BAB III METODE PENELITIAN. perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapantahapan

dokumen-dokumen yang mirip
BAB III METODE PENELITIAN

DAFTAR ISI ABSTRAK... KATA PENGANTAR... DAFTAR ISI... DAFTAR TABEL... DAFTAR GAMBAR... DAFTAR LAMPIRAN... BAB I PENDAHULUAN... 1

BAB III METODE PENELITIAN. Pada Bab III akan dilakukan pembahasan dimulai dengan profil

BAB III METODE PENELITIAN. audit yang dilaksanakan pada PT. Karya Karang Asem Indonesia.

BAB III METODOLOGI PENELITIAN

BAB IV HASIL DAN PEMBAHASAN

BAB III METODE PENELITIAN. pada Parahita Diagnostic Center. Agar lebih jelasnya tahapan-tahapan yang

BAB III METODE PENELITIAN. audit yang akan dilaksanakan. Dapat dilihat pada Gambar 3.1.

BAB III METODE PENELITIAN

Jurnal Ilmiah Fakultas Teknik LIMIT S Vol.13 No 1 September 2017

BAB II LANDASAN TEORI. organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh komponen

HASIL DAN PEMBAHASAN. Langkah awal dalam tahap perencanaan audit sistem informasi menghasilkan

BAB I PENDAHULUAN. 1.1 Latar Belakang. Rumah Sakit Umum Daerah (RSUD) Bangil Kabupaten Pasuruan

BAB IV HASIL DAN PEMBAHASAN

BAB III METODE PENELITIAN. perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapantahapan

DAFTAR ISI. ABSTRAK... vi. KATA PENGANTAR... vii. DAFTAR ISI... x. DAFTAR TABEL... xiii. DAFTAR GAMBAR... xv. DAFTAR LAMPIRAN...

DAFTAR ISI. ABSTRAK... vi. KATA PENGANTAR... vii. DAFTAR ISI... x. DAFTAR TABEL... xiii. DAFTAR GAMBAR... xv. DAFTAR LAMPIRAN...

Bab I PENDAHULUAN 1.1 Latar Belakang Masalah

DAFTAR ISI ABSTRAK... DAFTAR TABEL... DAFTAR GAMBAR... DAFTAR LAMPIRAN... BAB I PENDAHULUAN Latar Belakang... 1 BAB II LANDASAN TEORI...

BAB I PENDAHULUAN. PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II

BAB II LANDASAN TEORI

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

BAB III METODE PENELITIAN. sistem informasi manajemen rumah sakit berdasar ISO 27002:2005 di RSI

PENILAIAN TATA KELOLA TEKNOLOGI INFORMASI PADA APLIKASI CSBO DENGAN MENGGUNAKAN FRAMEWORK COBIT 4.0

BAB VIII Control Objective for Information and related Technology (COBIT)

AUDIT KEAMANAN SISTEM INFORMASI PADA INSTALASI SISTEM INFORMASI MANAGEMENT (SIM-RS) BERDASARKAN STANDAR ISO

RAHMADINI DARWAS. Program Magister Sistem Informasi Akuntansi Jakarta 2010, Universitas Gunadarma Abstrak

BAB I PENDAHULUAN 1.1 Latar Belakang

BAB I PENDAHULUAN 1.1 Latar Belakang

BAB III METODE PENELITIAN. audit, persiapan audit,pelaksanaan, dan dilanjutkan dengan tahap pelaporan

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah. 1.2 Rumusan Masalah

PENERAPAN KEAMANAN SISTEM INFORMASI STANDAR ISO PADA PT. BPR KARYABHAKTI UGAHARI, TANJUNG MORAWA

AUDIT MANAJEMEN TEKNOLOGI INFORMASI DENGAN MENGGUNAKAN COBIT 4.1 PADA SISTEM TRANSAKSI KEUANGAN

AUDIT SISTEM INFORMASI GRUP ASESMEN EKONOMI DAN KEUANGAN BANK INDONESIA WILAYAH IV DITINJAU DARI IT GOAL 7 MENGGUNAKAN STANDAR COBIT 4.

ABSTRAK. Kata Kunci : Ritel, COBIT 4.1, Analisis Sistem Informasi, Resiko. vi Universitas Kristen Maranatha

1.1 Latar Belakang Masalah

BAB I PENDAHULUAN. 1.1 Latar Belakang. Perguruan Tinggi (PT) merupakan institusi yang memberikan pelayanan

SIMPULAN DAN SARAN. 4.1 Simpulan

BAB I PENDAHULUAN. Salah satu aktivitas penunjang yang cukup penting pada PT sebagai

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

ABSTRAK. Kata kunci : sistem informasi, Teknologi Informasi, perencanaan strategi IT. iii Universitas Kristen Maranatha

Plainning & Organization

PENGUKURAN MANAJEMEN SUMBER DAYA TI DENGAN MENGGUNAKAN METODE COBIT PADA PT.PUPUK SRIWIJAYA PALEMBANG

1.1 Latar Belakang Masalah

AUDIT KEAMANAN SISTEM INFORMASI PADA UNIVERSITAS BINA DARMA PALEMBANG MENGGUNAKAN STANDAR ISO/IEC 27001

Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan

BAB 9. STANDAR DAN PROSEDUR (BAGIAN KEEMPAT)

BAB I PENDAHULUAN. I.1 Latar Belakang. I.2 Perumusan Masalah

Bab I Pendahuluan I. 1 Latar Belakang

BAB III METODE PENELITIAN. Langkah pelaksanaan audit sistem informasi berdasarkan best practice

MODEL TATA KELOLA PENGEMBANGAN PERANGKAT LUNAK DI UNIVERSITAS X MENGGUNAKAN COBIT

ANALISIS TATA KELOLA TI PADA INNOVATION CENTER (IC) STMIK AMIKOM YOGYAKARTA MENGGUNAKAN MODEL 6 MATURITY ATTRIBUTE

DAFTAR ISI CHAPTER 5

Analisis Sistem Informasi ISO dan BAN-PT Mengunakan COBIT 4.0 Studi Kasus PJM STMIK STIKOM Bali

Bab I Pendahuluan. I.1 Latar Belakang

PENERAPAN FRAMEWORK COBIT UNTUK IDENTIFIKASI TINGKAT KEMATANGAN TATA KELOLA TEKNOLOGI INFORMASI: STUDI KASUS DI FASILKOM UNWIDHA

DAFTAR ISI ABSTRAK... KATA PENGANTAR... DAFTAR ISI... DAFTAR TABEL... DAFTAR GAMBAR... DAFTAR LAMPIRAN... xx BAB I PENDAHULUAN...

BAB 4 EVALUASI SISTEM INFORMASI PENGELOLAAN PIUTANG DAN PENERIMAAN KAS PADA PT LI

BAB IV HASIL DAN PEMBAHASAN. 4.1 Pengumpulan Dokumen BSI UMY Penelitian memerlukan dokumen visi dan misi BSI UMY.

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

BAB I PENDAHULUAN. I.1 Latar Belakang

BAB II LANDASAN TEORI. komponen yang terlibat dalam proses bisnis organisasi tersebut ) peranan sistem informasi dalam bisnis, antara lain:

Departemen Hukum dan HAM Republik Indonesia Agustus 2009

BAB 1 PENDAHULUAN. Pada saat sekarang ini operasional bisnis dijalankan dengan. dukungan teknologi informasi. Dengan semakin berkembangnya teknologi

BAB III METODE PENELITIAN

PEMBUATAN STANDARD OPERASIONAL PROSEDUR (SOP) KEAMANAN HARDWARE BERDASARKAN ISO/IEC 27001:2013

BAB IV HASIL DAN PEMBAHASAN. tahap pelaksanaan audit sistem informasi, serta tahap pelaporan audit sistem

1 PENDAHULUAN Latar Belakang

BAB I PENDAHULUAN Latar Belakang

TATA KELOLA TEKNOLOGI INFORMASI

BAB IV HASIL DAN PEMBAHASAN Evaluasi Hasil Pelaksanaan Audit Sistem Informasi

BAB IV HASIL DAN PEMBAHASAN

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

BAB I PENDAHULUAN. ketepatan dan kelengkapan pelayanan terhadap pelanggan. yang terintegrasi yang bernama Integrated Trading System (ITS).

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

Analisa Kesenjangan Tata Kelola Teknologi Informasi Untuk Proses Pengelolaan Data Menggunakan COBIT (Studi Kasus Badan Pemeriksa Keuangan RI)

BAB 1 PENDAHULUAN. oleh suatu perusahaan dengan adanya pemanfaatan sistem informasi yang baik

1. BAB 1 PENDAHULUAN. 1.1 Latar Belakang

TATA KELOLA INFRASTRUKTUR TI DAN NON TI PADA KELAS DI JURUSAN SISTEM INFORMASI

Framework Penyusunan Tata Kelola TI

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO (Studi Kasus: PT. Aneka Jaya Baut Sejahtera) Marliana Halim 1)

ANALISIS TATA KELOLA TEKNOLOGI INFORMASI PADA BAGIAN LOGISTIK PERGURUAN TINGGI (STUDI KASUS: UKSW SALATIGA)

PENGGUNAAN FRAMEWORK COBIT UNTUK MENILAI TATA KELOLA TI DI DINAS PPKAD PROV.KEP.BANGKA BELITUNG Wishnu Aribowo 1), Lili Indah 2)

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

Muhammad Rajab Fachrizal Program Studi Sistem Informasi Universitas Komputer Indonesia

BAB III METODOLOGI PENELITIAN

PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

TUGAS AKHIR. Diajukan Oleh : FARIZA AYU NURDIANI

BAB IV SIMPULAN DAN SARAN

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

BAB I PENDAHULUAN 1.1 Latar belakang

BAB IV HASIL DAN PEMBAHASAN. 4.1 Hasil Perencanaan dan Persiapan Audit Sistem Informasi

LAMPIRAN A Kuesioner I : Management Awareness

LAMPIRAN. A. Hasil kuisioner Proses TI PO2 Menentukan Arsitektur Informasi

BAB III METODOLOGI PENELITIAN

ABSTRAK. Universitas Kristen Maranatha

Transkripsi:

BAB III METODE PENELITIAN Pada Bab III akan dilakukan pembahasan dimulai dengan profil perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapantahapan audit yang akan dilaksanakan sesuai dengan Gambar 2.7 di halaman 31. 3.1 Tahap Perencanaan Audit Sistem Informasi Manajemen Aset Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. melakukan identifikasi proses bisnis, 2. Melakukan penentuan ruang lingkup dan tujuan audit dan 4. Melakukan identification of core TI application and the main IT relevant interfaces. Tahap ini akan menghasilkan pengetahuan tentang proses bisnis TI perusahaan, ruang lingkup dan tujuan yang telah ditentukan serta klausul yang telah ditentukan. 3.1.1 Mengidentifikasi Bisnis dan TI Pada tahapan perencanaan audit, proses pertama yang dilakukan adalah melakukan pemahaman proses bisnis dan TI perusahaan yang diaudit (auditee) dengan mempelajari dokumen-dokumen yang terkait dengan perusahaan. Dokumen tersebut berupa profil perusahaan, standard operating procedure, kebijakan, standar, prosedur, portopolio, arsitektur, infrastruktur, dan aplikasi sistem informasi. Langkah selanjutnya adalah mencari informasi apakah sebelumnya perusahaan telah melaksanakan proses audit. Apabila pernah 34

35 dilakukan audit, maka auditor perlu mengetahui dan memeriksa laporan audit sebelumnya. Untuk menggali pengetahuan tentang auditee langkah yang dilakukan adalah dengan cara mengetahui dan memeriksa dokumen-dokumen yang terkait dengan proses audit, wawancara manajemen dan staff, serta melakukan observasi kegiatan operasional dan teknologi sistem informasi yang digunakan. Output yang dihasilkan pada proses ini adalah profil perusahaan, visi, misi, dan Principle & Management, struktur organisasi, document flow serta bukti dan pernyataan bahwa auditor telah melihat serta mempelajari dokumen yang terkait dengan perusahaan. 3.1.2 Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi kedua pada tahapan perencanaan ini adalah mengidentifikasi ruang lingkup dan tujuan yang akan dibahas dalam audit kali ini. Penentuan ruang lingkup dilakukan dengan cara melakukan observasi pada PT. Varia Usaha Beton. Ruang lingkup yang telah ditentukan akan dipaparkan pada bab IV. Pada peoses ini, langkah yang selanjutnya dilakukan adalah mengidentifikasi tujuan yang berhubungan akan kebutuhan audit sistem informasi ini. Tujuan dari audit sistem informasi manajemen aset ini selanjutnya akan dipaparkan pada bab IV. 3.1.3 Identification of core TI application and the main IT relevant interfaces Pada proses ini langkah yang dilakukan adalah menentukan klausul, obyektif kontrol dan kontrol yang sesuai dengan permasalahan dan kebutuhan

36 PT. Varia Usaha Beton. Klausul, obyektif kontrol dan kontrol yang ditentukan harus berdasarkan kesepakatan antara auditor dengan auditee. ini akan menghasilkan klausul, obyektif kontrol serta kontrol yang telah ditentukan dan disepakati oleh auditor dengan auditee. 3.2 Tahap Persiapan Audit Sistem Informasi Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. Melakukan proses penyusunan audit working plan, 2. Membuat pernyataan, 3. Melakukan pembobotan dan 4. Membuat pertanyaan. Tahap ini akan menghasilkan tabel working plan, pernyataan yang telah dibuat berdasarkan standar ISO 27002, nilai pembobotan pada masing-masing pernyataan serta nilai marturity level dan pertanyaan yang telah dibuat berdasarkan pernyataan. 3.2.1 Penyusunan Audit Working Plan Pada proses membuat audit working plan langkah yang dilakukan adalah membuat daftar semua kegiatan yang akan dilakukan dalam melakukan proses audit, kemudian memasukkan daftar kegiatan tersebut didalam tabel. Contoh audit working plan dapat dilihat pada Tabel 3.1 di halaman 36. No 1 2 Kegiatan Studi Literatur Penentuan ruang lingkup Tabel 3.1 Contoh Audit Working Plan Bulan September Oktober November Desember 1 2 3 1 1 1 1 4 1 2 3 4 1 2 3 4

37 3.2.2 Membuat Pernyataan selanjutnya pada tahapan persiapan audit ini dilakukan dengan membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah ditetapkan berdasarkan standar COBIT 4.1 dan ISO 27002. Pada setiap kontrol keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut. Salah satu contoh pernyataan pada ISO 27002 dapat dilihat pada Tabel 3.2 di halaman 37, sedangkan salah satu contoh untuk pernyataan COBIT 4.1 dapat dilihat pada Tabel 3.3 di halaman 37. Tabel 3.2 Contoh Pernyataan Pada ISO 27002 Klausul 6 Organisasi Keamanan Informasi Tujuan diperlukanya organisasi keamanan informasi yaitu: Memudahkan Pengelolaan SMKI pada PT. Varia Usaha Beton Kontrol Keamanan: 6.1.3 No Pembagian Tanggung Jawab Keamanan Informasi Pernyataan 1 Terdapat pembagian tanggung jawab keamanan informasi yang telah ditetapkan dengan jelas. 2 Kebijakan keamanan informasi telah menyertakan panduan umum dalam pengalokasian peran keamanan di dalam organisasi. Nama Tabel 3.3 Contoh Pernyataan Pada COBIT 4.1 Mengidentifikasi Solusi Otomatis Nomor AI1 No. Pernyataan 1 Organisasi mengidentifikasi kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak, dan data 2 Organisasi mengidentifikasi kebutuhan operasional untuk penerapan seperti sistem, jasa, infrastruktur, perangkat lunak, dan data

38 3.2.3 Melakukan Pembobotan Setelah membuat pernyataan, maka langkah selanjutnya adalah melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan dilakukan berdasarkan perhitungan yang dilakukan oleh Niekerk dan Labuschagne (2006: 7), dengan membagi tingkat pembobotan dalam manajemen menjadi 3 (tiga), yaitu: sangat penting, cukup penting dan kurang penting, seperti terlihat pada Tabel 3.6 dihalaman 39. Didalam Tugas Akhir ini dilakukan dua kali proses pembobotan yaitu pembobotan ISO 27002 dan COBIT 4.1. Hal tersebut dilakukan karena hasilnya pembobotan dan penilaian maturity level tersebut akan di setarakan. Salah satu contoh pembobotan pada ISO 27002 dan beberapa pembobotanya dapat dilihat pada Tabel 3.4 dihalaman 38 sedangkan salah satu pembobotan pada COBIT 4.1 dan beberapa pembobotanya dapat dilihat pada Tabel 3.5 dihalaman 39. Tabel 3.4 Contoh Pembobotan Pada ISO 27002 Kontrol Keamanan: 6.1.1 Komitmen manajemen terhadap keamanan informasi No Pernyataan Hasil Pemeriksaan bobot 1 Terdapat kepemimpinan yang kondusif untuk menyetujui kebijakan keamanan informasi di seluruh tataran organisasi. Kepemimpinan sudah ditetapkan secara kondusif dan telah ditingkatkan terus-menerus melalui pemantauan secara berkala. Bukti: Terdapat struktur organisasi resmi beserta kebijakan perusahaan yang tercantum pada dokumen audit yaitu: Dokumen: Quality manual ISO : 9001:2008 November 2011 0.8

39 Nama Tabel 3.5 Contoh Pembobotan Pada COBIT 4.1 Mendefinisikan Arsitektur Informasi Nomor 0 PO2 Level Kedewasaan No. Pernyataan Bobot 1 Tedapat pengetahuan tentang bagaimana mengembangkan arsitektur informasi 0.80 2 Terdapat keahlian mengembangkan arsitektur informasi 0.80 3 Terdapat pertanggung jawaban dalam mengembangkan arsitektur informasi 0.80 Total Bobot = 2.40 Tabel 3.6 Tingkat Kepentingan dalam Pembobotan Pernyataan No Nilai Kualitatif Skala Keterangan 1 Tinggi 0,70 1,00 Pernyataan tersebut mempunyai peranan yang sangat penting dalam proses sistem informasi 2 Cukup 0,40 0,69 Pernyataan tersebut cukup mempunyai peran dalam proses sistem informasi 3 Rendah 0,00 0,39 Pernyataan tersebut dalam melengkapi peran dalam sistem informasi Sumber: Niekerk dan Labuschagne (2006: 7) 3.2.4 Membuat Pertanyaan Pada proses ini langkah yang dilakukan adalah membuat pertanyaan dari pernyataan yang telah ditentukan sebelumnya. Pada satu pernyataan bisa memiliki lebih dari satu pertanyaan, hal tersebut dikarenakan setiap pertanyaan harus mewakili pernyataan pada saat dilakukan wawancara. Contoh beberapa pertanyaan pada ISO 27002 dapat dilihat pada Tabel 3.7 di halaman 40 sedangkan contoh beberapa pertanyaan pada COBIT 4.1 dapat dilihat pada Tabel 3.8 di halaman 40.

40 Tabel 3.7 Contoh Pertanyaan Pada ISO 27002 Klausul 6 Organisasi Keamanan Informasi Tujuan diperlukanya organisasi keamanan informasi yaitu: Memudahkan Pengelolaan SMKI pada PT. Varia Usaha Beton Kontrol Keamanan: 6.1.1 Komitmen manajemen terhadap keamanan informasi No Pertanyaan 1 Apakah kepemimpinan untuk menyetujui kebijakan keamanan informasi di seluruh tataran organisasi telah kondusif? 2 - Apakah kepemimpinan untuk menetapkan peran keamanan di seluruh tataran organisasi telah kondusif? - Siapakah yang bertangung jawab terhadap keamanan system informasi di seluruh tataran organisasi. Nama Tabel 3.8 Contoh Pertanyaan Pada COBIT 4.1 Mengidentifikasi Solusi Otomatis AI1 No. Pertanyaan 1 Apakah kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi? 2 Apakah kebutuhan operasional untuk penerapan seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi? 3.3 Tahap Pelaksanaan Audit Sistem Informasi Pada tahap ini langkah-langkah yang dilakukan yaitu: 1.Melakukan proses pemeriksaan data dan bukti, 2. Melakukan wawancara, 3. Melakukan uji kematangan dan 4. Melakukan penentuan temuan dan rekomendasi. Tahap ini akan menghasilkan temuan dan bukti, dokumen wawancara, nilai kematangan dan rekomendasi.

41 3.3.1 Pemeriksaan Data dan Bukti Pemeriksaan data dilakukan dengan cara melakukan observasi dan melakukan wawancara kepada auditee sesuai dengan ruang lingkup serta klausul yang telah disepakati oleh PT. Varia Usaha Beton. Wawancara dan observasi dilakukan untuk mendapatkan bukti atau temuan mengenai fakta terkait dengan masalah yang ada. Bukti-bukti tersebut berupa foto dan data. Contoh hasil pemeriksaan ISO 27002 dapat dilihat pada Tabel 3.9 di halaman 41, sedangkan contoh hasil pemeriksaan COBIT 4.1 dapat dilihat pada Tabel 3.10 di halaman 41. Tabel 3.9 Contoh Hasil Pemeriksaan ISO 27002 Kontrol Keamanan: 6.1.1 Komitmen manajemen terhadap keamanan informasi No Pernyataan Hasil Pemeriksaan 1 Terdapat kepemimpin an yang kondusif untuk menyetujui kebijakan keamanan informasi di seluruh tataran organisasi. Kepemimpinan sudah ditetapkan secara kondusif dan telah ditingkatkan terus-menerus melalui pemantauan secara berkala. Bukti: Terdapat struktur organisasi resmi beserta kebijakan perusahaan yang tercantum pada dokumen audit yaitu: Dokumen: Quality manual ISO : 9001:2008 November 2011 Nama Tabel 3.10 Contoh Hasil Pemeriksaan COBIT 4.1 Mengidentifikasi Solusi Otomatis Nomor AI1 No. Pernyataan 1 Organisasi mengidentifikasi kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak, dan data Hasil Pemeriksaan Kebutuhan fungsional telah teridentifikasi dan telah didokumentasikan didalam dokumen pencatatan aset. Bukti: Dokumen pencatatan aset

42 3.3.2 Wawancara Pada proses ini langkah yang dilakukan adalah melakukan wawancara berdasarkan pertanyaan yang telah dibuat. Wawancara dilakukan terhadap pihakpihak yang terlibat dalam eksekusi. Penentuan auditee untuk audit sistem keamanan informasi dilakukan berdasarkan struktur organisasi. Contoh dokumen wawancara ISO 27002 dapat dilihat pada Tabel 3.11 di halaman 42 sedangkan contoh dokumen wawancara COBIT 4.1 dapat dilihat pada Tabel 3.12 di halaman 42. Tabel 3.11 Contoh Dokumen Wawancara pada ISO 27002 Klausul 6 Organisasi Keamanan Informasi Tujuan diperlukanya organisasi keamanan informasi yaitu: Memudahkan Pengelolaan SMKI pada PT. Varia Usaha Beton Kontrol Keamanan: 6.1.3 Pembagian Tanggung Jawab Keamanan Informasi No Pernyataan Pertanyaan Jawaban 1 Terdapat pembagian tanggung jawab keamanan informasi yang telah ditetapkan dengan jelas. - Apakah terdapat pembagian tanggung jawab keamanan informasi yang telah ditetapkan dengan jelas? - Apakah pembagian tanggung jawab tersebut telah dirinci dandidokumentasikan dengan jelas? Ya Ya, untuk database sendiri, anti virus sendiri, keamanan jaringan sendiri, keamanan hardware dan software sendiri. Nama Tabel 3.12 Contoh Dokumen Wawancara pada COBIT 4.1 Mengidentifikasi Solusi Otomatis AI1 No. Pertanyaan 1 Apakah kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi? 2 Apakah kebutuhan operasional untuk penerapan seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi? Jawaban Kebutuhan fungsional telah teridentifikasi dan telah didokumentasikan didalam dokumen pencatatan aset. Seluruh kebutuhan operasional telah diidentifikasi dan didokumentasikan didalam SOP perusahaan.

43 3.3.3 Melakukan Uji Kematangan berikutnya yaitu melakukan uji kematangan berdasarkan metode yang ada pada standar COBIT 4.1. Contoh penilaian kematangan tersebut dapat dilihat pada Tabel 3.13 di halaman 44. Setelah seluruh penentuan nilai telah ditetapkan, maka dapat langkah berikutnya yaitu melakukan perhitungan marturity level pada COBIT 4.1. Contoh kerangka kerja perhitungan marturity level pada COBIT 4.1 dapat dilihat pada Tabel 3.13 di halaman 44. Perhitungan tersebut dilakukan secara bertahap, berikut tahapan yang harus dilakukan adalah: a. Setiap pernyataan pada kontrol keamanan diberikan nilai bobot yang sesuai. b. Dari hasil wawancara didapatkan nilai tingkat kemampuan pada setiap pernyataan. c. Pada setiap pernyataan bobot dikalikan dengan tingkat kemampuan masingmasing. d. Jumlah dari perkalian bobot dan tingkat kemampuan dibagi dengan jumlah bobot yang ada pada seluruh pernyataan dalam satu kontrol keamanan. e. Hasil dari tahapan sebelumnya merupakan nilai tingkat kemampuan pada kontrol keamanan tersebut. Setelah didapatkan perhitungan maturity level pada COBIT 4.1 kemudian dilakukan perhitungan maturity level pada ISO 27002 dengan cara menyetarakan kontrol keamanan antara COBIT 4.1 dengan ISO 27002. Perhitungan maturity level pada ISO 27002 dapat dilihat pada Tabel 3.14 di halaman 44

44 Nama Nomor Tabel 3.13 Contoh Tabel Penentuan Maturity Level Pada COBIT 4.1 Mendefinisikan Arsitektur Informasi PO2 Level Kedewasaa n 0 Tidak Sama Sekali Sedikit Apakah sepakat? Dalam Tingkatan Tertentu Seluruhny a No. Pernyataan Bobot 0.00 0.33 0.66 1.00 1 Tedapat pengetahuan 0.80 tentang bagaimana mengembangkan 0.80 arsitektur informasi 2 Terdapat keahlian 0.53 mengembangkan 0.80 arsitektur informasi 3 Terdapat pertanggung 0.80 jawaban dalam mengembangkan 0.80 arsitektur informasi Total Bobot = 2.40 Tingkat Kepatutan 0.89 Total Nilai 2.13 NILAI ISO/IEC 27002 Classification 6.1 Internal Organisation 6.1.1 Manajement commitment to information security Tabel 3.14 Contoh Tabel Penentuan Maturity Level Pada ISO 27002 Key ISO/IEC 27002 Areas 6.0 Organisation of information security Cobit 4.1 IT Processes Tingkat kemampu an Cobit 4.1 PO3 Determine technological 3.37 3.09 direction. PO4 Define the IT processes, 3.52 organization and relationship. PO6 Communicate 3.44 management aims and direction. DS5 Ensure systems security. 2.3 Tingkat Kemampu an ISO 27002

45 Setelah dihasilkan nilai maturity level ISO 27002 yang didapat dari seluruh penyetaraan rata-rata maturity level pada COBIT 4.1, selanjutnya nilainilai tersebut akan direpresentasikan kedalam diagram jaring yang ada pada Gambar 3.1 di halaman 46. 3.3.4 Penentuan Temuan dan Rekomendasi Pada proses penentuan temuan dan rekomendasi langkah yang dilakukan adalah memeriksa data profil perusahaan, kebijakan, standar, prosedur dan portopolio serta mengobservasi standard operating procedure dan melakukan wawancara kepada auditee. Seluruh aktivitas tersebut menghasilkan bukti (evidence) yang berarti terkait dengan sistem yang berlangsung diperusahaan. Contoh format dari laporan hasil audit keamanan sistem informasi dapat dilihat pada Tabel 3.15 di halaman 45. Klausul 6 Organisasi keamanan informasi. Tabel 3.15 Contoh Laporan Hasil Audit Keamanan Sistem Informasi Objektif Kontrol 6.1 Organisasi internal keamanan informasi. Kontrol Keamanan 6.1.1 Komitmen manajemen terhadap keamanan informasi. Temuan Belum ada pakar keamanan informasi. Rekomendasi - Melakukan observasi terhadap kejadian keamanan informasi.

46 Marturity Level 6.1.1 Komitmen manajemen terhadap keamanan informasi 3.6 3.4 3.2 3 2.8 2.6 6.1.3 Pembagian tangung jawab keamanan informasi 6.1.5 Perjanjian kerahasiaan 6.1.6 Berhubungan dengan vendor atau penyedia SMKI yang resmi 6.2.3 Melibatkan persyaratan keamanan dalam perjanjian dengan pihak ketiga 6.2.2 Akses keamanan dalam 6.2.1 Identifikasi resiko terhadap ubunganya dengan pihak ketiga Gambar 3.1 Contoh Representasi Nilai Marturity level Klausul 6 3.4 Tahap Pelaporan Audit Sistem Informasi Berdasarkan seluruh kertas kerja audit, temuan, dan tanggapan auditee, maka langkah selanjutnya adalah menyusun draft laporan audit sistem informasi manajemen aset sebagai pertanggungjawaban atas penugasan audit sistem informasi manajemen aset yang telah dilaksanakan. Selanjutnya laporan audit ditunjukan kepada pihak yang berhak saja karena laporan audit sistem informasi manajemen aset merupakan dokumen yang bersifat rahasia. Tahap pelaporan audit sistem informasi yang dilakukan dimulai dengan penyusunan draft laporan hasil audit, persetujuan draft laporan hasil audit, dan pelaporan hasil audit.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan