rekaman CCTV. Berdasarkan kebijakan tersebut, maka akan menghasilkan laporan Video Monitoring Monthly untuk memastikan kondisi rekaman setiap bulannya. Dalam pengaksesan hasil data rekaman CCTV tersebut hanya Bagian EOS dan Manajer Operasional yang dapat mengakses data rekamannya. Selain itu, seluruh jaringan menggunakan jaringan VPN 27001:2005 : A Not Comply (Major) 54

2 55 IP sehingga keamanan data dapat terjaga, tetapi belum ada dokumen kebijakan secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV yang terdokumentasi. Hasil temuan audit pada annex ini termasuk kategori temuan major karena dapat terjadi penyalahgunaan wewenang dalam melakukan pemantauan rekaman CCTV. Analisa Penyebab: PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat ketentuan secara tertulis mengenai kebijakan keamanan informasi pada saat melakukan pemantauan rekaman CCTV. Membuat ketentuan atau pedoman secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV agar prosedur yang sudah ada dapat berjalan Minggu ke 3, bulan lebih efektif dan tertulis pada pedoman yang ada, sehingga Maret 2014 keamanan informasi rekaman CCTV dapat lebih terjaga. A Tinjauan Ulang Kebijakan Keamanan Informasi Auditor : Dessy Liana Tabel 4.2 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang telah dilakukan, dapat disimpulkan bahwa PT. AGIT tidak melakukan tinjauan secara rutin terhadap 27001:2005 :

3 56 pedoman kebijakan mengenai keamanan informasi pada saat melakukan pemantauan A Not Comply (Minor) rekaman CCTV karena mengacu pada hasil temuan audit A PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat pedoman secara tertulis mengenai kebijakan keamanan informasi pada saat melakukan pemantauan rekaman CCTV. Membuat ketentuan atau pedoman secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV agar prosedur yang sudah ada dapat berjalan lebih efektif dan tertulis pada pedoman yang ada sehingga keamanan informasi rekaman CCTV dapat lebih terjaga. Setelah pedoman tersebut tertulis dan disetujui oleh pihak Minggu ke 3, bulan Maret 2014 manajemen maka pedoman tersebut harus ditinjau secara rutin agar apabila terjadi perubahan terhadap pedoman tersebut seluruh karyawan yang terkait dapat memahaminya dan menerapkannya. A.6 Organisasi Keamanan Informasi A.6.1 Organisasi Internal Keamanan Informasi A Komitmen Manajemen Terhadap Keamanan Informasi Auditor : Dessy Liana

4 57 Tabel 4.3 Analisa Temuan Audit Pada A Analisa Hasil Audit : Kategori Temuan : Berdasarkan audit yang dilakukan, manajemen dari PT. AGIT sudah melakukan 27001:2005 : meeting untuk mendukung pemberian tanggung jawab mengenai keamanan data A Comply rekaman CCTV kepada setiap karyawan. Analisa Penyebab: Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional - sudah memenuhi persyaratan pada A A Koordinasi Keamanan Informasi Auditor : Dessy Liana Tabel 4.4 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, bahwa setiap karyawan sudah diberikan informasiinformasi mengenai tugas dan tanggung jawabnya terhadap keamanan data rekaman 27001:2005 : A Kategori Temuan : Comply CCTV sehingga karyawan dapat menjalankan tugas dan tanggung jawabnya tersebut.

5 58 Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional sudah memenuhi persyaratan pada A A Alokasi Tanggung Jawab Keamanan Informasi Auditor : Dessy Liana Tabel 4.5 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan hasil audit yang dilakukan, A ini berkaitan dengan A bahwa selain karyawan sudah diberikan informasi mengenai tugas dan tanggung jawabnya masing-masing, karyawan sudah memahami tugas dan tanggung jawab mereka masingmasing terhadap keamanan data rekaman CCTV. Manajemen juga sudah membuat 27001:2005 : A Kategori Temuan : Comply dokumen yang menyatakan tugas dan tanggung jawab masing-masing karyawan tersebut Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional - sudah memenuhi persyaratan pada A

6 59 A Proses Otorisasi Terhadap Fasilitas Pengolahan Informasi Auditor : Dessy Liana Tabel 4.6 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan hasil audit, Proyek CCTV Pada Bank XYZ ini baru berjalan selama 1 tahun 27001:2005 : Kategori Temuan : lebih sejak Agustus tahun 2012 dan penyusunan configuration item masih belum tuntas sehingga belum ada otorisasi yang dilakukan terhadap penggunaan perangkat A Comply (Observation) lunak. Akan tetapi, untuk otorisasi penggunaan perangkat keras, jaringan, dan pengguna sudah ada, yaitu pada CMDB mapping. Karena ini baru berjalan selama 1 tahun lebih dan semua peralatan yang mendukung proyek tersebut masih baru dan belum dibutuhkannya peralatan baru untuk mengganti peralatan yang sedang digunakan tersebut. Configuration item harus di tuntaskan agar dapat memenuhi - persyaratan standar keamanan informasi pada A A Perjanjian Kerahasiaan

7 60 Auditor : Dessy Liana Tabel 4.7 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan hasil audit yang dilakukan, semua karyawan yang menangani proyek ini sudah terikat dengan NDA (Non - Disclosure Agreement) yang tertuai dalam surat kontrak kerja yang dikelola oleh HRD. Kemudian 27001:2005 : A Comply untuk vendor dikelola oleh supplier manager. Pada bagian operation juga terdapat NDA. Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional - sudah memenuhi persyaratan pada A A Hubungan Dengan Pihak Yang Terotorisasi Auditor : Dessy Liana Tabel 4.8 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan analisa yang dilakukan, untuk

8 61 menindaklanjuti suatu fraud/incident 27001:2005 : keamanan data rekaman CCTV akan dilakukan oleh pihak yang sudah diberikan otoritas, yaitu CSC (Customer Service Center) / Helpdesk yang memiliki Document A Service Catalouge dan juga Bagian EOS untuk insiden di lapangan. Contoh insiden yang ditangani adalah kamera mati, kabel putus, VPN putus, perangkat server crash/mati. Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A Comply - A Hubungan Dengan Lembaga Khusus Terkait Departemen/Fungsi/Proses yang diaudit : Proses Implementasi dan Operasional Auditor : Dessy Liana Tabel 4.9 Analisa Temuan Audit PadaA Analisa Hasil Audit : Kategori Temuan : Berdasarkan hasil audit yang sudah dilakukan, PT. AGIT sudah mengikuti forum 27001:2005 : internal perusahaan yang hanya melakukan sharing saja, tetapi pihak PT. AGIT belum pernah ada yang bergabung untuk forum profesional/asosiasi secara internasional. A Comply

9 62 PT. AGIT belum memiliki kesadaran bahwa bergabung dengan forum profesional/asosiasi secara internasional dapat meningkatkan pengetahuan mengenai perlindungan dalam keamanan informasi perusahaan PT. AGIT seharusnya mengikuti forum profesional/asosiasi internasional untuk mengetahui lebih banyak mengenai pemahaman tentang lingkungan keamanan informasi terkini - dan secara lengkap, untuk menjaga keamanan informasi CCTV tersebut. A Pembahasan Keamanan Informasi Secara Independen Auditor : Dessy Liana Tabel 4.10 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang sudah dilakukan, PT. AGIT sudah melakukan internal audit pada. Namun, internal audit ini dilakukan oleh Manajer Operasional pada proyek ini. Internal audit 27001:2005 : A Not Comply (Minor) tersebut dilakukan setiap 6 bulan terhubung dengan Data Integrity Test. Karena belum adanya bagian internal auditor pada PT. AGIT. Seharusnya audit terhadap data rekaman dilakukan secara resmi oleh internal auditor pada bagian IT setiap periode Minggu ke 3, bulan

10 63 tertentu sehingga kemungkinan terjadinya fraud sangat kecil dan mungkin tidak akan terjadi. A.6.2 Pihak Luar Maret 2014 A Identifikasi Risiko Yang Terkait Dengan Pihak Luar Auditor : Dessy Liana Tabel 4.11 Analisa Temuan Audit Pada A Analisa HasilAudit : Berdasarkan analisa yang sudah dilakukan, pihak luar tidak terlibat dalam pengolahan data rekaman sehingga pihak PT. AGIT tidak mengidentifikasi kemungkinan risiko yang akan terjadi. Apabila terkait kemungkinan 27001:2005 : A Comply risiko pasti ada, namun risiko itu telah dikunci di dalam NDA (Non Disclosure Agreement). Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional - sudah memenuhi persyaratan pada A A Menjelaskan Keamanan Saat Berhubungan Dengan Pelanggan

11 64 Auditor Auditee : Dessy Liana : Agung Sukmono (Manajer Operasional) Tabel 4.12 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan analisa yang sudah dilakukan, yang dijalankan oleh PT. AGIT termasuk jenis 27001:2005 : BPO (Business Process Outsourcing) sehingga pihak Bank XYZ tidak memiliki A Comply hak akses untuk mengolah data rekaman CCTV, tetapi hanya menerima hasil data rekaman CCTV yang telah diolah oleh PT. AGIT. Tidak ada analisa penyebab pada hasil audit ini. Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional - sudah memenuhi persyaratan pada A A Menjelaskan Keamanan Dalam Kesepakatan Dengan Pihak Ketiga Auditor : Dessy Liana Tabel 4.13 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan analisa yang sudah dilakukan, teknisi tidak memiliki akses ke data, tetapi 27001:2005 :

12 65 pada saat link mati dan teknisi harus datang mengambil SD card maka kemungkinan pengambilan data tersebut bisa terjadi. Ruang lingkup pekerjaan sudah ada, namun Rencana Penyusunan Layanan belum terlalu detail, A Comply (Observation) hanya menangani implementasi dan pemeliharaan saja tidak untuk keamanan data. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat ketentuan secara spesifik mengenai keamanan data CCTV di lingkungan kerja. Manajemen dari PT. AGIT seharusnya melengkapi ruang lingkup pekerjaan yang akan dilakukan oleh teknisi beserta tanggung jawab yang harus dilakukan oleh teknisi tersebut terkait dengan keamanan data rekaman CCTV agar teknisi Minggu ke 3, bulan Maret 2014 dapat lebih bertanggung jawab dan keamanan data dapat lebih terjamin kerahasiannya. A.7 Manajemen Aset A.7.1 Tanggung Jawab Terhadap Aset A Inventarisasi Terhadap Aset Auditor : Dessy Liana Tabel 4.14 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan analisa yang sudah dilakukan,

13 66 semua peralatan sudah disediakan dahulu 27001:2005 : sebelum dilakukan pemasangan. Setiap perangkat telah diberikan kode unik dengan serial number yang diberikan oleh PT.AGIT saat pemetaan ke CMDB dan sudah dilengkapi dengan detail dari peralatan itu A sendiri. Belum dilakukan pemeliharaan secara rutin, karena perangkat masih dalam kondisi baru. Selain itu, terdapat preventive maintenance yang dapat mendeteksi peralatan yang akan rusak dan akan segera dicegah oleh PT. AGIT. Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional sudah memenuhi persyaratan pada A Comply - A Kepemilikan Aset Proyek CCTV Bank XYZ Auditor : Dessy Liana Tabel 4.15 Analisa Temuan Audit Pada A Analisa Hasil Audit : Kategori Temuan : Berdasarkan audit yang dilakukan, penanggung jawab dari setiap peralatan yang 27001:2005 : digunakan di dalam Proyek CCTV Pada

14 67 Bank XYZ adalah Manajer Operasional dan Manajer Konfigurasi. Manajer Operasional A bertanggung jawab pada CMDB, sedangkan Manajer Konfigurasi bertanggung jawab untuk keseluruhan dari CMDB. Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional sudah memenuhi persyaratan pada A Comply - A Penggunaan Aset Yang Sesuai Dengan Aturan Auditor : Dessy Liana Tabel 4.16 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, peraturan mengenai penggunaan aset teknologi 27001:2005 : informasi di dalam perusahaan terdapat pada dokumen roles and responsibility yg A Comply merupakan bagian dari dokumen rencana penyusunan layanan serta SOP untuk panduan cara pernggunaan. Tidak terdapat saran yang ditujukan untuk tindakan

15 68 perbaikan karena proses implementasi dan operasional sudah memenuhi persyaratan pada A A.7.2 Klasifikasi Informasi - A Pedoman Klasifikasi Auditor : Dessy Liana Tabel 4.17 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, tidak ada klasifikasi pada tingkat kerahasiaan untuk setiap data rekaman CCTV karena semua 27001:2005 : A Kategori Temuan : NA letak CCTV adalah di lingkungan publik. Pihak Bank XYZ menyatakan bahwa setiap hasil data rekaman CCTV tersebut memiliki tingkat kerahasiaan yang sama, sehingga PT. AGIT tidak mengklasifikasi tingkat kerahasiaan pada hasil data rekaman CCTV tersebut. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak - berlaku pada. A Pemberian Label Dan Penanganan Informasi Auditor : Dessy Liana

16 69 Tabel 4.18 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, karena tidak adanya tingkat kerahasiaan untuk setiap data rekaman CCTV, maka penanganan data 27001:2005 : A NA rekaman CCTV tidak dibedakan. Pihak Bank XYZ menyatakan bahwa setiap hasil data rekaman CCTV tersebut memiliki tingkat kerahasiaan yang sama, sehingga PT. AGIT tidak mengklasifikasi tingkat kerahasiaan pada hasil data rekaman CCTV tersebut. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak - berlaku pada. A.8 Keamanan Sumber Daya Manusia A.8.1 Sebelum Masa Kerja A Peran Dan Tanggung Jawab Auditor : Tria Yulita dan Dessy Liana Tabel 4.19 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, hasil audit pada annex ini berkaitan dengan A dan 27001:2005 :

17 70 A yang telah menjelaskan bahwa setiap karyawan sudah diberikan informasi mengenai peran dan tanggung jawabnya masing-masing. Karyawan juga sudah memahami peran dan tanggung jawab mereka masing-masing A terhadap keamanan data rekaman CCTV. Pihak Manajemen PT. AGIT sudah membuat dokumen yang menyatakan tugas dan tanggung jawab masing-masing karyawan tersebut. Analisa Penyebab: Tidak ada analisa penyebab pada hasil audit ini. Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Seleksi Auditor : Tria Yulita Tabel 4.20 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada penyaringan yang dilakukan untuk calon karyawan baru. Setiap divisi dapat mengajukan Form Personnel Requesition yaitu berisi kriteria yang dibutuhkan untuk merekrut karyawan baru. Selain itu, terdapat tiga tahap 27001:2005 : A Kategori Temuan : Comply

18 71 penyaringan yang harus dilewati oleh calon karyawan baru, yaitu: 1. Tes tertulis; 2. Interview oleh user (divisi yang bersangkutan); 3. Interview oleh HRD. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A Syarat Dan Kondisi Kerja Auditor : Tria Yulita Tabel 4.21 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, terdapat suatu perjanjian ikatan kerja berupa dokumen NDA (Non - Disclosure Agreement) yang menyatakan bahwa karyawan harus menjaga 27001:2005 : dengan baik kerahasiaan informasi A Comply perusahaan dari pihak luar. NDA harus ditanda tangani oleh calon karyawan baru sebagai bukti bahwa perjanjian tersebut sudah disepakati oleh kedua belah pihak. Analisa Penyebab:

19 72 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A.8.2 Selama Masa Kerja A Tanggung Jawab Manajemen Proyek CCTV Bank XYZ Auditor : Tria Yulita Tabel 4.22 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, belum ada kebijakan dan prosedur dalam mengatur setiap karyawan untuk memelihara keamanan data rekaman CCTV yang dibuat oleh pihak 27001:2005 : A Comply (Minor) manajemen PT. AGIT. Akan tetapi, setiap karyawan sudah memelihara keamanan data rekaman CCTV. Analisa Penyebab: PT. AGIT belum berfokus pada SMKI sehingga tidak memiliki perencanaan untuk membuat kebijakan dalam mengatur karyawan untuk memelihara keamanan data rekaman CCTV. Target Selesai: Membuat kebijakan dan prosedur yang dapat mengatur setip karyawan untuk memelihara keamanan data rekaman CCTV yang merupakan salah satu aset informasi perusahaan Minggu ke 3, bulan

20 73 sehingga kerahasiaan, keakuratan, dan ketersediaan data rekaman CCTV tetap terjaga agar dapat bermanfaat bagi pihak yang membutuhkannya. Maret 2014 A Pengetahuan Tentang Keamanan Informasi, Pendidikan, Dan Pelatihan Auditor Auditee : Tria Yulita : Agung Sukmono (Manajer Operasional) Tabel 4.23 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, tidak ada kebijakan dan prosedur yang menyatakan tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV. Namun, Manajer Operasional secara teknis 27001:2005 : A Kategori Temuan : Not Comply (Minor) sudah memberikan pengetahuan mengenai keamanan data rekaman CCTV pada saat project meeting dilaksanakan. Analisa Penyebab: PT. AGIT belum memiliki fokus terhadap SMKI pada Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum adanya kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV. Target Selesai: Membuat sebuah kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV yang dapat dipatuhi oleh setiap karyawan agar kerahasiaan, keakuratan, dan ketersediaan data rekaman CCTV Minggu ke 3, bulan Maret 2014 tetap terjaga dengan baik dan mencegah modifikasi kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan

21 74 tersebut. A Proses Kedisiplinan Auditor : Tria Yulita Tabel 4.24 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, HRD sudah Kategori Temuan : memberitahukan sanksi-sanksi pelanggaran 27001:2005 : secara lisan pada saat calon karyawan menandatangani dokumen NDA (Non Disclosure Agreement). Terdapat proses dalam pemberian sanksi bagi karyawan yang A Comply melakukan pelanggaran yaitu SP 1, SP 2, dan SP 3 (pemecatan). Sudah tertulis di Human Resources dan terdapat buku pedoman untuk setiap karyawan PT. AGIT. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank - XYZ yang dilakukan sudah memenuhi persyaratan pada A A.8.3 Pemutusnn Atau Perubahan Hubungan Kerja A Tanggung Jawab Pemutusan

22 75 Auditor : Tria Yulita Tabel 4.25 Analisa Temuan Audit Pada A Analisa Hasil Audit: Kategori Temuan : Berdasarkan audit yang dilakukan, sudah terdapat prosedur pemutusan atau perubahan 27001:2005 : hubungan kerja. Prosedur yang dilakukan yaitu Manajer Operasional mengajukan Form Perubahan Status Kerja kepada HRD untuk ditindaklanjuti terkait dengan karyawan yang ingin melakukan pemutusan hubungan kerja. A Comply HRD akan memberikan FEC (Form Exit Clearance) kepada karyawan yang bersangkutan untuk mengisinya. Setelah form diisi, karyawan akan mengembalikannya kepada HRD dan HRD akan menindaklanjuti pemutusan hubungan kerja karywan tersebut. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank - XYZ yang dilakukan sudah memenuhi persyaratan pada A A Pengembalian Aset

23 76 Auditor Auditee : Tria Yulita : Agung Sukmono (Manajer Operasional) Tabel 4.26 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, perusahaan sudah melakukan pendataan pada semua aset 27001:2005 : perusahaan yang digunakan oleh setiap karyawan. Dimana Tim Aset telah membuat database CAR (Company Asset Request) yang mendata semua aset perusahaan yang digunakan oleh setiap karyawan. Apabila terjadi pemutusan hubungan kerja, HRD akan memberikan FEC yang telah diisi oleh karyawan kepada Tim Aset A Comply untuk disesuaikan dengan database CAR sehingga dapat dilakukan pembaharuan data pada database CAR. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasi audit ini. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank - XYZ yang dilakukan sudah memenuhi persyaratan pada A A Penghapusan Hak Akses Auditor : Tria Yulita

24 77 Auditee : Agung Sukmono (Manajer Operasional) Tabel 4.27 Analisa Temuan Audit Pada A Analisa Hasil Audit: Kategori Temuan : Berdasarkan audit yang dilakukan, sudah terdapat prosedur penghapusan hak akses 27001:2005 : terhadap karyawan yang tidak memiliki hubungan kerja dengan perusahaan. Prosedur tersebut tercantum dalam FEC (Form Exit A Comply Clearance) yang diberikan HRD kepada karyawan yang akan melakukan pemutusan hubungan kerja. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank - XYZ yang dilakukan sudah memenuhi persyaratan pada A A.9 Keamanan Fisik Dan Lingkungan A.9.1 Wilayah Aman A Pembatas Keamanan Fisik Auditor : Tria Yulita Tabel 4.28 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada perlindungan secara fisik yang dilakukan untuk 27001:2005 :

25 78 melindungi ruang pemantauan CCTV, ruang server, ruang helpdesk. Adanya pemisahan area antara ruang-ruang tersebut. Pada setiap pintu telah terpasang proximity access cards, terdapat A kamera CCTV, alat perlindungan bencana (i.e.fire extinguisher, fire alarm, dsb.), satpam, security organic pada ruang server, dan rak-rak server yang dapat dikunci. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Pengendalian Masuk Fisik Auditor : Tria Yulita Tabel 4.29 Analisa Temuan Audit Pada A Analisa Temuan Audit: Berdasarkan audit yang dilakukan, sudah terpasang alat proximity access cards pada setiap 27001:2005 : pintu di ruang pemantauan CCTV, ruang server, dan ruang helpdesk serta terdapat kamera CCTV A Comply yang dapat memantau siapa saja yang memasuki area-area tersebut. Analisa Penyebab: Target Selesai:

26 79 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A A Pengamanan Kantor, Ruangan, Dan Fasilitas Auditor : Tria Yulita Tabel 4.30 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada perlindungan secara fisik terhadap keamanan area 27001:2005 : kerja para karyawan yang diterapkan oleh perusahaan. Perlindungan fisik yang diterapkan sudah memenuhi kebutuhan keamanan yang A diperlukan sehingga karyawan merasa aman dan nyaman selama bekerja. Mengacu pada A yang telah menjelaskan perlindungan secara fisik yang dilakukan oleh PT. AGIT. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Perlindungan Terhadap Ancaman Eksternal Dan Lingkungan

27 80 Auditor : Tria Yulita Tabel 4.31 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, perlindungan terhadap bencana alam sudah dilakukan oleh 27001:2005 : perusahaan dengan menyediakan alat perlindungan bencana alam seperti fire extinguisher, fire alarm, smoke detector, dan A hydran di setiap area-area operasional pemantauan CCTV dan penyimpanan data rekaman CCTV (i.e ruang pemantauan, server, helpdesk). Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Bekerja Di Area Aman Auditor : Tria Yulita

28 81 Tabel 4.32 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada pelatihan perlindungan secara mandiri yang 27001:2005 : diberikan kepada setiap karyawan. Setiap tiga bulan sekali, pihak gedung akan melakukan fire drill untuk seluruh orang yang berada di dalam A gedung agar dapat melindungi diri dari bencana alam secara mandiri. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Area Akses Publik, Pengiriman, Dan Penurunan Barang Auditor : Tria Yulita Tabel 4.33 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, hasil audit pada annex ini mengacu pada A yang telah 27001:2005 : menyebutkan perlindungan pada area-area operasional pemantauan CCTV dan penyimpanan A data rekaman CCTV dari akses ilegal yang mungkin terjadi. Analisa Penyebab: Kategori Temuan : Comply

29 82 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A.9.2 Keamanan Peralatan A Penempatan Dan Perlindungan Terhadap Peralatan Auditor : Tria Yulita Tabel 4.34 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, penempatan peralatan yang digunakan dalam proses 27001:2005 : operasional sudah diletakkan dengan aman. Salah satunya penempatan server di dalam rak-rak khusus. Satu A rak dapat memuat lima server dan memiliki jarak 3cm pada setiap server yang diletakkan pada rak. Rak-rak tersebut dapat dikunci sehingga meminimalisir kemungkinan ancaman dan risiko yang terjadi. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena Kategori Temuan : Comply Target Selesai:

30 83 proses operasional yang dilakukan sudah memenuhi persyaratan pada A A Keperluan Pendukung Auditor : Tria Yulita Tabel 4.35 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada perlindungan terhadap peralatan yang digunakan 27001:2005 : pada proses operasional Proyek CCTV Pada Bank XYZ dari penyalahgunaan wewenang oleh karyawan untuk keperluan pendukung. Dimana terdapat database CAR (Company Asset Return) A yang memuat keterangan siapa yang menggunakan dan aset apa saja yang digunakan oleh setiap karyawan selama masa kerja serta dokumen Rencana Penyusunan Layanan yang memuat keterangan peran dan tanggung jawab, dan SOP untuk penggunaan aset TI perusahaan. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Keamanan Perkabelan

31 84 Auditor : Tria Yulita Tabel 4.36 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, penempatan kabel-kabel yang digunakan pada proses 27001:2005 : operasional sudah diletakkan dan ditata dengan rapih. Dimana penempatan kabel pada server sudah dibuatkan A jalurnya dan pada ruang pemantauan menggunakan cable duct untuk menata kabelkabel agar terlihat rapih. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Pemeliharaan Peralatan Auditor : Tria Yulita Tabel 4.37 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, pemeliharaan perangkat CCTV dilakukan dengan incidental 27001:2005 : Kategori Temuan :

32 85 yaitu hanya pada saat gangguan atau kerusakan terjadi. Setiap gangguan atau kerusakan akan A Comply terdokumentasi pada sistem Helpdesk secara otomatis. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan - sudah memenuhi persyaratan pada A A Keamanan Peralatan Di Luar Tempat Yang Tidak Di Syaratkan Auditor : Tria Yulita Tabel 4.38 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, tidak ada kebijakan keamanan mengenai peralatan yang berada atau digunakan diluar area kerja. Semua peralatan terkait dengan keberadaan data rekaman 27001:2005 : A Kategori Temuan : NA CCTV berada di dalam area kerja. Analisa Penyebab: Memang tidak ada peralatan yang tekait dengan keberadan data rekaman CCTV berada atau digunakan diluar area kerja. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku pada -. A Pengamanan Pembuangan Atau Penggunaan Ulang Peralatan

33 86 Auditor : Tria Yulita Tabel 4.39 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah dilakukan pengamanan terhadap data rekaman 27001:2005 : CCTV yang berada pada perangkat CCTV yang akan ditarik atau diganti oleh teknisi karena masa jatuh tempo kontrak, atau adanya gangguan atau kerusakan yang terjadi. Dimana data rekaman A sebelumnya disimpan dan dilakukan back-up serta data rekaman yang ada pada SD Card kamera CCTV di enkripsi ke format khusus H.264 sehingga tidak dapat diakses oleh pihak yang tidak berwenang. Analisa Penyebab: Tidak terdapar analisa penyebab pada hasil audit ini. Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Hak Penghapusan Properti

34 87 Auditor : Tria Yulita Tabel 4.40 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, setiap teknisi yang ingin melakukan penarikan atau 27001:2005 : penggantian perangkat CCTV akan membawa surat tugas yang diberikan kepada kantor cabang untuk menjelaskan bahwa Teknisi tersebut diperintahkan dan ditugaskan untuk melakukan penarikan atau penggatian perangkat CCTV A sehingga mengurangi terjadinya penyalahgunaan wewenang oleh pihak-pihak yang tidak diinginkan dan melindungi keamanan perangkat CCTV. Kemudian Teknisi akan mengisi BAKT (Berita Acara Kunjungan Teknisi) setelah selesai melakukan penarikan atau penggantian perangkat CCTV. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTVPada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A.10 Manajemen Komunikasi Dan Operasi A.10.1 Prosedur Dan Tanggung Jawab Operasional A Pendokumentasian Prosedur Operasi

35 88 Auditor : Tria Yulita Tabel 4.41 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, proses operasional 27001:2005 : sudah terdokumentasi dengan baik. Setiap hasil rekaman CCTV tersimpan pada NVR server yang merupakan storage untuk data rekaman CCTV. Hasil rekaman CCTV dienkripsi ke dalam format khusus H.264 yang tidak dapat A diketahui dan digunakan oleh pihak yang tidak berwenang. Manajer Operasional tidak memiliki video rekaman CCTV, tetapi hanya memiliki detail dari data rekaman CCTV. Sedangkan video rekaman CCTV hanya dimiliki oleh pihak Bank XYZ selaku customer pada Proyek CCTV ini. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Perubahan Manajemen Auditor : Tria Yulita

36 89 Tabel 4.42 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada prosedur mengenai perubahan manajemen di 27001:2005 : dalam perusahaan. Terdapat prosedur Change Request, dimana prosedur tersebut harus dilakukan pada setiap perubahan manajemen yang terjadi baik di dalam proyek maupun di A luar proyek. Apabila di dalam Proyek CCTV terjadi perubahan sistem atau yang lainnya harus mengikuti prosedur Change Request yang dibuat oleh perusahaan. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Pembagian Tugas Auditor : Tria Yulita Tabel 4.43 Analisa Temuan Audit Pada A Analisa Temuan Audit: Berdasarkan audit yang dilakukan, sudah dilakukannya pembagian tugas di dalam Proyek 27001:2005 : CCTV Pada Bank XYZ. Hasil audit ini mengacu pada A yang telah menjelaskan bahwa

37 90 sudah adanya dokumen secara tertulis yang memuat tentang peran dan tanggung jawab masing-masing karyawan terhadap pekerjaannya. Selain itu, pada saat pengrekrutan calon karyawan baru, HRD sudah memberitahukan secara lisan mengenai peran dan tanggung jawab. Analisa Penyebab: Tidak ada analisa penyebab pada hasil audit ini. A Comply Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A Pemisahan Pengembangan, Pengujian dan Operasional Fasilitas Proyek CCTV Bank XYZ Auditor : Tria Yulita Tabel 4.44 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah dilakukan pemisahan lingkungan antara area 27001:2005 : pengembangan, pengujian, dan operasional fasilitas. R&D (Research and Development) berada di gedung A ANZ terpisah dengan area produksi. Pemantauan CCTV dan penyimpanan server berada di kantor pusat monitoring yang terletak di Bandung. Pemantauan sistem Helpdesk berada di kantor Kategori Temuan : Comply

38 91 PT. AGIT yang terletak di Kramat Raya. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A.10.2 Manajemen Layanan Pengiriman Oleh Pihak Ketiga A Layanan Pengiriman Auditor : Tria Yulita Tabel 4.45 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, teknisi yang menjadi pihak ketiga dalam Proyek CCTV Pada 27001:2005 : Bank XYZ sudah memberikan pelayanan sesuai dengan kesepakatan yang telah dibuat. Dimana A terdapat dokumen scope of work yang menjelaskan lingkup kerja dari masing-masing divisi di dalam proyek ini. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank Kategori Temuan : Comply Target Selesai: -

39 92 XYZ yang dilakukan sudah memenuhi persyaratan pada A A Pengawasan Dan Pembahasan Terhadap Layanan Pihak Ketiga Auditor : Tria Yulita Tabel 4.46 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, setiap 3 bulan akan dilaksanakan Review Meeting untuk 27001:2005 : mengetahui kemajuan dari Proyek CCTV Pada Bank XYZ yang dijalankan. Review Meeting dilaksanakan berdasarkan agenda yang dibuat oleh A Manajer Operasional. Namun, terkadang dilaksanakan incidental meeting apabila terjadi insiden di dalam proses operasional proyek ini. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Mengatur Perubahan Pada Layanan Pihak Ketiga

40 93 Auditor Auditee : Tria Yulita : Agung Sukmono (Manajer Operasional) Tabel 4.47 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, terdapat ketentuan yang harus diikuti oleh pihak ketiga 27001:2005 : apabila ingin melakukan perubahan. Pihak ketiga menghubungi bagian OMC (Operation Monitoring Center) untuk melaporkan perubahan A yang terjadi, kemudian membuat tiket ke sistem Helpdesk, dan mengisi laporan di dalam BAKT (Berita Acara Kunjungan Teknisi). Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A.10.3 Perencanaan Dan Penerimaan Sistem A Manajemen Kapasitas Auditor : Tria Yulita Tabel 4.48 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, di dalam proyek terdapat Capacity Management yang di 27001:2005 :

41 94 dalamnya terdapat Capacity Planning yang direncanakan sebelum proyek dimulai yang menghasilkan dokumen Capacity Plan dan Capacity Monitoring yang dilakukan setiap A minggu. Laporan akan dibuat oleh System Specialist untuk dikirim ke Manajer Operasional sebagai informasi dalam pengambilan keputusan mengenai kapasitas infrastruktur CCTV yang digunakan. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Penerimaan Sistem Auditor : Tria Yulita Tabel 4.49 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sampai saat ini belum ada perencanaan mengenai mekanisme penerimaan sistem baru karena OS (Operating System) yang digunakan masih tergolong baru dan 27001:2005 : A Comply telah sesuai dengan tujuan proyek. Analisa Penyebab: OS yang digunakan pada operasional telah sesuai

42 95 dengan tujuan proyek. Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A.10.4 Perlindungan Terhadap Kode Berbahaya Dan Dapat Ditransmisikan A Pengendalian Terhadap Kode Berbahaya Auditor : Tria Yulita Tabel 4.50 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah diterapkan perlindungan terhadap kode berbahaya 27001:2005 : seperti malicious code / virus yang dapat menyerang sistem pada Proyek CCTV Pada Bank XYZ. Pendeteksian dan pencegahan dilakukan dengan menggunakan anti virus. Selain itu, server A tidak terhubung dengan internet sehingga mengurangi timbulnya malicious code / virus. Metode penghapusan yang dilakukan tergantung pada malicious code / virus yang dihadapi sehingga berbeda pula cara untuk pemulihannya. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang Comply Target Selesai: -

43 96 dilakukan sudah memenuhi persyaratan pada A A Pengendalian Terhadap Kode Yang Dapat Ditransmisikan Auditor : Tria Yulita Tabel 4.51 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, tidak ada kontrol atau aturan mengenai penggunaan mobile code. Pihak Bank XYZ selaku customer pada Proyek CCTV ini harus menghubungi bagian OMC (Operation Monitoring Center) untuk meminta video hasil rekaman CCTV, tidak dapat 27001:2005 : A NA secara langsung mengakses hasil rekaman CCTV. Bagian OMC akan mengirimkan video hasil rekaman CCTV melalui media Flash Disk kepada pihak Bank XYZ. Analisa Penyebab: PT. Astra Graphia Information Technology tidak menerapkan kontrol atau aturan mengenai penggunaan mobile code karena pengiriman hasil data trekaman CCTV tidak melalui jaringan tertentu, melainkan dengan menggunakan media Flash Disk yang kemudian diberikan kepada pihak Bank XYZ. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku - pada.

44 97 A.10.5 Back-Up A Back-Up Informasi Auditor : Tria Yulita Tabel 4.52 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, pada proses operasional telah dilakukan back-up data rekaman CCTV yang tersimpan di dalam NVR (Network Video Recorder) yang dilakukan setiap 6 bulan sekali. Kemudian data rekaman tersebut dipindahkan ke 27001:2005 : A Comply NAS (Network Attached Storage) untuk disimpan selama 1-2 bulan. Setelah bulan ke-8, akan dilakukan penghapusan data rekaman CCTV. Mengacu pada peraturan Bank Indonesia yaitu untuk menyimpan data rekaman CCTVselama 3 bulan. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang - dilakukan sudah memenuhi persyaratan pada A A.10.6 ManajemenKeamanan Jaringan

45 98 A Pengendalian Jaringan Auditor : Tria Yulita Tabel 4.53 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, pada Proyek CCTV Pada Bank XYZ telah menerapkan perlindugan terhadap jaringan yang digunakan. VPN IP (Virtual Private Network Internal Protocol) digunakan untuk mentransmisikan data. Data yang melalui VPN IP akan dienkripsi 27001:2005 : A Comply ke dalam format khusus H.264 (.ava). VPN IP juga menjaga keutuhan dari data dan melakukan otentikasi sumber data untuk menghindari masuknya data ilegal. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang - dilakukan sudah memenuhi persyaratan pada A A Keamanan Layanan Jaringan

46 99 Auditor : Tria Yulita Tabel 4.54 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, jaringan komunikasi telah disediakan oleh penyedia 27001:2005 : layanan jaringan sehingga kebijakan mengenai keamanan jaringan bukan menjadi ruang lingkup dari PT. AGIT. Namun, ketentuan jaringan yang digunakan selama ini yaitu VPN IP sudah cukup A NA aman digunakan untuk melindungi keamanan data rekaman CCTV yang sudah dijelaskan pada A Analisa Penyebab: Kebijakan keamanan jaringan hanya dimiliki oleh penyedia layanan jaringan, sedangkan PT. AGIT hanya memiliki ketentuan jaringan yang dibutuhkan dan ketentuan tersebut dipenuhi oleh penyedia layanan jaringan. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku pada -. A.10.7 Penanganan Media A Manajemen Media Yang Dapat Dipindahkan Auditor : Tria Yulita Tabel 4.55 Analisa Temuan Audit Pada A

47 100 Analisa Hasil Audit: Berdasarkan audit yang dilakukan, pada Proyek CCTV Pada Bank XYZ yang dijalankan belum ada prosedur dalam menggunakan media penyimpanan yang dapat berpindah tempat. Hasil audit ini 27001:2005 : Not Comply termasuk kategori temuan major karena A (Major) memungkinkan modifikasi data oleh pihak yang tidak berwenang atau adanya penyebaran virus akibat dari penggunaan media penyimpanan yang tidak tepat. Analisa Penyebab: PT. AGIT belum membuat prosedur mengenai penggunaan media penyimpanan yang dapat berpindah tempat. Target Selesai: Membuat prosedur secara tertulis mengenai penarikan dan penggantian perangkat CCTV agar tahap-tahap yang dilakukan dalam penarikan dan penggantian perangkat CCTV menjadi lebih jelas, dapat terlaksana dengan baik, mencegah tindakan ilegal, dan Minggu ke 3, bulan Maret 2014 agar teknisi melakukan penarikan dan penggatian perangkat CCTV sesuai dengan prosedur yang ada. A Pembuangan Media Auditor : Tria Yulita Auditee :Agung Sukmono (Manajer Operasional) Tabel 4.56 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah dilakukannya pemeriksaan terhadap perangkat 27001:2005 :

48 CCTV yang akan ditarik atau diganti untuk memastikan bahwa sudah tidak adanya data rekaman CCTV yang tersimpan dan tidak dapat diakses oleh orang lain. Hasil audit ini mengacu pada A yang telah menjelaskan kemanan data rekaman pada saat dilakukannya penarikan atau penggantian perangkat CCTV oleh teknisi. Analisa Penyebab: A Comply 101 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A Prosedur Penanganan Informasi Auditor : Tria Yulita Auditee :Agung Sukmono (Manajer Operasional) Tabel 4.57 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, belum ada prosedur secara tertulis yang dibuat untuk 27001:2005 : melakukan pengolahan data rekaman CCTV yang dibuat. Namun, secara teknis pengolahan data rekaman CCTV sudah dilakukan dan kemudian hasilnya diberikan kepada pihak Bank XYZ A selaku customer pada Proyek CCTV. Hasil audit ini termasuk kategori temuan major karena pada Not Comply (Major)

49 102 annex ini dibutuhkan prosedur secara tertulis tentang pengolahan data agar keamanan data dapat terlindungi dan mencegah terjadinya modifikasi pada data rekaman CCTV. Analisa Penyebab: PT. AGIT belum membuat prosedur secara tertulis mengenai pengolahan data rekaman CCTV, tetapi secara teknis sudah dilakukan. Target Selesai: Membuat prosedur secara tertulis mengenai pengolahan data rekaman CCTV agar tahap-tahap yang dilakukan dalam Minggu ke 3, bulan pengolahan data rekaman CCTV menjadi lebih jelas sehingga Maret 2014 mengurangi kesalahan yang mungkin terjadi dan dapat mengetahui pada tahap mana kesalahan terjadi. A Keamanan Dokumentasi Sistem Auditor : Tria Yulita Auditee :Agung Sukmono (Manajer Operasional) Tabel 4.58 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada tools yang digunakan untuk mendokumentasikan sistem 27001:2005 : pada saat digunakan oleh pengguna. Dimana terdapat Event Viewer pada server yang menggunakan Windows untuk menangani A dokumentasi terhadap sistem. Sedangkan pada kamera terdapat Firmware yang dapat melakukan Log untuk dokumentasi akses pada kamera. Analisa Penyebab: Comply

50 103 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A.10.8 Pertukaran Informasi A Kebijakan Dan Prosedur Pertukaran Informasi Auditor : Tria Yulita Tabel 4.59 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, belum ada kebijakan dan prosedur yang dibuat untuk melakukan pertukaran data rekaman CCTV. Pertukaran data rekaman CCTV berdasarkan pada kesepakatan yang dibuat oleh kedua belah pihak :2005 : A Comply (Minor) Pertukaran video hasil rekaman CCTV dikirimkan menggunakan Flash Disk kepada pihak Bank XYZ. Analisa Penyebab: PT. AGIT dan pihak Bank XYZ tidak membuat kebijakan dan prosedur mengenai pertukaran data rekaman CCTV, namun hanya berdasarkan kesepakatan saja. Target Selesai: Membuat kebijakan dan prosedur yang memuat tentang pertukaran data rekaman kamera CCTV agar kesepakatan yang sudah dibuat oleh kedua belah pihak dapat lebih diperjelas dengan Minggu ke 3, bulan Maret 2014 adanya kebijakan dan prosedur yang dibuat.

51 104 A Kesepakatan Pertukaran Auditor : Tria Yulita Tabel 4.60 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada kesepakatan dan kontrak yang dibuat oleh kedua 27001:2005 : belah pihak mengenai pertukaran data rekaman CCTV. Dimana pertukaran video hasil rekaman CCTV dilakukan menggunakan Flash Disk. A Setelah Flash Disk diberikan kepada pihak Bank XYZ, video rekaman CCTV yang berada di dalam Flash Disk harus dihapus sebelum dikembalikan kepada bagian OMC (Operation Monitoring Center). Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Transportasi Media Fisik

52 105 Auditor : Tria Yulita Tabel 4.61 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, Flash Disk yang digunakan sebagai media pertukaran data rekaman CCTV belum cukup aman. Hasil audit 27001:2005 : Not Comply pada annex ini termasuk kategori temuan A (Major) majorkarena dapat terjadi akses ilegal, penyalahgunaan atau perubahan selama pertukaran berlangsung. Analisa Penyebab: PT. AGIT dan pihak Bank XYZ tidak membuat prosedur secara tertulis mengenai keamanan media yang digunakan pada pertukaran informasi, namun hanya berdasarkan kesepakatan saja. Target Selesai: Membuat password di dalam Flash Disk yang digunakan untuk membatasi akses penggunan media tersebut. Memastikan komputer yang digunakan telah aman dari Minggu ke 3, bulan Maret 2014 virus dan terdapat anti virus di dalamnya. A Pesan Elektornik Auditor : Tria Yulita Tabel 4.62Analisa Temuan Audit Pada A Analisa Hasil Audit: