Professional Documents
Culture Documents
Audit Keamanan Sistem Informasi Berdasar 2ffbc758
Audit Keamanan Sistem Informasi Berdasar 2ffbc758
1)
Fine Ermana 2)Haryanto Tanuwijaya 3)Ignatius Adrian Mastan
S1 / Jurusan Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya
email: 1)finermana@yahoo.com 2)haryanto@stikom.edu 3)Ignatius@stikom.edu
Abstract: Information security management is extremely important for the head office of PT. BPR
JATIM, since all report originating from branch offices throughout East Java will be sent to the center
every day and network security in data transmission allows the risk of loss of confidential company data.
Core Banking System operates online using the server at the vendor. However the central office still get
regular reports from the branches that still have to have a data server backup and recovery. Given the
importance of information, the information security police should include procedures for asset
management, human resources management, physical and environmental security, logical security,
operational security and information technology in information security incident handling.
To find out how security information is in progress at the company, the need for security audit
information system at PT. BPR JATIM to ensure that information security is implemented in accordance
with the procedure. The standards used are ISO 27001 is selected because is very flexible depending on
the needs of the organization developed and focused on information security management system.
The result of the audit of the maturity level of the overall value of 2,90 which means that
security controls are located on level 2 planned and tracked, but has approached the level 3 well defined
which is the level expected by company, necessitating increased security controls that have been
recommended.
Keywords: audit, information security, ISO 27001, maturity level.
1
Pengaturan Perbankan, 2007: 52). Untuk yang terdefinisi (ICASA dalam Sarno,
itu diperlukan audit keamanan sistem 2009: 3).
informasi pada PT. BPR JATIM untuk
memastikan keamanan informasi Audit Sistem Informasi
diterapkan sesuai dengan prosedur. Standar Weber dalam Sarno (2009: 28)
yang digunakan yaitu ISO 27001. Beberapa mendefinisikan Audit Sistem Informasi
hal penting yang patut dijadikan sebagai proses pengumpulan dan
pertimbangan mengapa standar ISO 27001 pengevaluasian bukti (evidence) untuk
dipilih karena dengan standar ini sangat menentukan apakah sistem informasi dapat
fleksibel dikembangkan karena sangat melindungi aset, serta apakah teknologi
tergantung dari kebutuhan organisasi, informasi yang ada telah memelihara
tujuan organisasi, persyaratan keamanan, integritas data sehingga keduanya dapat
proses bisnis dan jumlah pegawai dan diarahkan kepada pencapaian tujuan bisnis
ukuran struktur organisasi serta ISO 27001 secara efektif dengan menggunakan sumber
menyediakan sertifikat implementasi daya secara efektif.
Sistem Manajemen Keamanan Informasi
SMKI yang diakui secara internasional Keamanan Informasi
yang disebut Information Security Keamanan Informasi adalah penjagaan
Management System (ISMS) certification informasi dari seluruh ancaman yang
(Sarno dan Iffano, 2009: 59). mungkin terjadi dalam upaya untuk
memastikan atau menjamin kelangsungan
LANDASAN TEORI bisnis (business continuity), meminimasi
Audit resiko bisnis (reduce business risk) dan
Audit didefinisikan sebagai proses atau memaksimalkan atau mempercepat
aktivitas yang sistematik, independen dan pengembalian investasi dan peluang bisnis
terdokementasi untuk menemukan suatu (ISO 27001 dalam Sarno dan Iffano, 2009:
bukti-bukti (audit evidence) dan dievaluasi 27).
secara obyektif untuk menentukan apakah
telah memenuhi kriteria pemeriksaan Sistem Informasi
(audit) yang ditetapkan. Tujuan dari audit Sistem Informasi (SI) adalah suatu sistem
adalah untuk memberikan gambaran di dalam suatu organisasi yang
kondisi tertentu yang berlangsung di mempertemukan kebutuhan pengolahan
perusahaan dan pelaporan mengenai transaksi harian, mendukung operasi,
pemenuhan terhadap sekumpulan standar bersifat manajerial dan kegiatan strategi
2
dari suatu organisasi dan menyediakan dampak yang ditimbulkan atas terjadinya
pihak luar tertentu dengan laporan-laporan sesuatu yang mengancam keamanan
yang diperlukan (Leitch dan Davis dalam informasi di organisasi, yang dimaksud
Jogiyanto 2005: 11). adalah ancaman terhadap aspek keamanan
informasi yaitu CIA (Confidentiality,
ISO 27001 Integrity, Availability). Sehingga setiap
ISO/IEC 27001 merupakan dokumen pernyataan akan diberikan bobot sesuai
standar Sistem Manajemen Keamanan dengan nilai resiko yang akan terjadi
Informasi (SMKI) atau Information apabila tidak diterapkan.
Security Management Systems (ISMS) yang
memberikan gambaran secara umum METODOLOGI PENELITIAN
mengenai apa saja yang seharusnya Langkah-langkah pelaksanaan audit
dilakukan dalam usaha pengimplementasian keamanan sistem informasi mencangkup:
konsep-konsep keamanan informasi di 1. Penentuan ruang lingkup
perusahaan. Sarno dan Iffano (2009: 187) 2. Pengumpulan data.
mengatakan kontrol keamanan berdasarkan 3. Pelaksanaan audit kepatutan.
ISO/IEC 27001 terdiri dari 11 klausul 4. Penentuan maturity level.
kontrol keamanan (security control 5. Penentuan hasil audit keamanan sistem
clauses), 39 objektif kontrol (control informasi.
objectives) dan 133 kontrol keamanan/ 6. Penyusunan laporan hasil audit
kontrol (controls). keamanan sistem informasi.
3
temuan audit dan nilai tingkat kematangan
tiap kontrol keamanan. Dokumen
wawancara diperoleh saat prosedur
pembuatan pertanyaan dari pernyataan yang
Tabel 1 Pemetaan Klausul ISO27001 sebelumnya dibuat. Bukti-bukti dan temuan
Pedoman BI Klausul
audit diperoleh saat dilakukan wawancara
Prosedur Pengelolaan Aset 7
Prosedur Pengelolaan SDM 8 kepada perusahaan. Setelah didapatkan
Prosedur Pengamanan Fisik 9 bukti-bukti dan temuan audit tersebut
dan Lingkungan
Prosedur Pengamanan 10 kemudian dievaluasi dan dianalisa lalu
Logical Security menentukan nilai tingkat kemampuan tiap-
Prosedur Pengamanan 11,12
Operasional Teknologi tiap kontrol keamanan.
Informasi Contoh kerangka kerja perhitungan nilai
Prosedur Penanganan 13
Insiden dalam Pengamanan maturity level dapat dilihat pada Tabel 2,
Informasi untuk contoh hasil perhitungan tingkat
kemampuan dapat dilihat pada Tabel 3 dan
Pelaksanaan Audit Kepatutan dan contoh representasi hasilnya ke dalam
Penentuan Maturity Level
digram radar dapat dilihat pada Gambar 1.
Pelaksanaan audit kepatutan menghasilkan
dokumen wawancara, bukti-bukti audit,
Tabel 2 Contoh Kerangka Kerja Perhitungan Maturity Level
8.3.2 Pengembalian Aset
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Pengembalian aset pegawai telah dilakukan
1 1 √ 5
sesuai kontrak pada saat berhenti kerja.
Pengembalian aset pegawai telah dilakukan
2 1 √ 5
sesuai kontrak pada saat dipindahkan.
Total Bobot 2 Tingkat Kemampuan 5
4
dan Pelatihan
Keamanan Informasi
Tingkat Rata-rata/Objektif
Klausul Objektif Kontrol Kontrol Keamanan
Kemampuan Kontrol
8.2.3 Proses
4,00
Kedisiplinan
8.3.1 Tanggung
Jawab 5,00
8.3
Pemberhentian
Pemberhentian
8.3.2 Pengembalian 5,00
atau Pemindahan 5,00
Aset
Pegawai
8.3.3 Penghapusan
5,00
Hak Akses
Maturity Level Klausul 8 4,06
8.1.1 …
5
8.3.3 … 4 8.1.2 …
3 Tabel 4 Hasil Maturity Level Seluruh
2
8.3.2 … 1 8.1.3 … Klausul
0
Klausul Maturity Level
8.3.1 … 8.2.1 …
7 1.91
8.2.3 … 8.2.2 … 8 4.06
9 2.96
Gambar 1 Contoh Representasi Nilai 10 3.54
Maturity Level Klausul 8 11 2.93
Manajemen SDM 12 2.94
13 1.96
Penentuan dan Penyusunan Hasil Audit Nilai Maturity Level 2.90
Sistem Informasi
Hasil audit keamanan sistem informasi Didapat representasi hasil maturity level
berupa temuan dan rekomendasi untuk seluruh klausul pada Gambar 2 dan terlihat
tersebut berasal dari hasil wawancara yang Keamanan Informasi memiliki nilai yang
dilakukan, yang sebelumnya dievaluasi dan belum baik, sehingga harus dimanajemen
dianalisa.Laporan hasil audit yang berupa ulang pada prosedur untuk mengelola
5
2. Beelum ada peeran penangg
gung jawab
khhusus untukk perlindunngan aset
terrtentu.
3. Beelum ada panduan m
mekanisme
ko
ontrol untukk perlindunngan pada
keeamanan fisiik.
Gam
mbar 2 Repressentasi Hasil Maturity 4. Beelum dilaku
ukan pengonntrolan dan
Level Seluruh
S Klaussul peencatatan terhadap perubahan
Penyusunan Temuuan
fasilitas pemroosesan inform
masi.
h dilakukan annalaisa dan evvaluasi dari
Setelah
5. Kaaji ulang haak akses, oto
orisasi hak
audit keamanan
k sistem informassi pada PT.
BPR JATIM
J didap
patkan beberaapa kondisi kh
husus dan alokasiny
ya belum
yang teelah sesuai deengan kontroll dilakukan secaara berkala.
keaman
nanan pada ISO 27001 yang telah
ditetappkan. Beberappa kondisi terssebut yaitu: Penyu
usunan Rekomendasi
1. Terdapat aturaan mengenaii tanggung Berdassarkan dari teemuan yang didapat
d dari
wab
jaw keamaanan inform
masi pada audit keamanan ssistem inform
masi maka
konntrak kerja peegawai. disusuun rekomendaasi guna perbaikan untuk
2. Terdapat perim
meter keamaanan untuk kondissi-kondisi ppada perusahhaan yang
meelindungi ru
uang yang berisikan belum sesuai denggan prosedurr. Beberapa
fassilitas pemrossesan informaasi. mendasi tersebbut yaitu:
rekom
3. Terdapat dookumentasi terhadap 1. Mengiidentifika
M asi dengan jelas dan
proosedur operassi. meenginventarissasi seluruh aset yang
4. Terdapat dokkumentasi penetapan dim
miliki oleh orrganisasi.
perrsyaratan bisnnis untuk konntrol akses. 2. Mengklarifikas
M sikan dan membuat
5. Terdapat peersyaratan kebutuhan paanduan klasiifikasi Inforrmasi agar
keaamanan sistem
m informasi pada
p sistem daapat dilakukkan pengamanan yang
barru. meemadai sesuaai dengan klassifikasinya.
Sedang
gkan kondissi yang masih perlu 3. Membuat
M prosedur penandaan
perbaikkan yaitu: klaasifikasi misaalnya informaasi ”rahasia”
1. Pennjadwalan peengontrolan aset belum (m
misalnya data simpanan naasabah, data
dilakukan secarra berkala dann belum ada pribadi nasabaah), ”internal”” (misalnya
baggian atau individu
i terttentu yang peeraturan tentaang gaji pegaawai Bank)
berrtugas mengoontrol aset. daan ”biasa” (misalnya informasi
6
tentang produk perbankan yang peningkatan kontrol keamanan yang
ditawarkan ke masyarakat). telah direkomendasikan.
Kesimpulan Saran
Berdasarkan hasil audit keamanan sistem Beberapa saran yang dapat diberikan untuk
informasi, maka didapat kesimpulan: pengembangan lebih lanjut yaitu:
1. Perencanaan audit keamanan sistem 1. Audit keamanan sistem informasi
informasi pada PT. BPR JATIM belum menerapkan seluruh kontrol
menghasilkan identifikasi ruang keamanan yang sesuai dengan pedoman
lingkup pada pedoman Bank Indonesia BI, karena perusahaan baru saja
dalam menerapkan manajemen resiko mengalami perubahan sistem sehingga
pada TI. Pengumpulan data dilakukan masih dalam tahap pengembangan.
dengan wawancara untuk menentukan Untuk itu diharapkan setelah seluruh
dokumen-dokumen yang diperlukan. sistem perusahaan telah berjalan sesuai
Langkah pelaksanaan audit keamanan dengan proses bisnis yang ada atau
sistem informasi dilakukan dengan bahkan telah membuat prosedur sistem
pembuatan pernyataan, penentuan nilai manajemen keamanan informasi maka
bobot, pembuatan pertanyaan dan perlu dilakukan audit keamanan sistem
penentuan nilai kematangan. informasi kembali.
2. Pelaksanaan audit keamanan sistem 2. Audit keamanan sistem informasi ini
informasi dengan pengumpulan data menggunakan standar ISO 27001 dan
memperoleh dokumen hasil penilaian maturity level menggunakan
wawancara. SSE-CMM, dikarenakan ISO memang
3. Hasil maturity level didapat dari belum memiliki metode penilaian maka
seluruh kontrol keamanan dari itu untuk pengembangan penelitian
mendapatkan nilai sebesar 2,90 yang selanjutnya dapat menggunakan
berarti bahwa kontrol keamanan masih maturity model lain untuk bahan
berada pada level 2 planned and perbandingan.
tracked (direncanakan dan dilacak)
namun telah mendekati level 3 well
defined (didefinisikan dengan baik)
yang merupakan level yang diharapkan
oleh perusahaan, sehingga diperlukan
7
Daftar Pustaka
Direktorat Penelitian dan Pengaturan
Perbankan.2007. Pedoman
Penerapan Manajemen Resiko
dalam Penggunaan Teknologi
Informasi oleh Bank Umum.
Jakarta. Bank Indonesia.