PERENCANAAN DAN IMPLEMENTASI STANDAR ISO : 2013 PADA PT. SINAR SOSRO PALEMBANG

dokumen-dokumen yang mirip
KEBIJAKAN UMUM SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) Pada Instansi Layanan Publik

Langkah langkah FRAP. Daftar Risiko. Risk

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

Penerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA

Harpananda Eka Sarwadhamana/

Manajemen Keamanan Informasi

TENTANG KEBIJAKAN TEKNOLOGI INFORMASI DI UNIVERSITAS INDONESIA REKTOR UNIVERSITAS INDONESIA

BAB I PENDAHULUAN. PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik

Studi Kasus INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB I PENDAHULUAN. 1.1 Gambaran Umum Objek Penelitian

BAB I PENDAHULUAN. perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

BAB I PENDAHULUAN. ketepatan dan kelengkapan pelayanan terhadap pelanggan. yang terintegrasi yang bernama Integrated Trading System (ITS).

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

Tulis yang Anda lewati, Lewati yang Anda tulis..

Pengantar Open Source dan Aplikasi Aspek Keamanan Open Source. Rusmanto at gmail.com Rusmanto at nurulfikri.ac.id

BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

SistemKeamanan Komputer

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom., M.Kom

BAB I PENDAHULUAN. 1.1 Latar Belakang. PT. Gresik Cipta Sejahtera (PT. GCS) adalah perusahaan dengan bisnis inti

PEMERINTAH KABUPATEN GROBOGAN DESA JATILOR KECAMATAN GODONG PERATURAN KEPALA DESA JATILOR NOMOR 6 TAHUN 2012 TENTANG

PENERAPAN KEAMANAN SISTEM INFORMASI STANDAR ISO PADA PT. BPR KARYABHAKTI UGAHARI, TANJUNG MORAWA

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

KEBIJAKAN PRIVASI KEBIJAKAN PRIVASI

MANFAAT PEREALISASIAN TATA KELOLA KEAMANAN INFORMASI BERBASIS SNI ISO/IEC 27001:2009 PADA PRODUKSI FILM ANIMASI (Kasus di PT. XX)

BAB 3 GAMBARAN UMUM SISTEM INFORMASI YANG SEDANG BERJALAN. Keberadaan Departemen Komunikasi dan Informatika (DepKementrian

PT. GRAND BEST INDONESIA

BAB IV SIMPULAN DAN SARAN

EVALUASI MANAJEMEN KEAMANAN INFORMASI MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI) PADA KANTOR WILAYAH DITJEN PERBENDAHARAAN NEGARA JAWA TIMUR

SISTEM INFORMASI MANAJEMEN

EVALUASI MANAJEMEN KEAMANAN INFORMASI MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI) PADA KANTOR WILAYAH DITJEN PERBENDAHARAAN NEGARA JAWA TIMUR

Masalah Keamanan Pada Sistem Mobile

KEAMANAN SISTEM INFORMASI

MAKALAH KEAMANAN INFORMASI. Oleh : Muhammad Shodiqil Khafili Djakfar. Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc

Ketentuan Penggunaan. Pendahuluan

BAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang

PENGUKURAN RISIKO PADA PENERAPAN CLOUD COMPUTING UNTUK SISTEM INFORMASI (Studi Kasus Universitas Bina Darma)

BAB II LANDASAN TEORI

BAB 1 PENDAHULUAN Latar Belakang

BERITA NEGARA KEPALA BADAN EKONOMI KREATIF REPUBLIK INDONESIA

Analisa Manajemen Resiko Keamanan Informasi pada Kantor Pelayanan Pajak Pratama XYZ

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, di Program Studi Teknik Informatika, Universitas Pasundan Bandung

NAMA JABATAN : Kepala Subbagian Operasional Layanan Teknologi Informasi

NIST SP v2: PEDOMAN PANDUAN SISTEM KEAMANAN PUBLIK WEB SERVER

SYARAT DAN KETENTUANNYA ADALAH SEBAGAI BERIKUT:

Materi 5 Keamanan Sistem Informasi 3 SKS Semester 8 S1 Sistem Informasi UNIKOM 2015 Nizar Rabbi Radliya

INFRASTRUCTURE SECURITY

BAB IV SIMPULAN DAN SARAN

Standar Internasional ISO 27001

Pedoman Tindakan Perbaikan. dan Pencegahan serta Pengelolaan. Gangguan Keamanan Informasi

BAB I PENDAHULUAN. Radio Republik Indonesia adalah suatu studio siaran yang

SISTEM MANAJEMEN INTEGRASI/TERPADU

Materi 2 Keamanan Sistem Informasi 3 SKS Semester 8 S1 Sistem Informasi UNIKOM 2015 Nizar Rabbi Radliya

Keamanan Jaringan (Network Security)

INDONESIA SECURITY INCIDENT RESPONSE TEAM ON INTERNET INFRASTRUCTURE. Iwan Sumantri. Wakil Ketua ID-SIRTII/CC Founder JABAR-CSIRT.

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

JURNAL TEKNIK POMITS Vol. 3, No. 2, (2014) ISSN: ( Print) A-228

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

MATERI MUATAN REGULASI INFORMASI DAN TRANSAKSI ELEKTRONIK

Prosedure Keamanan Jaringan dan Data

Syarat dan Ketentuan Layanan Loketraja.com. (Terms and Conditions)

Pengenalan Keamanan Jaringan

MENGUKUR INDEKS KEAMANAN INFORMASI DENGAN METODE OCTAVE BERSTANDAR ISO PADA UNIVERSITAS ALMUSLIM-BIREUEN

Kebijakan Penggunaan Layanan Hosting dan Blog

DENGAN RAHMAT TUHAN YANG MAHA ESA KEPALA DIVISI TEKNOLOGI INFORMASI DAN KOMUNIKASI KEPOLISIAN NEGARA REPUBLIK INDONESIA,

Syarat Dan Ketentuan

Andi Dwi Riyanto, M.Kom

Pertemuan ke 2 Hendra Di Kesuma, S.Kom., M.Cs. Sistem Informasi STMIK BINA NUSANTARA JAYA

AUDIT KEAMANAN SISTEM INFORMASI PADA UNIVERSITAS BINA DARMA PALEMBANG MENGGUNAKAN STANDAR ISO/IEC 27001

Kebijakan Privasi. Kebijakan Privasi Taralite. Informasi yang Kami Kumpulkan dari Anda

Matriks Audit No. Temuan Audit Resiko Temuan Rekomendasi Tindak Lanjut Risk Level

Kebijakan Privasi (Privacy Policy)

EVALUASI KEAMANAN INFORMASI PADA PTI PDAM TIRTA MOEDAL KOTA SEMARANG BERDASARKAN INDEKS KEAMANAN INFORMASI SNI ISO/IEC 27001:2009

2018, No telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Tr

Computer & Network Security : Information security. Indra Priyandono ST

BAB I PENDAHULUAN 1.1. Latar Belakang

EVALUASI KEAMANAN INFORMASI BERBASIS ISO PADA DINAS PENGELOLAAN PENDAPATAN KEUANGAN DAN ASET DAERAH KABUPATEN KARAWANG

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

BAB 4 EVALUASI SISTEM INFORMASI AKTIVA TETAP PADA PT. TRITEGUH MANUNGGAL SEJATI

Tata Kelola Datacenter

PEDOMAN, PERATURAN DAN TATA LAKSANA LAYANAN . Unit Pelayanan Teknis Teknologi Informasi dan Pangkalan Data. Universitas Muhammadiyah Riau

BAB 2 TINJAUAN PUSTAKA

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

Materi 3 Keamanan Sistem Informasi 3 SKS Semester 8 S1 Sistem Informasi UNIKOM 2015 Nizar Rabbi Radliya

SYARAT DAN KETENTUAN LAYANAN MEGA INTERNET

Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi

PERATURAN REKTOR UNIVERSITAS GADJAH MADA NOMOR 21/P/SK/HT/2009 TENTANG LAYANAN , HOSTING, DAN IDENTITAS TUNGGAL UNIVERSITAS (ITU)

W A L I K O T A B E K A S I

BUPATI BELITUNG PERATURAN BUPATI BELITUNG NOMOR 23 TAHUN 2011 TENTANG. PENGEMBANGAN e-government DI LINGKUNGAN PEMERINTAH KABUPATEN BELITUNG

BAB I PENDAHULUAN. Rumah Sakit Islam (RSI) Jemursari adalah sebuah rumah sakit yang berada di

JURUSAN SISTEM INFORMASI Fakultas Teknologi Informasi - ITS

BAB I PENDAHULUAN 1.1. Latar Belakang

PENDAHULUAN Keamanan Komputer Mengapa dibutuhkan?

Oleh :Tim Dosen MK Pengantar Audit SI

Transkripsi:

PERENCANAAN DAN IMPLEMENTASI STANDAR ISO 27001 : 2013 PADA PT. SINAR SOSRO PALEMBANG Imam Cheristian 1, Fatoni 2, Edi Surya Negara 3, Fakultas Ilmu Komputer Universitas Bina Darma Jalan Jenderal Ahmad Yani No.12 Palembang Imam.cheristian31@gmail.com, fatoni@mail.binadarma.ac.id, e.s.negara@mail.binadarma.ac.id Abstract: Information is a valuable asset for the survival of a commercial organization (company), universities, government agencies should be maintained availability, accuracy, and keutuhanya. Research carried out the planning and implementation with the standards ISO: 2013 in PT. Sinar Palembang Sosro using action research study with a reference guide standard ISO 27001: 2013 concerning information security management system. In this research document requirements that must be met in order to maintain consistency of planning the ISMS in this research only limit on documents 1 and 2 because of the expected results in this study is a document security policy, risk assessment, and procedures ISMS will be a reference in research and will facilitate the next stage of research. Keywords: information, information security, ISO 27001: 2013 ISMS, the policy document. Abstrak : Informasi merupakan salah satu aset yang sangat berharga bagi kelangsungan sebuah organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan yang harus dijaga ketersediaan, ketepatan, dan keutuhanya. Penelitian yang dilakukan perencanaan dan implementasi stndar ISO:2013 pada PT. Sinar Sosro Palembang menggunakan metode penelitian action research dengan panduan acuan standar ISO 27001:2013 tentang sistem manajemen kemanan informasi. Pada penelitian ini persyaratan dokumen yang harus dipenuhi untuk menjaga konsistensi perencanaan SMKI di Penelitian ini hanya membatasi pada dokumen 1 dan 2 karena hasil yang diharapkan pada penelitian ini yaitu dokumen kebijakan keamanan, penilaian resiko, dan prosedur SMKI yang akan menjadi acuan pada penelitian dan akan mempermudah pada penelitian tahap selanjutnya. Kata Kunci : Informasi, keamanan informasi, ISO 27001:2013 SMKI, dokumen kebijakan. 1. PENDAHULUAN PT. Sinar Sosro adalah perusahaan yang bergerak dibidang minuman teh. Perusahaan ini merupakan pelopor perusahaan pertama di Indonesia dengan produk teh dalam kemasan. Keamanan merupakan suatu yang menjadi privasi bagi sebuah perusahaan atau organisasi tertentu yang harus wajib dijaga dan dilindungi guna menjaga mutu dan visi dari perusahaan tersebut. Maka dari itu perlunya sebuah 1 standarisasi guna menjaga kemanan dan privasi tersebut, guna untuk melestarikan perkembangan perusahaan. (http://www.sosro.com/in/sejarah perusahaan) Pada saat ini di PT. Sinar Sosro belum ada rencana pembuatan sebuah dokumen sistem manajemen keamanan informasi, dan sebelumnya PT. Sinar Sosro telah mendapatkan sertifikasi ISO 9001 : 2008 tentang manajemen mutu produk, maka dari itu penulis akan melakukan sebuah penelitian tentang

perencanaan dokumen sistem manejemen keamanan informasi ISO 27001 : 2013 pada PT. Sinar Sosro Palembang. Untuk menjaga keamanan dan privasi dari perusahaan maka PT. Sinar Sosro maka pada saat ini diperlukan sebuah perencanaan penyususunan panduan dokumen kebijakan keamanan beserta ruang lingkup dan prosedurnya yang merupakan bagian standar ISO 27001 : 2013 ada beberapa bagian dokumen yang harus dipenuhi untuk menjaga konsistensi pelaksanaan SMKI di PT. Sinar Sosro Palembang dokumen standar yang dibutuhkan yaitu, bagian pertama berisi dokumen kebijakan keamanan, ruang lingkup, penilaian resiko, statement of aplicability (SOA) dan dokumen bagian kedua berisi dokumen prosedur SMKI. Berdasarkan latar belakang yang telah dijelaskan pada sub bab sebelumnya, maka penulis merumuskan permasalahannya yaitu: Bagaimana merencanakan implementasi standar ISO 27001:2013 pada PT. Sinar Sosro Palembang? Adapun tujuan dari penelitian ini adalah membuat perencanaan implementasi standar ISO 27001:2013 pada PT. Sinar Sosro Palembang pada dokumen bagian pertama yang terdiri dari kebijakan keamanan, ruang lingkup, penilaian resiko (risk assesment), dan statement of applicability (SOA) dan bagian kedua tentang prosedur SMKI. Adapun manfaat dari penelitian ini adalah menerapkan sistem manajemen keamanan informasi pada PT. Sinar Sosro Palembang dari bagian pertama : kebijakan keamanan, ruang lingkup, penilaian resiko (risk assesment), dan statement of applicability (SOA) dan bagian kedua tentang prosedurnya 2. METODOLOGI PENELITIAN 2.1. Metode Penelitian Dalam melakukan penelitian ini penulis menggunakan tahapan metode action research yaitu penelitian tindakan merupakan yang bertujuan mengembangkan metode kerja yang paling efisien, sehingga biaya produksi dapat ditekan dan prokdutivitas lembaga dapat meningkat. (Sugiyono,2007:9) Adapun tahapan dalam melakukan penelitian Action Research yaitu sebagai berikut: 1. Melakukan Diagnosis Pada penelitian ini penulis melakukakan persiapan untuk perencanaan penyususunan dokumen ISO 27001 : 2013 di PT. Sinar Sosro pada dokumen bagian 1 yang berisisi kebijakan, ruang lingkup, penilaian resiko dan statement of applicability (SOA) serta dokumen bagian 2 yang berisi tentang prosedur SMKI 2. Membuat Rencana Tindakan Peneliti memahami kesiapan didalam menerapkan ISO 27001 kemudian dilanjutkan dengan menyusun rencana tindakan yang tepat untuk menyelesaikan tahapan-tahapan perencanaan sistem manajemen keamanan informasi yang telah dipersiapkan. Pada tahap ini peneliti melakukan pemhaman tentang dokumen yang akan diambil untuk di implementasikan pada PT. Sinar Sosro dan melakukan survei berkenaan dengan perencanaan sistem manajemen keamanan informasi yang menggunakan standar ISO 27001: 2013 yang akan dianalisis apakah penelitian tersebut dapat dilaksanakan atau tidak. 3. Melakukan Tindakan Peneliti menyusun rencana penerapan pada dokumen bagian 1 dan dokumen bagian 2 yang akan diambil pada sistem manajemen keamanan informasi menggunakan standar ISO 27001:2013. 4. Melakukan Evaluasi 2

Peneliti selanjutnya mengevaluasi kelayakan rencana penerapan sistem manajemen keamanan informasi menggunakan standar ISO 27001:2013 5. Pembelajaran Tahap ini merupakan bagian akhir yang telah dilalui dengan melaksanakan review tahap demi tahapan dan dapat memahami prinsip kerja dari hasil analisi (Sugiyono, 2007:9) 2.2. Metode Pengumpulan Data Adapun metode pengumpulan data yang digunakan dalam penelitian ini sebagai berikut: 1. Metode Observasi (Pengamatan) Observasi adalah metode pengumpulan informasi dengan cara pengamatan atau peninjauan langsung terhadap obyek penelitian, yaitu melakukan pengamatan pada PT. Sinar Sosro Palembang yang terfokus pada teknologi informasi. 2. Metode Wawancara (interfiew). Wawancara dilakukan kepada staff IT di PT. Sinar Sosro dan para staff karyawan yang ada di PT. Sinar Sosro 3. HASIL 3.1 Penilaian Resiko (Risk Assesment) PT. Sinar Sosro harus menentukan bagaimana cara melakukan penilaian resiko (risk assessment) terhadap informasi yang dimiliki oleh PT.Sinar Sosro. Penilaian resiko (risk assesment) merupakan langkah dari proses manajemen resiko. Penilaian risiko bertujuan untuk mengetahui ancaman-ancaman (threat) dari luar yang berpotensi mengganggu keamanan informasi pada PT. Sinar Sosro dan potensial kelemahan (vulnerability) yang mungkin dimiliki oleh informasi di PT. Sinar Sosro. 1. Mengidentifikasi aset yang dimiliki oleh PT. Sinar Sosro sesuai dengan ruang lingkup standar ISO 27001 : 2013 serta menentukan juga pemilik asetnya. 2. Menghitung nilai aset berdasarkan aspek keamanan informasi. 3. Mengidentifikasi ancaman dan kelemahan terhadap aset. 3.2 Menghitung Nilai Aset Menghitung nilai aset adalah menghitung nilai informasi yang dimiliki oleh PT. Sinar Sosro dimana aset yang dihitung hanya informasi yang termasuk dalam ruang lingkup ISO 27001 : 2013 atau SMKI yang telah didefenisikan. Cara menghitung nilai aset berdsarkan aspek keamanan informasi yaitu: Kerahasiaan (confidentiality), Keutuhan (integrity), dan Ketersediaan (Avaibility). Rumus nilai aset : keterangan No NC = Nilai Confidentiality sesuai nilai yang dipilih tabel. NI = Nilai Integrity sesuai nilai yang dipilih tabel NV = Nilai Avaibility sesuai nilai yang dipilih tabel Aset Nilai Aset=NC+NI+NV Kriteria NC NI NV Nilai Aset (NC+NI+NV) 3

1. Server 3 3 2 8 2. Software 3. Hardware 4. Jaringan 5. Data Nama Produk 6. Sistem Informasi email dan web 7. SDM 8. Aplikasi 9. Data karyawan & gaji 10 8 6 4 2 0 2 2 2 6 3 2 1 6 3 2 3 8 3 3 3 9 3 2 2 7 2 2 2 6 3 2 2 6 2 3 2 7 Tabel 3.1 Nilai Aset Nilai Aset Server Software Hardware Jaringan Data Nama Produk Sistem Informasi email dan web SDM Aplikasi Data Karyawan & Gaji Gambar 3.2 diagram Nilai Aset Dari tabel dan diagram diatas dapat disimpulkan bahwa semua aset memerlukan perlindungan menyeluruh. Akan tetapi, kebutuhan keamanan yang paling dominan terdapat pada aset server, aset jaringan, dan aset data nama produk, dengan skor nilai aset (NA) 9 paling tinggi. Sehingga harus dijamin aspek keamanan informasi yang meliputi kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability). 3.3 Identifikasi Ancaman Tabel 3.3 Tabel Identifikasi Ancaman Kejadian Jenis Probabilit as Gangguan sumber daya Gangguan Hardware Gangguan Software virus attack Vulnerab le Rerata probabilit as Low 0,1 Vulnerab le Medium 0,4 Vulnerab Medium 0,4 le Threat High 0,7 Hacker Threat Medium 0,4 akses Threat Medium 0,4 illegal fault logging Threat Medium 0,4 Jumlah Ancaman= 7 Jumlah Rerata Probabilitas 2,8 Rumus Nilai Ancaman : Rumus Nilai Ancaman: = PO / Ancaman = 2,8 /7= 0,4 Berdasarkan hasil dari perhitungan nilai ancaman diperoleh nilai rerata probabilitas yaitu 0,4 yang diklasifikasikan dengan nilai Medium. 3.4 Statement Of Aplicability (SOA) 4

1. Security Policy 2. Organizational Security 3. Asset Clasification & Control 4. Personnel Security 5. Fhysical Environmental 6. Communication and 7. Access Control 8. System Development & 9. Business Continuity 10. Compliance Penyusunan kebijakan dan prosedur keamanan informasi mengacu pada Assessment Checklist yang merupakan kegiatan pada awal proses manajemen keamanan informasi, yang ditujukan untuk mengidentifikasi risiko-risiko beserta bentuk kontrol yang dibutuhkan untuk mengurangi risiko tersebut. (Negara,E.S.(2012). Analisis Dan Perancangan Information Security Management System (Isms) Pada Infrastruktur Jaringan Komputer Universitas Bina Darma) 1.8 1.6 1.4 1.2 0.8 1 0.6 0.4 0.2 0 Hasil Checklist PT. Sinar Sosro 1. Security Policy 2. Organizational Security 3. Asset Clasification & Control 4. Personnel Security 5. Fhysical Environmental Security 6. Communication and Operations Management 7. Access Control 8. System Development & Maintenance 9. Business Continuity Management 10. Compliance Gambar 3.4 diagram checklist Y = Sudah Ada/ Diimplementasikan = nilai (2) T = Belum Ada/Tidak Diimplementasikan= (1)? = Tidak Diketahui/ Ragu-Ragu = (0) Dari hasil diagram di atas menunjukan bahwa nilainya tidak sampai ke angka 2 (dua) itu artinya kebanyakan aset yang ada di lembar daftar checklist yang ada di ISO 27001 : 2013 itu tidak semuanya sudah diimplementasikan oleh 5 PT. Sinar Sosro Palembang. 3.5 Penyusunan Dokumen Kebijakan ISO 27001 : 2013 atau SMKI 3.5.1 Kebijakan Aset Informasi Adapun kebijakan kemanan informasi yang diperoleh. (Diskominfo., 2011., Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik) 1. Seluruh informasi yang disimpan dalam media simpan, ditulis, dicetak, dan dikomunikasikan langsung atau melalui teknologi komunikasi harus dilindungi terhadap kemungkinan kerusakan, kesalahan penggunaan secara sengaja atau tidak, dicegah dari akses oleh user yang tidak berwenang dan dari ancaman terhadap kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability). 2. Kebijakan keamanan informasi harus dikomunikasikan kepada seluruh karyawan dan pihak ketiga terkait melalui media komunikasi yang ada agar dipahami dengan mudah dan dipatuhi. 3. PT. Sinar Sosro harus meningkatkan kepedulian (awareness), pengetahuan serta keterampilan tentang keamanan informasi bagi karyawan. Sosialisasi juga perlu diberikan kepada vendor, konsultan, mitra dan pihak ketiga lainnya sepanjang diperlukan. 3.5.2 Kebijakan Pengendalian Hak Akses 1. Pemberian setiap hak akses, baik lojik maupun fisik (seperti ruang server) harus dibatasi berdasarkan tugas pokok dan fungsi pengguna dan harus disetujui minimum Kepala lab komputer pada PT. Sinar Sosro Palembang. 2. Tingkatan akses harus diberikan dengan

prinsip minimum yang cukup untuk memenuhi kebutuhan staff karyawan yang ada di PT. Sinar Sosro. 3. Hak akses tidak bisa dipinjamkan kepada orang lain. 4. Hak akses karywan yang telah di mutasi atau di phk PT. Sinar Sosro otomatis hak akses tidak ada lagi 5. Hak akses tidak bisa dipinjamkan kepada orang lain. 6. Setiap hak akses pengguna akan ditinjau ulang setiap 6 bulan sekali 7. Tata cara pendaftaran, penutupan dan peninjauan hak akses diatur dalam Prosedur Pengendalian Hak Akses. 8. Setiap pengecualian terhadap kebijakan ini hanya dapat dilakukan atas persetujuan Kepala LAB PT. Sinar Sosro Palembang. 9. Hak akses pihak ketiga a. Vendor, konsultan, mitra, atau pihak ketiga lainnya yang melakukan akses fisik atau lojik ke dalam aset PT. Sinar Sosro harus menandatangani Ketentuan/Persyaratan Menjaga Kerahasiaan Informas. b. Hak akses pihak ketiga hanya diberikan berdasarkan kepentingan PT. Sinar Sosro disahkan melalui kerjasama atau kontrak. c. Seluruh hak akses pihak ketiga harus dibatasi waktunya, dicatat, dan ditinjau penggunaannya (log). d. Seluruh akses yang disediakan bagi p i h a k l u a r PT. Sinar Sosro harus mematuhi kebijakan keamanan informasi. e. Seluruh koneksi pihak ketiga ke dalam network PT. Sinar Sosro harus dibatasi hanya terhadap host dan/atau aplikasi tertentu yang ditetapkan oleh kepala LAB Komputer PT. Sinar Sosro. 10. Pengelolaan Password a. Password minimum terdiri dari 8 karakter kombinasi angka dan huruf serta tidak boleh menggunakan karakter yang mudah ditebak. b. Pengguna harus mengganti default password yang diberikan saat pertama kali mendapatkan hak akses. c. Password tidak boleh diberitahu kepada orang lain, dan tidak boleh ditulis dimedia yang mudah terlihat orang lain. d. Password diganti secara berkala atau segera diganti bila diduga telah diketahui orang lain. Periode penggantian password minimum setiap 180 hari untuk pengguna (email, web, komputer). Sedangkan untuk pengguna sistem (root, admin,server/aplikasi) minimum 60 hari. e. Seluruh default password dan password dari vendor harus diganti segera setelah instalasi selesai atau sistem diserahkan kepada Kepala IT LAB Komputer PT. Sinar Sosro Palembang f. Seluruh default password dan password dari vendor harus diganti segera setelah instalasi selesai atau sistem diserahkan kepada Kepala 3.5.3 Kebijkan Penggunaan Sumber Daya Informasi 3.5.3.1 Kebijakan umum 1. Penggunaan sumber daya sistem informasi harus dimanfaatkan sebesar besarnya untuk kepentingan pekerjaan dan kegiatan menunjang usaha PT. Sinar Sosro Palembang. 2. Setiap penggunaan komputer harus join domain selama fasilitas untuk itu telah disediakan. 3. Seluruh komputer harus dipastikan terpasang software antivirus terkini. 6

4. Pengguna dilarang meminjamkan User ID dan password miliknya kepada orang lain. Penyalahgunaan User ID menjadi tanggungjawab pemiliknya. 5. Pengguna dilarang menggunakan User ID atau fasilitas sistem informasi untuk kegiatan yang dapat menggangggu kinerja jaringan, mengurangi keandalan sistem informasi, atau mengganggu operasional layanan TI. 3.5.3.2 Penggunaan Internet 1. Akses Internet diberikan untuk mendorong karyawan mengakses sumber informasi yang dapat meningkatkan kompetensi dan kinerjanya. 2. Pengguna harus sadar bahwa penggunaan Internet mengandung beberapa risiko, antara lain: a. Pencurian, pengubahan atau penghapusan informasi oleh pihak yang tidak berwenang. b. Penyusupan (instrusion) oleh pihak yang tidak berwenang ke dalam sistem informasi PT. Sinar Sosro. c. Terserang virus 3. Akses internet tidak boleh digunakan untuk, antara lain : a. Mengunjungi situs (website) yang mengandung unsur pornografi, mendorong tindak terorisme / kriminal atau tindakan pelanggaran hukum lainnya. b. Mengakses facebook, twitter, atau situs jejaring social lainnya c. Mengunduh file audio, video, file dengan extensi.exe atau.com atau file executable lainnya kecuali berwenang untuk itu. 7 d. Mengunduh software yang melanggar ketentuan lisensi/ standar software yang ditetapkan PT. Sinar Sosro. 3.5.3.3 Penggunaan Email 1. Email harus digunakan sebagai fasilitas pertukaran informasi bagi kelancaran tugas dan pekerjaan pengguna bagi kepentingan instansi / lembaga. 2. Setiap pengguna harus mematuhi etika penggunaan email dan bertanggung jawab atas setiap tindakan terkait email. 3. Pengguna dilarang membaca email orang lain tanpa sepengetahuan pemiliknya. 4. Pengguna harus memastikan bahwa lampiran (attachment) file yang diterima dari email aman dari serangan virus. 5. Email atau posting pengguna ke suatu newsgroup, chat room (messenger), atau forum sejenis lainnya, bukan merupakan pernyataan resmi PT. Sinar Sosro kecuali sudah mendapat persetujuan pejabat yang berwenang. 6. Pengguna dilarang menggunakan e-mail untuk: a. Menyebarkan fitnah, menghina atau melecehkan orang / pihak lain, mengandung unsur SARA, menyebarkan iklan pribadi atau menyebarkan SPAM. b. Menyebarkan virus, worm, trojan, Denial of Service (DoS), atau software sejenis yang dapat mengganggu kinerja email dan jaringan. 7. Pencantuman identitas pengirim / sender a. Gunakan email PT. Sinar Sosro untuk komunikasi resmi yang

berhubungan dengan PT. Sinar Sosro. b. Identitas email pengguna ditetapkan oleh administrator. 8. Lampiran (attachement) a. Pengiriman lampiran dalam email dibatasi maksimum 5 MB. Lampiran email yang sudah melebihi 5 MB akan di-disbale oleh administrator. 3.6 Prosedur Pengendalian Hak Akses 3.6.1 Tujuan 1. Mengendalikan pendaftaran (registrasi), penghapusan (de-registrasi) dan peninjauan hak akses terhadap ruangan server dan sistem informasi. 2. Mengendalikan agar hak akses hanya diberikan kepada karyawan atau staff berwenang. 3.6.2 Ruang Lingkup Prosedur ini berlaku untuk akses terhadap: Ruang Server, Fasilitas email dan Internet, Aplikasi, basis data, sistem operasi. akses secara tepat. 2. Mengajukan persetujuan kepada Manajer Unit Kerjanya. 3.6.3 Manajer Unit Kerja 1. Memverifikasi dan menyetujui permintaan kemudian meneruskan kepada Service Desk. 2. Service Desk Mencatat dan meneruskan permintaan ke Administrator. 3.6.4 Administrator 1. Memverifikasi permintaan secara administratif 2. Membuat rekomendasi persetujuan atau penolakan terhadap permintaan. 3.6.5 Manajer Operasional IT PT. Sinar Sosro 1. Memverifikasi dan menyetujui permintaan administrator meneruskan kepada Service Desk. 2. Service Desk Mencatat dan meneruskan permintaan ke Administrator. 3. Memverifikasi permintaan secara administratif 4. Membuat rekomendasi persetujuan atau penolakan terhadap permintaan. 3.6.6 Administrator 1. Memberikan atau menghapus hak akses sesuai penugasan manajer operasional IT. 3.6.7 Service Desk Gambar 3.5 Prosedur Pengendalian Hak Akses 1. Menginformasikan status permintaan kepada pemohon. 1. Mengisiformulir Pendaftaran/penghapusan 8 3.6.8 Pemohon

1. Menerima status permintaan 4. KESIMPULAN Kesimpulan yang diambil dari penelitian ini adalah bahwa PT. Sinar Sosro belum ada dokumen keamanan sehingga penelitian ini menghasilkan sebuah dokumen perencanaan SMKI yang mengacu pada standar ISO 27001 : 2013 berdasarkan hasil penelitian yang diperoleh saat ini ialah: 1. Identifikasi penilaian resiko yang terjadi pada PT. Sinar Sosro Palembang 2. Menghasilkan penilaian statement of assessment checklist yang menggunakan kontrol akses standar ISO 27001 : 2013. 3. Menghasilkan dokemen kebijakan sistem menajemen keamanan informasi DAFTAR PUSTAKA Diskominfo. 2011. Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik http://www.sosro.com/in/sejarahperusahaan Negara,E.S.(2012). Analisis Dan Perancangan Information Security Management System (Isms) Pada Infrastruktur Jaringan Komputer Universitas Bina Darma Rosmiani.,A,.(2014) Pengertian Metode Action Research,. Perencanaan Sistem Manajemen Keamanan Informasi Menggunakan Standar Iso 27001:2013 (Studi Kasus: Universitas Bina Darma Palembang) Sarno, R. dan Iffano, I. 2009. Sistem Manajemen Keamanan Informasi. Surabaya: ITS Press. Sugiyono, 2007 : 9., Metode Penelitian Action Research. 9

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan