Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009

dokumen-dokumen yang mirip
BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

Vica Firlia. Prodi S1 Manajemen Bisnis Telekomunikasi dan Informatika, Fakultas Ekonomi dan Bisnis, Universitas Telkom

RAHMADINI DARWAS. Program Magister Sistem Informasi Akuntansi Jakarta 2010, Universitas Gunadarma Abstrak

Bab I Pendahuluan. I.1 Latar Belakang

PENERAPAN KEAMANAN SISTEM INFORMASI STANDAR ISO PADA PT. BPR KARYABHAKTI UGAHARI, TANJUNG MORAWA

Mengevaluasi Tingkat Kematangan Domain Delivery Support (DS11) Perpustakaan Menggunakan Kerangka COBIT 4.1

Cobit memiliki 4 Cakupan Domain : 1. Perencanaan dan Organisasi (Plan and organise)

ANALISIS TINGKAT KEMATANGAN (MATURITY LEVEL) TEKNOLOGI INFORMASI PADA PUSTAKA MENGGUNAKAN COBIT 4.1

BAB II LANDASAN TEORI. pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan

Manajemen Informatika, Fakultas Teknik, Universitas Trunojoyo Madura Telp

STUDI PENERAPAN IT GOVERNANCE UNTUK MENUNJANG IMPLEMENTASI APLIKASI PENJUALAN DI PT MDP SALES

MAKALAH KEAMANAN INFORMASI. Oleh : Muhammad Shodiqil Khafili Djakfar. Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc

EVALUASI SISTEM INFORMASI MANAJEMEN KEPEGAWAIAN (SIMPEG) MENGGUNAKAN FRAMEWORK COBIT 4.1 (Studi Kasus : Kementerian Agama Kantor Kota Pekanbaru)

BEST PRACTICES TATA KELOLA TI DI PERUSAHAAN Titien S. Sukamto

Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan

BAB I PENDAHULUAN. I.1 Latar Belakang

UTS SUSULAN AUDIT SISTEM Standar Pengelolaan di Dunia IT

BAB 1 PENDAHULUAN 1.1 Latar belakang

Mengenal COBIT: Framework untuk Tata Kelola TI

BAB 3 METODOLOGI PENELITIAN. Dalam proses penelitian ini ditujukan untuk menilai posisi perusahaan saat ini dan

PRESENTASI TUGAS AKHIR

EVALUASI KEAMANAN DATA PADA BANK PERKREDITAN RAKYAT XYZ MELALUI AUDIT TATA KELOLA TEKNOLOGI INFORMASI BERDASARKAN KERANGKA KERJA COBIT 4.

BAB III METODOLOGI PENELITIAN

1 BAB I PENDAHULUAN. penting bagi hampir semua organisasi perusahaan karena dipercaya dapat

KAJIAN TINGKAT KEMATANGAN SISTEM MANAJEMEN KEAMANAN INFORMASI STUDI KASUS: SUKU DINAS KOMUNIKASI DAN INFORMATIKA JAKARTA SELATAN

PENGUKURAN MANAJEMEN SUMBER DAYA TI DENGAN MENGGUNAKAN METODE COBIT PADA PT.PUPUK SRIWIJAYA PALEMBANG

BAB I PENDAHULUAN Latar Belakang. Dewasa ini, perkembangan perangkat keras begitu pesat, seiring

Staf Pengajar Jurusan Teknik Elektro Politeknik Negeri Banjarmasin

1. Pendahuluan 2. Kajian Pustaka

I. BAB I PENDAHULUAN I.1 Latar Belakang

ANALISIS TATA KELOLA TEKNOLOGI INFORMASI PADA BAGIAN LOGISTIK PERGURUAN TINGGI (STUDI KASUS: UKSW SALATIGA)

Tingkat Kematangan Teknologi Informasi Menggunakan Framework COBIT pada Layanan Teknologi Informasi (Studi Kasus : STIE MDP)

BAB II LANDASAN TEORI. organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh komponen

BAB VIII Control Objective for Information and related Technology (COBIT)

AUDIT SISTEM INFORMASI PADA RUMAH SAKIT UMUM DAERAH BANYUMAS MENGGUNAKAN FRAMEWORK COBIT 4.1 ABSTRAK

EVALUASI KEAMANAN INFORMASI PADA PT. MA-RI MENGGUNAKAN INDEKS KAMI

Taryana Suryana. M.Kom

Jurnal Sistem Informasi Dan Bisnis Cerdas (SIBC) Vol. 10, No. 2. Agustus 2017

BAB I PENDAHULUAN I.1.

AUDIT SISTEM INFORMASI GRUP ASESMEN EKONOMI DAN KEUANGAN BANK INDONESIA WILAYAH IV DITINJAU DARI IT GOAL 7 MENGGUNAKAN STANDAR COBIT 4.

BAB I PENDAHULUAN. I.1. Latar Belakang

PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )

BAB I PENDAHULUAN. Rumah Sakit Islam (RSI) Jemursari adalah sebuah rumah sakit yang berada di

BAB I PENDAHULUAN. Latar Belakang

AUDIT KEAMANAN SISTEM INFORMASI PADA UNIVERSITAS BINA DARMA PALEMBANG MENGGUNAKAN STANDAR ISO/IEC 27001

BAB III METODE PENELITIAN

KENDALI DAN REGULASI. Pendahuluan. Model Kendali dan Regulasi 9/17/2012 COBIT ITIL ISO Sarbanes-Oxley

MANFAAT PEREALISASIAN TATA KELOLA KEAMANAN INFORMASI BERBASIS SNI ISO/IEC 27001:2009 PADA PRODUKSI FILM ANIMASI (Kasus di PT. XX)

Penyusunan COBIT, ITIL, dan iso 17799

BAB II LANDASAN TEORI. audit keamanan informasi. Framework yang digunakan pada penelitian ini yaitu

BAB I PENDAHULUAN. PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik

ANALISIS TATA KELOLA TI PADA INNOVATION CENTER (IC) STMIK AMIKOM YOGYAKARTA MENGGUNAKAN MODEL 6 MATURITY ATTRIBUTE

MODEL PENILAIAN KAPABILITAS PROSES OPTIMASI RESIKO TI BERDASARKAN COBIT 5

SISTEM MANAJEMEN INTEGRASI/TERPADU

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB I PENDAHULUAN. Audit sistem informasi ini memiliki tujuan untuk menciptakan Good

Analisa Kesenjangan Tata Kelola Teknologi Informasi Untuk Proses Pengelolaan Data Menggunakan COBIT (Studi Kasus Badan Pemeriksa Keuangan RI)

1 PENDAHULUAN Latar Belakang

BAB I PENDAHULUAN. 1.1 Gambaran Umum Objek Penelitian

TINGKAT KEMATANGAN TATA KELOLA TEKNOLOGI INFORMASI UNIVERSITAS XYZ DOMAIN MONITOR AND EVALUATE (ME) FRAMEWORK COBIT 4.0

TATA KELOLA TEKNOLOGI INFORMASI PADA DOMAIN PO (PLAN AND ORGANIZE) MENGGUNAKAN FRAMEWORK COBIT 4.1 (STUDI KASUS DI RENTAL MOBIL PT.

BAB I PENDAHULUAN. disebut Enterprise Governance dan yang kedua merupakan lingkungan yang

BAB I PENDAHULUAN. Pengelolaan Informasi Teknologi (IT) menjadi semakin dibutuhkan

MODEL PERANCANGAN TATA KELOLA TEKNOLOGI INFORMASI (IT GOVERNANCE) PADA PROSES PENGELOLAAN DATA DI UNIVERSITAS MALIKUSSALEH LHOKSEUMAWE

AUDIT KEAMANAN SISTEM INFORMASI PADA INSTALASI SISTEM INFORMASI MANAJEMEN RSUD BANGIL BERDASARKAN ISO Danastri Rasmona Windirya 1)

BAB I PENDAHULUAN. ketepatan dan kelengkapan pelayanan terhadap pelanggan. yang terintegrasi yang bernama Integrated Trading System (ITS).

ABSTRAK. Rizal Tantyo Suhendro, Universitas Ciputra, UC Town, Surabaya,, 60219

MANAGEMENT SOLUTION IT MANAGEMENT CONSULT TING IT MANAGEMENT CONSULTING PT. MULTIMEDIA SOLUSI PRIMA

EVALUASI TATA KELOLA CALL CENTER DENGAN KERANGKA COBIT UNTUK MENINGKATKAN LAYANAN DAN KEPUASAN PELANGGAN (Studi Kasus Di PT Astra Graphia Tbk)

FRAMEWORK, STANDAR, DAN REGULASI. Titien S. Sukamto

BAB I PENDAHULUAN 1.1 Latar Belakang

EVALUASI KEAMANAN INFORMASI PADA PTI PDAM TIRTA MOEDAL KOTA SEMARANG BERDASARKAN INDEKS KEAMANAN INFORMASI SNI ISO/IEC 27001:2009

KEAMANAN SISTEM INFORMASI

Universitas Pembangunan Nasional Veteran Jawa Timur *

AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO (Studi Kasus: PT. Aneka Jaya Baut Sejahtera) Marliana Halim 1)

Audit Tata Kelola Teknologi Informasi Menggunakan COBIT 4.1 Pada PTPN VII Unit Usaha Betung

Audit SI/TI Berbasis Cobit

EVALUASI KEAMANAN INFORMASI MENGGUNAKAN ISO/IEC 27002: STUDI KASUS PADA STIMIK TUNAS BANGSA BANJARNEGARA

Pendahuluan Tinjauan Pustaka

AUDIT MANAJEMEN TEKNOLOGI INFORMASI DENGAN MENGGUNAKAN COBIT 4.1 PADA SISTEM TRANSAKSI KEUANGAN

Bab III Kondisi Teknologi Informasi PT. Surveyor Indonesia

COBIT dalam Kaitannya dengan Trust Framework

BAB I PENDAHULUAN. 1.1 Latar Belakang. Rumah Sakit Umum Daerah (RSUD) Bangil Kabupaten Pasuruan

BAB I PENDAHULUAN. 1.1 Latar Belakang. Perguruan Tinggi (PT) merupakan institusi yang memberikan pelayanan

BAB II LANDASAN TEORI

EVALUASI KEAMANAN INFORMASI PADA PTI PDAM TIRTA MOEDAL KOTA SEMARANG BERDASARKAN INDEKS KEAMANAN INFORMASI SNI ISO/IEC 27001:2009

BAB I PENDAHULUAN 1.1 Latar Belakang

MENGUKUR TINGKAT KESELARASAN TI BERDASARKAN PERSPEKTIF KEUANGAN MENGGUNAKAN FRAMEWORK COBIT 4.1 (Studi Kasus: PT. Bess Finance Surabaya)

KONSEP AUDIT SI. Pertemuan ke 5 Mata Kuliah Tata Kelola dan Audit Sistem Informasi. Diema Hernyka S, M.Kom

BAB 3 METODOLOGI PENELITIAN

Analisis Pengawasan dan Evaluasi Tata Kelola Teknologi Informasi PT. Angkasa Pura I Semarang dengan Framework COBIT 4.1 ABSTRAK

EVALUASI PENERAPAN TEKNOLOGI INFORMASI PADA DINAS KELAUTAN DAN PERIKANAN PROVINSI SUMATERA SELATAN MENGGUNAKAN PENDEKATAN FRAMEWORK COBIT VERSI 5.

EVALUASI TATA KELOLA CALL CENTER DENGAN KERANGKA COBIT UNTUK MENINGKATKAN LAYANAN DAN KEPUASAN PELANGGAN (Studi Kasus Di PT Astra Graphia Tbk)

Bab 2 Tinjauan Pustaka

BAB II LANDASAN TEORI. terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan

BAB I PENDAHULUAN I.1. Latar Belakang

Bab I Pendahuluan I. 1 Latar Belakang

Gambar I.1 Contribution of IT to the Business Sumber : (ITGI, 2011)

* Keywords: Governance, Information Technology Infrastructure, COBIT

Transkripsi:

Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 Rizki Komalasari 1, Ilham Perdana 2 Jurusan Manajemen Bisnis Telekomunikasi & Informatika Fakultas Ekonomi & Bisnis Universitas Telkom, Bandung email: rizki_komala@yahoo.com 1), lhamdana@gmail.com 2) ABSTRACT Most of public service agencies have not yet or are drafting information security framework that meet the standard of SNI ISO/IEC 27001: 2009. One of them is PT PLN (Persero) DJBB. Some cases occur related to information security policy, physical and environmental security, and communication and operation management. Therefore, an audit s conducted for improvement of information security management system, especially in the improvement and preparation of Standard Operating Procedure (SOP) related information sercurity to be more optimal. This research type is applied research. This research is descriptive qualitative research. This research uses technique triangulation (structured interview, observation, and documentation). Gap analysis is stated in a work paper gap analysis table. This research measures the level of performace of Information Technology that uses Capability Maturity Model Integration (CMMI). The result of the audit indicates that level of security policy and physical and environmental security is 4 (managed), while level of communication and operation management is 5 (optimized). Keywords : Gap Analysis, Information Security Audit, Maturity Level, SNI ISO/IEC 27001:2009 1 Pendahuluan IT Governance merupakan salah satu pilar utama dari GCG, maka dalam pelaksanaan IT Governance atau tata kelola TI yang baik sangat diperlukan standar tata kelola Tl dengan mengacu kepada standar tata kelola TI internasional yang telah diterima secara luas dan teruji implementasinya. Tata kelola TI termasuk di dalamnya adalah kemanan informasi [7]. 201

Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201-216 Dalam rangka mendukung sistem keamanan informasi bagi lembaga penyelenggara pelayanan publik, Badan Standarisasi Nasional (BSN) mengadopsi ISO/IEC 27001: 2005 sebagai Standar Nasional Indonesia (SNI) ISO/IEC 27001: 2009. Namun mayoritas instansi penyelenggara pelayanan publik belum memiliki/ sedang menyusun kerangka kerja keamanan informasi yang memenuhi standar SNI ISO/IEC 27001: 2009 [6]. Salah satunya adalah PT PLN (Persero) DJBB. Beberapa kasus yang ditemui terkait keamanan informasi di Bagian TI PLN (Persero) DJBB. Terkait dengan klausul A.5 Kebijakan Keamanan, walaupun sudah ada kebijakan keamanan, masih terdapat beberapa Standar Operating Procedure (SOP) keamanan informasi yang masih dalam penyusunan dan masih ada pula yang belum didokumentasikan. Terkait dengan klausul A.9 Keamanan Fisik dan Lingkungan, masih dijumpai penataan kabel yang tidak rapi, tidak ada pengecekan ataupun larangan penggunaan kamera photo oleh pihak ketiga, di satu sisi gedung TI sangat memerlukan pengamanan khusus karena di dalamnya menyimpan server utama. Sedangkan terkait dengan klausul A.10 Manajemen Komunikasi dan Operasi, berdasarkan status gangguan sistem informasi pada akhir tahun 2013 ada beberapa gangguan yang sering terjadi adalah kondisi down pada jaringan Local Area Network (LAN) karena berbagai gangguan misalnya serangan virus dan gangguan listrik sehingga daya konektivitas lambat, adanya gangguan aplikasi pelayanan pelanggan terpadu, juga gangguan koneksi jaringan lambat karena banyaknya information technology broadcast sehingga data melebihi dari kapasitas bandwidth yang ada, kerusakan perangkat Wide Area Network (WAN) karena petir dan angin, apalagi saat ini sangat dipengaruhi oleh kondisi cuaca yang buruk, serta putusnya kabel, serta beberapa kali terjadi di mana server dalam kondisi down. Oleh karena itu diperlukan audit keamanan informasi menggunakan standar SNI ISO/IEC 27001: 2009 untuk menjawab rumusan masalah penelitian sebagai berikut: a. Bagaimana maturity level dan gap pada kebijakan keamanan Bagian Teknologi Informasi PT PLN (Persero) Distribusi Jawa Barat dan Banten berdasarkan standar SNI ISO/IEC 27001: 2009? b. Bagaimana maturity level dan gap pada keamanan fisik dan lingkungan Bagian Teknologi Informasi PT PLN (Persero) Distribusi Jawa Barat dan Banten berdasarkan standar SNI ISO/IEC 27001: 2009? 202

Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) c. Bagaimana maturity level dan gap pada manajemen komunikasi dan operasi Bagian Teknologi Informasi PT PLN (Persero) Distribusi Jawa Barat dan Banten berdasarkan standar SNI ISO/IEC 27001: 2009? 2 Landasan Teori 2.1 Definisi Informasi Kaitannya dengan konsep informasi, informasi adalah semua hal yang diperlukan dalam proses pembuatan keputusan, misalnya pengetahuan, fakta, data, angka, dan sebagainya [1]. Selain itu juga disebutkan, Information is the stuff of paper work system just as material is the stuff of production system. Pendapat tersebut menunjukan bahwa informasi merupakan komoditi yang sangat penting bagi pelaksanaan operasional manajemen efektif [1]. 2.2 Definisi Keamanan Informasi Keamanan informasi (information security) adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan/menjamin kelangsungan bisnis (business continuity), meminimasi risiko bisnis (reduce business risk), dan memaksimalkan/mempercepat pengembalian investasi dan peluang bisnis [8]. Keamanan informasi merupakan suatu keharusan untuk melindungi aset perusahaan dari berbagai ancaman. Tujuannya adalah untuk meyakinkan integritas, kelanjutan, dan kerahasiaan dari pengolah data [10]. 2.3 Jenis Keamanan Informasi Kelemahan keamanan informasi berdasarkan lubang keamanan (security hole) dapat diklasifikasikan menjadi empat bagian utama yang akan dijelaskan sebagaimana berikut: a. Keamanan yang bersifat fisik (physical security). Hal tersebut mencakup akses orang ke gedung, peralatan dan media yang digunakan. b. Keamanan yang berhubungan dengan orang (personal security). Hal ini termasuk identifikasi dan profil risiko dari pihak atau karyawan yang mempunyai akses.seringkali kelemahan keamanan informasi bergantung kepada manusia (pemakai dan pengelola). c. Keamanan dari data dan media serta teknik komunikasi (communications security). Yang termasuk dalam bagian ini adalah kelemahan dalam perangkat lunak (software) untuk pengelolaan data. Seorang pelaku 203

Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201-216 kejahatan dapat memasang virus atau trojan horse sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses. d. Keamanan dalam operasional/manajemen teknologi informasi (management security). Hal ini mencakup kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan dan juga prosedur setelah serangan (post attack recovery), seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur tersebut [8]. 2.4 Audit Keamanan Informasi Audit merupakan proses atau aktivitas yang sistematik, independen, dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara objektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan [8]. Audit keamanan informasi adalah suatu alat atau perangkat dalam menentukan, mendapatkan, dan mengelola setiap level keamanan dalam suatu organisasi. Audit keamanan informasi dimaksudkan untuk meningkatkan level keamanan informasi, mencegah rancangan keamanan informasi yang tidak layak, dan mengoptimalkan efisiensi benteng keamanan, dan proses keamanan informasi itu sendiri. Audit ini akan memastikan atau menjamin berjalannya proses operasional, reputasi dan aset suatu organisasi. Hasil dari audit keamanan informasi adalah tersusunnya dokumen laporan audit yang terkait pada keamanan teknologi informasi yang digunakan di lingkungan organisasi tersebut [5]. 2.5 Standar Keamanan Informasi Lima standar keamanan informasi berdasarkan best practice yang umum digunakan antara lain sebagai berikut: a. BS 7799. BS 7799 merupakan standar yang diterbitkan oleh British Standard Institution (BSI) Group pada 1995. Bagian pertama, berisi praktik terbaik untuk sistem manajemen keamanan informasi, direvisi pada 1998, yang akhirnya diadopsi oleh ISO sebagai ISO 17799, Teknologi Informasi-Kode Praktek untuk Manajemen Keamanan Informasi. Bagian kedua diterbitkan pada 1999, dikenal dengan BS 7799 part 2, berjudul Sistem Manajemen Keamanan Informasi-Spesifikasi dengan panduan penggunaan, yang terfokus dalam menerapkan sistem manajemen keamanan informasi, mengacu pada struktur dan kontrol manajemen keamanan informasi yang diidentifikasi dalam BS 7799-2, yang kemudian menjadi ISO 27001. b. PCIDSS. The Payment Card Industry Data Security Standard (PCIDSS) adalah standar keamanan informasi di seluruh dunia yang ditetapkan oleh 204

Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) Payment Card Industry Security Council. Standar ini diciptakan untuk membantu proses organisasi industri dalam pembayaran kartu dan mencegah penipuan kartu kredit melalui peningkatan kontrol data. c. ITIL. The Information Technology Infrastructure Library (ITIL) adalah seperangkat konsep dan praktek manajemen layanan TI, pengembangan TI, dan operasi TI yang memiliki bagian fokus pada keamanan mengandung delapan komponen utama antara lain adalah Service Support, Service Delivery, ICT Infrastructure Management, Security Management, Application Management, Software Asset Management, Planning to Implement Service Management, dan Small-Scale Implementation. d. COBIT. The Control Objectives for Information and related Technology (COBIT) adalah sertifikasi yang dibuat ISACA dan IT Governance Institute (ITGI) pada 1996, yang merupakan kerangka kerja tata kelola TI dan seperangkat alat yang mendukung manajer untuk menjembatani kesenjangan antara persyaratan kontrol, masalah teknis, risiko bisnis, dan masalah keamanan. e. ISO/IEC 27001: 2005. ISO/IEC 2700: 2005 adalah standar keamanan informasi (information security) yang diterbitkan pada Oktober 2005 oleh ISO (The International Organization for Standardization) dan IEC (The International Electrotechnical Commission). ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa, dan memelihara serta mendokumentasikan standar sistem manajemen keamanan informasi [9]. ISO/IEC 27001 mendefinisikan 11 klausul, 39 objektif kontrol (sasaran pengendalian), dan 133 kontrol (pengendalian) yang dapat diterapkan untuk membangun sistem manajemen keamanan informasi [5]. Kelompok kebutuhan pengendalian keamanan ditunjukkan pada Gambar 1. 205

Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201-216 A.5 Kebijakan Keamanan A.6 Organisasi Keamanan Informasi A.7 Pengelolaan Aset A.15 Kesesuaian (compliance) Organizational A.8 Keamanan Sumber Daya Manusia A.9 Keamanan Fisik dan Lingkungan A.11 Akses Kontrol Technical A..12 Akuisisi, Pengembangan, dan Pemeliharaan Sistem Informasi A.10 Manajemen Komunikasi dan Operasi A.13 Manajemen Insiden Keamanan Informasi A.14 Business Continuity Management Operational Gambar 1 Kelompok Kebutuhan Pengendalian Keamanan [5] 2.6 Maturity Model Dalam mengidentifikasi tingkat kematangan penerapan keamanann informasi berstandar SNI ISO/IEC 27001: 2009, mengacu kepada tingkatan kematangan yang digunakan oleh kerangka kerja COBIT (Control Objective for Information and related Technology) atau CMMI (Capability Maturity Model for Integration) [6]. CMMI adalah model kematangan yang digunakan untuk melakukan penilaian oleh manajemen TI secara lebih efisien yang dapat diterapkan/diaplikasikan ke masing-masing klausul ISO/IEC 27001: 2005 [4]. Model kematangan untuk pengelolaan dan pengendalian pada proses teknologi informasi didasarkan pada metode evaluasi organisasi sehingga dapat mengevaluasi sendiri dari level 0 (tidak ada) hingga level 5 (Optimis). Model kematangan dimaksudkan untuk mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas peningkatan. [2]. Adapun tingkatan kematangan CMMI secara umum ditunjukkan pada Tabel 1. 206

Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) Tingkatan Kematangan 0 - Non- Existent Tabel 1 Tingkatan Generic CMMI [2] Definisi Kekurangan yang menyeluruh terhadap proses apapun yang dapat dikenali. Perusahaan bahkan tidak mengetahui bahwa terdapat permasalahan yang harus diatasi. 1 Initial Terdapat bukti bahwa perusahaan mengetahui adanya permasalahan yang harus diatasi. Bagaimanapun juga tidak terdapat proses standar, namun menggunakan pendekatan ad hoc yang cenderung diperlakukan secara individu/ per kasus. Secara umum pendekatan proses tidak terorganisasi. 2 Repeatable Proses dikembangkan ke dalam tahapan di mana prosedur serupa diikuti oleh pihak-pihak yang berbeda untuk pekerjaan yang sama. Tidak terdapat pelatihan formal/pengkomunikasian prosedur, standar, dan tanggung jawab diserahkan kepada individu masing-masing. Terdapat tingkat kepercayaan yang tinggi terhadap individu sehingga memungkinkan terjadi error sangat besar. 3 Defined Prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan melalui pelatihan. Kemudian diamanatkan bahwa proses-proses tersebut harus diikuti. Namun penyimpangan tidak mungkin dapat terdeteksi. Prosedur sendiri tidak lengkap namun sudah menformalkan praktek yang berjalan. 4 Managed Manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif. Proses berada di bawah peningkatan yang konstan dan penyediaan praktek yang baik. Otomatisasi dan perangkat digunakan dalam batasan tertentu. 5 Optimized Proses telah dipilih ke dalam tingkat praktek yang baik, berdasarkan hasil dari perbaikan berkelanjutan dan pemodelan kedewasaan dengan perusahaan lain. Teknologi informasi digunakan sebagai cara terintegrasi untuk mengotomatisasi alur kerja, penyediaan alat untuk peningkatan kualitas dan efektivitas serta membuat perusahaan cepat beradaptasi. Jika di kelompokan berdasarkan nilai level kematangan maka dapat dirinci seperti Tabel 2. Tabel 2 Level Kematangan Tata Kelola TI [3] Indeks Kematangan Level Kematangan 0 0,49 0 - Non-Existent 0,50 1,49 1 Initial 1,5-2,49 2 Repeatable 2,5 3,49 3 Defined 207

Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201-216 Indeks Kematangan Level Kematangan 3,5 4,49 4 Managed 4,5 5,00 5 Optimized Penggunaan model kematangan memungkinkan manajemen dapat mengidentifikasi kondisi perusahaan sekarang, kondisi sekarang dari industri untuk perbandingan, kondisi yang diinginkan perusahaan, dan pertumbuhan yang diinginkan antara as-is dan to-be [3]. Urutan tingkat kematangan tata kelola TI dalam perusahaan ditunjukkan pada Gambar 2. Gambar 2 Urutan Tingkat Kematangan [3] 3 Metode Penelitian 3.1 Jenis Penelitian Berdasarkan tujuannya, penelitian ini menggunakan metode penelitian terapan (applied research). Pendekatan penelitian yang digunakan adalah penelitian kualitatif. Penelitian ini termasuk ke dalam rancangan penelitian deskriptif. Penelitian ini termasuk ke dalam jenis-jenis penelitian tersebut karena dalam penelitian ini dilakukan audit keamanan informasi dengan menerapkan instrumen/indikator dalam teori SNI ISO/IEC 27001: 2009. Penelitian ini juga berisi kutipan-kutipan dari data/fakta di lapangan yang dideskripsikan secara lebih lengkap. 3.2 Tahapan Penelitian Tahapan penelitian terdiri dari lima tahap antara lain sebagai berikut: a. Tahap Identifikasi Tahap awal penelitian yang dilakukan adalah tahap identifikasi masalah dengan merumuskan masalah dan menentuan tujuan penelitian. Selanjutnya dilakukan perizinan objek penelitian yang ditentukan. Studi literatur 208

Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) menggunakan beberapa referensi terkait dengan keamanan informasi menggunakan SNI ISO/IEC 27001: 2009, seperti buku Manajemen Keamanan Informasi, Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik Edisi 2.0, Bakuan Audit Keamanan Informasi Kemenpora, dan beberapa buku serta penelitian terdahulu. b. Tahap Perancangan Selanjutnya dilakukan perancangan lingkup audit sesuai dengan kondisi eksisting PT PLN (Persero) DJBB, agar rekomendasi dapat diterima dan sejalan dengan proses bisnis yang berlaku di perusahaan. c. Tahap Pengumpulan Data Pada tahap pengumpulan data, sebelum dilakukan audit, dibuat work paper berisi daftar pertanyaan audit sesuai dengan ruang lingkup yang telah ditentukan. Kemudian audit keamanan informasi dilakukan menggunakan SNI ISO/IEC 27001: 2009 menggunakan bebaerapa teknik pengumpulan data seperti triangulasi, wawancara, observasi, dan dokumentasi. d. Tahap Analisa dan Rekomendasi Setelah pengumpulan data dilakukan, tahap selanjutnya adalah melakukan analisis data. Dimulai dengan mereduksi hasil wawancara, observasi, dan dokumentasi ke dalam verbatm, catatan lapangan, dan DFI (Deskripsi Fenomena Individu). Selanjutnya dilakukan display data dengan menyederhanakan data yang ada ke dalam matriks kategorisasi dan coding. Berikutnya temuan yang didapat ditampilkan ke dalam tabel work paper gap analysis dan dibuat rekomendasi. Tahap berikutnya adalah dilakukan penilaian kesiapan keamanan informasi dengan menggunakan metode Capability Maturity Model Integration (CMMI) yang terdiri dari enam tingkatan kematangan. e. Tahap Kesimpulan dan Saran Tahap terakhir dalam penelitian ini adalah pembuatan kesimpulan dan saran. 4 Hasil Penelitian dan Pembahasan 4.1 Gap Analysis Setelah dilakukan audit keamanan informasi dengan beberapa teknik pengumpulan data, tahap selanjutnya adalah gap analysis, yaitu membandingkan fakta di lapangan dengan standar SNI ISO/IEC 27001: 2009 sehingga didapat temuan penelitian. Tetapi sebelumnya dilakukan reduksi data dengan merubah hasil wawancara ke dalam verbatim dan catatan lapangan, kemudian direduksi kembali ke DFI dan dilakukan kategorisasi dan pengkodean. Sedangkan hasil dokumentasi dan observasi, serta temuan penelitian dituangkan ke dalam tabel work paper gap analysis. 209

Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201-216 Pada tabel work paper gap analysis terdapat kolom jawaban untuk status perseroan dalam menerapkan tiap sasaran pengendalian, kolom temuan, kolom evidence, dan kolom gap. Sebanyak 105 pertanyaan dari 121 pertanyaan atau sekitar 86,78% memberikan jawaban ya, sedangkan hanya 16 pertanyaan atau sekitar 13,22% memberikan jawaban tidak. Kolom temuan berisi temuan-temuan yang diperoleh dari lapangan yang menunjukkan gap antara penerapan perseroan dengan SNI ISO/IEC 27001: 2009. Pada klausul kebijakan keamanan, sebesar 16% adalah temuan terkait dengan peninjauan ulang kebijakan keamanan, sedangkan sisanya sudah sesuai standar. Pada klausul keamanan fisik dan lingkungan, paling besar temuan sebanyak 5% masing-masing adalah perlindungan terhadap ancaman eksternal dan lingkungan, serta keamanan kabel. Sedangkan pada klausul manajemen komunikasi dan operasi tidak ada temuan. Sedangkan kolom evidence berisi bukti-bukti yang mendukung pernyataan narasumber pada kolom jawaban. Evidence dapat berupa foto hasil observasi yang dilampirkan, maupun dokumen-dokumen seperti surat keputusan direksi, Standard Operating Procedure (SOP), dan standar pengelolaan. 4.2 Analisis Maturity Level Model Penilaian maturity level dilakukan terhadap masing-masing klausul untuk masing-masing sasaran pengendalian, berdasarkan kriteria penilaian yang telah disediakan dengan memilih skor 0 sampai dengan 5. Setelah masing-masing sasaran pengendalian pada tiap klausul mendapat nilai maturity, maka dilakukan penggabungan seluruh nilai sasaran pengendalian tersebut untuk mendapatkan rata-rata maturity level keamanan informasi untuk klausul tersebut. Tingkat kematangan tiap klausul yang didapatkan merefleksikan kondisi keamanan informasi organisasi, yang selanjutnya akan dibuat rekomendasi perbaikan. Setelah dilakukan penilaian maturity level untuk masing-masing klausul yang diteliti, maka indeks maturity level tersebut akan dirata-ratakan kembali untuk mendapatkan indeks akhir maturity level pada klausul keamanan informasi Ringkasan indeks akhir maturity level keamanan informasi organisasi ditunjukkan oleh Tabel 3. 210

Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) Klausul/ Pengendalian/ Sasaran Pengendalian A.5 Kebijakan Keamanan 5.1 Kebijakan Keamanan Informasi 5.1.1 Dokumen Kebijakan Keamanan Informasi Tabel 3 Ringkasan Hasil Penilaian Akhir Maturity Level Rata-Rata Rata-Rata 0 1 2 3 4 5 indeks/ indeks/ Pengendalian Klausul Maturity Level 1. Dokumentasi 4,25 Managed 2. Pemberlakuan 4,25 5.1.2 Kajian Kebijakan Keamanan Informasi 1. Cakupan 2. Peninjauan ulang A.9 Keamanan Fisik dan Lingkungan 9.1 Area yang Aman 9.1.1 Perimeter Keamanan Fisik 4 3,714 Managed 9.1.2 Pengendalian Entri yang Bersifat Fisik 9.1.3 Mengamankan Kantor, Ruangan, dan Fasilitas 9.1.4 Perlindungan terhadap Ancaman Eksternal dan 211

Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201-216 Klausul/ Pengendalian/ Sasaran Pengendalian 0 1 2 3 4 5 Rata-Rata indeks/ Pengendalian Rata-Rata indeks/ Klausul Maturity Level Lingkungan 9.1.5 Bekerja di Area yang Aman 9.2 Keamanan Peralatan 9.2.1 Penempatan dan Perlindungan Peralatan 3,428 9.2.2 Sarana Pendukung 9.2.3 Keamanan Kabel 9.2.4 Pemeliharaan Peralatan 9.2.5 Keamanan Peralatan di Luar Lokasi 9.2.6 Pembuangan atau Penggunaan Kembali Peralatan secara Aman 9.2.7 Pemindahan Barang A.10 Manajemen Komunikasi dan Operasi 10.3 Perencanaan dan Penerimaan Sistem 5 5 Optimized 10.3.1 Manajemen Kapasitas 212

Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) Klausul/ Pengendalian/ Sasaran Pengendalian 0 1 2 3 4 5 Rata-Rata indeks/ Pengendalian Rata-Rata indeks/ Klausul Maturity Level 10.3.2 Penerimaan Sistem 10.4 Perlindungan terhadap Malicious & Mobile Code 10.4.1 Kontrol terhadap Malicious Code dan 10.4.2 Kontrol terhadap Mobile Code 5 10.6 Manajemen Keamanan Jaringan 10.6.1 Kontrol Jaringan dan 10.6.2 Keamanan dalam Layanan Jaringan 5 Rata-rata indeks akhir dan maturity level pada klausul keamanan informasi 4,32 Managed Berdasarkan Tabel 3 terlihat bahwa indeks maturity level klausul kebijakan keamanan dan keamanan fisik dan lingkungan secara berturut-turut adalah 4,25 dan 3,714, yang berarti berada pada maturity level managed. Sedangkan indeks maturity level klausul manajemen komunikasi dan operasi memiliki indeks 5, yang berarti berada pada maturity level optimized. Secara umum rata-rata indeks akhir keamanan informasi organisasi adalah 4,32, yang berarti berada pada maturity level managed. Analisis maturity level menggunakan grafik maturity level model dilakukan agar mengetahui posisi maturity level tiap klausul organisasi dalam menerapkan keamanan informasi berdasarkan SNI ISO/IEC 27001: 2009 dibandingkan dengan rata-rata maturity level industri dan maturity level yang ditargetkan perseroan. Berdasarkan Peraturan Menteri BUMN Nomor: PER-02/MBU/2013 menyatakan target maturity level dari tata kelola TI BUMN adalah minimal maturity level 3. Sedangkan menurut Deputi Manager TI, maturity level yang 213

Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201-216 ditargetkan untuk keamanan informasi di PT PLN (Persero) DJBB adalah 4. Maka grafik maturity level model organisasi adalah sebagai berikut: a. Grafik Maturity Level Klausul Kebijakan Keamanan Informasi Gambar 3 Grafik Maturity Level Kebijakan Keamanan Informasi Setelah dilakukan analisis dengan menggunakan grafik maturity level model seperti Gambar 3 terlihat bahwa organisasi dalam hal kebijakan keamanan telah mencapai level 4 (managed). Hal ini menunjukkan bahwa kebijakan keamanan informasi yang ada sudah termonitor dan terukur. Level yang telah dicapai oleh organisasi sudah cukup jauh dengan level minimum BUMN yaitu 3 dan sesuai dengan target maturity level yang ingin dicapai perusahaan yaitu 4. b. Grafik Maturity Level Klausul Keamanan Fisik dan Lingkungan Gambar 4 Grafik Maturity Level Keamanan Fisik dan Lingkungan Setelah dilakukan analisis dengan menggunakan grafik maturity level model seperti Gambar 4, terlihat bahwa organisasi dalam hal keamanan fisik dan lingkungan telah mencapai level 4 (managed), yang berarti sudah termonitor dan terukur. Level yang telah dicapai oleh organisasi sudah cukup jauh dengan level minimum BUMN yaitu 3 dan sesuai dengan target maturity level yang ingin dicapai perusahaan yaitu 4. Walaupun begitu masih banyak temuan yang ditemukan di lapangan. c. Grafik Maturity Level Klausul Manajemen Komunikasi dan Operasi Gambar 5 Grafik Maturity Level Manajemen Komunikasi dan Operasi 214

Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC 27001: 2009 (Rizki Komalasari, Ilham Perdana) Setelah dilakukan analisis dengan menggunakan grafik maturity level model seperti Gambar 5, terlihat bahwa organisasi dalam hal manajemen komunikasi dan operasi telah mencapai level 5 (optimized), yang berarti organisasi telah mencapai praktek terbaik dalam manajemen komunikasi dan operasi dengan adanya perbaikan yang berkelanjutan. Level yang telah dicapai organisasi sudah jauh dengan level minimum BUMN yaitu 3 dan di atas target maturity level yang ingin dicapai perusahaan yaitu 4. 5 Kesimpulan dan Saran Berdasarkan hasil penelitian, maka dapat ditarik kesimpulan sebagai berikut: a. Maturity level terkait dengan kebijakan keamanan telah mencapai level 4 (managed). Kebijakan keamanan informasi yang berlaku sudah ada, lengkap, dan terdokumentasi, tetapi belum ada evaluasi sesuai dengan interval yang direncanakan, serta masih terdapat beberapa SOP yang belum didokumentasikan. b. Maturity level terkait dengan keamanan fisik dan lingkungan telah mencapai level 4 (managed). Paling banyak temuan terkait perlindungan terhadap ancaman eksternal dan lingkungan, serta keamanan kabel, yakni masingmasing sebesar 5%. c. Maturity level terkait dengan manajemen komunikasi dan operasi telah mencapai level 5 (optimized). Walaupun masih terdapat gangguan operasi tetapi perusahaan dapat mengatasinya dengan baik hingga tingkat praktik terbaik. Klausul sudah sesuai dengan standar. Berdasarkan kesimpulan, maka saran yang dapat diberikan untuk penelitian ini adalah sebagai berikut: a. Organisasi perlu memperbaiki kebijakan keamanan informasi dengan melakukan evaluasi perbaikan atau revisi kebijakan sesuai dengan interval yang direncanakan, serta melengkapi dokumentasi SOP terkait dengan keamanan informasi. b. Organisasi meningkatkan perlindungan keamanan fisik dan lingkungan khususnya terkait perlindungan terhadap ancaman eksternal dan lingkungan, serta keamanan kabel. c. Organisasi harus mempertahankan penerapan manajemen komunikasi dan operasi yang ada saat ini, terutama dalam hal pengevaluasian dengan perbaikan secara berkelanjutan. 215

Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201-216 Daftar Pustaka [1] Darmawan, Deni dan Kunkun Nur Fauzi.(2013). Sistem Informasi Manajemen. Bandung: PT Remaja Rosdakarya Offset. [2] ISACA.(2008). Maturity Level. Diakses pada 19 Januari 2014, dari http://www.google.com/url?sa=t&rct=j&q=not+existent+initial+repeatable+define d+managed+optimized&source=web&cd=7&cad=rja&ved=0cfaqfjag&url=htt p://www.sfisaca.org/download/cobit_audit_report_template.doc&ei=nlneuplv Mc2jrQfWwICQCw&usg=AFQjCNF_WY7kVYe6WKQJqfgl_uK96k3jg&bvm=bv.59568121,d.bmk. [3] ITGI.(2007). Framework Control Objectives Management Guidelines Maturity Models. Chicago: ISACA. [4] Jean dan Carbonel, Christophe CISA.(2008).Assessing IT Security Governance Through a Maturity Model and the Definition of a Governance Profile.Information System Control Journal, 2(1), 1-4. ISACA. [5] Kemenpora. (2012). Bakuan Audit Keamanan Informasi Kemenpora. Jakarta: Kementrian Pemuda dan Olahraga Republik Indonesia. [6] Kominfo.(2011). Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik Edisi 2.0. Jakarta: Tim Direktorat Keamanan Informasi. [7] Menteri Negara BUMN RI.(2013). Salinan Peraturan Menteri BUMN Nomor: PER-02/MBU/2013 tentang Panduan Penyusunan Pengelolaan TI BUMN. Jakarta: Kementrian BUMN. [8] Sarno, Riyanarto dan Irsyat Iffano.(2009). Sistem Manajemen Keamanan Informasi. Surabaya: ITSPRess. [9] Susanto, Heru dkk.(2011). Information Security Management System Standards:A Comparative Study of the Big Five.International Journal of Electrical & Computer Sciences IJECS-IJENS, 11(5), 23-29. International Journals of Engineering and Sciences. [11] Sutabri, Tata.(2012). Konsep Sistem Informasi. Yogyakarta: Andi. 216

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan