TUGAS AKHIR CF 1380 PERENCANAAN AUDIT SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) BERDASARKAN ISO 27001:2005 DI BIRO ADMINISTRASI DAN AKADEMIK KEMAHASISWAAN (BAAK) INSTITUT TEKNOLOGI SEPULUH NOPEMBER ANITA WULANSARI NRP 5205 100 074 Dosen Pembimbing Ir. Aris Tjahyanto, M.Kom JURUSAN SISTEM INFORMASI Fakultas Teknologi Informasi Institut Teknologi Sepuluh Nopember Surabaya 2009
FINAL PROJECT CF 1380 AUDIT PLANNING OF INFORMATION SECURITY MANAGEMENT SISTEM (ISMS) ON STUDENT ADMINISTRATION AND ACADEMIC BUREU OF INSTITUT TEKNOLOGI SEPULUH NOPEMBER BASED ON ISO 27001:2005 ANITA WULANSARI NRP 5205 100 074 Supervisor Ir. Aris Tjahyanto, M.Kom DEPARTMENT OF INFORMATION SISTEM Faculty of Information Technology Institut Teknologi Sepuluh Nopember Surabaya 2009
1 PERENCANAAN AUDIT SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) BERDASARKAN ISO 27001:2005 DI BIRO ADMINISTRASI DAN AKADEMIK KEMAHASISWAAN (BAAK) INSTITUT TEKNOLOGI SEPULUH NOPEMBER Nama Mahasiswa : Anita Wulansari NRP : 5205 100 074 Jurusan : Sistem Informasi FTIf ITS Dosen Pembimbing : Ir. Aris Tjahyanto, M.Kom Abstrak Perkembangan teknologi informasi yang menawarkan efektivitas dan efisiensi dalam proses bisnis membuat banyak organisasi berlomba-lomba untuk memanfaatkannya, tidak terkecuali Institut Teknologi Sepuluh Nopember (ITS). Bersamaan dengan besarnya keuntungan yang ditawarkan dengan diimplementasikannya teknologi informasi untuk mendukung proses bisnis terdapat pula tantangan berupa risiko keamanan terhadap informasi yang dimiliki oleh organisasi tersebut. Di satu sisi, dimilikinya Sistem Manajemen Keamanan Informasi (SMKI) oleh suatu organisasi tidak menjamin baiknya implementasi SMKI oleh organisasi tersebut, sehingga diperlukanlah audit SMKI. Sedangkan di sisi lain, audit SMKI hanya akan dapat berjalan efektif dan efisien jika diawali dengan perencanaan yang matang. Tugas akhir ini berupaya untuk menghasilkan perencanaan audit yang berisi langkah-langkah pelaksanaan audit internal beserta dokumen kerja dan daftar periksa (checklist) yang diperlukan. Setelah pemahaman terhadap masalah dan studi literatur yang dapat dijadikan acuan didapat, dibuatlah dokumen kerja dan daftar periksa (checklist) yang dibuat berdasarkan ISO 27001:2005. Langkah selanjutnya adalah melakukan pemetaan
2 untuk mendapatkan pasangan pertanyaan dan bagian atau pihak yang akan dituju oleh pertanyaan tersebut. Kemudian dibuatlah perencanaan audit SMKI internal BAAK ITS. Daftar periksa (checklist) dan hasil pemetaannya di verifikasi untuk memastikan kesesuaian antara daftar periksa (checklist) tersebut dengan ISO 27001:2005 dan dilakukan uji coba pengisian oleh karyawan BAAK. Jika verifikasi menunjukkan belum adanya kesesuaian antara checklist dengan ISO/IEC 27001:2005 dan atau hasil uji coba menunjukkan bahwa karyawan BAAK belum dapat memahami checklist maka dilakukan revisi hingga kesesuaian didapat. Hasil penelitian ini adalah perencanaan audit yang berisi langkah-langkah pelaksanaan audit internal beserta dokumen kerja dan daftar periksa (checklist) yang dibuat berdasarkan ISO 27001:2005. Kata kunci : BAAK, SMKI, dokumen audit, checklist, ISO/IEC 27001:2005
3 AUDIT PLANNING OF INFORMATION SECURITY MANAGEMENT SISTEM (ISMS) ON STUDENT ADMINISTRATION AND ACADEMIC BUREU (BAAK) OF INSTITUT TEKNOLOGI SEPULUH NOPEMBER BASED ON ISO 27001:2005 Name : ANITA WULANSARI NRP : 5205 100 074 Departement : INFORMATION SISTEM FTIF-ITS Supervisor : Ir. ARIS TJAHYANTO M.Kom Abstract Business process effectivity and effectiveness offered by information technology development, make organisations try to be the leader in using Information Technology, Institut Teknologi Sepuluh Nopember (ITS) is included. Huge advantage offered by implementing information technology in supporting business process, come with challenge such as security risks to the informations owned by the organisations. Having Information Security Management System (ISMS) does not guarantee implementation of ISMS run well, therefore ISMS audits is needed. On the other hand, ISMS audits will run well only if the ISMS audits is preceeded by a proper audit plans. The output of this final year project is an audit plan consisted of internal audit guideline, audit documents and checklist needed on internal audit execution. After studying the occured problems and referenced literature, work documents and checklist are made. The checklist is made according to ISO 27001:2005. The next step is mapping, which is try to get pairs of questions and departement or division pointed by the regarding questions. Then audit plans is made. The checklist will be verified by comparing it with ISO 27001:2005 and will be tested to determine whether the checklist is easy to
4 understand by the staff of BAAK. If the result of verification indicate uncomformity between checklist and ISO/IEC 27001:2005 and or the result of the test shows that the questions in the checklist is difficult to understand, then revision is done until the conformity is gained. The output of this final year project can help BAAK of ITS on the process of ISMS audits in the future. Keywords : BAAK, ISMS, audit documents, checklist, ISO/IEC 27001:2005