BAB 4 HASIL DAN PEMBAHASAN

Transkripsi

1 BAB 4 HASIL DAN PEMBAHASAN 4.1 Analisa Temuan Audit Pada hari Senin tanggal 23 Desember 2013, penulis telah melakukan audit pada proses implementasi dan operasional yang dijalankan oleh PT. AGIT. Audit dilakukan dengan menggunakan standar internasional untuk SMKI yaitu 27001:2005 yang terdiri dari 11 klausal, 39 objektif, dan 133 kontrol keamanan. Berikut merupakan analisa penulis terhadap hasil temuan audit yang diperoleh: A.5 Kebijakan Keamanan A.5.1 Kebijakan Keamanan Informasi A Dokumen Kebijakan Keamanan Informasi Auditor : Dessy Liana Tabel 4.1 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, PT. AGIT memiliki kebijakan Data Integrity Test untuk penyimpanan hasil data rekaman CCTV. Berdasarkan kebijakan tersebut, maka akan menghasilkan laporan Video Monitoring Monthly untuk memastikan kondisi rekaman setiap bulannya. Dalam pengaksesan hasil data rekaman CCTV tersebut hanya Bagian EOS dan Manajer Operasional yang dapat mengakses data rekamannya. Selain itu, seluruh jaringan menggunakan jaringan VPN 27001:2005 : A Not Comply (Major) 54

2 55 IP sehingga keamanan data dapat terjaga, tetapi belum ada dokumen kebijakan secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV yang terdokumentasi. Hasil temuan audit pada annex ini termasuk kategori temuan major karena dapat terjadi penyalahgunaan wewenang dalam melakukan pemantauan rekaman CCTV. Analisa Penyebab: PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat ketentuan secara tertulis mengenai kebijakan keamanan informasi pada saat melakukan pemantauan rekaman CCTV. Membuat ketentuan atau pedoman secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV agar prosedur yang sudah ada dapat berjalan Minggu ke 3, bulan lebih efektif dan tertulis pada pedoman yang ada, sehingga Maret 2014 keamanan informasi rekaman CCTV dapat lebih terjaga. A Tinjauan Ulang Kebijakan Keamanan Informasi Auditor : Dessy Liana Tabel 4.2 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang telah dilakukan, dapat disimpulkan bahwa PT. AGIT tidak melakukan tinjauan secara rutin terhadap 27001:2005 :

3 56 pedoman kebijakan mengenai keamanan informasi pada saat melakukan pemantauan A Not Comply (Minor) rekaman CCTV karena mengacu pada hasil temuan audit A PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat pedoman secara tertulis mengenai kebijakan keamanan informasi pada saat melakukan pemantauan rekaman CCTV. Membuat ketentuan atau pedoman secara tertulis mengenai keamanan informasi pada saat melakukan pemantauan rekaman CCTV agar prosedur yang sudah ada dapat berjalan lebih efektif dan tertulis pada pedoman yang ada sehingga keamanan informasi rekaman CCTV dapat lebih terjaga. Setelah pedoman tersebut tertulis dan disetujui oleh pihak Minggu ke 3, bulan Maret 2014 manajemen maka pedoman tersebut harus ditinjau secara rutin agar apabila terjadi perubahan terhadap pedoman tersebut seluruh karyawan yang terkait dapat memahaminya dan menerapkannya. A.6 Organisasi Keamanan Informasi A.6.1 Organisasi Internal Keamanan Informasi A Komitmen Manajemen Terhadap Keamanan Informasi Auditor : Dessy Liana

4 57 Tabel 4.3 Analisa Temuan Audit Pada A Analisa Hasil Audit : Kategori Temuan : Berdasarkan audit yang dilakukan, manajemen dari PT. AGIT sudah melakukan 27001:2005 : meeting untuk mendukung pemberian tanggung jawab mengenai keamanan data A Comply rekaman CCTV kepada setiap karyawan. Analisa Penyebab: Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional - sudah memenuhi persyaratan pada A A Koordinasi Keamanan Informasi Auditor : Dessy Liana Tabel 4.4 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, bahwa setiap karyawan sudah diberikan informasiinformasi mengenai tugas dan tanggung jawabnya terhadap keamanan data rekaman 27001:2005 : A Kategori Temuan : Comply CCTV sehingga karyawan dapat menjalankan tugas dan tanggung jawabnya tersebut.

5 58 Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional sudah memenuhi persyaratan pada A A Alokasi Tanggung Jawab Keamanan Informasi Auditor : Dessy Liana Tabel 4.5 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan hasil audit yang dilakukan, A ini berkaitan dengan A bahwa selain karyawan sudah diberikan informasi mengenai tugas dan tanggung jawabnya masing-masing, karyawan sudah memahami tugas dan tanggung jawab mereka masingmasing terhadap keamanan data rekaman CCTV. Manajemen juga sudah membuat 27001:2005 : A Kategori Temuan : Comply dokumen yang menyatakan tugas dan tanggung jawab masing-masing karyawan tersebut Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional - sudah memenuhi persyaratan pada A

6 59 A Proses Otorisasi Terhadap Fasilitas Pengolahan Informasi Auditor : Dessy Liana Tabel 4.6 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan hasil audit, Proyek CCTV Pada Bank XYZ ini baru berjalan selama 1 tahun 27001:2005 : Kategori Temuan : lebih sejak Agustus tahun 2012 dan penyusunan configuration item masih belum tuntas sehingga belum ada otorisasi yang dilakukan terhadap penggunaan perangkat A Comply (Observation) lunak. Akan tetapi, untuk otorisasi penggunaan perangkat keras, jaringan, dan pengguna sudah ada, yaitu pada CMDB mapping. Karena ini baru berjalan selama 1 tahun lebih dan semua peralatan yang mendukung proyek tersebut masih baru dan belum dibutuhkannya peralatan baru untuk mengganti peralatan yang sedang digunakan tersebut. Configuration item harus di tuntaskan agar dapat memenuhi - persyaratan standar keamanan informasi pada A A Perjanjian Kerahasiaan

7 60 Auditor : Dessy Liana Tabel 4.7 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan hasil audit yang dilakukan, semua karyawan yang menangani proyek ini sudah terikat dengan NDA (Non - Disclosure Agreement) yang tertuai dalam surat kontrak kerja yang dikelola oleh HRD. Kemudian 27001:2005 : A Comply untuk vendor dikelola oleh supplier manager. Pada bagian operation juga terdapat NDA. Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional - sudah memenuhi persyaratan pada A A Hubungan Dengan Pihak Yang Terotorisasi Auditor : Dessy Liana Tabel 4.8 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan analisa yang dilakukan, untuk

8 61 menindaklanjuti suatu fraud/incident 27001:2005 : keamanan data rekaman CCTV akan dilakukan oleh pihak yang sudah diberikan otoritas, yaitu CSC (Customer Service Center) / Helpdesk yang memiliki Document A Service Catalouge dan juga Bagian EOS untuk insiden di lapangan. Contoh insiden yang ditangani adalah kamera mati, kabel putus, VPN putus, perangkat server crash/mati. Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A Comply - A Hubungan Dengan Lembaga Khusus Terkait Departemen/Fungsi/Proses yang diaudit : Proses Implementasi dan Operasional Auditor : Dessy Liana Tabel 4.9 Analisa Temuan Audit PadaA Analisa Hasil Audit : Kategori Temuan : Berdasarkan hasil audit yang sudah dilakukan, PT. AGIT sudah mengikuti forum 27001:2005 : internal perusahaan yang hanya melakukan sharing saja, tetapi pihak PT. AGIT belum pernah ada yang bergabung untuk forum profesional/asosiasi secara internasional. A Comply

9 62 PT. AGIT belum memiliki kesadaran bahwa bergabung dengan forum profesional/asosiasi secara internasional dapat meningkatkan pengetahuan mengenai perlindungan dalam keamanan informasi perusahaan PT. AGIT seharusnya mengikuti forum profesional/asosiasi internasional untuk mengetahui lebih banyak mengenai pemahaman tentang lingkungan keamanan informasi terkini - dan secara lengkap, untuk menjaga keamanan informasi CCTV tersebut. A Pembahasan Keamanan Informasi Secara Independen Auditor : Dessy Liana Tabel 4.10 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang sudah dilakukan, PT. AGIT sudah melakukan internal audit pada. Namun, internal audit ini dilakukan oleh Manajer Operasional pada proyek ini. Internal audit 27001:2005 : A Not Comply (Minor) tersebut dilakukan setiap 6 bulan terhubung dengan Data Integrity Test. Karena belum adanya bagian internal auditor pada PT. AGIT. Seharusnya audit terhadap data rekaman dilakukan secara resmi oleh internal auditor pada bagian IT setiap periode Minggu ke 3, bulan

10 63 tertentu sehingga kemungkinan terjadinya fraud sangat kecil dan mungkin tidak akan terjadi. A.6.2 Pihak Luar Maret 2014 A Identifikasi Risiko Yang Terkait Dengan Pihak Luar Auditor : Dessy Liana Tabel 4.11 Analisa Temuan Audit Pada A Analisa HasilAudit : Berdasarkan analisa yang sudah dilakukan, pihak luar tidak terlibat dalam pengolahan data rekaman sehingga pihak PT. AGIT tidak mengidentifikasi kemungkinan risiko yang akan terjadi. Apabila terkait kemungkinan 27001:2005 : A Comply risiko pasti ada, namun risiko itu telah dikunci di dalam NDA (Non Disclosure Agreement). Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional - sudah memenuhi persyaratan pada A A Menjelaskan Keamanan Saat Berhubungan Dengan Pelanggan

11 64 Auditor Auditee : Dessy Liana : Agung Sukmono (Manajer Operasional) Tabel 4.12 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan analisa yang sudah dilakukan, yang dijalankan oleh PT. AGIT termasuk jenis 27001:2005 : BPO (Business Process Outsourcing) sehingga pihak Bank XYZ tidak memiliki A Comply hak akses untuk mengolah data rekaman CCTV, tetapi hanya menerima hasil data rekaman CCTV yang telah diolah oleh PT. AGIT. Tidak ada analisa penyebab pada hasil audit ini. Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional - sudah memenuhi persyaratan pada A A Menjelaskan Keamanan Dalam Kesepakatan Dengan Pihak Ketiga Auditor : Dessy Liana Tabel 4.13 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan analisa yang sudah dilakukan, teknisi tidak memiliki akses ke data, tetapi 27001:2005 :

12 65 pada saat link mati dan teknisi harus datang mengambil SD card maka kemungkinan pengambilan data tersebut bisa terjadi. Ruang lingkup pekerjaan sudah ada, namun Rencana Penyusunan Layanan belum terlalu detail, A Comply (Observation) hanya menangani implementasi dan pemeliharaan saja tidak untuk keamanan data. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat ketentuan secara spesifik mengenai keamanan data CCTV di lingkungan kerja. Manajemen dari PT. AGIT seharusnya melengkapi ruang lingkup pekerjaan yang akan dilakukan oleh teknisi beserta tanggung jawab yang harus dilakukan oleh teknisi tersebut terkait dengan keamanan data rekaman CCTV agar teknisi Minggu ke 3, bulan Maret 2014 dapat lebih bertanggung jawab dan keamanan data dapat lebih terjamin kerahasiannya. A.7 Manajemen Aset A.7.1 Tanggung Jawab Terhadap Aset A Inventarisasi Terhadap Aset Auditor : Dessy Liana Tabel 4.14 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan analisa yang sudah dilakukan,

13 66 semua peralatan sudah disediakan dahulu 27001:2005 : sebelum dilakukan pemasangan. Setiap perangkat telah diberikan kode unik dengan serial number yang diberikan oleh PT.AGIT saat pemetaan ke CMDB dan sudah dilengkapi dengan detail dari peralatan itu A sendiri. Belum dilakukan pemeliharaan secara rutin, karena perangkat masih dalam kondisi baru. Selain itu, terdapat preventive maintenance yang dapat mendeteksi peralatan yang akan rusak dan akan segera dicegah oleh PT. AGIT. Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional sudah memenuhi persyaratan pada A Comply - A Kepemilikan Aset Proyek CCTV Bank XYZ Auditor : Dessy Liana Tabel 4.15 Analisa Temuan Audit Pada A Analisa Hasil Audit : Kategori Temuan : Berdasarkan audit yang dilakukan, penanggung jawab dari setiap peralatan yang 27001:2005 : digunakan di dalam Proyek CCTV Pada

14 67 Bank XYZ adalah Manajer Operasional dan Manajer Konfigurasi. Manajer Operasional A bertanggung jawab pada CMDB, sedangkan Manajer Konfigurasi bertanggung jawab untuk keseluruhan dari CMDB. Tidak terdapat saran yang ditujukan untuk tindakan perbaikan karena proses implementasi dan operasional sudah memenuhi persyaratan pada A Comply - A Penggunaan Aset Yang Sesuai Dengan Aturan Auditor : Dessy Liana Tabel 4.16 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, peraturan mengenai penggunaan aset teknologi 27001:2005 : informasi di dalam perusahaan terdapat pada dokumen roles and responsibility yg A Comply merupakan bagian dari dokumen rencana penyusunan layanan serta SOP untuk panduan cara pernggunaan. Tidak terdapat saran yang ditujukan untuk tindakan

15 68 perbaikan karena proses implementasi dan operasional sudah memenuhi persyaratan pada A A.7.2 Klasifikasi Informasi - A Pedoman Klasifikasi Auditor : Dessy Liana Tabel 4.17 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, tidak ada klasifikasi pada tingkat kerahasiaan untuk setiap data rekaman CCTV karena semua 27001:2005 : A Kategori Temuan : NA letak CCTV adalah di lingkungan publik. Pihak Bank XYZ menyatakan bahwa setiap hasil data rekaman CCTV tersebut memiliki tingkat kerahasiaan yang sama, sehingga PT. AGIT tidak mengklasifikasi tingkat kerahasiaan pada hasil data rekaman CCTV tersebut. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak - berlaku pada. A Pemberian Label Dan Penanganan Informasi Auditor : Dessy Liana

16 69 Tabel 4.18 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, karena tidak adanya tingkat kerahasiaan untuk setiap data rekaman CCTV, maka penanganan data 27001:2005 : A NA rekaman CCTV tidak dibedakan. Pihak Bank XYZ menyatakan bahwa setiap hasil data rekaman CCTV tersebut memiliki tingkat kerahasiaan yang sama, sehingga PT. AGIT tidak mengklasifikasi tingkat kerahasiaan pada hasil data rekaman CCTV tersebut. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak - berlaku pada. A.8 Keamanan Sumber Daya Manusia A.8.1 Sebelum Masa Kerja A Peran Dan Tanggung Jawab Auditor : Tria Yulita dan Dessy Liana Tabel 4.19 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, hasil audit pada annex ini berkaitan dengan A dan 27001:2005 :

17 70 A yang telah menjelaskan bahwa setiap karyawan sudah diberikan informasi mengenai peran dan tanggung jawabnya masing-masing. Karyawan juga sudah memahami peran dan tanggung jawab mereka masing-masing A terhadap keamanan data rekaman CCTV. Pihak Manajemen PT. AGIT sudah membuat dokumen yang menyatakan tugas dan tanggung jawab masing-masing karyawan tersebut. Analisa Penyebab: Tidak ada analisa penyebab pada hasil audit ini. Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Seleksi Auditor : Tria Yulita Tabel 4.20 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada penyaringan yang dilakukan untuk calon karyawan baru. Setiap divisi dapat mengajukan Form Personnel Requesition yaitu berisi kriteria yang dibutuhkan untuk merekrut karyawan baru. Selain itu, terdapat tiga tahap 27001:2005 : A Kategori Temuan : Comply

18 71 penyaringan yang harus dilewati oleh calon karyawan baru, yaitu: 1. Tes tertulis; 2. Interview oleh user (divisi yang bersangkutan); 3. Interview oleh HRD. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A Syarat Dan Kondisi Kerja Auditor : Tria Yulita Tabel 4.21 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, terdapat suatu perjanjian ikatan kerja berupa dokumen NDA (Non - Disclosure Agreement) yang menyatakan bahwa karyawan harus menjaga 27001:2005 : dengan baik kerahasiaan informasi A Comply perusahaan dari pihak luar. NDA harus ditanda tangani oleh calon karyawan baru sebagai bukti bahwa perjanjian tersebut sudah disepakati oleh kedua belah pihak. Analisa Penyebab:

19 72 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A.8.2 Selama Masa Kerja A Tanggung Jawab Manajemen Proyek CCTV Bank XYZ Auditor : Tria Yulita Tabel 4.22 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, belum ada kebijakan dan prosedur dalam mengatur setiap karyawan untuk memelihara keamanan data rekaman CCTV yang dibuat oleh pihak 27001:2005 : A Comply (Minor) manajemen PT. AGIT. Akan tetapi, setiap karyawan sudah memelihara keamanan data rekaman CCTV. Analisa Penyebab: PT. AGIT belum berfokus pada SMKI sehingga tidak memiliki perencanaan untuk membuat kebijakan dalam mengatur karyawan untuk memelihara keamanan data rekaman CCTV. Target Selesai: Membuat kebijakan dan prosedur yang dapat mengatur setip karyawan untuk memelihara keamanan data rekaman CCTV yang merupakan salah satu aset informasi perusahaan Minggu ke 3, bulan

20 73 sehingga kerahasiaan, keakuratan, dan ketersediaan data rekaman CCTV tetap terjaga agar dapat bermanfaat bagi pihak yang membutuhkannya. Maret 2014 A Pengetahuan Tentang Keamanan Informasi, Pendidikan, Dan Pelatihan Auditor Auditee : Tria Yulita : Agung Sukmono (Manajer Operasional) Tabel 4.23 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, tidak ada kebijakan dan prosedur yang menyatakan tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV. Namun, Manajer Operasional secara teknis 27001:2005 : A Kategori Temuan : Not Comply (Minor) sudah memberikan pengetahuan mengenai keamanan data rekaman CCTV pada saat project meeting dilaksanakan. Analisa Penyebab: PT. AGIT belum memiliki fokus terhadap SMKI pada Proyek CCTV Pada Bank XYZ yang dijalankan sehingga belum adanya kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV. Target Selesai: Membuat sebuah kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan terhadap keamanan data rekaman CCTV yang dapat dipatuhi oleh setiap karyawan agar kerahasiaan, keakuratan, dan ketersediaan data rekaman CCTV Minggu ke 3, bulan Maret 2014 tetap terjaga dengan baik dan mencegah modifikasi kebijakan dan prosedur tentang pengetahuan, pendidikan, dan pelatihan

21 74 tersebut. A Proses Kedisiplinan Auditor : Tria Yulita Tabel 4.24 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, HRD sudah Kategori Temuan : memberitahukan sanksi-sanksi pelanggaran 27001:2005 : secara lisan pada saat calon karyawan menandatangani dokumen NDA (Non Disclosure Agreement). Terdapat proses dalam pemberian sanksi bagi karyawan yang A Comply melakukan pelanggaran yaitu SP 1, SP 2, dan SP 3 (pemecatan). Sudah tertulis di Human Resources dan terdapat buku pedoman untuk setiap karyawan PT. AGIT. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank - XYZ yang dilakukan sudah memenuhi persyaratan pada A A.8.3 Pemutusnn Atau Perubahan Hubungan Kerja A Tanggung Jawab Pemutusan

22 75 Auditor : Tria Yulita Tabel 4.25 Analisa Temuan Audit Pada A Analisa Hasil Audit: Kategori Temuan : Berdasarkan audit yang dilakukan, sudah terdapat prosedur pemutusan atau perubahan 27001:2005 : hubungan kerja. Prosedur yang dilakukan yaitu Manajer Operasional mengajukan Form Perubahan Status Kerja kepada HRD untuk ditindaklanjuti terkait dengan karyawan yang ingin melakukan pemutusan hubungan kerja. A Comply HRD akan memberikan FEC (Form Exit Clearance) kepada karyawan yang bersangkutan untuk mengisinya. Setelah form diisi, karyawan akan mengembalikannya kepada HRD dan HRD akan menindaklanjuti pemutusan hubungan kerja karywan tersebut. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank - XYZ yang dilakukan sudah memenuhi persyaratan pada A A Pengembalian Aset

23 76 Auditor Auditee : Tria Yulita : Agung Sukmono (Manajer Operasional) Tabel 4.26 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, perusahaan sudah melakukan pendataan pada semua aset 27001:2005 : perusahaan yang digunakan oleh setiap karyawan. Dimana Tim Aset telah membuat database CAR (Company Asset Request) yang mendata semua aset perusahaan yang digunakan oleh setiap karyawan. Apabila terjadi pemutusan hubungan kerja, HRD akan memberikan FEC yang telah diisi oleh karyawan kepada Tim Aset A Comply untuk disesuaikan dengan database CAR sehingga dapat dilakukan pembaharuan data pada database CAR. Analisa Penyebab: Tidak terdapat analisa penyebab pada hasi audit ini. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank - XYZ yang dilakukan sudah memenuhi persyaratan pada A A Penghapusan Hak Akses Auditor : Tria Yulita

24 77 Auditee : Agung Sukmono (Manajer Operasional) Tabel 4.27 Analisa Temuan Audit Pada A Analisa Hasil Audit: Kategori Temuan : Berdasarkan audit yang dilakukan, sudah terdapat prosedur penghapusan hak akses 27001:2005 : terhadap karyawan yang tidak memiliki hubungan kerja dengan perusahaan. Prosedur tersebut tercantum dalam FEC (Form Exit A Comply Clearance) yang diberikan HRD kepada karyawan yang akan melakukan pemutusan hubungan kerja. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank - XYZ yang dilakukan sudah memenuhi persyaratan pada A A.9 Keamanan Fisik Dan Lingkungan A.9.1 Wilayah Aman A Pembatas Keamanan Fisik Auditor : Tria Yulita Tabel 4.28 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada perlindungan secara fisik yang dilakukan untuk 27001:2005 :

25 78 melindungi ruang pemantauan CCTV, ruang server, ruang helpdesk. Adanya pemisahan area antara ruang-ruang tersebut. Pada setiap pintu telah terpasang proximity access cards, terdapat A kamera CCTV, alat perlindungan bencana (i.e.fire extinguisher, fire alarm, dsb.), satpam, security organic pada ruang server, dan rak-rak server yang dapat dikunci. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Pengendalian Masuk Fisik Auditor : Tria Yulita Tabel 4.29 Analisa Temuan Audit Pada A Analisa Temuan Audit: Berdasarkan audit yang dilakukan, sudah terpasang alat proximity access cards pada setiap 27001:2005 : pintu di ruang pemantauan CCTV, ruang server, dan ruang helpdesk serta terdapat kamera CCTV A Comply yang dapat memantau siapa saja yang memasuki area-area tersebut. Analisa Penyebab: Target Selesai:

26 79 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A A Pengamanan Kantor, Ruangan, Dan Fasilitas Auditor : Tria Yulita Tabel 4.30 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada perlindungan secara fisik terhadap keamanan area 27001:2005 : kerja para karyawan yang diterapkan oleh perusahaan. Perlindungan fisik yang diterapkan sudah memenuhi kebutuhan keamanan yang A diperlukan sehingga karyawan merasa aman dan nyaman selama bekerja. Mengacu pada A yang telah menjelaskan perlindungan secara fisik yang dilakukan oleh PT. AGIT. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Perlindungan Terhadap Ancaman Eksternal Dan Lingkungan

27 80 Auditor : Tria Yulita Tabel 4.31 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, perlindungan terhadap bencana alam sudah dilakukan oleh 27001:2005 : perusahaan dengan menyediakan alat perlindungan bencana alam seperti fire extinguisher, fire alarm, smoke detector, dan A hydran di setiap area-area operasional pemantauan CCTV dan penyimpanan data rekaman CCTV (i.e ruang pemantauan, server, helpdesk). Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Bekerja Di Area Aman Auditor : Tria Yulita

28 81 Tabel 4.32 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada pelatihan perlindungan secara mandiri yang 27001:2005 : diberikan kepada setiap karyawan. Setiap tiga bulan sekali, pihak gedung akan melakukan fire drill untuk seluruh orang yang berada di dalam A gedung agar dapat melindungi diri dari bencana alam secara mandiri. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Area Akses Publik, Pengiriman, Dan Penurunan Barang Auditor : Tria Yulita Tabel 4.33 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, hasil audit pada annex ini mengacu pada A yang telah 27001:2005 : menyebutkan perlindungan pada area-area operasional pemantauan CCTV dan penyimpanan A data rekaman CCTV dari akses ilegal yang mungkin terjadi. Analisa Penyebab: Kategori Temuan : Comply

29 82 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A.9.2 Keamanan Peralatan A Penempatan Dan Perlindungan Terhadap Peralatan Auditor : Tria Yulita Tabel 4.34 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, penempatan peralatan yang digunakan dalam proses 27001:2005 : operasional sudah diletakkan dengan aman. Salah satunya penempatan server di dalam rak-rak khusus. Satu A rak dapat memuat lima server dan memiliki jarak 3cm pada setiap server yang diletakkan pada rak. Rak-rak tersebut dapat dikunci sehingga meminimalisir kemungkinan ancaman dan risiko yang terjadi. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena Kategori Temuan : Comply Target Selesai:

30 83 proses operasional yang dilakukan sudah memenuhi persyaratan pada A A Keperluan Pendukung Auditor : Tria Yulita Tabel 4.35 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada perlindungan terhadap peralatan yang digunakan 27001:2005 : pada proses operasional Proyek CCTV Pada Bank XYZ dari penyalahgunaan wewenang oleh karyawan untuk keperluan pendukung. Dimana terdapat database CAR (Company Asset Return) A yang memuat keterangan siapa yang menggunakan dan aset apa saja yang digunakan oleh setiap karyawan selama masa kerja serta dokumen Rencana Penyusunan Layanan yang memuat keterangan peran dan tanggung jawab, dan SOP untuk penggunaan aset TI perusahaan. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Keamanan Perkabelan

31 84 Auditor : Tria Yulita Tabel 4.36 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, penempatan kabel-kabel yang digunakan pada proses 27001:2005 : operasional sudah diletakkan dan ditata dengan rapih. Dimana penempatan kabel pada server sudah dibuatkan A jalurnya dan pada ruang pemantauan menggunakan cable duct untuk menata kabelkabel agar terlihat rapih. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Pemeliharaan Peralatan Auditor : Tria Yulita Tabel 4.37 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, pemeliharaan perangkat CCTV dilakukan dengan incidental 27001:2005 : Kategori Temuan :

32 85 yaitu hanya pada saat gangguan atau kerusakan terjadi. Setiap gangguan atau kerusakan akan A Comply terdokumentasi pada sistem Helpdesk secara otomatis. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan - sudah memenuhi persyaratan pada A A Keamanan Peralatan Di Luar Tempat Yang Tidak Di Syaratkan Auditor : Tria Yulita Tabel 4.38 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, tidak ada kebijakan keamanan mengenai peralatan yang berada atau digunakan diluar area kerja. Semua peralatan terkait dengan keberadaan data rekaman 27001:2005 : A Kategori Temuan : NA CCTV berada di dalam area kerja. Analisa Penyebab: Memang tidak ada peralatan yang tekait dengan keberadan data rekaman CCTV berada atau digunakan diluar area kerja. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku pada -. A Pengamanan Pembuangan Atau Penggunaan Ulang Peralatan

33 86 Auditor : Tria Yulita Tabel 4.39 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah dilakukan pengamanan terhadap data rekaman 27001:2005 : CCTV yang berada pada perangkat CCTV yang akan ditarik atau diganti oleh teknisi karena masa jatuh tempo kontrak, atau adanya gangguan atau kerusakan yang terjadi. Dimana data rekaman A sebelumnya disimpan dan dilakukan back-up serta data rekaman yang ada pada SD Card kamera CCTV di enkripsi ke format khusus H.264 sehingga tidak dapat diakses oleh pihak yang tidak berwenang. Analisa Penyebab: Tidak terdapar analisa penyebab pada hasil audit ini. Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Hak Penghapusan Properti

34 87 Auditor : Tria Yulita Tabel 4.40 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, setiap teknisi yang ingin melakukan penarikan atau 27001:2005 : penggantian perangkat CCTV akan membawa surat tugas yang diberikan kepada kantor cabang untuk menjelaskan bahwa Teknisi tersebut diperintahkan dan ditugaskan untuk melakukan penarikan atau penggatian perangkat CCTV A sehingga mengurangi terjadinya penyalahgunaan wewenang oleh pihak-pihak yang tidak diinginkan dan melindungi keamanan perangkat CCTV. Kemudian Teknisi akan mengisi BAKT (Berita Acara Kunjungan Teknisi) setelah selesai melakukan penarikan atau penggantian perangkat CCTV. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek CCTVPada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A.10 Manajemen Komunikasi Dan Operasi A.10.1 Prosedur Dan Tanggung Jawab Operasional A Pendokumentasian Prosedur Operasi

35 88 Auditor : Tria Yulita Tabel 4.41 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, proses operasional 27001:2005 : sudah terdokumentasi dengan baik. Setiap hasil rekaman CCTV tersimpan pada NVR server yang merupakan storage untuk data rekaman CCTV. Hasil rekaman CCTV dienkripsi ke dalam format khusus H.264 yang tidak dapat A diketahui dan digunakan oleh pihak yang tidak berwenang. Manajer Operasional tidak memiliki video rekaman CCTV, tetapi hanya memiliki detail dari data rekaman CCTV. Sedangkan video rekaman CCTV hanya dimiliki oleh pihak Bank XYZ selaku customer pada Proyek CCTV ini. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Perubahan Manajemen Auditor : Tria Yulita

36 89 Tabel 4.42 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada prosedur mengenai perubahan manajemen di 27001:2005 : dalam perusahaan. Terdapat prosedur Change Request, dimana prosedur tersebut harus dilakukan pada setiap perubahan manajemen yang terjadi baik di dalam proyek maupun di A luar proyek. Apabila di dalam Proyek CCTV terjadi perubahan sistem atau yang lainnya harus mengikuti prosedur Change Request yang dibuat oleh perusahaan. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Kategori Temuan : Comply Target Selesai: - A Pembagian Tugas Auditor : Tria Yulita Tabel 4.43 Analisa Temuan Audit Pada A Analisa Temuan Audit: Berdasarkan audit yang dilakukan, sudah dilakukannya pembagian tugas di dalam Proyek 27001:2005 : CCTV Pada Bank XYZ. Hasil audit ini mengacu pada A yang telah menjelaskan bahwa

37 90 sudah adanya dokumen secara tertulis yang memuat tentang peran dan tanggung jawab masing-masing karyawan terhadap pekerjaannya. Selain itu, pada saat pengrekrutan calon karyawan baru, HRD sudah memberitahukan secara lisan mengenai peran dan tanggung jawab. Analisa Penyebab: Tidak ada analisa penyebab pada hasil audit ini. A Comply Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A Pemisahan Pengembangan, Pengujian dan Operasional Fasilitas Proyek CCTV Bank XYZ Auditor : Tria Yulita Tabel 4.44 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah dilakukan pemisahan lingkungan antara area 27001:2005 : pengembangan, pengujian, dan operasional fasilitas. R&D (Research and Development) berada di gedung A ANZ terpisah dengan area produksi. Pemantauan CCTV dan penyimpanan server berada di kantor pusat monitoring yang terletak di Bandung. Pemantauan sistem Helpdesk berada di kantor Kategori Temuan : Comply

38 91 PT. AGIT yang terletak di Kramat Raya. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A.10.2 Manajemen Layanan Pengiriman Oleh Pihak Ketiga A Layanan Pengiriman Auditor : Tria Yulita Tabel 4.45 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, teknisi yang menjadi pihak ketiga dalam Proyek CCTV Pada 27001:2005 : Bank XYZ sudah memberikan pelayanan sesuai dengan kesepakatan yang telah dibuat. Dimana A terdapat dokumen scope of work yang menjelaskan lingkup kerja dari masing-masing divisi di dalam proyek ini. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank Kategori Temuan : Comply Target Selesai: -

39 92 XYZ yang dilakukan sudah memenuhi persyaratan pada A A Pengawasan Dan Pembahasan Terhadap Layanan Pihak Ketiga Auditor : Tria Yulita Tabel 4.46 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, setiap 3 bulan akan dilaksanakan Review Meeting untuk 27001:2005 : mengetahui kemajuan dari Proyek CCTV Pada Bank XYZ yang dijalankan. Review Meeting dilaksanakan berdasarkan agenda yang dibuat oleh A Manajer Operasional. Namun, terkadang dilaksanakan incidental meeting apabila terjadi insiden di dalam proses operasional proyek ini. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Mengatur Perubahan Pada Layanan Pihak Ketiga

40 93 Auditor Auditee : Tria Yulita : Agung Sukmono (Manajer Operasional) Tabel 4.47 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, terdapat ketentuan yang harus diikuti oleh pihak ketiga 27001:2005 : apabila ingin melakukan perubahan. Pihak ketiga menghubungi bagian OMC (Operation Monitoring Center) untuk melaporkan perubahan A yang terjadi, kemudian membuat tiket ke sistem Helpdesk, dan mengisi laporan di dalam BAKT (Berita Acara Kunjungan Teknisi). Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A.10.3 Perencanaan Dan Penerimaan Sistem A Manajemen Kapasitas Auditor : Tria Yulita Tabel 4.48 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, di dalam proyek terdapat Capacity Management yang di 27001:2005 :

41 94 dalamnya terdapat Capacity Planning yang direncanakan sebelum proyek dimulai yang menghasilkan dokumen Capacity Plan dan Capacity Monitoring yang dilakukan setiap A minggu. Laporan akan dibuat oleh System Specialist untuk dikirim ke Manajer Operasional sebagai informasi dalam pengambilan keputusan mengenai kapasitas infrastruktur CCTV yang digunakan. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Penerimaan Sistem Auditor : Tria Yulita Tabel 4.49 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sampai saat ini belum ada perencanaan mengenai mekanisme penerimaan sistem baru karena OS (Operating System) yang digunakan masih tergolong baru dan 27001:2005 : A Comply telah sesuai dengan tujuan proyek. Analisa Penyebab: OS yang digunakan pada operasional telah sesuai

42 95 dengan tujuan proyek. Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A.10.4 Perlindungan Terhadap Kode Berbahaya Dan Dapat Ditransmisikan A Pengendalian Terhadap Kode Berbahaya Auditor : Tria Yulita Tabel 4.50 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah diterapkan perlindungan terhadap kode berbahaya 27001:2005 : seperti malicious code / virus yang dapat menyerang sistem pada Proyek CCTV Pada Bank XYZ. Pendeteksian dan pencegahan dilakukan dengan menggunakan anti virus. Selain itu, server A tidak terhubung dengan internet sehingga mengurangi timbulnya malicious code / virus. Metode penghapusan yang dilakukan tergantung pada malicious code / virus yang dihadapi sehingga berbeda pula cara untuk pemulihannya. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang Comply Target Selesai: -

43 96 dilakukan sudah memenuhi persyaratan pada A A Pengendalian Terhadap Kode Yang Dapat Ditransmisikan Auditor : Tria Yulita Tabel 4.51 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, tidak ada kontrol atau aturan mengenai penggunaan mobile code. Pihak Bank XYZ selaku customer pada Proyek CCTV ini harus menghubungi bagian OMC (Operation Monitoring Center) untuk meminta video hasil rekaman CCTV, tidak dapat 27001:2005 : A NA secara langsung mengakses hasil rekaman CCTV. Bagian OMC akan mengirimkan video hasil rekaman CCTV melalui media Flash Disk kepada pihak Bank XYZ. Analisa Penyebab: PT. Astra Graphia Information Technology tidak menerapkan kontrol atau aturan mengenai penggunaan mobile code karena pengiriman hasil data trekaman CCTV tidak melalui jaringan tertentu, melainkan dengan menggunakan media Flash Disk yang kemudian diberikan kepada pihak Bank XYZ. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku - pada.

44 97 A.10.5 Back-Up A Back-Up Informasi Auditor : Tria Yulita Tabel 4.52 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, pada proses operasional telah dilakukan back-up data rekaman CCTV yang tersimpan di dalam NVR (Network Video Recorder) yang dilakukan setiap 6 bulan sekali. Kemudian data rekaman tersebut dipindahkan ke 27001:2005 : A Comply NAS (Network Attached Storage) untuk disimpan selama 1-2 bulan. Setelah bulan ke-8, akan dilakukan penghapusan data rekaman CCTV. Mengacu pada peraturan Bank Indonesia yaitu untuk menyimpan data rekaman CCTVselama 3 bulan. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang - dilakukan sudah memenuhi persyaratan pada A A.10.6 ManajemenKeamanan Jaringan

45 98 A Pengendalian Jaringan Auditor : Tria Yulita Tabel 4.53 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, pada Proyek CCTV Pada Bank XYZ telah menerapkan perlindugan terhadap jaringan yang digunakan. VPN IP (Virtual Private Network Internal Protocol) digunakan untuk mentransmisikan data. Data yang melalui VPN IP akan dienkripsi 27001:2005 : A Comply ke dalam format khusus H.264 (.ava). VPN IP juga menjaga keutuhan dari data dan melakukan otentikasi sumber data untuk menghindari masuknya data ilegal. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang - dilakukan sudah memenuhi persyaratan pada A A Keamanan Layanan Jaringan

46 99 Auditor : Tria Yulita Tabel 4.54 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, jaringan komunikasi telah disediakan oleh penyedia 27001:2005 : layanan jaringan sehingga kebijakan mengenai keamanan jaringan bukan menjadi ruang lingkup dari PT. AGIT. Namun, ketentuan jaringan yang digunakan selama ini yaitu VPN IP sudah cukup A NA aman digunakan untuk melindungi keamanan data rekaman CCTV yang sudah dijelaskan pada A Analisa Penyebab: Kebijakan keamanan jaringan hanya dimiliki oleh penyedia layanan jaringan, sedangkan PT. AGIT hanya memiliki ketentuan jaringan yang dibutuhkan dan ketentuan tersebut dipenuhi oleh penyedia layanan jaringan. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku pada -. A.10.7 Penanganan Media A Manajemen Media Yang Dapat Dipindahkan Auditor : Tria Yulita Tabel 4.55 Analisa Temuan Audit Pada A

47 100 Analisa Hasil Audit: Berdasarkan audit yang dilakukan, pada Proyek CCTV Pada Bank XYZ yang dijalankan belum ada prosedur dalam menggunakan media penyimpanan yang dapat berpindah tempat. Hasil audit ini 27001:2005 : Not Comply termasuk kategori temuan major karena A (Major) memungkinkan modifikasi data oleh pihak yang tidak berwenang atau adanya penyebaran virus akibat dari penggunaan media penyimpanan yang tidak tepat. Analisa Penyebab: PT. AGIT belum membuat prosedur mengenai penggunaan media penyimpanan yang dapat berpindah tempat. Target Selesai: Membuat prosedur secara tertulis mengenai penarikan dan penggantian perangkat CCTV agar tahap-tahap yang dilakukan dalam penarikan dan penggantian perangkat CCTV menjadi lebih jelas, dapat terlaksana dengan baik, mencegah tindakan ilegal, dan Minggu ke 3, bulan Maret 2014 agar teknisi melakukan penarikan dan penggatian perangkat CCTV sesuai dengan prosedur yang ada. A Pembuangan Media Auditor : Tria Yulita Auditee :Agung Sukmono (Manajer Operasional) Tabel 4.56 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah dilakukannya pemeriksaan terhadap perangkat 27001:2005 :

48 CCTV yang akan ditarik atau diganti untuk memastikan bahwa sudah tidak adanya data rekaman CCTV yang tersimpan dan tidak dapat diakses oleh orang lain. Hasil audit ini mengacu pada A yang telah menjelaskan kemanan data rekaman pada saat dilakukannya penarikan atau penggantian perangkat CCTV oleh teknisi. Analisa Penyebab: A Comply 101 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A Prosedur Penanganan Informasi Auditor : Tria Yulita Auditee :Agung Sukmono (Manajer Operasional) Tabel 4.57 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, belum ada prosedur secara tertulis yang dibuat untuk 27001:2005 : melakukan pengolahan data rekaman CCTV yang dibuat. Namun, secara teknis pengolahan data rekaman CCTV sudah dilakukan dan kemudian hasilnya diberikan kepada pihak Bank XYZ A selaku customer pada Proyek CCTV. Hasil audit ini termasuk kategori temuan major karena pada Not Comply (Major)

49 102 annex ini dibutuhkan prosedur secara tertulis tentang pengolahan data agar keamanan data dapat terlindungi dan mencegah terjadinya modifikasi pada data rekaman CCTV. Analisa Penyebab: PT. AGIT belum membuat prosedur secara tertulis mengenai pengolahan data rekaman CCTV, tetapi secara teknis sudah dilakukan. Target Selesai: Membuat prosedur secara tertulis mengenai pengolahan data rekaman CCTV agar tahap-tahap yang dilakukan dalam Minggu ke 3, bulan pengolahan data rekaman CCTV menjadi lebih jelas sehingga Maret 2014 mengurangi kesalahan yang mungkin terjadi dan dapat mengetahui pada tahap mana kesalahan terjadi. A Keamanan Dokumentasi Sistem Auditor : Tria Yulita Auditee :Agung Sukmono (Manajer Operasional) Tabel 4.58 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada tools yang digunakan untuk mendokumentasikan sistem 27001:2005 : pada saat digunakan oleh pengguna. Dimana terdapat Event Viewer pada server yang menggunakan Windows untuk menangani A dokumentasi terhadap sistem. Sedangkan pada kamera terdapat Firmware yang dapat melakukan Log untuk dokumentasi akses pada kamera. Analisa Penyebab: Comply

50 103 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A.10.8 Pertukaran Informasi A Kebijakan Dan Prosedur Pertukaran Informasi Auditor : Tria Yulita Tabel 4.59 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, belum ada kebijakan dan prosedur yang dibuat untuk melakukan pertukaran data rekaman CCTV. Pertukaran data rekaman CCTV berdasarkan pada kesepakatan yang dibuat oleh kedua belah pihak :2005 : A Comply (Minor) Pertukaran video hasil rekaman CCTV dikirimkan menggunakan Flash Disk kepada pihak Bank XYZ. Analisa Penyebab: PT. AGIT dan pihak Bank XYZ tidak membuat kebijakan dan prosedur mengenai pertukaran data rekaman CCTV, namun hanya berdasarkan kesepakatan saja. Target Selesai: Membuat kebijakan dan prosedur yang memuat tentang pertukaran data rekaman kamera CCTV agar kesepakatan yang sudah dibuat oleh kedua belah pihak dapat lebih diperjelas dengan Minggu ke 3, bulan Maret 2014 adanya kebijakan dan prosedur yang dibuat.

51 104 A Kesepakatan Pertukaran Auditor : Tria Yulita Tabel 4.60 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada kesepakatan dan kontrak yang dibuat oleh kedua 27001:2005 : belah pihak mengenai pertukaran data rekaman CCTV. Dimana pertukaran video hasil rekaman CCTV dilakukan menggunakan Flash Disk. A Setelah Flash Disk diberikan kepada pihak Bank XYZ, video rekaman CCTV yang berada di dalam Flash Disk harus dihapus sebelum dikembalikan kepada bagian OMC (Operation Monitoring Center). Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Transportasi Media Fisik

52 105 Auditor : Tria Yulita Tabel 4.61 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, Flash Disk yang digunakan sebagai media pertukaran data rekaman CCTV belum cukup aman. Hasil audit 27001:2005 : Not Comply pada annex ini termasuk kategori temuan A (Major) majorkarena dapat terjadi akses ilegal, penyalahgunaan atau perubahan selama pertukaran berlangsung. Analisa Penyebab: PT. AGIT dan pihak Bank XYZ tidak membuat prosedur secara tertulis mengenai keamanan media yang digunakan pada pertukaran informasi, namun hanya berdasarkan kesepakatan saja. Target Selesai: Membuat password di dalam Flash Disk yang digunakan untuk membatasi akses penggunan media tersebut. Memastikan komputer yang digunakan telah aman dari Minggu ke 3, bulan Maret 2014 virus dan terdapat anti virus di dalamnya. A Pesan Elektornik Auditor : Tria Yulita Tabel 4.62Analisa Temuan Audit Pada A Analisa Hasil Audit:

53 106 Berdasarkan audit yang dilakukan, pada Proyek CCTV Pada Bank XYZ tidak terdapat 27001:2005 : kesepakatan untuk melakukan pertukaran data rekaman CCTV melalui atau instant messenger, melainkan menggunakan Flash Disk. A NA Hal tersebut untuk mengurangi risiko data ilegal, kode berbahaya, dan akses ilegal yang mungkin timbul pada saat pertukaran data terjadi. Analisa Penyebab: Kapasitas yang ada pada atau instant messenger tidak menunjang kapasitas data rekaman CCTV yang akan dikirimkan. Tidak ada saran yang diajukan untuk tindakan perbaikan pada Target Selesai: - hasil audit ini karena persyaratan pada A tidak berlaku pada. A Sistem Informasi Bisnis Auditor : Tria Yulita Tabel 4.63 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, belum ada kebijakan dan prosedur yang dibuat untuk 27001:2005 : pertukaran data rekaman CCTV antara bagian OMC dengan Bagian Hepldesk. Hasil audit pada annex ini termasuk kategori temuan major karena A integritas dan keakuratan data rekaman CCTV selama pertukaran berlangsung belum terjamin keamanannya. Not Comply (Major)

54 107 Analisa Penyebab: PT. AGIT belum memiliki fokus terhadap SMKI pada proyek CCTV yang dijalankan sehingga belum adanya kebijakan dan prosedur tentang pertukaran data rekaman CCTV antara bagian OMC dengan bagian Helpdesk. Target Selesai: Membuat kebijakan dan prosedur yang memuat tentang pertukaran data rekaman CCTV agar kesepakatan yang sudah Minggu ke 3, bulan dibuat oleh kedua belah pihak dapat lebih diperjelas dengan Maret 2014 adanya kebijakan dan prosedur yang dibuat dan kemanan data rekaman CCTV menjadi terjamin. A.10.9 Layanan E-Commerce A E-Commerce Auditor : Tria Yulita Tabel 4.64 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, pada proyek CCTV yang dijalankan oleh PT. AGIT tidak 27001:2005 : menerapkan E-Commerce. A NA Analisa Penyebab: PT. AGIT ingin meminimalisir kerentanan akses ilegal dan data ilegal yang mungkin timbul dari penerapan E-Commerce. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku pada -. A Transaksi Online

55 108 Auditor : Tria Yulita Tabel 4.65 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, hasil audit ini mengacu pada A yang telah menjelaskan bahwa pada tidak 27001:2005 : diterapkan E-Commerce sehingga tidak ada A NA transaksi online yang dilakukan terkait dengan pertukaran data rekaman CCTV. Analisa Penyebab: PT. AGIT tidak menerapkan E-Commerce sehingga tidak ada transaksi online yang dilakukan terkait dengan pertukaran data rekaman CCTV. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku pada -. A Informasi Yang Tersedia Di Publik Auditor : Tria Yulita

56 109 Tabel 4.66 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, tidak ada publikasi data rekaman CCTV secara umum, melainkan hanya dilakukan pada internal Proyek PemasanganCCTV saja. Dimana hasil audit ini 27001:2005 : A NA mengacu pada A yang telah menjelaskan bahwa Proyek CCTV tidak menerapkan E- Commerce. Analisa Penyebab: PT. AGIT tidak menerapkan E-Commerce sehingga tidak ada publikasi data rekaman CCTV kepada khalayak umum, hanya dilakukan pada internal proyek saja. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku pada -. A Pengawasan A Pembukuan Audit Auditor : Tria Yulita Tabel 4.67Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, pada Proyek CCTV Pada Bank XYZ telah dilakukan audit 27001:2005 : operasional dengan menggunakan suatu standar internasional yaitu ISO Hasil temuan audit ISO pada bulan Juli sudah ditutup dan A disimpan oleh Business Planning and Quality Management (divisi diluar dari bagian proyek Comply

57 110 CCTV) dan hasil temuan audit tersebut dilaporkan kepada Direktur. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Target Selesai: - A Pengawasan Terhadap Kegunaan Sistem Auditor : Tria Yulita Tabel 4.68 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada peninjauan yang dilakukan terhadap sistem yang 27001:2005 : digunakan pada oleh Manajer Operasional melalui NMS (Network A Monitoring System) untuk kegiatan operasional pemantauan CCTV. Analisa Penyebab: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A Comply Target Selesai: - A Perlindungan Pembukuan Informasi

58 111 Auditor : Tria Yulita Tabel 4.69 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, hasil temuan audit disimpan dan di dokumentasi oleh Business Planning and Quality Management (divisi diluar dari bagian Proyek CCTV) sehingga hal tersebut 27001:2005 : A NA berada di ruang lingkup operasional Proyek CCTV Pada Bank XYZ. Analisa Penyebab: Back-up dan dokumentasi hasil temuan audit berada di luar ruang lingkup operasional. Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku - dalam. A Pembukuan Administrator Dan Operator Auditor : Tria Yulita

59 112 Tabel 4.70 Analisa Temuan Audit Pada A Analisa Temuan Audit: Berdasarkan audit yang dilakukan, kegiatan pada sistem administator dan sistem operator pada operasional Proyek CCTV Pada Bank XYZ telah tercatat di dalam sistem secara 27001:2005 : A Comply otomatis. Log yang mencatat segala kegiatan yang dilakukan dapat dilihat pada Event Viewer yang telah tersedia pada Windows. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang - dilakukan sudah memenuhi persyaratan pada A A Pembukuan Kesalahan Auditor : Tria Yulita Tabel 4.71 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada pencatatan kesalahan yang terjadi pada 27001:2005 : sistem. Semua kesalahan akan tercatat di Log A Comply yang ada pada Event Viewer. Analisa Penyebab: Target Selesai:

60 113 Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A A Penyelarasan Waktu Auditor : Tria Yulita Tabel 4.72 Analisa Temuan Audit Pada A Analisa Hasil Audit: Berdasarkan audit yang dilakukan, sudah ada penyelarasan waktu pada sistem yang 27001:2005 : digunakan untuk proses operasional Proyek CCTV Pada Bank XYZ. NTP (Network Time A Comply Protocol) digunakan untuk menyelaraskan waktu pada semua sistem yang mengacu pada satu server. Analisa Penyebab: Target Selesai: Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional - yang dilakukan sudah memenuhi persyaratan pada A A.11 Pengendalian Akses A.11.1 Kebutuhan Bisnis Pada Pengendalian Akses A Kebijakan Pengendalian Akses

61 114 Auditor : Dessy Liana Tabel 4.73 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, PT. AGIT Kategori Temuan : tidak memiliki kebijakan untuk 27001:2005 : mengendalikan akses pada operasional CCTV. Namun, pengendalian akses pada sudah A Not Comply (Major) dilakukan secara teknis. Hasil audit pada annex ini termasuk kategori temuan major karena dapat terjadi akses ilegal yang dilakukan oleh pihak yang tidak berwenang. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat ketentuan secara tertulis mengenai kebijakan terhadap pengendalian akses pada sistem informasi pemantauan CCTV. PT. AGIT seharusnya membuat kebijakan untuk Minggu ke 3, bulan pengendalian akses yang dilakukan oleh karyawan dalam Maret 2014 mengakses sistem informasi pemantauan CCTV. A.11.2 Manajemen Akses Pengguna A Registrasi Pengguna Auditor : Dessy Liana

62 115 Tabel 4.74 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, tidak ada prosedur dan administrasi secara formal yang terkait dengan registrasi pengguna untuk mengakses sistem informasi pemantauan CCTV karena tidak ada pihak luar yang 27001:2005 : A Kategori Temuan : Not Comply (Minor) diberikan akses ke sistem informasi CCTV, tetapi hanya pihak internal proyek saja. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat ketentuan secara tertulis mengenai prosedur dan registrasi pengguna pada sistem informasi pemantauan CCTV. PT. AGIT seharusnya membuat prosedur yang menyatakan bahwa setiap karyawan harus melakukan registrasi secara formal untuk mengakses sistem informasi pemantauan CCTV, yang kemudian akan disetujui oleh pihak manajemen Minggu ke 3, bulan Maret 2014 bahwa karyawan yang sudah melakukan registrasi dapat mengakses sistem informasi pemantauan CCTV tersebut. A Manajemen Hak Istimewa Auditor : Dessy Liana Tabel 4.75 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, tidak ada hak istimewa yang diberikan secara formal 27001:2005 :

63 116 oleh manajemen PT. AGIT kepada A NA karyawan dan customer. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat ketentuan hak istimewa. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak - berlaku pada. A Manajemen Kata Sandi Pengguna Auditor : Dessy Liana Tabel 4.76 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan hasil audit yang dilakukan,sudah terdapat ketentuan terhadap penggunaan kata sandi. Dimana sudah terdapat kriteria dalam penggunaan kata sandi yaitu terdiri dari :2005 : A Comply digit yang mengandunghuruf A-a, angka, dan tanda baca. Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional - yang dilakukan sudah memenuhi persyaratan pada A

64 117 A Tinjauan Hak Akses Pengguna Auditor : Dessy Liana Tabel 4.77 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang telah dilakukan, belum ada peninjauan yang dilakukan secara rutin terhadap penggunaan kata sandi yang digunakan oleh setiap karyawan pada Proyek 27001:2005 : A Comply (Observation) CCTV Pada Bank XYZ. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum dilakukannya peninjauan terhadap penggunaan kata sandi untuk mengakses sistem informasi pemantauan CCTV. Manajemen PT. AGIT harus melakukan peninjauan terhadap penggunaan kata sandi tersebut apakah sudah sesuai dengan kriteria kata sandi yang sudah diberikan perusahaan kepada Minggu ke 3, bulan Maret 2014 karyawan. A.11.3 Tanggung Jawab Pengguna A Penggunaan Kata Sandi

65 118 Auditor : Dessy Liana Tabel 4.78 Analisa Temuan Audit Pada A Analisa Temuan Audit : Berdasarkan hasil audit yang telah dilakukan, sudah terdapat sistem yanngmemantau 27001:2005 : kesesuaian kata sandi terhadap kriteria yang sudah ada. A Comply Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional yang dilakukan sudah memenuhi persyaratan pada A A Peralatan Pengguna Yang Tidak Dalam Pengawasan Auditor : Dessy Liana Tabel 4.79 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan hasil audit yang telah dilakukan, PT. AGIT sudah melakukan pencegahan terhadap karyawan yang tidak berhak dalam pengaksesan sistem informasi tertentu dengan 27001:2005 :

66 119 cara pengamanan fisik (ruangan yang terpisah, harus tapping dan memasukkan kata sandi A karyawan pada saat ingin memasuki ruangan tertentu) dan juga pemakaian jaringan V-LAN yang dapat menjaga kerahasiaan sistem informasi PT. AGIT tersebut. Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A Comply - A Kebijakan Clear Desk Dan Clear Screen Auditor : Dessy Liana Tabel 4.80 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, PT. AGIT belum membuat dan mengimplementasikan kebijakan mengenai clear screen dan desk policy. Hasil audit pada annex ini termasuk kategori temuan major karena tidak ada 27001:2005 : A Not Comply (Major) dokumen secara tertulis maupun aktivitas yang dilaksanakan mengenai clear screen dan desk policy. PT. AGIT belum berfokus pada SMKI untuk yang

67 120 dijalankan sehingga belum terdapat kebijakan mengenai clear screen dan desk policy pada setiap karyawannya. Manajemen PT. AGIT seharusnya membuat kebijakan yang tertulis mengenai clear screen dan desk policy. Setelah itu, setiap karyawan harus mengimplementasikan kebijakan Minggu ke 3, bulan tersebut agar dokumen-dokumen penting yang ada pada Maret 2014 computer / desktop dan juga meja kerja tidak disalah gunakan oleh orang lain yang tidak berkepentingan. A.11.4 Pengendalian Akses Jaringan A Kebijakan Pada Penggunaan Layanan Jaringan Auditor : Dessy Liana Tabel 4.81 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, tidak terdapat kebijakan mengenai penggunaan layanan jaringan walaupun layanan jaringan yang digunakan tidak diperuntukkan untuk organisasi lain dan orang lain, hanya di dalam organisasi saja. Hasil audit ini pada annex ini 27001:2005 : A Not Comply (Major) termasuk kategori temuan major karena diharuskan adanya prosedur secara tertulis untuk melindungi jaringan yang digunakan. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat kebijakan mengenai penggunaan layanan

68 121 jaringan. Manajemen PT. AGIT seharusnya membuat kebijakan mengenai penggunaan layanan jaringan, supaya dapat mengetahui siapa saja yang dapat menggunakan layanan jaringan dan untuk keperluan apa saja mereka menggunakan layanan jaringan tersebut. Minggu ke 3, bulan Maret 2014 A Pembuktian Pengguna Pada Hubungan Eksternal Auditor : Dessy Liana Tabel 4.82 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, hubungan Kategori Temuan : ekternal dan jaringan perusahaan sudah 27001:2005 : terotentikasi dengan jaringan VPN IP karena dengan VPN IP maka jaringan sudah A Comply terotentikasi siapa saja pihak yang dapat mengakses data tersebut. Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank - XYZ sudah memenuhi persyaratan pada A A Identifikasi Peralatan Dalam Jaringan

69 122 Auditor : Dessy Liana Tabel 4.83 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, equipment identification tidak termasuk dalam ruang lingkup operasional CCTV, ruang lingkup ini 27001:2005 : A Kategori Temuan : NA untuk penyedia layanan jaringan. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat kebijakan mengenai equipment identification dalam jaringan yang digunakan. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku - pada. A Perlindungan Diagnostik Jarak Jauhdan Pusat Konfigurasi Auditor : Dessy Liana Tabel 4.84 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, pengendalian terhadap port atau jaringan 27001:2005 : yang dapat menghubungkan kamera CCTV

70 123 dengan pusat monitoring sudah ada, tetapi karena jaringan tersebut menggunakan V- A LAN yang merupakan jaringan khusus, maka port nya tidak ditetapkan karena tidak memakai internet sehingga tidak ada IP address dan port. Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A Comply - A Pembagian Jaringan Auditor : Dessy Liana Tabel 4.85 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, PT. AGIT telah melakukan pembagian jaringan yang 27001:2005 : Kategori Temuan : akan digunakan pada setiap karyawan, walaupun terdapat pada satu switch tetapi beda V-LAN. Sehingga karyawan yang A Comply terdapat pada V-LAN yang berbeda tidak bisa saling mengakses.

71 124 Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank XYZ sudah memenuhi persyaratan pada A A Pengendalian Koneksi Jaringan Auditor : Dessy Liana Tabel 4.86 Analisa Temuan Audit Pada A Analisa Temuan Audit : Berdasarkan audit yang dilakukan, PT. AGIT sudah melakukan pengendalian terhadap 27001:2005 : koneksi jaringan menggunakan managable switch (layer 3) yang digunakan untuk A Comply mengelola koneksi jaringan yang digunakan perusahaan agar keamanan jaringan lebih terjamin Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional Proyek CCTV Pada Bank - XYZ sudah memenuhi persyaratan pada A

72 125 A Pengendalian Pengiriman Jaringan Auditor : Dessy Liana Tabel 4.87 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, pengendalian terhadap penggunaan router 27001:2005 : tersebut bukan ruang lingkup dari operasional tetapi ruang lingkup dari penyedia layanan A NA jaringan. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat kebijakan mengenai pengendalian terhadap penggunaan router. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku - pada. A.11.5 Pengendalian Akses Sistem Operasi A Prosedur Masuk Yang Aman Proyek CCTV Bank XYZ Auditor : Dessy Liana Tabel 4.88 Analisa Temuan Audit Pada A Analisa Hasil Audit :

73 126 Berdasarkan audit yang dilakukan, prosedur Secure Log-on telah diterapkan untuk masuk 27001:2005 : ke OS di dalam fasilitas pengolahan data rekaman CCTV. Secure Log-on terdapat pada A Comply (Minor) setiap OS server dan aplikasi yang digunakan, tetapi untuk prosedur tersebut tidak tertulis dan hanya dilakukan saja. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat prosedur secara tertulis mengenai Secure Log-on pada OS server dan aplikasi yang digunakan. Manajemen PT. AGIT seharusnya mendokumentasikan atau membuat prosedur tersebut secara tertulis dan disetujui oleh pihak manajemen agar penggunaan Secure Log-on pada setiap OS server dan aplikasi dapat tercegah dari akses ilegal Minggu ke 3, bulan Maret 2014 terhadap OS server dan aplikasi yang sedang digunakan dalam fasilitas pengolahan informasi di dalam perusahaan. A Identifikasi Dan Pembuktian Pengguna Auditor : Dessy Liana Tabel 4.89 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang telah dilakukan, dalam mengakses OS server dan aplikasi setiap karyawan atau pengguna tidakmemiliki ID masing-masing. Karena hanya satu orang yang bisa mengakses yaitu sistem spesialis. CCTV 27001:2005 : A Comply (Observation)

74 127 tidak dilakukan pemantauan selama 24 jam tetapi 8 jam sehari dalam seminggu. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat kebijakan mengenai penggunaan ID untuk setiap masing-masing karyawan dalam mengakses sistem informasi pemantauan CCTV. Manajemen PT. AGIT seharusnya telah menetapkan penggunaan masing-masing ID karyawan pada saat mengakses sistem informasi pemantauan CCTV agar manajemen PT. Minggu ke 3, AGIT dapat mengidentifikasi setiap karyawan atau pengguna bulan Maret 2014 dalam pengaksesan yang akan dilakukan pada sistem informasi pemantauan CCTV. A Manajamen Kata Sandi Auditor : Dessy Liana Tabel 4.90 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan hasil audit yang telah dilakukan, A ini mengacu pada A yang menyatakan bahwa sudah terdapat sistem manajemen yang memantau kesesuaian kata 27001:2005 : A Comply sandi terhadap kriteria yang sudah ada. Tidak ada analisa penyebab pada hasil audit ini.

75 128 Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A A Kegunaan Utilitas Sistem Auditor : Dessy Liana Tabel 4.91 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, penggunaan program yang dapat menghapus file-file sistem terhadap aplikasi dapat dikendalikan dengan mengatur setting pada aplikasi NAS. Aplikasi NAS merupakan sebuah aplikasi yang dapat menampung data yang sudah berjangka waktu 27001:2005 : A Kategori Temuan : Comply 6 bulan pada aplikasi NVR. Masa penampungan data pada aplikasi NAS tersebut memiliki jangka waktu 1-2 bulan yang kemudian data hasil rekaman akan terhapus dengan sendirinya. Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional - sudah memenuhi persyaratan pada A

76 129 A Sesi Time-Out Auditor : Dessy Liana Tabel 4.92 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang telah dilakukan, Session - time out pada aplikasi operasional 27001:2005 : CCTV yang digunakan dalam pemantauan CCTV telah diterapkan yaitu selama 5 menit untuk semua komputer dan server apabila komputer dalam keadaan idle. Setelah session - A Comply time out pada komputer dan server tersebut sudah terjadi, maka karyawan harus melakukan log in ulang pada komputer dan server tersebut. Tidak berlaku untuk aplikasi monitoring. Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional - sudah memenuhi persyaratan pada A A Pembatasan Waktu Koneksi Auditor : Dessy Liana

77 130 Tabel 4.93 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang telah dilakukan, tidak ada batas waktu pengaksesan pada aplikasi pemantauan CCTV karena aplikasi yang digunakan tidak memerlukan remote yang digunakan untuk mengakses remote host agar 27001:2005 : A NA dapat login pada sebuah aplikasi yang menggunakan layanan internet. Aplikasi untuk pemantauan CCTV ini terus menerus diakses sehingga tidak ada batasan pengaksesannya. Aplikasi pemantaun CCTV tidak menggunakan layanan internet sehingga tidak ada batas waktu dalam pengaksesan aplikasi tersebut. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku - pada. A.11.6 Pengendalian Akses Aplikasi Dan Informasi A Pembatasan Akses Informasi Auditor : Dessy Liana Tabel 4.94 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, PT. AGIT telah melakukan pembatasan / proteksi 27001:2005 : terhadap pengaksesan data rekaman CCTV, Comply

78 131 tetapi tidak ada kebijakan pengendalian akses A (Minor) secara tertulis. PT. AGIT belum berfokus pada SMKI untuk Proyek CCTV yang dijalankan sehingga belum terdapat kebijakan mengenai pengendalian akses secara tertulis. Walaupun PT. AGIT sudah melakukan pembatasan/proteksi terhadap pengaksesan data rekaman CCTV, namun akan lebih baik apabila terdapat kebijakan secara tertulis mengenai Minggu ke 3, bulan Maret 2014 pengaksesan data rekaman CCTV tersebut. Agar data rekaman dapat terjaga dari akses yang tidak sah. A Isolasi Sistem Yang Sensitif Auditor : Dessy Liana Tabel 4.95 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, PT. AGIT sudah melakukan isolasi terhadap sistem yang digunakan yaitudengan menggunakan V-LAN yang tidak terkoneksi dengan jaringan lainnya :2005 : A Comply Agar keamanan data rekaman CCTV dapat terjaga.

79 132 Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A A Mobile Computing Dan Komunikasi Auditor : Dessy Liana Tabel 4.96 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, PT. AGIT tidak ada kebijakan formal yang ditetapkan untuk melakukan pekerjaan dengan melakukan fasilitas komunikasi di luar perusahaan. Karena 27001:2005 : A NA aplikasi memang tidak di desain untuk terhubung ke jaringan internet. Dalam menggunakan aplikasi pemantauan CCTV tersebut PT. AGIT tidak terhubung dengan jaringan internet sehingga karyawan tidak dapat melakukan pekerjaan dengan melakukan fasilitas komunikasi di luar perusahaan. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku - pada. A Teleworking

80 133 Auditor : Dessy Liana Tabel 4.97 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang telah dilakukan, PT. AGIT tidak menentukan kebijakan dan 27001:2005 : prosedur mengenai teleworking. Karena PT. AGIT tidak memberikan kebijakan untuk A NA setiap karyawan melakukan pekerjaan menggunakan teleworking. PT. AGIT tidak memberikan kebijakan kepada karyawan untuk melakukan pekerjaan diluar perusahaan/teleworking. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku - pada. A.12 Perolehan, Pengembangan, dan Pemeliharaan Sistem Informasi A.12.1 Keamanan Pada Sistem Informasi A Analisis dan Spesifikasi Keamanan Auditor : Lusy Adesiany Tabel 4.98 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, persyaratan keamanan sudah dijalankan secara teknis di 27001:2005 :

81 134 lingkungan kerja. Setiap karyawan mendapatkan pengarahan dan bimbingan awal A mengenai ketentuan persyaratan keamanan pada saat proyek akan dimulai. Tidak ada analisa penyebab pada hasil audit ini. Tidak terdapat saran yang ditunjukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply - A.12.2 Pemrosesan Yang Benar Di Dalam Aplikasi A Validasi Data Input Auditor : Lusy Adesiany Tabel 4.99 Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, telah terdapat dokumen CCTV Configuration Design 27001:2005 : Checklist untuk melakukan instalasi pada kamera CCTV sehingga proses memasukkan data pada saat melakukan instalasi kamera CCTV dapat dilakukan dengan baik sesuai dengan prosedur yang berlaku. Namun, instalasi jaringan merupakan di luar ruang lingkup A Comply

82 135 Proyek CCTV karena dilakukan oleh pihak penyedia layanan jaringan. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses implementasi sudah memenuhi persyaratan pada A A Pengendalian Pengolahan Internal Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, setiap data rekaman CCTV yang sudah ada telah dilengkapi dengan Time Stamp untuk memastikan bahwa 27001:2005 : A Comply data yang ada sesuai dengan waktu rekaman. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah - memenuhi persyaratan pada A A Integritas Pesan

83 136 Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, telah dilakukan random sampling test untuk 27001:2005 : memastikan bahwa seluruh data yang tersimpan A Comply di NVR dapat dipertanggung jawabkan di dalam laporan bulanan. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah - memenuhi persyaratan pada A A Validasi Data Output Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, tidak terdapat proses yang dapat memastikan 27001:2005 : keakuratan data. Namun, karena teknologi streaming maka data yang dikirimkan adalah data real time yang sama dengan kondisi di lapangan (sudut pandang kamera) Comply

84 137 Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A A.12.3 Pengendalian Kriptografi A Kebijakan Dalam Penggunaan Pengendalian Kriptografi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Kategori Temuan : Berdasarkan audit yang dilakukan, belum terdapat kebijakan secara tertulis yang mengatur 27001:2005 : penggunaan kriptografi di dalam Proyek CCTV Pada Bank XYZ. Namun, penggunaan kriptografi telah dilaksanakan secara teknis oleh setiap Not Comply (Minor) karyawan untuk melindungi informasi pada data rekaman CCTV. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat kebijakan secara tertulis yang mengatur penggunaan kriptografi dalam melindungi informasi yang terdapat pada data rekaman CCTV.

85 138 Membuat kebijakan secara tertulis yang mengatur penggunaan kriptografi untuk melindungi segala informasi yang terkait pada detail data rekaman CCTV sehingga setiap karyawan dapat menggunakan kebijakan tersebut sebagai pedoman dalam memahami ketentuan apa saja yang berlaku untuk melindungi informasi pada data rekaman CCTV dan memastikan bahwa data rekaman CCTV terjaga kerahasiaannya dari pihak-pihak yang tidak berkepentingan untuk mengakses data rekaman CCTV. Minggu ke 3, bulan Maret 2014 A Manajemen Kunci Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, penggunaan kriptografi telah mendapatkan dukungan dari 27001:2005 : manajamen perusahaan. Dukungan dalam penggunaan kriptografi tidak hanya spesifik pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ namun juga berlaku Comply untuk seluruh kegiatan bisnis di perusahaan sehingga setiap karyawan telah menggunakan teknik ini untuk melindungi segala informasi penting perusahaan termasuk pada informasi data rekaman CCTV.

86 139 Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A A.12.4 Keamanan Dokumen Sistem A Pengendalian Pada Perangkat Lunak Operasional Proyek CCTV Bank XYZ Auditor : Lusy Adesiany Auditee : Agung Sukmono Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, belum terdapat prosedur secara tertulis untuk 27001:2005 : menginstalasi perangkat lunak yang digunakan pada. Namun, instalasi perangkat lunak telah dilakukan secara teknis sesuai dengan kebutuhan dan tujuan proyek ini. Hasil audit pada annex ini termasuk A Not Comply (Major) kategori temuan major karena dapat menimbulkan risiko melakukan kesalahan yang dilakukan oleh Teknisi dalam melakukan instalasi perangkat lunak CCTV baik disengaja maupun tidak disengaja. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat prosedur yang mengatur dalam melakukan instalasi perangkat lunak yang digunakan.

87 140 Membuat prosedur secara tertulis mengenai aturan dalam melakukan instalasi perangkat lunak yang digunakan di dalam sehingga Teknisi dapat menjadikan prosedur tersebut sebagai pedoman dalam melakukan instalasi perangkat lunak yang butuhkan dan dapat mencegah tindakan ilegal yang dapat dilakukan oleh Teknisi dalam melakukan instalasi tersebut. Minggu ke 3, bulan Maret 2014 A Perlindungan Data Pengujian Sistem Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, pengujian rekaman CCTV telah dilakukan setiap 6 bulan sekali pada lokasi tertentu secara acak. Pengujian rekaman CCTV ini dilakukan untuk memastikan bahwa kamera dapat merekam kejadian dengan 27001:2005 : A Comply baik dan benar sehingga dapat menghasilkan rekaman yang akurat dan terjamin keamanannya.

88 141 Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A A Pengendalian Akses Pada Kode Sumber Program Departemen/Fungsi/Proses yang diaudit : Proses Implementasi dan Operasional Proyek CCTV Bank XYZ Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, pembatasan akses pada data rekaman CCTV telah dilakukan yaitu hanya Bagian OMC yang dapat mengakses data rekaman CCTV. Jika pihak Bank XYZ memerlukan data rekaman CCTV, maka pihak Bank XYZ tidak dapat mengakses data rekaman 27001:2005 : A Comply CCTV secara langsung namun harus menghubungi Bagian OMC untuk meminta data rekaman CCTV yang diperlukan tersebut. Kemudian Bagian OMC akan mengirimkan data rekaman CCTV kepada pihak Bank XYZ sesuai dengan permintaan. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah - memenuhi persyaratan pada A

89 142 A.12.5 Keamanan Pada Proses Pengembangan Dan Proses Pendukung A Perubahan Prosedur Pengendalian Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, perubahan yang terjadi pada sistem, aplikasi dan perangkat lunak termasuk pada perubahan manajemen perusahaan. Telah terdapat prosedur khusus untuk mengontrol jika terjadi perubahan pada sistem, aplikasi dan perangkat lunak operasional pemantauan CCTV yaitu dokumen Change 27001:2005 : A Comply Request. Prosedur ini tidak hanya berlaku pada perubahan manajemen yang terjadi di dalam namun juga berlaku untuk setiap perubahan manajemen yang terjadi di perusahaan. Annex ini mempunyai tujuan pengendalian yang sama dengan annex A Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah - memenuhi persyaratan pada A A Tinjauan Teknis Pada Aplikasi Setelah Perubahan Sistem Operasi

90 143 Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, belum dilakukan tinjauan pada aplikasi yang digunakan 27001:2005 : dalam setelah perubahan OS (Operating System) karena belum pernah melakukan perubahan pada OS yang digunakan. Proyek ini masih baru dijalankan selama 18 bulan yaitu sejak Agustus OS yang digunakan saat ini adalah Windows XP. Windows XP dinilai masih memenuhi kriteria OS yang dibutuhkan dalam proyek ini sehingga belum ada pertimbangan untuk merubah OS yang A Not Comply (Minor) digunakan. Namun, prosedur UAT (User Acceptent Test) sudah dilakukan pada saat reconfiguration kamera. Proyek CCTV yang dijalankan oleh PT. AGIT merupakan proyek jangka menengah yaitu dijalankan selama 3 tahun sehingga belum dipertimbangkan untuk melakukan perubahan OS yang digunakan. Selain itu, perubahan atau pembaharuan OS memerlukan waktu yang cukup lama untuk mengimplementasikannya kembali serta biaya yang cukup besar jika dilakukan selama sedang berjalan. Membuat perencanaan untuk melakukan pembaharuan pada OS yang digunakan untuk proyek selanjutnya karena dengan menggunakan OS dengan versi terbaru (misalnya Windows 7 atau Windows 8) maka aplikasi yang digunakan untuk proses

91 144 implementasi dan operasional CCTV dapat berjalan lebih modern dan sekaligus dapat mengetahui apakah versi terbaru tersebut mempunyai keunggulan dalam menyediakan layanan untuk perlindungan sistem dan informasi serta meningkatkan efisiensi dan efektivitas dalam pekerjaan. Selain itu, perlu juga dibuat prosedur yang dapat meninjau secara teknis mengenai aplikasi setelah perubahan atau pembaharuan OS yang nantinya akan dilakukan agar setiap karyawan dapat lebih memahami dan dapat menggunakan aplikasi dengan cara yang benar dan tertib. Minggu ke 3, bulan Maret 2014 A Pembatasan Perubahan Paket Perangkat Lunak Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Kategori Temuan : Berdasarkan audit yang dilakukan,sudah melakukan proses UAT (User Acceptence Test) 27001:2005 : pada perangkat lunak yang digunakan saat fase implementasi. Perubahan perangkat lunak A Comply dilakukan jika diperlukan sesuai dengan kebutuhan dan tujuan Proyek CCTV Pada Bank XYZ. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah - memenuhi persyaratan pada A

92 145 A Kebocoran Informasi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, pencegahan terhadap kebocoran informasi dilakukan dengan pengamanan aset dan fasilitas secara fisik yaitu dengan menyediakan ruangan khusus untuk Server dan ruangan khusus untuk pemantauan CCTV yang hanya dapat diakses oleh Bagian OMC. Selain itu juga dengan penggunaan V- LAN dan VPN IP sebagai jaringan komunikasi 27001:2005 : A Comply pribadi antar karyawan yang tidak terhubung dengan internet sehingga hanya karyawan yang dapat memiliki akses ke dalam jaringan. Serta penggunaan NDA sebagai kontrak kerja antara karyawan dengan PT. AGIT yang memuat peraturan, ketentuan tertentu dan sanksi secara tertulis sesuai dengan Undang - Undang Negara Republik Indonesia. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah - memenuhi persyaratan pada A A Pengembangan Perangkat Lunak Yang Di Outsource-kan

93 146 Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, belum terdapat ketentuan (i.e. NDA, kontrak, perjanjian) yang membatasi pengembangan perangkat lunak oleh pihak luar karena pengembangan perangkat lunak 27001:2005 : A Not Comply (Major) dilakukan oleh pihak principal perangkat (i.e. GPD, Vivotek). Hasil audit ini termasuk kategori temuan major karena dapat terjadi tindakan ilegal. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat ketentuan (i.e. NDA, kontrak, perjanjian) yang membatasi pengembangan perangkat lunak oleh pihak luar dan pengembangan perangkat lunak dilakukan oleh pihak principal perangkat. Membuat prosedur secara tertulis mengenai pengembangan perangkat lunak yang dilakukan oleh pihak luar untuk membatasi tindakan ilegal dan mengurangi kemungkinan kesalahan dalam Minggu ke 3, bulan Maret 2014 melakukan pengembangan terhadap perangkat lunak yang digunakan. A.12.6 Manajemen Teknis Kerentanan A Pengendalian Terhadap Kerentanan Secara Teknis Auditor : Lusy Adesiany

94 147 Auditee : Agung Sukmono (Manajer Operasional) Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, belum pernah dilakukan pengujian dan penilaian terhadap kerentanan pada OS, jaringan dan aplikasi yang digunakan karena belum terdapat pengetahuan 27001:2005 : yang memadai mengenai pengujian dan A NA penilaian tersebut. Tujuan annex ini juga memiliki tujuan pengendalian yang sama pada A dan A Belum terdapat pengetahuan atau aplikasi yang digunakan untuk menguji dan menilai kerentanan pada OS, jaringan dan aplikasi yang digunakan sehingga hal ini belum dilakukan oleh pihak perusahaan baik untuk atau untuk kegiatan lain di luar proyek ini. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku - pada. A.13 Manajemen Insiden Keamanan Informasi A.13.1 Pelaporan Peristiwa dan Kelemahan Keamanan Informasi A Pelaporan Peristiwa Keamanan Informasi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A

95 148 Analisa Temuan Audit : Berdasarkan audit yang dilakukan, terdapat jalur manajemen yang tepat dalam penyampaian 27001:2005 : laporan dan penanganan pada saat terjadi gangguan pada kamera CCTV di lapangan. Bagian OMC akan melaporkan gangguan kepada Bagian Helpdesk maksimal 5 menit setelah kejadian terjadi yaitu berdasarkan KPI (Key Performance Indicator) yang dimiliki oleh Bagian OMC. Kemudian Bagian Helpdesk juga A akan langsung menghubungi Teknisi untuk segera memeriksa gangguan yang terjadi apakah memerlukan pengaturan ulang atau harus dilakukan pergantian perangkat CCTV. Setelah gangguan selesai diperbaiki maka Teknisi akan mengkonfirmasi kepada Bagian Helpdesk dan Bagian OMC. Jalur manajemen ini telah tepat dilakukan untuk menangani gangguan dengan benar dan tepat waktu. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply - A Pelaporan Kelemahan Keamanan Auditor : Lusy Adesiany

96 149 Tabel Analisa Temuan Audit Pada A Analisa Temuan Audit : Berdasarkan audit yang dilakukan, terdapat ketentuan secara teknis untuk pelaporan dan penanganan terhadap gangguan pada sistem Helpdesk. Gangguan yang dapat terjadi pada sistem Helpdesk yaitu ketika sistem Helpdesk mengalami error dan tidak dapat mencatat setiap gangguan yang terjadi pada kamera maupun jaringan CCTV. Bagian Helpdesk akan segera melaporkan kepada Teknisi melalui telepon, atau BBM terhadap error yang terjadi 27001:2005 : A Comply pada sistem Helpdesk tersebut sekaligus memberikan informasi kepada Bagian OMC bahwa sedang terjadi gangguan pada sistem Helpdesk. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A A.13.2 Manajemen Kejadian Keamanan Informasi Dan Pengembangannya A Tanggung Jawab Dan Prosedur Kejadian Keamanan Informasi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A

97 150 Analisa Hasil Audit : Berdasarkan audit yang dilakukan, telah terdapat prosedur AG World untuk penanganan gangguan 27001:2005 : yang telah ditetapkan dengan efektif oleh setiap karyawan jika terjadi gangguan baik pada sistem Helpdesk maupun gangguan pada kamera CCTV. A Prosedur AG World berlaku untuk setiap anggota yaitu salah satu ketentuannya agar melaporkan gangguan maksimal 5 menit setelah kejadian terjadi. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply - A Belajar Dari Kejadian Keamanan Informasi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, evaluasi secara rutin terhadap setiap kejadian pada Proyek CCTV 27001:2005 : Pada Bank XYZ telah dilakukan dengan pembuatan LBOP (Laporan Bulanan Operasional Proyek) oleh Manajer Operasional yang akan diberikan kepada pihak Bank XYZ. LBOP memuat detail data rekaman serta detail gangguan yang

98 151 pernah terjadi pada perangkat CCTV selama operasional CCTV berlangsung. Manajer Operasional juga mengadakan rapat bulanan A bersama pihak Bank XYZ untuk mengevaluasi kinerja Proyek CCTV mengenai jenis gangguan apa yang terjadi, seberapa sering gangguan terjadi, cara penanggulangannya serta biaya yang mungkin dibutuhkan untuk memperbaiki gangguan. Rapat bulanan menghasilkan MOM (Minutes of Meeting). Rekaman MOM telah diperlihatkan kepada auditor. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply - A Pengumpulan Barang Bukti Pada Kejadian Keamanan Informasi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, pengumpulan barang bukti dari setiap kejadian yang terjadi pada 27001:2005 : sistem akan tercatat di dalam Log yang ada pada Menu Event Viewer di Windows dan System Log yang ada pada perangkat kamera. Dari Menu Event Viewer dan System Log tersebut dapat A Comply

99 152 ditinjaun kegiatan apa saja yang telah dilakukan oleh pengguna secara detail sehingga jejak audit dapat dilakukan dengan benar ketika terjadi suatu gangguan atau tindakan ilegal yang mungkin dilakukan oleh karyawan. Detail Event Viewer dan System Log tersebut akan disimpan oleh Manajer Operasional sebagai barang bukti. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A A.14 Manajemen Kelangsungan Bisnis (Business Continuity Management) A.14.1 Aspek Keamanan Informasi Pada Manajemen Kelangsungan Bisnis A Memasukkan Keamanan Informasi Ke Dalam Proses Manajemen Kelangsungan Bisnis Auditor Auditee : Lusy Adesiany : Agung Sukmono (Manajer Operasional) Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, Terdapat dokumen SCP (Service Continuity Plan) yang dibuat untuk mengembangkan perlindungan pada 27001:2005 :

100 153 keamanan data rekaman CCTV dan merencanakan penanggulangan terhadap risiko yang mungkin terjadi selama berlangsung. SCP ini diharapkan dapat ditetapkan dan dikembangkan secara berkelanjutan untuk melindungi keamanan informasi terkait proyek ini. Dengan dibuatnya SCP ini juga dapat meminimalkan dampak yang mungkin terjadi A akibat gangguan yang muncul pada sistem operasional CCTV sehingga dapat meningkatkan kualitas pelayanan yang semakin baik kepada pihak Bank XYZ. Dengan adanya SCP maka kegiatan operasional proyek ini dipastikan dapat terus berjalan dengan efektif meskipun terdapat gangguan yang terkadang muncul pada sistem operasional. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply - A Kelangsungan Bisnis Dan Penilaian Risiko Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, penilaian

101 154 risiko dilakukan dengan menggunakan Probability 27001:2005 : - Impact Matrix sehingga dapat mengetahui tingkat risiko yang mungkin dihadapi. Pada dokumen SCP (Service Continuity Plan) telah mencakup definisi risiko tersebut sehingga A perencanaan penanggulangan risiko dapat dijelaskan di dalam SCP. Hasil penilaian risiko pada Probability - Impact Matrix telah diperlihatkan kepada auditor. Annex ini mangacu pada A Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply - A Pengembangan Dan Pengimplementasian Rencana Kelangsungan Yang Meliputi Keamanan Informasi Auditor Auditee : Lusy Adesiany : Agung Sukmono (Manajer Operasional) Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, dokumen SCP (Security Continuity Plan) sudah di sah kan 27001:2005 : berdasarkan pada standar ISO dimana semua dokumen sudah diberi nomor dan ditandatangani oleh pejabat PT. AGIT. Dokumen A SCP juga sudah diimplementasikan di dalam Comply

102 155 Proyek CCTV pada bulan Mei 2013 sehingga ketika terjadi situasi abnormal, kegiatan operasional CCTV dapat terus berjalan. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A A Kerangka Kerja Rencana Kelangsungan Bisnis Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, SCP Framework telah bersifat konsisten dan terpelihara 27001:2005 : dengan baik dengan memprioritaskan keamanan data rekaman CCTV sehingga SCP Framework A dapat dijadikan sebagai kerangka dan pedoman dalam pembuatan dokumen SCP selanjutnya. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply -

103 156 A Pengujian, Pemeliharaan, dan Pengkajian Ulang Pada Rencana Kelangsungan Bisnis Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, SCP untuk dibuat pada bulan Mei 2013 dan baru akan dilakukan pengujiannya pada bulan Januari 2014 sehingga belum dapat dipastikan bahwa SCP dapat berjalan efektif di 27001:2005 : A Kategori Temuan : Comply (Observation) dalam proyek ini. SCP yang dibuat berdasarkan kemungkinan kelemahan pada sistem operasional, gangguan dan risiko yang terjadi. baru dimulai pada bulan Agustus 2012 sehingga pembuatan SCP dilakukan setelah proyek berjalan ketika kemungkinan kelemahan, gangguan dan risiko telah diidentifikasi. Segera dilakukan pengujian pada SCP agar dapat diketahui manfaat dari SCP yang telah dibuat bagi Proyek CCTV Pada Bank XYZ karena risiko bisa saja muncul secara tiba-tiba dan Minggu ke 3, bulan Maret 2014 mengganggu proses berjalannya operasional CCTV. A.15 Kepatuhan A.15.1 Kepatuhan Terhadap Legal Hukum A Identifikasi Undang-Undang Yang Dapat Di Aplikasikan Proyek CCTV Bank XYZ

104 157 Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, tidak terdapat hukum Undang - Undang Hak Cipta yang 27001:2005 : melindungi setiap data rekaman CCTV. A NA Karena data rekaman hanya disimpan selama 6 bulan di dalam NVR dan kemudian ditransfer ke NAS selama 2 bulan setelah itu data rekaman tersebut akan dihapus dari database rekaman CCTV. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku pada -. A Hak Atas Kekayaan Intelektual Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, sudah terdapat prosedur mengenai perangkat lunak yang 27001:2005 : digunakan harus didapatkan secara legal. Dimana terdapat dokumen Security Compliance yang menyatakan bahwa seluruh perangkat A kerjamaupun sistem yang diimplementasikan pada Comply

105 158 proyek harus menggunakan perangkat lunak yang didapatkan secara legal. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A A Perlindungan Dokumen Organisasi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, hasil data rekaman CCTV telah tersimpan pada Data 27001:2005 : Center. Dimana Data Center tersebut sudah terlindungi baik secara fisik maupun secara A sistem. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply -

106 159 A Perlindungan Data Dan Kerahasiaan Informasi Personal Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, Customer Privacy Policy telah dilakukan pada Proyek CCTV 27001:2005 : Pada Bank XYZ yaitu dengan adanya NDA yang telah disetujui oleh tim proyek CCTV pada PT. AGIT, pihak Bank XYZ, dan penyedia layanan A jaringan sehingga data pelanggan terjamin keamanannya. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply - A Pencegahan Penyalahgunaan Fasilitas Pengolahan Informasi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Temuan Audit : Berdasarkan audit yang dilakukan, sudah

107 160 terpasang alat Proximity Access Card pada setiap 27001:2005 : pintu di area-area operasional pemantuan CCTV yaitu ruangan monitoring CCTV. Selain itu, Proximity Access Card juga terdapat pada ruangan A server untuk penyimpanan data rekaman CCTV serta terdapat kamera CCTV yang dapat memantau siapa saja yang memasuki area-area tersebut. Annex ini mengacu pada A Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply - A Peraturan Pengendalian Kriptografi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, penggunaan kriptografi pada data rekaman CCTV telah sesuai 27001:2005 : dengan peraturan perusahaan dan didukung oleh manajemen perusahaan sehingga setiap karyawan telah menerapkan teknik kriptografi untuk A melindungi kerahasiaan data rekaman CCTV. Annex ini mengacu pada tujuan pengendalian pada Comply

108 161 A Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A A.15.2 Kepatuhan Terhadap Kebijakan dan Standar Keamanan Dan Kepatuhan Teknis A Kepatuhan Terhadap Kebijakan Dan Standar Keamanan Auditor Auditee : Lusy Adesiany : Agung Sukmono (Manajer Operasional) Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, belum terdapat prosedur secara tertulis mengenai standar 27001:2005 : keamananuntuk sistem informasi yang digunakan pada CCTV. Namun, perlindungan terhadap Not Comply keamanan sistem informasi CCTV telah A (Major) dilaksanakan secara teknis yaitu dengan pengamanan aset dan fasilitas secara fisik dan penggunaan VPN IP sebagai jaringan komunikasi antar karyawan. PT. AGIT belum berfokus pada SMKI untuk yang dijalankan sehingga belum terdapat kebijakan secara tertulis yang menyediakan standar kemananan untuk sistem informasi yang digunakan pada CCTV.

109 162 Membuat prosedur secara tertulis mengenai standar keamanan untuk melindungi sistem informasi pada CCTV agar setiap karyawan dapat menjadikan prosedur tersebut sebagai pedoman dalam melindungi sistem informasi. Minggu ke 3, bulan Maret 2014 A Pemeriksaan Kepatuhan Teknis Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Hasil Audit : Berdasarkan audit yang dilakukan, belum pernah dilakukan pengujian dan penilaian terhadap 27001:2005 : kerentanan pada OS, jaringan dan aplikasi yang digunakan karena belum terdapat pengetahuan yang memadai mengenai pengujian dan penilaian tersebut sehingga belum dapat dipastikan bahwa A NA sudah memenuhi standar implementasi keamanan. Tujuan Annex ini juga memiliki tujuan pengendalian yang sama pada A dan A Belum pernah dilakukan pengujian dan penilaian terhadap kerentanan pada OS, jaringan dan aplikasi yang digunakan sehingga belum dapat dipastikan bahwa Proyek CCTV Pada Bank XYZ sudah memenuhi standar implementasi keamanan. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku pada -.

110 163 A.15.3 Pertimbangan Audit Sistem Informasi A Pengendalian Audit Sistem Informasi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A Analisa Temuan Audit : Berdasarkan audit yang dilakukan, belum pernah dilakukan pengujian dan penilaian terhadap pada OS yang digunakan sehingga belum direncanakan mengenai syarat dan aktivitas audit yang diperlukan untuk memeriksa OS yang digunakan pada Proyek 27001:2005 : A NA CCTV. Tujuan annex ini juga untuk pengendalian yang sama pada A dan A Belum pernah dilakukan pengujian dan penilaian terhadap pada OS yang digunakan selama berlangsung. Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A tidak berlaku pada - Proyek CCTV. A Perlindungan Terhadap Peralatan Audit Sistem Informasi Auditor : Lusy Adesiany Tabel Analisa Temuan Audit Pada A

111 164 Analisa Hasil Audit : Berdasarkan audit yang dilakukan, peralatan yang digunakan untuk mengaudit Proyek CCTV seperti 27001:2005 : laptop dan desktop telah disimpan dan di lindungi di secara aman di ruang terkunci. Dekstop yang digunakan oleh Bagian Helpdesk untuk memantau sistem Helpdesk telah disimpan dengan aman di ruangan khusus dan hanya Bagian Helpdesk yang A dapat menjangkau ruangan tersebut. Desktop yang digunakan oleh Bagian OMC untuk memantau berjalannya rekaman CCTV juga telah diletakkan di ruangan khusus monitoring dan hanya Bagian OMC yang dapat mengakses ke dalam ruangan tersebut. Tidak terdapat saran yang diajukan untuk tindakan perbaikan karena proses operasional sudah memenuhi persyaratan pada A Comply - Berikut adalah hasil perhitungan presentase penilaian manajemen keamanan informasi terkait dengan 133 kontrol keamanan berdasarkan hasil temuan audit pada dengan menggunakan 27001:2005 dan ditampilkan dengan menggunakan grafik pie chart : Kategori Temuan = x 100 % Comply = x 100% = 72,18% Not Comply = x 100% = 12,78%

112 165 Non Applicable = x 100% = 15,04% 15.04% 12.78% 72.18% Gambar 4.1 Hasil Penilaian Manajemen Keamanan Informasi Pada Proyek CCTV Pada Bank XYZ 4.2 Penilaian Risiko Penilaian risiko yang dilakukan oleh tim penulis merupakan proses penilaiantingkat risiko terkait dengan ancaman yang muncul pada proses implementasi dan operasional Proyek CCTV yang dijalankan oleh PT. AGIT. Dalam melakukan penilaian risiko, tim penulis melakukan enam langkah penilaian risiko. Langkah-langkah penilaian risiko yang harus dilakukan adalah sebagai berikut : 1. Definisi Aset; 2. Identifikasi Ancaman; 3. Menentukan Probabilitas Kejadian; 4. Menentukan Dampak Dari Ancaman; 5. Kontrol Yang Direkomendasikan; 6. Dokumentasi. Dari ke enam langkah tersebut akan menghasilkan sebuah dokumentasi mengenai ancaman apa saja yang ada proses implementasi dan operasional, seberapa besar tingkat risiko yang membawa dampak terhadap, dan pengendalian apa yang

113 166 harus dilakukan dalam mengatasi dan mengurangi tingkat risiko yang diakibatkan oleh ancaman yang ada pada Definisi Aset Terdapat beberapa aset terkait teknologi informasi yang digunakan untuk mendukung proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT. Berikut merupakan jenis aset yang digunakan beserta fungsinya : Tabel Aset Yang Digunakan Pada Proyek CCTVPada Bank XYZ Jenis Aset Fungsi Aset Hardware Network Video Recorder (NVR) Untuk merekam kejadian yang ditangkap oleh kamera CCTV di lokasi pemasangan. Network Video Recorder (NVR) Fail Sebagai NVR cadangan yang Over mengambil alih fungsi NVR yang rusak/mengalami kegagalan dalam merekam kejadian pada kamera CCTV. Control Management System (CMS) Untuk memantau operasional seluruh kamera CCTV yang terdaftar pada NVR. Network Attached Storage (NAS) Untuk menyimpan hasil data rekaman CCTV dari sistem OMC dan sistem Helpdesk. Network Switch Untuk menghubungkan jaringan VPN IP yang digunakan pada CCTV Bank. Kamera CCTV Untuk mentransmisikan gambar video dan suara pada Bank dan ATM ke sistem OMC dan sistem Helpdesk. Power Over Ethernet (POE) Injector Untuk mentransmisikan tegangan

114 167 listrik untuk jaringan LAN yang dipasang pada kamera CCTV di lokasi Bank dan ATM dengan menggunakan kabel LAN. Power Over Ethernet (POE) Switch Untuk menghubungkan jaringan LAN yang dipasang pada kamera CCTV di Bank. PC (Personal Computer) Desktop Untuk membantu para karyawan Proyek CCTV dalam menyelesaikan pekerjaan mereka. Software Microsoft Windows XP OS (Operating System) pada komputer yang dipergunakan sebagai sistem dasar untuk proses implementasi dan operasional perangkat CCTV. Microsoft Windows 7 OS (Operating System) pada komputer yang dipergunakan sebagai sistem dasar implementasi dan operasional untuk PC Desktop. CMS Monitoring Dipergunakan oleh Bagian Helpdesk untuk melakukan pengaturan dan pengawasan terhadap kamera CCTV yang terdaftar pada NVR. LANDesk Service Desk (Sistem Helpdesk) Untuk merekam gangguan secara otomatis yang terjadi pada kamera CCTV pada saat operasional CCTV berlangsung. Manage Enggine-Operation Manager Untuk memantau kegunaan jaringan dan juga tingkat ketersediaan pada jaringan, kamera CCTV dan NVR di Server.

115 Identifikasi Ancaman Berdasarkan yang dijalankan oleh PT. AGIT terdapat beberapa ancaman yang mungkin menjadi faktor risiko selama proses implementasi dan operasional Proyek CCTV Pada Bank XYZ berlangsung. Berikut beberapa ancaman yang dikelompokkan berdasarkan sumber ancamannya, yaitu : Tabel Ancaman Pada Proyek CCTVPada Bank XYZ Sumber Ancaman Ancaman Natural Threat Tanah longsor Tsunami Angin Topan Angin kencang (70 + mph) Badai tropis Banjir pasang Banjir musiman Banjir lokal Badai pasir Aktivitas gunung merapi Gempa bumi (2-4 skala Richter) Gempa bumi (5 skala Richter atau lebih) Petir Wabah penyakit Human Threat Tindakan Disengaja : Pencurian data Pencurian perangkat Penyadapan sistem jaringan Penggandaan data Perusakan sistem operasional Perubahan / modifikasi data Sabotase terhadap perangkat, karyawan dan aktivitas Bom

116 169 Ancaman bom Pembakaran area kerja Penyanderaan karyawan Perusakan area kerja Perselisihan antar karyawan Kerusuhan / kekacauan sipil Penyebaran data secara ilegal Penginstalan perangkat lunak secara ilegal Penjualan perangkat secara ilegal Penyalahgunaan hak akses Environmental Threat Tindakan Tidak Disengaja : Kesalahan input data Kesalahan penghapusan data Kesalahan pergantian perangkat Kelalaian peninjauan rekaman CCTV Kelalaian menghilangkan kunci ruangan Kelalaian menghilangkan data Kelalaian menghilangkan perangkat Keterlambatan penanggulangan masalah Kelalaian mengubah format data Kegagalan Sistem Serangan Virus komputer Pemadaman Listrik Kelebihan Voltase Listrik Kekurangan Voltase Listrik Kebocoran Air Binatang :

117 170 Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Rayap : mengerat, sarang, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai Menentukan Probabilitas Kejadian Pada tahap ini, setiap ancaman yang telah diidentifikasi akan dihitung tingkat kemungkinan terjadinya kejadian selama Proyek CCTV berlangsung. Berikut adalah tingkat probabilitas pada masing-masing ancaman, yaitu: Tabel Probabilitas Kejadian Ancaman Pada Proyek CCTV Pada Bank XYZ No. Threat Applicable Yes / No Probability 1 = Low 2 = Medium 3 = High Natural Threat 1. Tanah longsor No - 2. Tsunami No - 3. Angin topan Yes 1 4. Angin kencang (70 + mph) Yes 2 5. Badai tropis Yes 1 6. Banjir pasang No -

118 Banjir musiman Yes 1 8. Banjir local Yes 1 9. Badai pasir No Aktivitas gunung merapi Yes Gempa bumi (2-4 skala Richter) Yes Gempa bumi (5 skala Richter atau lebih) Yes Petir Yes Wabah penyakit No - Human Threat Tindakan Disengaja : 15. Pencurian data Yes Pencurian perangkat Yes Penyadapan sistem jaringan Yes Penggandaan data Yes Perusakan sistem operasional Yes Perubahan / modifikasi data No Sabotase terhadap perangkat, karyawan dan aktivitas Yes Bom No Ancaman bom Yes Pembakaran area kerja Yes Penyanderaan karyawan Yes Perusakan area kerja Yes Perselisihan antar karyawan Yes Kerusuhan / kekacauan sipil Yes Penyebaran data secara ilegal Yes Penginstalan perangkat lunak secara ilegal Yes Penjualan perangkat secara ilegal Yes 1

119 Penyalahgunaan hak akses Yes 2 Tindakan Tidak Disengaja : 33. Kesalahan input data Yes Kesalahan penghapusan data Yes Kesalahan pergantian perangkat Yes Kelalaian peninjauan rekaman CCTV Yes Kelalaian menghilangkan kunci ruangan Yes Kelalaian menghilangkan data Yes Kelalaian menghilangkan perangkat Yes Keterlambatan penanggulangan masalah Yes Kelalaian mengubah format data Yes Kegagalan sistem Yes Serangan virus komputer Yes 2 Environmental Threat 44. Pemadaman Listrik Yes Kelebihan Voltase Listrik Yes Kekurangan Voltase Listrik Yes Kebocoran Air Yes 2 Binatang : 48. Tikus : mengerat, sarang, urine, kotoran, bangkai Yes Cicak : telur, urine, kotoran, bangkai Yes Kecoa : mengerat, telur, urine, kotoran, bangkai Yes Laba-laba : sarang, telur, urine, kotoran, bangkai Yes Rayap : mengerat, sarang, urine, kotoran, bangkai No Semut : sarang, urine, kotoran, bangkai Yes 2

120 Menentukan Dampak Dari Ancaman Pada tahap ini, setiap ancaman yang telah dihitung tingkat probabilitas kejadiannya maka akan dihitung pula tingkat dari dampak yang mungkin dihasilkan selama berlangsung. Berikut adalah tingkat dari dampak pada masing-masing ancaman, yaitu: No. Tabel Dampak Ancaman Terhadap Proyek CCTV Bank XYZ Impact Applicable 1 = Low Threat 2 = Medium Yes / No 3 = High Natural Threat 1. Tanah longsor No - 2. Tsunami No - 3. Angin topan Yes 1 4. Angin kencang (70 + mph) Yes 1 5. Badai tropis Yes 2 6. Banjir pasang No - 7. Banjir musiman Yes 1 8. Banjir local Yes 1 9. Badai pasir No Aktivitas gunung merapi Yes Gempa bumi (2-4 skala Richter) Yes Gempa bumi (5 skala Richter atau lebih) Yes Petir Yes Wabah penyakit No - Human Threat Tindakan Disengaja : 15. Pencurian data Yes 3

121 Pencurian perangkat Yes Penyadapan sistem jaringan Yes Penggandaan data Yes Perusakan sistem operasional Yes Perubahan / modifikasi data No Sabotase terhadap perangkat, karyawan dan aktivitas Yes Bom No Ancaman bom Yes Pembakaran area kerja Yes Penyanderaan karyawan Yes Perusakan area kerja Yes Perselisihan antar karyawan Yes Kerusuhan / kekacauan sipil Yes Penyebaran data secara ilegal Yes Penginstalan perangkat lunak secara ilegal Yes Penjualan perangkat secara ilegal Yes Penyalahgunaan hak akses Yes 3 Tindakan Tidak Disengaja : 33. Kesalahan input data Yes Kesalahan penghapusan data Yes Kesalahan pergantian perangkat Yes Kelalaian peninjauan rekaman CCTV Yes Kelalaian menghilangkan kunci ruangan Yes Kelalaian menghilangkan data Yes Kelalaian menghilangkan perangkat Yes Keterlambatan penanggulangan masalah Yes 3

122 Kelalaian mengubah format data Yes Kegagalan Sistem Yes Serangan Virus computer Yes 3 Environmental Threat 44. Pemadaman Listrik Yes Kelebihan Voltase Listrik Yes Kekurangan Voltase Listrik Yes Kebocoran Air Yes 3 Binatang : 48. Tikus : mengerat, sarang, urine, kotoran, bangkai Yes Cicak : telur, urine, kotoran, bangkai Yes Kecoa : mengerat, telur, urine, kotoran, bangkai Yes Laba-laba : sarang, telur, urine, kotoran, bangkai Yes Rayap : mengerat, sarang, urine, kotoran, bangkai No Semut : sarang, urine, kotoran, bangkai Yes 1

123 Kontrol Yang Direkomendasikan Tabel Kontrol Menggunakan Klausul 5 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol Klausul 5 : A.5.1 : A : Pencurian data Kebijakan Keamanan Kebijakan Keamanan Informasi Dokumen kebijakan keamanan informasi. Pencurian perangkat Penyadapan sistem jaringan Penggandaan data Perusakan sistem operasional Deskripsi Kontrol : Sabotase terhadap perangkat, karyawan dan aktivitas Dokumen kebijakan keamanan Penyebaran data secara ilegal informasi harus disetujui dan Penginstalan perangkat lunak secara dipublikasikan oleh manajemen serta ilegal dikomunikasikan kepada seluruh Penyalahgunaan hak akses karyawan dan pihak luar yang terkait. Kesalahan input data Kesalahan penghapusan data Kesalahan pergantian perangkat Kelalaian peninjauan rekaman CCTV

124 177 A : Tinjauan ulang kebijakan keamanan informasi. Kelalaian menghilangkan kunci ruangan Kelalaian menghilangkan data Kelalaian menghilangkan perangkat Keterlambatan penanggulangan masalah Kelalaian mengubah format data Kegagalan Sistem Serangan Virus komputer Keterlambatan penanggulangan masalah Kegagalan Sistem Deskripsi Kontrol : Kebijakan keamanan informasi harus dibahas dalam interval yang terencana atau jika perubahan signifikan muncul

125 178 untuk memastikan berlanjutnya keselarasan, kesamaan, dan efektivitas.

126 179 Tabel Kontrol Menggunakan Klausul 6 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol Klausul 6 : A.6.1 : A : Penyalahgunaan hak akses Organisasi Keamanan Informasi Organisasi Internal Keamanan Pembahasan keamanan informasi Informasi secara independen. Deskripsi Kontrol : Pendekatan yang dilakukan oleh organisasi untuk mengatur keamanan informasi dan implementasinya. Tujuan pengendalian, pengendalian, kebijakan, proses, dan prosedur keamanan informasi harus dibahas secara independen dalam jarak waktu yang terencana atau saat terjadi perubahan yang signifikan pada implementasi

127 180 keamanan.

128 181 Tabel Kontrol Menggunakan Klausul 7 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol Klausul 7 : A.7.1 : A : Pencurian data Manajemen Aset Tanggung Jawab Terhadap Aset Kepemilikan aset Deskripsi Kontrol : Pencurian perangkat Sabotase terhadap perangkat, karyawan dan Seluruh informasi dan aset yang aktivitas berhubungan dengan fasilitas Kesalahan penghapusan pengolahan informasi harus data dimiliki oleh satu bagian khusus Kelalaian menghilangkan di dalam organisasi. kunci ruangan Kelalaian menghilangkan data Kelalaian menghilangkan perangkat A : Pencurian data Penggunaan aset yang sesuai Pencurian perangkat dengan aturan. Kesalahan penghapusan

129 182 Deskripsi Kontrol : Peraturan untuk penggunaan informasi dan aset yang sesuai dengan aturan terkait dengan fasilitas pengolahan informasi harus bisa diidentifikasi, didokumentasi, dan diimplementasikan. data Kelalaian menghilangkan kunci ruangan Kelalaian menghilangkan data Kelalaian menghilangkan perangkat Tabel Kontrol Menggunakan Klausul 8 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol Klausul 8 : A.8.2 : A : Kesalahan input data Keamanan Sumber Daya Manusia Selama Masa Kerja Pengetahuan tentang keamanan informasi, pendidikan, dan pelatihan. Kesalahan data Kesalahan perangkat penghapusan pergantian Deskripsi Kontrol : Kesalahan mengubah

130 183 Seluruh karyawan organisasi dan jika terkait yaitu kontraktor dan pihak ketiga harus mendapatkan pelatihan dan update teratur secara tepat mengenai kebijakan dan prosedur organisasi yang terkait dengan fungsi kerja mereka. A : Proses Kedisiplinan. Deskripsi Kontrol : Harus ada proses kedisiplinan secara formal bagi karyawan yang telah melakukan pelanggaran keamanan. format data Pencurian data Pencurian perangkat Perselisihan antar karyawan Penyebaran data secara ilegal Penginstalan perangkat lunak secara ilegal Penjualan perangkat secara ilegal Penyalahgunaan hak akses Kerusuhan / kekacauan sipil

131 184 A.8.3 : A : Penjualan perangkat Pemutusan Atau Perubahan Pengembalian aset. secara ilegal Hubungan Kerja Deskripsi Kontrol : Seluruh karyawan, kontraktor, dan pihak ketiga harus mengembalikan seluruh aset organisasi yang mereka miliki pada saat pemutusan hubungan kerja, kontrak atau kesepakatan. A : Penghapusan hak akses Penyalahgunaan hak akses Deskripsi Kontrol : Hak akses seluruh karyawan, kontraktor, dan pihak ketiga terhadap informasi dan fasilitas pengolahan informasi harus dihapus pada saat pemutusan

132 185 hubungan kerja, kontrak atau kesepakatan, atau disesuaikan pada perubahan. Tabel Kontrol Menggunakan Klausul 9 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol Klasul 9 : A.9.1 : A : Angin Topan Keamanan Fisik dan Lingkungan Wilayah Aman Pembatas keamanan fisik. Angin kencang (70 + mph) Badai tropis Deskripsi Kontrol : Banjir musiman Pembatasuntuk keamanan (pembatas seperti tembok, gerbang masuk berkartu akses atau meja resepsionis) harus digunakan untuk melindungi daerah yang mengandung informasi dan fasilitas pengolahan Banjir lokal Aktivitas gunung merapi Gempa bumi (2-4 skala Richter) Gempa bumi (5 skala Richter atau lebih) Petir

133 186 informasi. A : Pengamanan kantor, ruangan, dan fasilitas. Deskripsi Kontrol : Keamanan fisik untuk kantor, ruangan, dan fasilitas harus dirancang dan diaplikasikan. A : Perlindungan terhadap ancaman eksternal dan lingkungan. Deskripsi Kontrol : Angin Topan Angin kencang (70 + mph) Badai tropis Banjir musiman Banjir lokal Aktivitas gunung merapi Gempa bumi (2-4 skala Richter) Gempa bumi (5 skala Richter atau lebih) Petir Angin Topan Angin kencang (70 + mph) Badai tropis Banjir musiman Banjir lokal Aktivitas gunung merapi Gempa bumi (2-4 skala

134 187 A.9.2 : Keamanan Peralatan Perlindungan fisik terhadap bahaya kebakaran, banjir, gempa bumi, ledakan, kerusuhan sipil, dan bentuk bencana alam atau buatan manusia lainnya harus dirancang dan diaplikasikan. A : Penempatan dan perlindungan terhadap peralatan. Deskripsi Kontrol : Peralatan harus ditempatkan atau dilindungi untuk mengurangi risiko ancaman dan bahaya, dan kesempatan akses ilegal. A : Richter) Gempa bumi (5 skala Richter atau lebih) Petir Ancaman bom Pembakaran area kerja Perusakan area kerja Kerusuhan / kekacauan sipil Kelebihan Voltase Listrik Kekurangan Voltase Listrik Kebocoran Air Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai Kelebihan Voltase Listrik

135 188 Keamanan perkabelan. Deskripsi Kontrol : Perkabelan listrik dan telekomunikasi yang membawa data atau informasi pendukung harus dilindungi dari cegatan atau bahaya. A : Pemeliharaan peralatan. Deskripsi Kontrol : Peralatan harus dipelihara secara benar untuk memastikan ketersediaan dan keutuhannya Kekurangan Voltase Listrik Kebocoran Air Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai

136 189 berkelanjutannya. A : Pengamanan pembuangan atau penggunaan ulang peralatan. Deskripsi Kontrol : Seluruh peralatan yang berisi media penyimpanan harus diperiksa untuk memastikan bahwa data dan perangkat lunak apapun sudah dihapus atau diamankan sebelum pembuangan. Pencurian data Pencurian perangkat Kelalaian menghilangkan data Kelalaian menghilangkan perangkat

137 190 Tabel Kontrol Menggunakan Klausul 10 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol Klausul 10 : A.10.7 : A : Pencurian data Manajemen Komunikasi dan Operasi Penanganan Media Manajemen media yang dapat dipindahkan Pencurian perangkat Penggandaan data Penyebaran data secara ilegal Deskripsi kontrol : Kelalaian menghilangkan Harus ada prosedur tetap untuk manajemen media yang dapat dipindahkan. data Kelalaian menghilangkan perangkat Serangan virus komputer A : Pencurian data Prosedur Penanganan Informasi Penggandaan data Kesalahan input data Kesalahan penghapusan data

138 191 A.10.8 : Pertukaran Informasi Deskripsi kontrol : Prosedur penanganan dan penyimpanan informasi harus ditetapkan untuk melindungi penyingkapan atau penggunaan ilegal atas informasi tersebut. A : Transportasi media fisik Deskripsi kontrol : Media yang berisi informasi harus dilindungi dari akses ilegal, penyalahgunaan atau perubahan selama perjalanan di luar batas fisik organisasi. Kelalaian menghilangkan perangkat Kelalaian menghilangkan data Kesalahan mengubah format data Serangan virus komputer Pencurian data Penggandaan data Sabotase terhadap perangkat, karyawan, dan aktivitas Kelalaian menghilangkan data Kelalaian menghilangkan perangkat Serangan virus komputer

139 192 A : Sistem informasi bisnis Deskripsi kontrol : Kebijakan dan prosedur harus dikembangkan dan di implementasikan terkait dengan interkoneksi sistem informasi bisnis. Pencurian data Penggandaan data Perusakan sistem operasional Penyebaran data secara ilegal Penyalahgunaan hak akses Kegagalan sistem Serangan virus komputer Tabel Kontrol Menggunakan Klausul 11

140 193 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol Klausul 11 : A.11.1 : A : Pencurian data Pengendalian Akses Kebutuhan Bisnis Pada Pengendalian Akses Kebijakan pengendalian akses Deskripsi kontrol : Pencurian perangkat Penggandaan data Perusakan sistem Kebijakan pengendalian akses harus ditetapkan, di dokumentasikan, dan dibahas berdasarkan kebutuhan bisnis dan keamanan terhadap akses. operasional Sabotase terhadap perangkat, karyawan dan aktivitas Pembakaran area kerja Penyadaraan karyawan Perusakan area kerja Penyebaran data secara ilegal Penjualan perangkat secara ilegal Penyalahgunaan hak akses

141 194 A.11.2 : A : Pencurian data Manajemen Akses Pengguna Registrasi pengguna Deskripsi kontrol : Penggandaan data Perusakan sistem operasional Harus ada penetapan prosedur registrasi dan deregistrasi pengguna secara formal untuk menjamin dan mencabut kembali akses trerhadap semua sistem dan Penyebaran data secara ilegal Penginstalan perangkat lunak secara ilegal Penyalahgunaan hak akses layanan informasi. A.11.3 : A : Pencurian data Tanggung Jawab Pengguna Kebijakan clear desk dan clear screen Deskripsi kontrol : Penggandaan data Penyebaran data secara ilegal Penyalahgunaan hak akses Kebijakan clear desk dari kertas dan media pemindah data dan kebijakan clear screen dari Kesalahan penghapusan data Kesalahan menghilangkan

142 195 fasilitas pengolahan informasi data harus diadopsi. Serangan virus komputer A.11.4 : A : Pencurian data Pengendalian Akses Jaringan Kebijakan pada penggunaan layanan jaringan Deskripsi kontrol : Penyadapan sistem jaringan Penggandaan data Penyebaran data secara Pengguna hanya disediakan akses ke dalam pelayanan dimana mereka secara khusus ilegal Penyalahgunaan hak akses Serangan virus komputer mendapatkan hak menggunakannya. Tabel Kontrol Menggunakan Klausul 12 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

143 196 Klausul 12 : A.12.3 : A : Pencurian data Perolehan, Perkembangan, Dan Pemeliharaan Sistem Informasi Pengendalian Kriptografi Kebijakan dalam penggunaan pengendalian kriptografi Deskripsi kontrol : Kebiijakan penggunaan pengendalian kriptografi pada Penggandaan data Penyebaran data secara ilegal Kelalaian mengubah format data perlindungan informasi harus dikembangkan dan diimplementasikan. A.12.4 : A : Penginstalan perangkat Keamanan Dokumen Sistem Pengendalian pada perangkat lunak operasional lunak secara ilegal Penyalahgunaan hak akses Deskripsi kontrol : Serangan virus komputer Harus adanya prosedur untuk mengendalikan pemasangan perangkat lunak pada sistem operasional.

144 197 A.12.5 : A : Kegagalan Sistem Keamanan Pada Proses Tinjauan teknis pada aplikasi Pengembangan Dan Proses setelah perubahan sistem operasi Pendukung Deskripsi kontrol : Ketika sistem operasi diubah, aplikasi bisnis yang kritis akan ditinjau dan di uji untuk memastikan tidak adanya dampak yang merugikan dalam operasional atau keamanan organisasi.

145 198 A : Pengembangan perangkat lunak yang di outsource-kan Deskripsi kontrol : Pengembangan perangkat lunak di luar akan dibatasi dan di monitor oleh organisasi. Perusakan sistem operasional Penginstalan perangkat lunak secara ilegal Tabel Kontrol Menggunakan Klausul 13 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol Klausul 13 : A.13.1 : A : Keterlambatan Manajemen Insiden Keamanan Informasi Pelaporkan Peristiwa dan Kelemahan Keamanan Pelaporkan peristiwa keamanan informasi penanggulangan masalah Kegagalan sistem Informasi Deskripsi kontrol : Peristiwa keamanan informasi

146 199 harus dilaporkan melalui jalur manajemen yang tepat secepat mungkin. A : Keterlambatan Pelaporkan kelemahan keamanan Deskripsi kontrol : penanggulangan masalah Kegagalan sistem Seluruh karyawan, kontraktor, dan pengguna pihak ketiga dari informasi dan layanan diharuskan mencatat dan melaporkan segala bentuk temuan atau kecurigaan kelemahan keamanan dalam sistem atau layanan. A.13.2 : A : Keterlambatan Manajemen Kejadian Tanggung jawab dan prosedur penanggulangan masalah Kegagalan sistem

147 200 Keamanan Informasi Dan Pengembangannya kejadian keamanan informasi Deskripsi kontrol : Tanggung jawab dan prosedur manajeman harus ditetapkan untuk memastikan respon yang cepat, efektif, dan tertib terhadap insiden keamanan informasi. Tabel Kontrol Menggunakan Klausul 14 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol Klausul 14 : A.14.1 : A : Keterlambatan Manajemen Kelangsungan Bisnis Aspek Keamanan Informasi Pada Manajemen Kelangsungan Bisnis Memasukkan keamanan informasi ke dalam proses manajemen kelangsungan bisnis penanggulangan masalah Kegagalan sistem Pemadaman listrik Deskripsi kontrol :

148 201 Proses yang teratur pada kelangsungan bisnis harus dikembangkan dan dipelihara melalui organisasi yang mencantumkan kebutuhan keamanan informasi pada kontinuitas bisnis organisasi. A : Kelangsungan bisnis dan penilaian risiko Deskripsi kontrol : Peristiwa yang dapat menyebabkan interupsi pada proses bisnis harus diidentifikasi, sejalan dengan kemungkinan dan dampak dari interupsi dan konsekuensinya terhadap keamanan informasi. Keterlambatan penanggulangan masalah Kegagalan sistem Pedaman listrik

149 202 A : Pengembangan dan pengimplementasian rencana kelangsungan yang meliputi keamanan informasi Keterlambatan penanggulangan masalah Kegagalan sistem Pedaman listrik Deskripsi kontrol : Rencana harus dikembangkan dan diimplementasikan untuk memelihara atau memulihkan operasi dan memastikan ketersediaan informasi pada tingkat dan skala waktu yang dibutuhkan menurut interupsi, atau kegagalan pada proses bisnis yang penting. A : Pengujian, pemeliharaan, dan Keterlambatan penanggulangan masalah

150 203 pengkajian ulang pada rencana kelangsungan bisnis Deskripsi kontrol : Rencana kelangsungan bisnis harus diuji dan di update secara teratur untuk memastikan bahwa mereka mutakhir dan efektif. Kegagalan sistem Tabel Kontrol Menggunakan Klausul 15 Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol Klausul 15 : A.15.2 : A : Pencurian data Kepatuhan Kepatuhan Terhadap Kebijakan Dan Standar Keamanan, Dan Kepatuhan Teknis Kepatuhan terhadap kebijakan dan standar keamanan Deskripsi kontrol : Manajer harus memastikan bahwa semua prosedur keamanan Pencurian perangkat Penyadapan sistem jaringan Penggandaan data Perusakan sistem operasional Sabotase terhadap

151 204 menjadi tanggung jawab mereka dan dilaksanakan dengan benar untuk mencapai kepatuhan kebijakan dan standar keamanan.. perangkat, karyawan dan aktivitas Penyebaran data secara ilegal Penginstalan perangkat lunak secara ilegal Penjualan perangkat secara ilegal Penyalahgunaan hak akses Kesalahan penginputan data Kesalahan penghapusan data Kesalahan pergantian perangkat Kelalaian peninjauan rekaman CCTV Kelalaian menghilangkan data

152 205 Kegagalan sistem Serangan virus computer Berikut adalah hasil perhitungan presentase penilaian risikoberdasarkan tingkat risiko yang diakibatkan oleh ancaman-ancaman yang muncul pada Proyek Pemasangan CCTV Pada Bank XYZ dengan menggunakan Probability-Impact Matrix dan ditampilkan dengan menggunakan grafik pie chart : Tingkat Risiko = x 100 % High = x 100% = 35,85 % Medium = x 100% = 37,74% Low= x 100% = 11,32% Non Applicable = x 100% = 15,10%

153 % 15.10% 35.85% 37.74% Gambar 4.2 Hasil Penilaian Risiko Pada Proses Implementasi dan Operasional Proyek Pemasangan CCTV Pada Bank XYZ