BAB II LANDASAN TEORI. terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan

dokumen-dokumen yang mirip
BAB II LANDASAN TEORI. terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan. pemeriksaan (audit) yang ditetapkan. (Sarno, 2009:171).

BAB II LANDASAN TEORI. mulai dari keuangan, pemerintahan hingga Teknologi Informasi (TI). Audit

BAB II LANDASAN TEORI. pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan

BAB I PENDAHULUAN. restrukturisasi internal, Kerjasama Operasi (KSO), dan Initial Public Offering

BAB III METODE PENELITIAN. perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapantahapan

DAFTAR ISI ABSTRAK... KATA PENGANTAR... DAFTAR ISI... DAFTAR TABEL... DAFTAR GAMBAR... DAFTAR LAMPIRAN... xx BAB I PENDAHULUAN...

BAB II LANDASAN TEORI. komponen yang terlibat dalam proses bisnis organisasi tersebut ) peranan sistem informasi dalam bisnis, antara lain:

MANFAAT PEREALISASIAN TATA KELOLA KEAMANAN INFORMASI BERBASIS SNI ISO/IEC 27001:2009 PADA PRODUKSI FILM ANIMASI (Kasus di PT. XX)

BAB II LANDASAN TEORI. bahaya. Contoh tinjauan keamanan informasi dari Whitman dan Mattord (2011)

BAB II LANDASAN TEORI

PENERAPAN KEAMANAN SISTEM INFORMASI STANDAR ISO PADA PT. BPR KARYABHAKTI UGAHARI, TANJUNG MORAWA

BAB I PENDAHULUAN. PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik

BAB I PENDAHULUAN. Rumah Sakit Islam (RSI) Jemursari adalah sebuah rumah sakit yang berada di

Abstrak. ii Universitas Kristen Maranatha

PROSES AUDIT. Titien S. Sukamto

BAB I PENDAHULUAN. Radio Republik Indonesia adalah suatu studio siaran yang

BAB I PENDAHULUAN. ketepatan dan kelengkapan pelayanan terhadap pelanggan. yang terintegrasi yang bernama Integrated Trading System (ITS).

ABSTRAK. Universitas Kristen Maranatha

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

BAB II LANDASAN TEORI

Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan

MAKALAH SEMINAR KERJA PRAKTEK

AUDIT KEAMANAN SISTEM INFORMASI PADA UNIVERSITAS BINA DARMA PALEMBANG MENGGUNAKAN STANDAR ISO/IEC 27001

JSIKA Vol. 4, No. 2. September 2015 ISSN X

BAB I PENDAHULUAN. 1.1 Latar Belakang. Rumah Sakit Umum Daerah (RSUD) Bangil Kabupaten Pasuruan

Bersumber dari : Wikipedia dan ditambahkan oleh penulis

BAB IV SIMPULAN DAN SARAN

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, di Program Studi Teknik Informatika, Universitas Pasundan Bandung

BAB III METODE PENELITIAN

BAB IV HASIL DAN PEMBAHASAN

BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

MAKALAH KEAMANAN INFORMASI. Oleh : Muhammad Shodiqil Khafili Djakfar. Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc

BAB II LANDASAN TEORI. organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh komponen

ABSTRAK. Kata Kunci: ISO 27001:2005, GAP Analisis, Kebijakan Keamanan, Organisasi Keamanan Informasi, Pengelolaan Aset, Keamanan Sumber Daya Manusia

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

Cobit memiliki 4 Cakupan Domain : 1. Perencanaan dan Organisasi (Plan and organise)

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

BAB III METODE PENELITIAN. audit yang akan dilaksanakan. Dapat dilihat pada Gambar 3.1.

Standar Internasional ISO 27001

Teknologi informasi Teknik keamanan Sistem manajemen keamanan informasi Persyaratan

BAB III METODE PENELITIAN

Sistem manajemen mutu Persyaratan

PENYUSUNAN STANDAR OPERASIONAL PROSEDUR PENGAMANAN FISIK RUANG SERVER BERDASARKAN ISO 27001:2005 (Studi Kasus : Fakultas Teknik Universitas Pasundan)

BAB III METODE PENELITIAN. pada Parahita Diagnostic Center. Agar lebih jelasnya tahapan-tahapan yang

MODUL KULIAH MANAJEMEN INDUSTRI SISTEM MANAJEMEN MUTU ISO 9000

Dr. Imam Subaweh, SE., MM., Ak., CA

Sistem manajemen mutu Persyaratan

BAB 2 TINJAUAN PUSTAKA

Kendali dan Audit Sistem Informasi. Catatan: diolah dari berbagai sumber Oleh: mardhani riasetiawan

Audit Internal Sistem Manajemen Lingkungan ISO

BAB I PENDAHULUAN. 1.1 Latar Belakang. PT. Gresik Cipta Sejahtera (PT. GCS) adalah perusahaan dengan bisnis inti

Panduan Penerapan Sistem Manajemen Keamanan Informasi Berbasis Indeks Keamanan Informasi (Indeks KAMI)

CODES OF PRACTICE. Dokumen: Codes of Practice Edisi / Rev: 1 / 2 Tanggal: 03 April 2017 Hal : Hal 1 dari 7

BAB III METODE PENELITIAN. sistem informasi manajemen rumah sakit berdasar ISO 27002:2005 di RSI

AUDIT KEAMANAN SISTEM INFORMASI PADA INSTALASI SISTEM INFORMASI MANAJEMEN RSUD BANGIL BERDASARKAN ISO Danastri Rasmona Windirya 1)

II. PERAN DAN TANGGUNG JAWAB DIREKSI

JURNAL TEKNIK POMITS Vol. 3, No. 2, (2014) ISSN: ( Print) A-228

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BAB I PENDAHULUAN. perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya

CODES OF PRACTICE. 1. Pendahuluan

BAB IV HASIL DAN PEMBAHASAN

BAB I PENDAHULUAN. 1.1 Latar Belakang. Sistem Informasi merupakan kumpulan elemen-elemen/sumberdaya dan

1 PENDAHULUAN Latar Belakang

BAB I PENDAHULUAN. 1.1 Gambaran Umum Objek Penelitian

Persyaratan Umum Lembaga Sertifikasi Ekolabel

INTERNATIONAL STANDARD

BAB I PENDAHULUAN. tenaga listrik Indonesia. Teknologi informasi memiliki fungsi sebagai alat bantu

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

ABSTRAK. Kata Kunci : ISO27001:2005, keamanan fisik dan lingkungan, manejemen komunikasi dan operasi, pengendalian akses, PT.Pos Indonesia.

Catatan informasi klien

PEDOMAN PEDOMAN. PT JASA MARGA (Persero) Tbk. Nomor Pedoman : P2/DIT/2014/AI Tanggal : 1 Desember 2014

ABSTRAK. Keyword : Gap Analisis, ISO 27001:2005, SMKI. iii Universitas Kristen Maranatha

BAB I PENDAHULUAN. Audit sistem informasi ini memiliki tujuan untuk menciptakan Good

BAB II LANDASAN TEORI

BAB 1 PENDAHULUAN Latar Belakang

Penerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA

Panduan audit sistem manajemen mutu dan/atau lingkungan

PENERAPAN STANDAR ISO 9001 DAN ISO SECARA BERSAMAAN

Strategi Sukses Bisnis dengan Teknologi Informasi. Sistem Manajemen Keamanan Informasi (Riyanarto Sarno) Audit Sistem Informasi

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

Kebijakan Manajemen Risiko

ISO/DIS 9001:2015 Pengenalan Revisi dan Transisi

KONSEP AUDIT SI. Pertemuan ke 5 Mata Kuliah Tata Kelola dan Audit Sistem Informasi. Diema Hernyka S, M.Kom

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

PENGENALAN AUDIT SISTEM INFORMASI. Titien S. Sukamto

TL-4103 Manajemen Teknik Lingkungan AUDIT LINGKUNGAN

BAB IV HASIL DAN PEMBAHASAN Evaluasi Hasil Pelaksanaan Audit Sistem Informasi

BAB 1 PENDAHULUAN. menerbitkan laporan-laporan yang akan di hasilkan oleh Dinas Pendapatan dan

Penyusunan COBIT, ITIL, dan iso 17799

BAB III METODE PENELITIAN. perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapantahapan

BAB III METODE PENELITIAN. pada tahap Perencanaan berdasarkan pada standar ISO/IEC 27001:2005. Metode

EVALUASI KEAMANAN INFORMASI BERBASIS ISO PADA DINAS PENGELOLAAN PENDAPATAN KEUANGAN DAN ASET DAERAH KABUPATEN KARAWANG

Taryana Suryana. M.Kom

BAB I PENDAHULUAN. 1.1 Latar Belakang

Spesifikasi sistem manajemen keamanan pada rantai pasokan

DASAR-DASAR AUDIT SI Pertemuan - 01

ANALISIS SISTEM KEAMANAN SUMBERDAYA MANUSIA DENGAN PENERAPAN ISO KLAUSAL 9 DI UNIVERSITAS IBN KHALDUN BOGOR

ISO Sistem Manajemen Lingkungan. MRY, Departemen Teknologi Industri Pertanian, IPB

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

BAB II LANDASAN TEORI. terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan

Transkripsi:

BAB II LANDASAN TEORI 2.1 Audit Penggunaan istilah audit telah banyak dipakai di berbagai disiplin ilmu, mulai dari keuangan, pemerintahan hingga Teknologi Informasi (TI). Adapun definisi audit menurut Sarno (2009a:171) adalah: Audit merupakan proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan. Dari pendapat Sarno diatas dapat disimpulkan bahwa audit mengandung arti aktivitas yang berlangsung secara sistematik atau terarah, independen atau mandiri dan terdokumentasi artinya ada rekam jejak, temuan atau bukti. Selanjutnya dikatakan oleh Sarno Aktivitas yang berlangsung pada dasarnya serupa, yakni: penemuan ketidakpatutan proses yang ada terhadap standar pengelolaan aktivitas terkait. Agar dapat sukses mengimplementasikan hal tersebut, maka aktivitas audit seharusnya terencana dengan baik untuk memberikan hasil yang optimal sesuai dengan kondisi bisnis masing-masing perusahaan (Sarno, 2009b:25). 9

10 Gambar 2.1 Gambaran Proses Audit (Sumber: Davis dkk, 2011:42) Menurut Davis dkk (2011:42) beberapa tahapan audit seperti yang terlihat pada gambar 2.1, setiap tahapan-tahapan akan dijelaskan sebagai berikut : 1. Planning Sebelum melakukan audit terlebih dahulu harus menentukan rencana meninjau bagaimana audit dilakukan. Jika proses perencaaan dilakukan secara efektif, maka dapat membentuk tim audit yang dapat berjalan dengan baik. Sebaliknya, jika itu dilakukan dengan buruk serta pekerjaan dimulai tanpa rencana yang jelas tanpa arah, upaya tim audit dapat mengakibatkan kegagalan tujuan dari proses perencaaan adalah menentukan tujuan dan ruang lingkup audit, yaitu harus menentukan apa yang akan dicapai. 2. Fieldwork and Documentation Sebagian besar audit terjadi selama fase ini, ada saat pemeriksaan langkah-langkah yang dibuat selama tahap sebelumnya dijalankan oleh tim audit. Saat ini tim audit telah memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisis potensi resiko dan menentukan resiko belum dikurangi dengan tepat. Auditor juga harus melakukan pekerjaan yang dapat mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuan mendokumentasikan pekerjaan harus cukup detail sehingga

11 cukup informasi bagi orang untuk dapat memahami apa yang dilakukan dan tersampainya kesimpula yang sama seperti auditor. 3. Issues Discovery and Validation Pada tahap ini auditor harus menentukan dan melakukan perbaikan pada daftar isu-isu yang potensial untuk memastikan isu-isu yang valid pada relevan. Auditor harus mendiskusikan isu-isu potensial dengan pelanggan secepat mungkin. Selain memvalidasi bahwa fakta-fakta telah benar, maka perlu memvalidasi bahwa resiko yang disajikan oleh masalah ini cukup signifikan memiliki nilai untuk pelaporan dan pengalamatan. 4. Solution Development Setelah mengidentifikasikan isu-isu potensial di wilayah yang sedang dilakukan audit dan telah memvalidasi fakta dan resiko, maka dapat dilakukan rencanan untuk mengatasi setiap masalah. Tentu, hanya mengangkat isu-isu yang tidak baik bagi perusahaan dan isu isu yang benar benar harus ditangani. Tiga pendekatan umum yang digunakan untuk mengembangkan tindakan dalam menangani masalah audit a. Pendekatan rekomendasi b. Pendekatan respon manajemen c. Pendekatan Solusi 5. Report Drafting and Issuance Setelah ditemukan masalah dalam lingkungan yang diaudit, memvalidasi, dan mendapatkan solusi yang dikembangkan untuk mengatasi masalah, maka dapat membuat draft untuk laporan audit. Laporan audit adalah sebagai dokumen hasil audit. Fungsi utama laporan audit:

12 a. Untuk auditor dan perusahaan yang diaudit, berfungsi sebagai catatan audit, hasilnya, dan rencana rekomendasi yang dihasilkan b. Untuk manajemen senior dan komite audit, berfungsi sebagai kartu laporan pada daerah yang telah diaudit. 6. Issue Tracking Audit belum benar-benar lengkap sampai isu yang diangkat dalam audit tersebut diselesaikan. Departemen harus mengembangkan suatu proses dimana anggotanya dapat melacak dan mengikuti sampai isu terselesaikan. Auditor yang melakukan atau memimpin audit bertanggung jawab untuk menindak lanjuti poin dari audit seperti tanggal jatuh tempo untuk setiap pendekatan dari audit yang dihasilkan. 2.2 Sistem Informasi Sistem adalah sekelompok dua atau lebih komponen-komponen yang saling berkaitan (inter-related) atau subsistem-subsistem yang bersatu untuk mencapai tujuan yang sama (common purpose). (Gondodiyoto, 2007:106) Informasi berarti hasil suatu proses yang terorganisasi, memiliki arti dan berguna bagi orang yang menerimanya. adapun menurut James Hall pada bukunya (diterjemahkan oleh Amir Abadi Jusuf, 2001, p 14): Informasi menyebabkan pemakai melakukan suatu tindakan yang dapat ia lakukan atau tidak dilakukan. Informasi ditentukan oleh efeknya pada pemakai, bukan oleh bentuk fisiknya. (Gondodiyoto, 2007:110) Dengan demikian sistem informasi dapat didefinisikan sebagai kumpulan elemen-elemen/sumberdaya dan jaringan prosedur yang saling berkaitan secara

13 terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu dan bertujuan untuk mengolah data menjadi informasi. (Gondodiyoto, 2007:112) 2.3 Audit Keamanan Sistem Informasi Di sisi lain kita juga mengenal istilah audit keamanan, adapun yang dimaksud dengan audit keamanan adalah suatu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua keadaan dari perlindungan yang ada, dan untuk memverifikasi apakah perlindungan yang ada berjalan dengan baik. (Ahmad,2012:27) Dari pengertian diatas dapat di garis bawahi bahwa audit keamanan tujuan utamanya adalah memberikan perlindungan sesuai dengan kebijakan dan standar keamanan yang ada serta memverifikasi apakah perlindungan sudah berjalan dengan baik. Oleh karena itu, suatu hal yang penting untuk memahami dan mengimplementasikan audit keamanan pada sistem informasi yang digunakan. Penerapan audit keamanan sistem informasi dimaksudkan untuk mengatasi segala masalah dan kendala baik secara teknis maupun non teknis. Terdapat tiga kriteria mendasar dari keamanan teknologi informasi yang harus diaudit kemanannya menurut (Ahmad, 2012 : 4), yaitu: a. Kerahasiaan (confidentiality): Informasi bersifat rahasia dan harus dilindungi terhadap keterbukaan dari yang tidak berhak atau berkepentingan. b. Ketersediaan (availability): Layanan, fungsi sistem teknologi informasi, data dan informasi harus tersedia bagi penggunaa saat diperlukan. c. Integritas (integrity) :Data harus komplit dan tidak diubah. Dalam teknologi informasi, kata informasi terkait dengan data. Hilangnya integritas informasi berarti data tersebut telah tanpa adanya ijin atau ilegal.

14 Gambar 2.2 Aspek Keamanan Informasi (Sumber: Sarno, 2009a:37) 2.4 Desktop Management Desktop management merupakan bagian dari ISSSM (Information System Service Support Management), sedangkan ISSSM merupakan unit dari Divisi ISC(Information System Center). Desktop management merupakan bagian yang mendukung fasilitas kerja pegawai Telkom dan kebutuhan di bidang desktop untuk wilayah seluruh Indonesia. Beberapa kebutuhan desktop tersebut diantaranya adalah PC, laptop, layar proyektor, printer, dan lain lain.(wawancara pada tanggal 10 Desember 2012) Seperti yang telah dijelaskan pada latar belakang masalah terdahulu, desktop management mempunyai peranan yang sangat penting dalam memanagement keamanan informasi data-data kebutuhan desktop serta fasilitas kerja PT Telkom di seluruh Indonesia. Apabila keamanan sistem informasi pada desktop management tidak dilindungi maka akan terjadi penyalahgunaan password yang beurjung pada penyalahgunaan akses pada aplikasi, memanipulasi data serta pencurian data oleh pihak yang tidak betanggung jawab. Suatu kenyataan yang dihadapi pada abad globalisasi ini adalah berbagai organisasi dihadapkan pada sejumlah ancaman keamanan informasi dari berbagai sumber.

15 Hal tersebut diperlihatkan dengan keberadaan sejumlah kasus kejahatan komputer yang dilakukan secara sengaja, contohnya :pencurian data, aktivitas spionase, percobaan hacking, tindakan vandalism. Ancaman serupa juga disebabkan karena kejadian lain seperti bencana alam, misalnya: banjir, gempa bumi, tsunami dan kebakaran. (Sarno,2009a:28) 2.5 Standar Sistem Manajemen Keamanan Informasi Sejak tahun 2005, International Organization for Standardization (ISO) atau organisasi Internasional untuk standarisasi telah mengembangkan sejumlah standar tentang Information Security Management System (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari : a. ISO/IEC 27000:2009-ISMS Overview and Vocabulary Dokumen definisi-definisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000. b. ISO/IEC 27001:2005-ISMS Requirements Berisi persyaratan standar yang harus dipenuhi untuk membangun SMKI. c. ISO/IEC 27002:2005-Code of Practice for ISMS Terkait dengan dokumen ISO 27001, namun dalam dokumen ini berisi panduan praktis (code of practice) teknik keamanan informasi. d. ISO/IEC 27003:2010-ISMS Implementation Guidance Berisi matriks dan metode pengukuran keberhasilan implementasi SMKI. e. ISO/IEC 27004:2009-ISMS Measurements Berisi matriks dan metode pengukuran keberhasilan implementasi SMKI.

16 f. ISO/IEC 27005:2008-Infromation Security Risk Management Dokumen panduan pelaksanaan manajemen resiko. g. ISO/IEC 27006:2007-ISMS Certification Body Requirements Dokumen panduan untuk sertifikasi SMKI perusahaan. h. ISO/IEC 27007-Guidelines for ISMS Auditing Dokumen panduan audit SMKI perusahaan. Terminologi ISO 27000 Overview and Vocabulary Persyaratan Umum ISO 27001 Requirements ISO 27006 Certification Body Requirements ISO 27002 Code of Practice ISO 27007 Audit Guidelines Panduan Umum ISO 27003 Implementation Guidance ISO 27005 Risk Management ISO 27004 Measurements Gambar 2.3 Relasi Antar Keluarga Standar SMKI (Sumber Ahmad,2012:13) Adapun penjelasan dari standar ISMS tersebut dijelaskan sebagai berikut : a. ISO/IEC 27000:2009 ISMS Overview and Vocabulary Standar ini dirilis tahun 2009, memuatprinsip-prinsip dasar Information Security Management System, definisi sejumlah istilah penting dan hubungan antar standar dalam keluarga SMKI, baik yang telah diterbitkan maupun sedang

17 tahap pengembangan. Hubungan antar standar keluarga ISO 27000 dapat dilihat pada gambar 3. b. SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan Informasi SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi(SMKI). Standar ini bersifat independen terhadap produk teknologi masyarakat penggunaan pendekatan manajeman berbasis risiko,dan dirancang untuk menjamin agar kontrol- kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan. Standar ini dikembangkan dengan pendekatan proses sebagai suatu model bagi penetapan, penerapan, pengoprasian, pemantauan, tinjau ulang (review), pemeliharaan dan peningkatan suatu SMKI. Model PLAN DO CHECK ACT (PDCA) diterapkan terhadap struktur keseluruhan proses SMKI. Dalam model PDCA, keseluruhan proses SMKI dapat dipetakan seperti Tabel 2.1. Tabel 2.1 Peta PDCA dalam Proses SMKI (Sumber:Ahmad, 2012:15) PDCA dalam Proses SMKI 1. PLAN (Menetapkan SMKI) 2. DO (Menerapkan dan mengoperasikan SMKI) Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola resiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dari sasaran Menetapkan dan mengoperasikan kebijakan SMKI

18 Tabel 2.1 Peta PDCA dalam Proses SMKI (Sumber:Ahmad, 2012:15) PDCA dalam Proses SMKI 3. CHECK (Memantau dan melakukan tinjau ulang SMKI) 4. ACT (Memelihara dan meningkatkan SMKI) Mengkaji dan mengukur kinerja proses terhadap kebijakan, sasaran, praktek-praktek dalam menjalankan SMKI dan melaporkan hasilnya kepada manajemen untuk ditinjau efektivitasnya Melakukan tindakan perbaikan dan pencegahan, berdasarkan hasil evaluasi, audit internal dan tinjauan manajemen tentang SMKI atau kegiatan pemantauan lainnya untuk mencapai peningkatan yang berkelanjutan. c. ISO/IEC 27002:2005 Code of Practice for ISMS ISO/IEC 27002 berisi panduan ISO IEC 17799 tahun 2005, resmi dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara resmi diubah menjadi ISO IEC 27002 tahun 2005. Konten tersebut masih persis sama. Standar ISO IEC 17799:2005 (sekarang dikenal sebagai ISO IEC 27002:2005) dikembangkan oleh IT Security Subcommittee (SC 27) dan Technical Committee on Information Technology (ISO/IEC JTC 1) (ISO 27002, 2005). d. ISO/IEC 27003:2010 ISMS Implementation Guidance Tujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagi perancangan dan penerapan SMKI agar memenuhi persyaratan ISO 27001. Standar ini menelaskan proses pembangunan SMKI meliputi pengarsipan, perancangan dan penyusunan atau pengembangan SMKI yang digambarkan sebagai suatu kegiatan proyek. e. ISO/IEC 27004:2009 Information Security ManagementMeasurement

19 Standar ini menyediakan penyusunan dan penggunaan teknik pengukuran untuk mengkaji efektivitas penerapan SMKI dan kontrol sebagaimana disyaratkan ISO/IEC 27001. Standar ini juga membentu organisasi dalam mengukur ketercapaian sasaran keamanan yang ditetapkan. f. ISO/IEC 27005:2008 Information Security Risk Management Standar ini menyediakan panduan bagi kegiatan manajemen risiko keamanan informasi dalam suatu organisasi, khususnya dalam rangka mendukung persyaratan- persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001. Standar ini diterbitkan pada bulan Juni 2008. g. ISO/IEC 27006:2007 Prasyarat Badan Audit dan Sertifikasi Standar ini menetapkan persyaratan dan memberikan panduan bagi organisasi yang memiliki kewenangan untuk melakukan audit dan sertifikasi SMKI.Standar ini utamanya dimaksudkan untuk mendukung porses akreditasi Badan Sertifikasi ISO/IEC 27001 oleh Komite Akreditasi dari negara masingmasing. h. ISO/IEC 27007 Guidelines for ISMS Auditing Standar ini memaparkan panduan bagaimana melakukan audit SMKI perusahaan. 2.5.1 ISO/IEC 27002:2005 Seperti yang telah dikemukakan pada bagian terdahulu, ISO/IEC 27002:2005 terkait dengan dokumen ISO 27001, namun dalam dokumen ini berisi panduan praktis (code of practice) teknik keamanan informasi. Kontrol keamanan berdasarkan ISO/IEC 27002 terdiri dari 11 klausul kontrol keamanan (security

20 control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls) yang dapat dilihat dalam Tabel 2.2. Tabel 2.2 Ringkasan Jumlah Klausul Kontrol Keamanan, Objektif Kontrol dan Kontrol (Sumber: Sarno, 2009a:187) Jumlah Klausul Objektif Kontrol Kontrol 5 1 2 6 2 11 7 2 5 8 3 9 9 2 13 10 10 31 11 7 25 12 6 16 13 2 5 14 1 5 15 3 10 Jumlah : 11 Jumlah : 39 Jumlah : 133 ISO 27002:2005 berisi panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan.bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam ISO/IEC 27002. Dalam penelitian ini,audit keamanan sistem informasi akan difokuskan pada standar 3 klausul yang sudah disesuaikan dengan kesepakatan auditor dan manager desktop management dalam engagement letter/ surat perjanjian audit, untuk detail struktur dokumen kontrol keamanan dari ISO/IEC 27002:2005 dapat dilihat pada Tabel 2.3.

21 Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 Klausul: 8 Keamanan Sumber Daya Manusia Kategori Keamanan Utama: 8.1 Sebelum menjadi pegawai Objektif Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimalkan resiko pencurian atau kesalahan dalam penggunaan fasilitas informasi. 8.1.1 Aturan dan tanggung jawab keamanan Aturan-aturan dan tanggung jawab dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasi sesuai dengan kebijakan Keamanan Informasi organisasi. Kategori Keamanan Utama: 8.2 Selama menjadi pegawai Objektif Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami Keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang dihadapi oleh organisasi. 8.2.3 Proses kedisiplinan Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi. Kategori Keamanan Utama: 8.3 Pemberhentian atau pemindahan pegawai Objektif Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindah dilakukan sesuai prosedur yang benar. 8.3.1 Tanggung jawab pemberhentian Tanggung jawab terhadap pemberhentian atau pemindahan pegawai, kontraktor atau pihak ketiga harus didefinisikan dan ditunjuk dengan jelas.

22 Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan) Klausul: 9 Keamanan fisik dan lingkungan Kategori Keamanan Utama: 9.1 Wilayah aman Objektif Untuk mencegah akses fisik tanpa hak, kerusakan dan ganguan terhadap Informasi dan perangkatnya dalam organisasi. 9.1.1 Pembatasan keamanan fisik Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi. 9.1.2 Kontrol masuk fisik Wilayah aman (secure) harus dilindungi dengan kontrol akses masuk yang memadai untuk memastikan hanya orang yang berhak saja dibolehkan masuk. Kategori Keamanan Utama: 9.2 Keamanan Peralatan Objektif Untuk mencegah kehilangan, kerusakan, pencurian atau ketidakberesan aset dan gangguan terhadap aktivitas organisasi. 9.2.1 9.2.3 Letak peralatan dan pengamanannya Keamanan pengkabelan Semua peralatan harus ditempatkan dengan tepat dan dilindungi untuk mengurangi resiko dari ancaman dan bahaya dari lingkungan sekitar atau kesempatan untuk diakses dari orang- orang yang tidak berhak. Kabel daya dan telekomunikasi yang menyalurkan data dan layanan Informasi harus dilindungi dari gangguan dan kerusakan.

23 Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan) Klausul: 11 Kontrol Akses Kategori Keamanan Utama: 11.1 Persyaratan bisnis untuk akses control Objektif Untuk mengontrol akses Infromasi. 11.1.1 Kebijakan kontrol akses Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses. Kategori Keamanan Utama: 11.2 Manajemen akses user Objektif Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak. 11.2.3 11.2.4 Manajemen password user Tinjauan terhadap hak akses user Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses. Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses.manajemen harus melakukan tinjauan ulang terhadap hak akses user secara berkala melalui proses yang formal. Kategori Keamanan Utama: 11.3 Tanggung jawab pengguna (user) Objektif Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi 11.3.1 Penggunaan Password Pengguna seharusnya mengikuti praktek keamanan

24 Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan) Kategori Keamanan Utama: 11.3 Tanggung jawab pengguna (user) Objektif Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi yang baik dalam pemilihan dan penggunaan password. Kategori Keamanan Utama: 11.4 Kontrol Akses jaringan Objektif Untuk mencegah akses tanpa hak ke dalam layanan jaringan 11.4.1 Kebijakan penggunaan layanan jaringan Pengguna seharusnya hanya disediakan akses terhadaplayanan yang telah secara spesifik diotorifikasi dalam penggunaannya. Kategori Keamanan Utama: 11.5 Kontrol Akses Sistem Operasi Objektif Untuk mencegah akses tanpa hak ke sistem operasi. 11.5.3 Sistem Manajemen Password Sistem yang digunakan untuk mengelola password harus interaktif dan harus dipastikan passwordnya berkualitas. Kategori Keamanan Utama: 11.6 Kontrol Akses Informasi dan aplikasi Objektif Untuk mencegah akses tanpa hak terhadap Informasi yang terdapat di dalam aplikasi. 11.6.1 Pembatasan akses Informasi Akses terhadap Informasi dan sistem aplikasi oleh pengguna harus dibatasi sesuai dengan kebijakan keamanan yang ditentukan.

25 Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan) Kategori Keamanan Utama: 11.7 Komputasi bergerak dan bekerja dari lain tempat (teleworking) Objektif Untuk memastikan Keamanan Informasi saat menggunakan fasilitas komputasi bergerak atau bekerja darilaintempat. 11.7.1 Komunikasi dan terkomputerisasi yang bergerak Kebijakan secara formal seharusnya ditempatkan dan pengukuran keamanan yang sesuai seharusnya diadopsi untuk melindungi resiko dari penggunaan fasilitas komunikasi dan komputer yang bergerak. 2.5.2 Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk. Nomor : KD.57/HK-290/ITS-30/2006 Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia dengan nomor : KD.57/HK-290/ITS-30/2006 merupakan dokumen tentang kebijakan sekuriti sistem informasi yang digunakan oleh bagian Desktop Management sebagai pedoman dalam melaksanakan segala kegiatan yang berhubungan dengan keamanan informasi. Di dalam dokumen Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia dengan nomor : KD.57/HK-290/ITS-30/2006 tersebut terdapat uraian panduan implementasi kegiatan keamanan informasi berupa Bab I sampai Bab XIV, Pasal 1 sampai Pasal 53 yang menjelaskan tentang prosedur atau langkah langkah dalam menjalankan keamanan informasi pada bagian Desktop Management di PT Telkom Divre V Jatim.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan