BAB IV HASIL DAN PEMBAHASAN

dokumen-dokumen yang mirip
DAFTAR ISI. ABSTRAK... vi. KATA PENGANTAR... vii. DAFTAR ISI... x. DAFTAR TABEL... xiii. DAFTAR GAMBAR... xv. DAFTAR LAMPIRAN...

BAB III METODE PENELITIAN. audit yang dilaksanakan pada PT. Karya Karang Asem Indonesia.

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

BAB IV HASIL DAN PEMBAHASAN. 4.1 Hasil Perencanaan dan Persiapan Audit Sistem Informasi

BAB III METODE PENELITIAN

BAB IV HASIL DAN PEMBAHASAN

BAB I PENDAHULUAN. PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik

DAFTAR ISI ABSTRAK... KATA PENGANTAR... DAFTAR ISI... DAFTAR TABEL... DAFTAR GAMBAR... DAFTAR LAMPIRAN... BAB I PENDAHULUAN... 1

BAB III METODE PENELITIAN. perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapantahapan

BAB III METODE PENELITIAN. pada Parahita Diagnostic Center. Agar lebih jelasnya tahapan-tahapan yang

DAFTAR ISI. ABSTRAK... vi. KATA PENGANTAR... vii. DAFTAR ISI... x. DAFTAR TABEL... xiii. DAFTAR GAMBAR... xv. DAFTAR LAMPIRAN...

BAB III METODE PENELITIAN. sistem informasi manajemen rumah sakit berdasar ISO 27002:2005 di RSI

BAB III METODE PENELITIAN. Pada Bab III akan dilakukan pembahasan dimulai dengan profil

HASIL DAN PEMBAHASAN. Langkah awal dalam tahap perencanaan audit sistem informasi menghasilkan

BAB III METODOLOGI PENELITIAN

BAB III METODE PENELITIAN. audit yang akan dilaksanakan. Dapat dilihat pada Gambar 3.1.

BAB III METODE PENELITIAN. perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapantahapan

Standar Internasional ISO 27001

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB I PENDAHULUAN. ketepatan dan kelengkapan pelayanan terhadap pelanggan. yang terintegrasi yang bernama Integrated Trading System (ITS).

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

BAB III METODE PENELITIAN

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

PENERAPAN KEAMANAN SISTEM INFORMASI STANDAR ISO PADA PT. BPR KARYABHAKTI UGAHARI, TANJUNG MORAWA

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

BAB I PENDAHULUAN. 1.1 Latar Belakang. Rumah Sakit Umum Daerah (RSUD) Bangil Kabupaten Pasuruan

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

BAB III PROFIL PERUSAHAAN

BAB 3 ANALISIS SISTEM INFORMASI BERJALAN

BAB IV HASIL DAN PEMBAHASAN

BAB III METODOLOGI PENELITIAN

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

BAB 4 PEMBAHASAN. Pembahasan audit operasional atas fungsi pembelian dan pengelolaan bahan

DAFTAR ISI ABSTRAK... KATA PENGANTAR... DAFTAR ISI... DAFTAR TABEL... DAFTAR GAMBAR... DAFTAR LAMPIRAN... xx BAB I PENDAHULUAN...

BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.

PROSEDUR AUDIT. Kegiatan Realisasi PIC Tanggal. 1. Perencanaan Audit. Menetapkan ruang lingkup dan tujuan. Mengorganisasikan tim audit.

KUESIONER. Nama Responden. Bagian/Jabatan

BAB IV SIMPULAN DAN SARAN

BAB IV HASIL DAN PEMBAHASAN. 4.1 Tahapan Perencanaan Audit Sistem Informasi. perjanjian audit berupa surat perjanjian audit atau Engagement Letter.

CODES OF PRACTICE. Dokumen: Codes of Practice Edisi / Rev: 1 / 2 Tanggal: 03 April 2017 Hal : Hal 1 dari 7

BAB V HASIL RANCANGAN MODEL

Langkah langkah FRAP. Daftar Risiko. Risk

PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )

Oleh :Tim Dosen MK Pengantar Audit SI

CODES OF PRACTICE. 1. Pendahuluan

BAB 3 ANALISIS SISTEM YANG SEDANG BERJALAN

BAB II GAMBARAN UMUM PERUSAHAAN. 2.1 Sejarah Singkat PT Kasa Husada Wira Jatim

BAB II PROSES BISNIS

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG DAGANG PADA PT. DISTRIVERSA BUANAMAS

TABEL 1 DAFTAR PERTANYAAN EFEKTIVITAS AUDIT INTERNAL

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

Deskripsi Kerja Usulan Struktur Organisasi Saat Ini

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO (Studi Kasus: PT. Karya Karang Asem indonesia) Felix Nugraha K 1)

PIAGAM INTERNAL AUDIT

V. Hasil 3.1 Proses yang sedang Berjalan

BAB I PENDAHULUAN. 1.1 Latar Belakang. Sekarang ini Teknologi Informasi (TI) bukanlah hal baru, khususnya pada

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

LAMPIRAN SURAT EDARAN DIREKTUR JENDERAL PAJAK NOMOR : SE-5/PJ/2011 TENTANG : AUDIT INTERNAL TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI

BAB I PENDAHULUAN. Gangguan Jaringan Listrik, Komputer dan Komunikasi Persuahaan Listrik X Desember 2014)

BAB V SISTEM MANAJEMEN LINGKUNGAN

Dosen : Lily Wulandari

BAB 1 PENDAHULUAN. giat untuk meningkatkan kinerjanya agar dapat memenuhi permintaan tersebut. Banyak

BAB IV SIMPULAN DAN SARAN

bdtbt.esdm.go.id Evaluasi Sistem informasi Dalam Organisasi Berdasarkan pendekatan Facilitated Risk Analysis and Assessment Process 1.

SISTEM PENGENDALIAN INTERN PEMBELIAN BAHAN BAKU DALAM MENUNJANG KELANCARAN PROSES PRODUKSI

J udul Dokumen : R IWAYAT REVISI MANUAL SISTEM MANAJEMEN K3 MANUAL K3 M - SPS - P2K3. Perubahan Dokumen : Revisi ke Tanggal Halaman Perubahan

BAB 1 PENDAHULUAN. Peran teknologi informasi di era globalisasi ini dinilai sangat penting bagi

TATA KELOLA INFRASTRUKTUR TI DAN NON TI PADA KELAS DI JURUSAN SISTEM INFORMASI

BAB IV SIMPULAN DAN SARAN

Kesepakatan Tingkat Layanan Service Level Agreement (SLA)

Inititating Process Group

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA PT. ABC

BAB 3 DESKRIPSI DAN PENGENDALIAN SISTEM YANG BERJALAN PADA PT CATRA NUSANTARA BERSAMA

BAB 4 EVALUASI SISTEM INFORMASI PADA PT CATRA NUSANTARA BERSAMA. 4.1 Hasil Evaluasi Terhadap Pengendalian Manajemen

BAB III. Penelitian merupakan serangkaian aktivitas yang dilakukan secara sitematis, logis

BADAN METEOROLOGI, KLIMATOLOGI DAN GEOFISIKA STASIUN METEOROLOGI KELAS I FRANS KAISIEPO BIAK PEDOMAN MUTU PEDOMAN MUTU

BAB 2 LANDASAN TEORI

LAMPIRAN. Universitas Sumatera Utara

BAB 1 PENDAHULUAN. begitu cepat, menyebabkan setiap perusahaan baik yang bergerak di bidang barang atau

DOKUMENTASI SISTEM MANAJEMEN MUTU ISO 9001:2000

BAB I PENDAHULUAN. perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya

BAB III METODE PENELITIAN

PIAGAM (CHARTER) AUDIT SATUAN PENGAWASAN INTERN PT VIRAMA KARYA (Persero)

BAB I PENDAHULUAN. maju dapat dilihat dari mutu pendidikannya. Menurut data Organisasi Pendidikan,

Manual Prosedur. Audit Internal

KEMENTERIAN KEUANGAN REPUBLIK INDONESIA DIREKTORAT JENDERAL BEA DAN CUKAI PERATURAN DIREKTUR JENDERAL BEA DAN CUKAI NOMOR PER- 7/BC/2012 TENTANG

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II

LAMPIRAN. A. Hasil kuisioner Proses TI PO2 Menentukan Arsitektur Informasi

ANALISIS TATA KELOLA TEKNOLOGI INFORMASI PADA BAGIAN LOGISTIK PERGURUAN TINGGI (STUDI KASUS: UKSW SALATIGA)

BAB 3 SISTEM YANG SEDANG BERJALAN

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN

PIAGAM SATUAN AUDIT INTERNAL

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

BAB 4. SIMPULAN DAN SARAN

BAB 3 GAMBARAN UMUM PERUSAHAAN

BAB I PENDAHULUAN Latar Belakang Sejarah Organisasi. Didirikan pada tahun 1987, PT Sigma Cipta Caraka

Transkripsi:

BAB IV HASIL DAN PEMBAHASAN Pada bab ini diuraikan tentang analisa hasil dan pembahasan dari tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit kontrol akses sistem informasi, serta tahap pelaporan akhir audit kontrol akses sistem informasi. Temuan-temuan yang belum sesuai dengan standar implementasi yang digunakan diberikan rekomendasi. 4. Hasil Perencanaan dan Persiapan Audit Sistem Informasi Tahap perencanaan dan persiapan ini adalah tahap awal yang dilakukan pada proses audit. Langkah ini dilakukan untuk memastikan bahwa pihak perusahaan yang diaudit telah memberikan kewenangan dan mempersiapkan segala sesuatu demi kelancaran pelaksanaan audit yang akan dilakukan. 4.. Hasil Identifikasi Proses Bisnis dan TI Dari hasil identifikasi yang telah dilakukan maka diperoleh gambaran umum perusahaan mulai dari profil perusahaan, visi dan misi perusahaan, struktur organisasi, serta gambaran umum lingkungan TI yang ada. ) Profil Perusahaan Audit dilakukan di PT Karya Karang Asem Indonesia merupakan induk perusahaan dalam bidang usaha daur ulang. Sampai saat ini PT Karya Karang Asem Indonesia mempunyai beberapa anak cabang perusahaan sejenis di beberapa daerah Jawa dan sekitarnya. PT Karya Karang Asem Indonesia 65

66 khususnya pada daerah Sedati, Sidoarjo merupakan pusat dari seluruh cabang yang memproduksi biji plastik dalam berbagai jenis dan tipe, perusahaan ini memproduksi antara lain PP YRC hijau, PP YRC merah, PP YRC hitam, PP YRC biru dan sebagainya. PT. Kuyang Putra Perkasa secara resmi mendirikan unit usaha sampingannya yaitu PT. Karya Karang Asem Indonesia pada tahun 992. KKAI bertugas menghancurkan sampah, menjadikannya biji plastik dan menjadi perusahaan yang berdiri sendiri yaitu PT. Karya Karang Asem Indonesia pada tahun 993. Kemudian, pada tahun 994 PT. Karya Karang Asem Indonesia menyerahkan pengelolaan sampah jenis kusus untuk dikelola oleh PT. Karya Agung. Pada tahun 200 PT. Karya Karang Asem Indonesia mengembangkan berbagai jenis baru biji plastik di beberapa kota dipulau Jawa. Seiring dengan pertumbuhan ekonomi yang cukup tinggi dan pesatnya perkembangan sektor industri plastik, khususnya perabotan rumah tangga dan barang-barang elektronik dari plastik, PT Karya Karang Asem Indonesia ikut berpartisipasi melalui usaha penyediaan bahan dasar perusahaan-perusahaan tersebut seperti PP YRC hijau, PP YRC merah, PP YRC hitam, PP YRC biru dan sebagainya. Dengan didukung staf karyawan yang berpengalaman di bidang daur ulang sampah plastik, peralatan-peralatan daur ulang yang tepat serta fasilitas perusahaan yang senantiasa mengutamakan kepuasan dan kepercayaan pelanggan, dengan menjamin bahwa produk yang dihasilkan dapat memenuhi mutu yang diinginkan, penyerahan produk yang konsisten dalam segala kondisi serta harga yang bersaing dibanding pemasok lain.

67 2) Visi, Misi, dan Prinsip Manajemen PT. Karya Karang Asem Indonesia Dengan didukung staf karyawan yang berpengalaman di bidang daur ulang, peralatan-peralatan yang tepat guna serta fasilitas perusahaan yang memadai dan senantiasa mengutamakan kepuasan dan kepercayaan pelanggan, dengan menjamin bahwa produk yang dihasilkan dapat memenuhi mutu yang diinginkan, penyerahan produk yang konsisten dalam segala kondisi serta harga yang bersaing dibanding supplier lain maka ditetapkan visi, misi dan principle & management perusahaan sebagai berikut: VISI Menerapkan standart manajemen mutu untuk tetap menjaga kepuasan konsumen atas produk yang dihasilkan. MISI Menjadi salah satu perusahaan terbesar yang turut serta menjaga dan melestarikan lingkungan dengan cara mengolah berbagai jenis plastik menjadi end product yang berguna bagi masyarakat secara globalisasi. PRINSIP MANAJEMEN Penerapan manajement PT. Karya Karang Asem Indonesia didasarkan pada kepercayaan pada para karyawannya bahwa setiap karyawan wajib mempunyai komitmen untuk bekerja sebaik dan semaksimal mungkin bagi nama baik perusahaan yang menaungi mereka. Hal ini merupakan keyakinan dari filosofis perusahaan, bahwa apabila PT. Karya Karang Asem Indonesia berhasil memberikan produk bahan baku yang tepat guna bagi masyarakat, berarti para karyawannya telah melakukan hal yang positif bagi nama baik perusahaannya. Hal ini merupakan gengsi tersendiri bagi para karyawan PT KKAI. Sehingga

68 dapat di simpulkan bahwa semua karyawan ikut berperan dalam pencapaian sukses perusahaan. Struktur perusahaan sangat sederhana dan sehingga mudah melakukan koordinasi bagi semua karyawan perusahaan. Sehingga bisa bertemu langsung dengan kepala bagian di setiap divisi sehingga berakibat dapat merespon lebih cepat. 3) Struktur Organisasi PT. Karya Karang Asem Indonesia merupakan anak usaha dari PT. Kuyang Putra Perkasa. Sampai saat ini PT. Karya Karang Asem Indonesia mempunyai cabang di beberapa daerah di pulau Jawa. Secara fungsional maka struktur organisasi PT. Karya Karang Asem Indonesia dapat dilihat pada Gambar 4. di halaman 69. 4) Gambaran PT. Karya Karang Asem Indonesia PT. Karya Karang Asem Indonesia memiliki kantor pusat di Jl. Raya Pabean No.77, Sedati Sidoarjo. Sebagai kantor pusat, PT. Karya Karang Asem Indonesia sangat berperan penting dalam memanajemen keamanan informasi, karena plant di seluruh Indonesia akan mengirimkan dan mengakses data-data kepada pusat dengan rentang waktu tertentu. Aplikasi SDCI yang dimiliki oleh PT. Karya Karang Asem Indonesia sudah beroperasi secara online dengan menggunakan server yang berada di kantor pusat. PT Karya Karang Asem Indonesia memiliki server utama, yang di letakkan di lantai 2 perusahaan tersebut. Dengan demikian, sebagai kantor pusat yang memiliki seluruh informasi

69 perusahaan yang ada harus memiliki backup dan recovery yang berjalan dengan baik. Direktur Divisi Sistem Informasi (IT) Divisi Pembelian Divisi HRD Divisi Marketing Divisi Produksi Accountant Kepala Bagian Sistem informasi (IT) Kepala Bagian Pembelian Kepala Bagian HRD Kepala Bagian Marketing Kepala Bagian Produksi Karyawan Bagian Akuntansi Karyawan Bagian IT Karyawan Bagian Pembelian Karyawan Bagian HRD Karyawan Bagian Marketing Karyawan Bagian Produksi Karyawan Gudang Barang Jadi Karyawan Pemilah Bahan Baku Bahan Baku Kotor Bahan Baku Bersih Gambar 4. Struktur Organisasi PT. Karya Karang Asem Indonesia 4..2 Hasil Menentukan Ruang Lingkup dan Tujuan Audit Setelah dilakukan observasi maka hasil yang diperoleh adalah penetapan ruang lingkup audit yaitu sistem informasi standar yang digunakan adalah ISO 27002. Dari tahap identifikasi ini dihasilkan juga pemetaan klausul, objektif kontrol, dan kontrol keamanan yang telah disepakati oleh PT. KKAI. Klausul yang digunakan adalah Klausul tentang Kontrol Akses kecuali bagian kontrol akses jaringan dan teleworking. Detail struktur dokumen keamanan ISO/IEC 27002 dapat dilihat pada Lampiran. Klausul, objektif kontrol, dan kontrol keamanan yang telah ditetapkan dapat dilihat pada Tabel 4. di halaman 70.

70 Kontrol akses Tabel 4. Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002 yang Telah Dipetakan Klausul Objektif Kontrol Kontrol Keamanan... Persyaratan bisnis Kebijakan kontrol akses untuk kontrol akses.2 Manajemen akses user.3 Tanggung jawab pengguna.5 Kontrol akses sistem operasi.6 Kontrol akses informasi dan aplikasi.2. Registrasi pengguna.2.2 Manajemen hak istimewa atau khusus.2.3 Manajemen password.2.4 Tinjauan terhadap hak akses user.3. Penggunaan password.3.2 Peralatan pengguna yang tidak dijaga.3.3 Kebijakan clear desk dan clear screen.5. Prosedur log-on yang aman.5.2 Identifikasi dan otentifikasi user.5.3 Manajemen password.5.4 Penggunaan utilities sistem.5.5 Sesi time-out.5.6 Batasan waktu koneksi.6. Pembatasan akses informasi.6.2 Isolasi sistem yang sensitif

7 4..3 Hasil Menentukan Metode dan Pembuatan Proposal ke Perusahaan Pada audit kontrol akses sistem informasi di PT. KKAI ini menggunakan metode audit kepatutan dengan acuan ISO 27002 sebagai pedomannya serta melakukan wawancara, observasi, dan pemeriksaan sebagai teknik pelaksanaan audit. Setelah menentukan metode dan merancang perencanaan audit, selanjutnya membuat proposal yang berisi kesepakatan antara auditor dengan pihak perusahaan dan mengajukan permintaan kebutuhan data. Lampiran proposal yang telah disetujui oleh PT. KKAI dapat dilihat pada Lampiran 2. Hasil dari tahap ini adalah pemetaan klausul, objektif kontrol dan kontrol keamanan. 4..4 Hasil Penentuan Auditee Sebelum audit kontrol akses sistem informasi dilakukan terlebih dahulu menentukan bagian mana di perusahaan yang akan diaudit atau yang disebut auditee. Tabel 4.2 menunjukkan bagian yang akan diwawancara berdasarkan klausul yang telah ditentukan. Tabel 4.2 Hasil Penentuan Auditee Klausul Deskripsi Auditee Keterangan Kontrol Akses Bagian pengembang Responsible aplikasi Project manager Accountable programmer Consulted 4..5 Hasil Penentuan Jadwal Audit (Rencana Kerja Audit) Hasil dari proses penyusunan rencana kerja audit berupa tabel yang berisi tentang aktifitas yang dilakukan selama audit berlangsung. Pelaksanaan audit

72 kontrol akses sistem informasi dilakukan secara bertahap sesuai dengan jadwal yang dapat dilihat pada Tabel 4.3. No Tabel 4.3 Jadwal Kegiatan Audit (Audit Working Plan) Kegiatan Studi Literatur Penentuan ruang 2 lingkup 3 Pengumpulan Bukti: Peninjauan Struktur Organisasi Peninjauan kebijakan dan prosedur yang terkait dengan TI Peninjauan standar yang terkait dengan TI Peninjauan dokumentasi pengelolaan SI/TI Wawancara Bulan April Mei Juni Juli 2 3 4 2 3 4 2 3 4 2 4 5 6 7 Pengobservasian proses dan kinerja karyawan Pelaksanaan uji kepatutan Penentuan tingkat kematangan Penentuan hasil audit Penyusunan laporan audit

73 4..6 Hasil Pembuatan Pernyataan Hasil dari proses membuat pernyataan berapa tabel yang berisi rincian pernyataan yang telah disesuaikan dengan standar ISO 27002. Pernyataan yang telah dibuat dapat dilihat pada Tabel 4.4. Tabel 4.4 Hasil Pernyataan pada Kontrol Kebijakan Kontrol Akses Klausul Kontrol Akses Kategori Keamanan Utama:. Persyaratan bisnis untuk akses kontrol Kontrol Keamanan:.. Kebijakan Kontrol Akses No Pernyataan Terdapat persyaratan bisnis kontrol akses yang telah ditetapkan dan didokumentasikan. Terdapat peraturan dan hak kontrol akses untuk setiap pengguna yang 2 telah dinyatakan dengan jelas dalam suatu pernyataan kebijakan tentang akses. Pengguna dan penyedia layanan telah diberi satu pernyataan 3 persyaratan bisnis yang jelas yang harus dipenuhi untuk pengontrolan akses. 4 Terdapat persyaratan keamanan dari aplikasi bisnis perorangan. Terdapat identifikasi dari seluruh informasi yang berhubungan dengan 5 aplikasi bisnis. Terdapat kebijakan diseminasi dan otorisasi informasi. misalnya 6 kebuuhan untuk mengetahui prinsip dan tingkat keamanan serta klasifikasi informasi. Terdapat peraturan yang relevan terkait dengan perlindungan akses ke 7 data atau layanan. Terdapat kewajiban kontrak yang terkait dengan perlindungan akses ke 8 data atau layanan. Terdapat profil standar akses pengguna untuk kategori pekerjaan yang 9 umum. Terdapat manajemen hak akses dilingkungan yang terdistribusi dan 0 terjaring yang mengatur semua jenis koneksi yang tersedia. Hasil pernyataan pada klausul kontrol keamanan yang terdiri dari.2. sampai dengan.6.2 dapat dilihat pada Lampiran 3.

74 4..7 Hasil Pembuatan Pertanyaan Hasil dari proses pembuatan pertanyaan ini adalah tabel yang berisi pertanyaan sesuai dengan pernyataan yang telah dibuat pada proses sebelumnya. Pertanyaan yang telah dibuat akan diperlukan untuk mendukung saat wawancara. Pertanyaan yang telah dibuat dapat dilihat pada Tabel 4.5. Tabel 4.5 Hasil Pertanyaan pada Kontrol Kebijakan Kontrol Akses Klausul Kontrol Akses Kategori Keamanan Utama:. Persyaratan bisnis untuk akses kontrol Kontrol Keamanan:.. Kebijakan Kontrol Akses No Pernyataan Pertanyaan 2 3 4 5 6 Terdapat persyaratan bisnis kontrol akses yang telah ditetapkan dan didokumentasikan. Terdapat peraturan dan hak kontrol akses untuk setiap pengguna yang telah dinyatakan dengan jelas dalam suatu pernyataan kebijakan tentang akses. Pengguna dan penyedia layanan telah diberi satu pernyataan persyaratan bisnis yang jelas yang harus dipenuhi untuk pengontrolan akses. Terdapat persyaratan keamanan dari aplikasi bisnis perorangan. Terdapat identifikasi dari seluruh informasi yang berhubungan dengan aplikasi bisnis. Terdapat kebijakan diseminasi dan otorisasi informasi. misalnya kebuuhan untuk mengetahui prinsip dan tingkat keamanan serta klasifikasi informasi. Apakah terdapat persyaratan bisnis kontrol akses yang telah ditetapkan dan didokumentasikan? Apakah terdapat peraturan dan hak kontrol akses untuk setiap pengguna yang telah dinyatakan dengan jelas dalam suatu pernyataan kebijakan tentang akses? Apakah pengguna dan penyedia layanan telah diberi satu pernyataan persyaratan bisnis yang jelas yang harus dipenuhi untuk pengontrolan akses? Apakah terdapat persyaratan keamanan dari aplikasi bisnis perorangan? Apakah terdapat identifikasi dari seluruh informasi yang berhubungan dengan aplikasi bisnis? Apakah terdapat kebijakan diseminasi dan otorisasi informasi. misalnya kebuuhan untuk mengetahui prinsip dan tingkat keamanan serta klasifikasi informasi?

75 Tabel 4.5 (Lanjutan) Klausul Kontrol Akses Kategori Keamanan Utama:. Persyaratan bisnis untuk akses kontrol Kontrol Keamanan:.. Kebijakan Kontrol Akses No Pernyataan Pertanyaan 7 8 9 0 Terdapat peraturan yang relevan terkait dengan perlindungan akses ke data atau layanan. Terdapat kewajiban kontrak yang terkait dengan perlindungan akses ke data atau layanan. Terdapat profil standar akses pengguna untuk kategori pekerjaan yang umum. Terdapat manajemen hak akses dilingkungan yang terdistribusi dan terjaring yang mengatur semua jenis koneksi yang tersedia. Apakah terdapat peraturan yang relevan terkait dengan perlindungan akses ke data atau layanan? Apakah terdapat kewajiban kontrak yang terkait dengan perlindungan akses ke data atau layanan. Apakah terdapat profil standar akses pengguna untuk kategori pekerjaan yang umum? Apakah terdapat manajemen hak akses dilingkungan yang terdistribusi dan terjaring yang mengatur semua jenis koneksi yang tersedia? Hasil pernyataan pada klausul kontrol keamanan yang terdiri dari.2. sampai dengan.6.2 dapat dilihat pada Lampiran 3. 4.2 Hasil Pelaksanaan Audit Kontrol Akses Sistem Informasi 4.2. Hasil Wawancara Setelah dilakukan proses wawancara maka hasil yang diperoleh adalah dokumen wawancara yang telah di tanda tangani oleh direksi PT KKAI. Dokumen wawancara merupakan tabel yang berisi pernyataan, pertanyaan, dan jawaban auditee. Untuk hasil wawancara yang telah dilakukan dapat dilihat pada Tabel 4.6 di halaman 76.

76 Tabel 4.6 Dokumen Wawancara pada Kontrol Kebijakan Kontrol Akses Klausul Kontrol Akses Kategori Keamanan Utama:. Persyaratan bisnis untuk akses kontrol Kontrol Keamanan:.. Kebijakan Kontrol Akses No Pernyataan Pertanyaan Jawaban Terdapat persyaratan bisnis kontrol akses yang telah ditetapkan dan didokumentasikan. Apakah terdapat persyaratan bisnis kontrol akses yang telah ditetapkan dan didokumentasikan? Persyaratan bisnis control akses telah ditetapkan di dalam peraturan perusahaan dan didokumentasikan. 2 Terdapat peraturan dan hak kontrol akses untuk setiap pengguna yang telah dinyatakan dengan jelas dalam suatu pernyataan kebijakan tentang akses. 3 Pengguna dan penyedia layanan telah diberi satu pernyataan persyaratan bisnis yang jelas yang harus dipenuhi untuk pengontrolan akses. 4 Terdapat persyaratan keamanan dari aplikasi bisnis perorangan. 5 Terdapat identifikasi dari seluruh informasi yang berhubungan dengan aplikasi bisnis. 6 Terdapat kebijakan diseminasi dan otorisasi informasi. misalnya kebuuhan untuk mengetahui prinsip dan tingkat keamanan serta klasifikasi informasi. Apakah terdapat peraturan dan hak kontrol akses untuk setiap pengguna yang telah dinyatakan dengan jelas dalam suatu pernyataan kebijakan tentang akses? Apakah pengguna dan penyedia layanan telah diberi satu pernyataan persyaratan bisnis yang jelas yang harus dipenuhi untuk pengontrolan akses? Apakah terdapat persyaratan keamanan dari aplikasi bisnis perorangan? Apakah terdapat identifikasi dari seluruh informasi yang berhubungan dengan aplikasi bisnis? Apakah terdapat kebijakan diseminasi dan otorisasi informasi. misalnya kebuuhan untuk mengetahui prinsip dan tingkat keamanan serta klasifikasi informasi? Persyaratan bisnis control akses telah ditetapkan di dalam peraturan perusahaan dan didokumentasikan. Persyaratan bisnis control akses telah ditetapkan di dalam peraturan perusahaan dan didokumentasikan. Terdapat persyaratan keamanan, namun belum terdokumentasikan. Tentu saja, semua aplikasi bisnis didokumentasikan. Belum ada

77 Tabel 4.6 (Lanjutan) Klausul Kontrol Akses Kategori Keamanan Utama:. Persyaratan bisnis untuk akses kontrol Kontrol Keamanan:.. Kebijakan Kontrol Akses No Pernyataan Pertanyaan Jawaban 7 Terdapat peraturan yang relevan terkait dengan perlindungan akses ke data atau layanan. Apakah terdapat peraturan yang relevan terkait dengan perlindungan akses ke data atau layanan? Terdapat peraturan yang relevan terkait dengan perlindungan akses ke data, peraturan tersebut tertulis pada 8 Terdapat kewajiban kontrak yang terkait dengan perlindungan akses ke data atau layanan. 9 Terdapat profil standar akses pengguna untuk kategori pekerjaan yang umum. 0 Terdapat manajemen hak akses dilingkungan yang terdistribusi dan terjaring yang mengatur semua jenis koneksi yang tersedia. Apakah terdapat kewajiban kontrak yang terkait dengan perlindungan akses ke data atau layanan. Apakah terdapat profil standar akses pengguna untuk kategori pekerjaan yang umum? Apakah terdapat manajemen hak akses dilingkungan yang terdistribusi dan terjaring yang mengatur semua jenis koneksi yang tersedia? peraturan perusahaan. Kewajiban kontrak telah tertulis pada perjanjian kontrak kerja sama. Terdapat pengaturan hak akses. Tentu saja, terdapat manajemen hak akses yang telah diatur oleh direksi dan bagian sistem informasi. Hasil pernyataan pada klausul kontrol keamanan yang terdiri dari.2. sampai dengan.6.2 dapat dilihat pada Lampiran 3. 4.2.2 Hasil Pemeriksaan Setelah proses wawancara selesai maka dilakukan pemeriksaan baik melalui observasi maupun pengujian untuk mengetahui dan memastikan secara langsung kebenaran proses yang ada. Hasil dari proses pemeriksaan adalah temuan beserta bukti yang dapat dilihat pada Tabel 4.7 di halaman 78.

78 Tabel 4.7 Hasil Pemeriksaan Pernyataan Pada Kontrol Kebijakan Kontrol Akses Kontrol Keamanan:.. Pembatas keamanan fisik No Pernyataan Hasil Pemeriksaan Bobot Terdapat persyaratan bisnis kontrol akses yang telah ditetapkan dan didokumentasikan. 2 Terdapat peraturan dan hak kontrol akses untuk setiap pengguna yang telah dinyatakan dengan jelas dalam suatu pernyataan kebijakan tentang akses. 3 Pengguna dan penyedia layanan telah diberi satu pernyataan persyaratan bisnis yang jelas yang harus dipenuhi untuk pengontrolan akses. 4 Terdapat persyaratan keamanan dari aplikasi bisnis perorangan. 5 Terdapat identifikasi dari seluruh informasi yang berhubungan dengan aplikasi bisnis. 6 Terdapat kebijakan diseminasi dan otorisasi informasi. misalnya kebutuhan untuk mengetahui prinsip dan tingkat keamanan serta klasifikasi informasi. Persyaratan bisnis kontrol akses terdokumentasi dengan baik. Terdapat persyaratan bisnis kontrol akses didalam peraturan perusahaan dan telah terdefinisi. Persyaratan bisnis kontrol akses terdokumentasi dengan baik. Terdapat persyaratan bisnis kontrol akses didalam peraturan perusahaan dan telah terdefinisi. Persyaratan bisnis kontrol akses terdokumentasi dengan baik. Terdapat persyaratan bisnis kontrol akses didalam peraturan perusahaan dan telah terdefinisi. Persyaratan keamanan telah tertuang pada prosedur operasi dan telah terdefinisi. Persyaratan keamanan tersebut sebagai contoh adalah: terdapat pengaturan hak akses, backup data dan lain sebagainya. Identifikasi dari seluruh informasi yang berhubungan dengan bisnis telah terdokumentasi. Bukti: Terdapat daftar software. Terdapat kebijakan dan otorisasi terhadap sistem informasi namun masih dilakukan secara informal. 0,6

79 Tabel 4.7 (Lanjutan) Kontrol Keamanan:.. Pembatas keamanan fisik No Pernyataan Hasil Pemeriksaan Bobot 7 Terdapat peraturan yang relevan terkait dengan perlindungan akses ke data atau layanan. 8 Terdapat kewajiban kontrak yang terkait dengan perlindungan akses ke data atau layanan. 9 Terdapat profil standar akses pengguna untuk kategori pekerjaan yang umum. 0 Terdapat manajemen hak akses dilingkungan yang terdistribusi dan terjaring yang mengatur semua jenis koneksi yang tersedia. Terdapat peraturan yang relevan terkait dengan perlindungan akses ke data, peraturan tersebut tertulis pada peraturan perusahaan dan telah terdefinisi. Kewajiban kontrak telah sesuai dengan peraturan perusahaan. Kewajiban kontrak telah tertulis pada perjanjian kontrak kerja sama dan telah terdefinisi. Bukti: Terdapat pada peraturan perusahaan. Profil standar akses pengguna telah sesuai dengan kebijakan perusahaan. Terdapat perngaturan hak akses yang didokumentasikan dan didefinisikan. Manajemen hak akses telah diatur sesuai dengan kebijakan perusahaan. Bandwith untuk server diatur ke stabilannya tetapi untuk akses data tergantung pada jabatan atau posisi dan tingkat kepentingannya. Hasil pernyataan pada klausul kontrol keamanan yang terdiri dari.2. sampai dengan.6.2 dapat dilihat pada Lampiran 4. 4.2.3 Hasil Dokumentasi (Data dan Bukti) Hasil dokumentasi berisi data maupun bukti yang ada mengenai temuantemuan yang ditemukan saat pelaksanaan audit. Bukti-bukti tersebut dapat berupa foto, rekaman, suara atau video. Hasil dokumentasi dapat dilihat pada Tabel 4.7 dan selengkapnya dapat dilihat pada Lampiran 4, sedangkan bukti audit yang

80 berupa dokumentasi foto dapat dilihat pada Gambar 4.2 dan selengkapnya dapat dilihat pada Lampiran 5. Gambar 4.2 History Pengaksesan Data 4.2.4 Hasil Pelaksanaan Uji Kematangan Berdasarkan analisa dari pengumpulan bukti dan wawancara dengan auditee, maka diperoleh hasil uji kepatutan dari tingkat kematangan untuk masing-masing kontrol. Adapun tingkat kematangan tersebut diperoleh dari masing-masing analisa yang dapat dilihat pada kerangka kerja pada Lampiran 4. Hasil perhitungan tingkat kematangan hasil audit kontrol akses informasi adalah sebagai berikut.

8 a. Hasil Maturity Level pada klausul Kontrol Akses Hasil dari proses perhitungan maturity level pada klausul kontrol akses adalah 3.3, hasil tersebut munjukkan bahwa proses pada manajemen komunikasi dan operasi dilakukan sesuai standar prosedur dan dilakukan secara rutin, hal tersebut dapat dilihat dengan adanya dokumentasi tingkat otorisasi sebagai contoh adanya pernyataan yang ditandatangani untuk menjaga password, adanya tinjauan terhadap hak akses user, terdapat kebijakan dan otorisasi terhadap keamanan informasi, persyaratan bisnis kontrol akses, persyaratan keamanan dan fasilitas sistem. Hasil perhitungan tersebut dapat dilihat pada Tabel 4.8. Hasil perhitungan maturity level pada klausul kontrol akses dapat direpresentasikan dalam bentuk grafik. Hasil representasi perhitungan maturity level klausul kontrol akses dapat dilihat pada Gambar 4.3 di halaman 83. Setelah dilakukan penilaian maturity level telah ditemukan fakta yang tidak sesuai dengan standar ISO 27002 Klausul Kontrol akses Tabel 4.8 Hasil Maturity Level Klausul Kontrol Akses Objektif Kontrol Keamanan Tingkat Kontrol Kemampuan. Persyaratan bisnis untuk kontrol akses.2 Manajemen akses user.. Kebijakan kontrol akses.2. Registrasi pengguna.2.2 Manajemen hak istimewa atau khusus.2.3 Manajemen password Ratarata Objektif Kontrol 3.02 3.02 3.34 2.46 3.67.8

82 Tabel 4.8 (Lanjutan) Klausul Objektif Kontrol Kontrol akses.2 Manajemen akses user.3 Tanggung jawab pengguna.5 Kontrol akses sistem operasi.6 Kontrol akses informasi dan aplikasi Kontrol Keamanan.2.4 Tinjauan terhadap hak akses user.3. Pengguna password.3.2 Peralatan pengguna yang tidak dijaga.3.3 Kebijakan clear desk dan clear screen.5. Prosedur log-on yang aman.5.2 Identifikasi dan otentifikasi user.5.3 Manajemen password.5.4 Penggunaan utilities sistem.5.5 Sesi time-out.5.6 Batasan waktu koneksi.6. Pembatasan akses informasi.6.2 Isolasi sistem yang sensitif Tingkat Kemampuan Ratarata Objektif Kontrol 2.46 2.48 2.89 2.75 3.43 4.36 3.59 3.67 4.33 2 2.63 3.32 4 3.69 3.47 3.25 3.47 Marturity level Klausul 3.3

83.5.6 Batasan waktu koneksi.5.5 Sesi time-out.6. Pembatasa n akses informasi.6.2 Isolasi sistem yang sensitif.. Kebijakan kontrol akses 4.5 4 3.5 3 2.5 2.5 0.5 0.2. Registrasi pengguna.2.2 Manajeme n hak istimewa.2.3 Manajeme n password.2.4 Tinjauan terhadap hak akses.5.4 Penggunaa n itilities sistem.3. Pengguna password.5.3 Manajeme n password.5.2 Identifikasi dan otentifika.5. Prosedur log-on yang aman.3.3 Kebijakan clear desk dan clear.3.2 Peralatan pengguna yang Marturity Gambar 4.3 Representasi Nilai Maturity Level Klausul Kontrol Akses b. Hasil Pembahasan Audit Kontrol Akses Sistem Informasi PT. KKAI Hasil dari proses perhitungan maturity level pada seluruh klausul adalah 3.3 yaitu defined. Hasil tersebut menunjukkan bahwa sebagian besar proses kontrol akses sistem informasi manajemen aset yang ada pada PT. Karya Karang Asem Indonesia telah dilakukan secara rutin dan sesuai dengan standar prosedur yang ada, kebocoran informasi yang terjadi merupakan akibat dari adanya penyalahgunaan password yang terjadi. Berdasarkan temuan-temuan hasil audit penyalahgunaan password yang terjadi disebabkan karena peraturan perusahaan yang kurang tegas dan kurang spesifik untuk

84 kerahasiaan password, belum jelasnya perjanjian atau pernyataan tertulis yang ditandatangani karyawan untuk benar-benar menjaga kerahasiaan dan keamanan password masing-masing, penerapan manajemen password yang tidak sesuai standar, dan kurangnya kesadaran serta pengetahuan karyawan terhadap pentingnya merahasiakan password. Hal tersebut dapat dilihat pada hasil maturity level kontrol keamanan.2.3 manajemen password user yang hanya memiliki nilai.8, kontrol keamanan.2.4 tinjauan terhadap akses user yang bernilai, dan kontrol keamanan.3. penggunaan password yang hanya memiliki nilai 2.48. Gangguan pada sistem yang kadang terjadi merupakan akibat dari serangan virus yang mengacau keberlangsungan operasional perusahaan. Berdasarkan temuan-temuan hasil audit permasalahan virus yang terjadi disebabkan oleh tidak ada pelatihan penggunaan perlindungan virus, tidak dilakukan penyelidikan secara formal tentang keberadaan kelompok data tanpa persetujuan, tidak dilakukan penyelidikan secara formal tentang perubahan tanpa otorisasi, dan kurangnya pengetahuan karyawan tentang virus. Penggantian-penggantian peralatan sistem informasi sebelum waktunya yang terjadi dan sistem yang sering erorr, hardware berdebu merupakan salah satu akibat dari kurangnya pemeliharaan yang dilakukan oleh perusahaaan, kurangnya manajemen kapasitas yang dilakukan, dan pemindahan peralatan yang kurang dimanajemen. Tabel 4.9 Hasil Maturity Level Klausul Klausul Deskripsi Marturity Level Kontrol Akses 3.3 Nilai rata-rata marturity level 3.3

85 4.2.5 Hasil Penyusunan Daftar Temuan dan Rekomendasi Penyusunan temuan dan rekomendasi sebagai hasil evaluasi dari pelaksanaan audit sistem informasi ini muncul setelah dilakukan pembandingan antara apa yang seharusnya dilakukan dengan proses yang sedang berlangsung pada perusahaan. Dari hasil temuan tersebut kemudian dilaksanakan rekomendasi yang merupakan rincian temuan serta rekomendasi yang diberikan guna untuk perbaikan proses sistem informasi ke depannya. Salah satu contoh hasil temuan dan rekomendasi pada klausul kontrol akses dengan kontrol keamanan.. kontrol masuk fisik dapat dilihat pada Tabel 4.0. No Klausul 0 Kontrol akses Tabel 4.0 Hasil Temuan Dan Rekomendasi Objektif Kontrol Kontrol Keamanan Temuan Rekomendasi... - Terdapat - Melakukan Persyarata Kebijakan kebijakan review dan n bisnis kontrol dan pemetaan untuk akses. otorisasi terhadap kondisi kontrol terhadap di lapangan akses. keamanan mengenai informasi kebijakan dan namun otorisasi masih keamanan dilakukan informasi secara - Mendesain informal. kebijakan dan otorisasi terhadap keamanan informasi - Mendokumentasi kan kebijakan dan otorisasi mengenai keamanan informasi.

86 Hasil pernyataan pada klausul kontrol keamanan yang terdiri dari.2. sampai dengan.6.2 dapat dilihat pada Lampiran 6. 4.3 Tahap Pelaporan Audit Sistem Informasi Tahap pelaporan yaitu: memberikan laporan audit (audit report) sebagai pertanggung jawaban atas penugasan proses audit SI yang dilaksanakan. Laporan audit ditunjukkan kepada pihak yang berhak saja karena laporan audit SI merupakan dokumen yang bersifat rahasia. Hasil laporan audit dapat dilihat Gambar 4.4 dan selengkapnya pada Lampiran 7. Gambar 4.4 Laporan Audit Sistem Informasi

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan