AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO

27001 PADA PT. BPR JATIM

1)
Fine Ermana 2)Haryanto Tanuwijaya 3)Ignatius Adrian Mastan

S1 / Jurusan Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya
email: 1)finermana@yahoo.com 2)haryanto@stikom.edu 3)Ignatius@stikom.edu

Abstract: Information security management is extremely important for the head office of PT. BPR
JATIM, since all report originating from branch offices throughout East Java will be sent to the center
every day and network security in data transmission allows the risk of loss of confidential company data.
Core Banking System operates online using the server at the vendor. However the central office still get
regular reports from the branches that still have to have a data server backup and recovery. Given the
importance of information, the information security police should include procedures for asset
management, human resources management, physical and environmental security, logical security,
operational security and information technology in information security incident handling.
To find out how security information is in progress at the company, the need for security audit
information system at PT. BPR JATIM to ensure that information security is implemented in accordance
with the procedure. The standards used are ISO 27001 is selected because is very flexible depending on
the needs of the organization developed and focused on information security management system.
The result of the audit of the maturity level of the overall value of 2,90 which means that
security controls are located on level 2 planned and tracked, but has approached the level 3 well defined
which is the level expected by company, necessitating increased security controls that have been
recommended.
Keywords: audit, information security, ISO 27001, maturity level.

Manajemen keamanan informasi menggunakan server yang ada pada vendor.

sangatlah penting bagi kantor pusat PT. Meskipun demikian, kantor pusat tetap
BPR JATIM, karena seluruh laporan yang mendapatkan laporan rutin bulanan yang
berasal dari kantor cabang di seluruh Jawa berasal dari cabang sehingga tetap harus
Timur akan dikirimkan ke pusat setiap hari memiliki server data untuk backup dan
dan keamanan jaringan dalam transmisi recovery yang berjalan dengan baik.
data memungkinkan resiko kehilangan data Mengingat pentingnya informasi,
rahasia perusahaan. Transmisi data dan maka kebijakan tentang pengamanan
informasi tersebut menggunakan jasa salah informasi harus mencakup sekurang-
satu Internet Service Provider (ISP) lewat kurangnya terdapat prosedur pengelolaan
jaringan Virtual Private Network (VPN). aset, prosedur pengelolaan sumber daya
Sistem perbankan atau Core Banking manusia, prosedur pengamanan fisik dan
System (CBS) pada PT. BPR JATIM lingkungan, prosedur pengamanan logical
menggunakan produk salah satu vendor security, prosedur pengamanan operasional
Teknologi Informasi (TI) yaitu Sarana teknologi informasi dan prosedur
Transaksi Keuangan (SATU) yang penanganan insiden dalam pengamanan
beroperasi secara online namun masih informasi (Direktorat Penelitian dan

1
Pengaturan Perbankan, 2007: 52). Untuk yang terdefinisi (ICASA dalam Sarno,
itu diperlukan audit keamanan sistem 2009: 3).
informasi pada PT. BPR JATIM untuk
memastikan keamanan informasi Audit Sistem Informasi
diterapkan sesuai dengan prosedur. Standar Weber dalam Sarno (2009: 28)
yang digunakan yaitu ISO 27001. Beberapa mendefinisikan Audit Sistem Informasi
hal penting yang patut dijadikan sebagai proses pengumpulan dan
pertimbangan mengapa standar ISO 27001 pengevaluasian bukti (evidence) untuk
dipilih karena dengan standar ini sangat menentukan apakah sistem informasi dapat
fleksibel dikembangkan karena sangat melindungi aset, serta apakah teknologi
tergantung dari kebutuhan organisasi, informasi yang ada telah memelihara
tujuan organisasi, persyaratan keamanan, integritas data sehingga keduanya dapat
proses bisnis dan jumlah pegawai dan diarahkan kepada pencapaian tujuan bisnis
ukuran struktur organisasi serta ISO 27001 secara efektif dengan menggunakan sumber
menyediakan sertifikat implementasi daya secara efektif.
Sistem Manajemen Keamanan Informasi
SMKI yang diakui secara internasional Keamanan Informasi
yang disebut Information Security Keamanan Informasi adalah penjagaan
Management System (ISMS) certification informasi dari seluruh ancaman yang
(Sarno dan Iffano, 2009: 59). mungkin terjadi dalam upaya untuk
memastikan atau menjamin kelangsungan
LANDASAN TEORI bisnis (business continuity), meminimasi
Audit resiko bisnis (reduce business risk) dan
Audit didefinisikan sebagai proses atau memaksimalkan atau mempercepat
aktivitas yang sistematik, independen dan pengembalian investasi dan peluang bisnis
terdokementasi untuk menemukan suatu (ISO 27001 dalam Sarno dan Iffano, 2009:
bukti-bukti (audit evidence) dan dievaluasi 27).
secara obyektif untuk menentukan apakah
telah memenuhi kriteria pemeriksaan Sistem Informasi
(audit) yang ditetapkan. Tujuan dari audit Sistem Informasi (SI) adalah suatu sistem
adalah untuk memberikan gambaran di dalam suatu organisasi yang
kondisi tertentu yang berlangsung di mempertemukan kebutuhan pengolahan
perusahaan dan pelaporan mengenai transaksi harian, mendukung operasi,
pemenuhan terhadap sekumpulan standar bersifat manajerial dan kegiatan strategi

2
dari suatu organisasi dan menyediakan dampak yang ditimbulkan atas terjadinya
pihak luar tertentu dengan laporan-laporan sesuatu yang mengancam keamanan
yang diperlukan (Leitch dan Davis dalam informasi di organisasi, yang dimaksud
Jogiyanto 2005: 11). adalah ancaman terhadap aspek keamanan
informasi yaitu CIA (Confidentiality,
ISO 27001 Integrity, Availability). Sehingga setiap
ISO/IEC 27001 merupakan dokumen pernyataan akan diberikan bobot sesuai
standar Sistem Manajemen Keamanan dengan nilai resiko yang akan terjadi
Informasi (SMKI) atau Information apabila tidak diterapkan.
Security Management Systems (ISMS) yang
memberikan gambaran secara umum METODOLOGI PENELITIAN
mengenai apa saja yang seharusnya Langkah-langkah pelaksanaan audit
dilakukan dalam usaha pengimplementasian keamanan sistem informasi mencangkup:
konsep-konsep keamanan informasi di 1. Penentuan ruang lingkup
perusahaan. Sarno dan Iffano (2009: 187) 2. Pengumpulan data.
mengatakan kontrol keamanan berdasarkan 3. Pelaksanaan audit kepatutan.
ISO/IEC 27001 terdiri dari 11 klausul 4. Penentuan maturity level.
kontrol keamanan (security control 5. Penentuan hasil audit keamanan sistem
clauses), 39 objektif kontrol (control informasi.
objectives) dan 133 kontrol keamanan/ 6. Penyusunan laporan hasil audit
kontrol (controls). keamanan sistem informasi.

Maturity Level IMPLEMENTASI DAN HASIL

Penilaian maturity level mengunakan SSE- Penentuan Ruang Lingkup Audit
Keamanan Sistem Informasi
CMM. Menurut Gunawan dan Suhono
(2006: 136), SSE-CMM adalah Capability Ruang lingkup audit keamanan sistem
Maturity Model (CMM) untuk System informasi berdasarkan peraturan Bank
Security Engineering (SSE). CMM adalah Indonesia (BI) dalam pedoman untuk
kerangka untuk mengembangkan proses, menerapkan manajemen resiko dalam
seperti proses teknis baik informal maupun penggunaan TI dan disesuaikan dengan
formal. Pembobotan yang digunakan kriteria audit yang menggunakan standar
mengadopsi dari penilaian resiko.Menurut ISO 27001. Tabel 1 merupakan pemetaan
Sarno dan Iffano (2009: 89) dalam dari pedoman yang digunakan terhadap
hubungannya dengan SMKI, resiko adalah klausul-klausul ISO 27001.

3
 temuan audit dan nilai tingkat kematangan
tiap kontrol keamanan. Dokumen
wawancara diperoleh saat prosedur
pembuatan pertanyaan dari pernyataan yang
Tabel 1 Pemetaan Klausul ISO27001 sebelumnya dibuat. Bukti-bukti dan temuan
Pedoman BI Klausul
audit diperoleh saat dilakukan wawancara
Prosedur Pengelolaan Aset 7
Prosedur Pengelolaan SDM 8 kepada perusahaan. Setelah didapatkan
Prosedur Pengamanan Fisik 9 bukti-bukti dan temuan audit tersebut
dan Lingkungan
Prosedur Pengamanan 10 kemudian dievaluasi dan dianalisa lalu
Logical Security menentukan nilai tingkat kemampuan tiap-
Prosedur Pengamanan 11,12
Operasional Teknologi tiap kontrol keamanan.
Informasi Contoh kerangka kerja perhitungan nilai
Prosedur Penanganan 13
Insiden dalam Pengamanan maturity level dapat dilihat pada Tabel 2,
Informasi untuk contoh hasil perhitungan tingkat
kemampuan dapat dilihat pada Tabel 3 dan
Pelaksanaan Audit Kepatutan dan contoh representasi hasilnya ke dalam
Penentuan Maturity Level
digram radar dapat dilihat pada Gambar 1.
Pelaksanaan audit kepatutan menghasilkan
dokumen wawancara, bukti-bukti audit,
Tabel 2 Contoh Kerangka Kerja Perhitungan Maturity Level
8.3.2 Pengembalian Aset
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Pengembalian aset pegawai telah dilakukan
1 1 √ 5
sesuai kontrak pada saat berhenti kerja.
Pengembalian aset pegawai telah dilakukan
2 1 √ 5
sesuai kontrak pada saat dipindahkan.
Total Bobot 2 Tingkat Kemampuan 5

Tabel 3 Contoh Hasil Maturity Level Klausul 8 Manajemen SDM

Tingkat Rata-rata/Objektif
Klausul Objektif Kontrol Kontrol Keamanan
Kemampuan Kontrol
8.1.1 Aturan dan
3,64
Tanggung Jawab
8 8.1 Keamanan 8.1.2 Seleksi 3,36
Manajemen SDM Sebelum 8.1.3 Persyaratan 3,25
Sumber Menjadi Pegawai dan Kondisi Yang
2,75
Daya Harus Dipenuhi
Manusia Oleh Pegawai
8.2 Selama 8.2.1 Tanggung
3,50 3,92
Menjadi Pegawai Jawab Manajemen
8.2.2 Pendidikan 4,25

4
 dan Pelatihan
Keamanan Informasi
Tingkat Rata-rata/Objektif
Klausul Objektif Kontrol Kontrol Keamanan
Kemampuan Kontrol
8.2.3 Proses
4,00
Kedisiplinan
8.3.1 Tanggung
Jawab 5,00
8.3
Pemberhentian
Pemberhentian
8.3.2 Pengembalian 5,00
atau Pemindahan 5,00
Aset
Pegawai
8.3.3 Penghapusan
5,00
Hak Akses
Maturity Level Klausul 8 4,06

8.1.1 …
5
8.3.3 … 4 8.1.2 …
3 Tabel 4 Hasil Maturity Level Seluruh
2
8.3.2 … 1 8.1.3 … Klausul
0
Klausul Maturity Level
8.3.1 … 8.2.1 …
7 1.91
8.2.3 … 8.2.2 … 8 4.06
9 2.96
Gambar 1 Contoh Representasi Nilai 10 3.54
Maturity Level Klausul 8 11 2.93
Manajemen SDM 12 2.94
13 1.96
Penentuan dan Penyusunan Hasil Audit Nilai Maturity Level 2.90
Sistem Informasi

Hasil audit keamanan sistem informasi Didapat representasi hasil maturity level

berupa temuan dan rekomendasi untuk seluruh klausul pada Gambar 2 dan terlihat

perusahaan. Temuan dan rekomendasi bahwa Manajemen Aset dan Kejadian

tersebut berasal dari hasil wawancara yang Keamanan Informasi memiliki nilai yang

dilakukan, yang sebelumnya dievaluasi dan belum baik, sehingga harus dimanajemen

dianalisa.Laporan hasil audit yang berupa ulang pada prosedur untuk mengelola

temuan-temuan dan rekomendasi tersebut kontrol keamanannya.

digunakan sebagai saran untuk perbaikan

kontrol keamanan.
Setelah seluruh perhitungan selesai
didapatkan nilai maturity level dari rata-rata
keseluruhan nilai klasul yang dapat dilihat
pada Tabel 4.

5
 2. Beelum ada peeran penangg
gung jawab
khhusus untukk perlindunngan aset
terrtentu.
3. Beelum ada panduan m
mekanisme
ko
ontrol untukk perlindunngan pada
keeamanan fisiik.
Gam
mbar 2 Repressentasi Hasil Maturity 4. Beelum dilaku
ukan pengonntrolan dan
Level Seluruh
S Klaussul peencatatan terhadap perubahan
Penyusunan Temuuan
fasilitas pemroosesan inform
masi.
h dilakukan annalaisa dan evvaluasi dari
Setelah
5. Kaaji ulang haak akses, oto
orisasi hak
audit keamanan
k sistem informassi pada PT.
BPR JATIM
J didap
patkan beberaapa kondisi kh
husus dan alokasiny
ya belum
yang teelah sesuai deengan kontroll dilakukan secaara berkala.
keaman
nanan pada ISO 27001 yang telah
ditetappkan. Beberappa kondisi terssebut yaitu: Penyu
usunan Rekomendasi
1. Terdapat aturaan mengenaii tanggung Berdassarkan dari teemuan yang didapat
d dari
wab
jaw keamaanan inform
masi pada audit keamanan ssistem inform
masi maka
konntrak kerja peegawai. disusuun rekomendaasi guna perbaikan untuk
2. Terdapat perim
meter keamaanan untuk kondissi-kondisi ppada perusahhaan yang
meelindungi ru
uang yang berisikan belum sesuai denggan prosedurr. Beberapa
fassilitas pemrossesan informaasi. mendasi tersebbut yaitu:
rekom
3. Terdapat dookumentasi terhadap 1. Mengiidentifika
M asi dengan jelas dan
proosedur operassi. meenginventarissasi seluruh aset yang
4. Terdapat dokkumentasi penetapan dim
miliki oleh orrganisasi.
perrsyaratan bisnnis untuk konntrol akses. 2. Mengklarifikas
M sikan dan membuat
5. Terdapat peersyaratan kebutuhan paanduan klasiifikasi Inforrmasi agar
keaamanan sistem
m informasi pada
p sistem daapat dilakukkan pengamanan yang
barru. meemadai sesuaai dengan klassifikasinya.
Sedang
gkan kondissi yang masih perlu 3. Membuat
M prosedur penandaan
perbaikkan yaitu: klaasifikasi misaalnya informaasi ”rahasia”
1. Pennjadwalan peengontrolan aset belum (m
misalnya data simpanan naasabah, data
dilakukan secarra berkala dann belum ada pribadi nasabaah), ”internal”” (misalnya
baggian atau individu
i terttentu yang peeraturan tentaang gaji pegaawai Bank)
berrtugas mengoontrol aset. daan ”biasa” (misalnya informasi

6
 tentang produk perbankan yang peningkatan kontrol keamanan yang
ditawarkan ke masyarakat). telah direkomendasikan.

Kesimpulan Saran
Berdasarkan hasil audit keamanan sistem Beberapa saran yang dapat diberikan untuk
informasi, maka didapat kesimpulan: pengembangan lebih lanjut yaitu:
1. Perencanaan audit keamanan sistem 1. Audit keamanan sistem informasi
informasi pada PT. BPR JATIM belum menerapkan seluruh kontrol
menghasilkan identifikasi ruang keamanan yang sesuai dengan pedoman
lingkup pada pedoman Bank Indonesia BI, karena perusahaan baru saja
dalam menerapkan manajemen resiko mengalami perubahan sistem sehingga
pada TI. Pengumpulan data dilakukan masih dalam tahap pengembangan.
dengan wawancara untuk menentukan Untuk itu diharapkan setelah seluruh
dokumen-dokumen yang diperlukan. sistem perusahaan telah berjalan sesuai
Langkah pelaksanaan audit keamanan dengan proses bisnis yang ada atau
sistem informasi dilakukan dengan bahkan telah membuat prosedur sistem
pembuatan pernyataan, penentuan nilai manajemen keamanan informasi maka
bobot, pembuatan pertanyaan dan perlu dilakukan audit keamanan sistem
penentuan nilai kematangan. informasi kembali.
2. Pelaksanaan audit keamanan sistem 2. Audit keamanan sistem informasi ini
informasi dengan pengumpulan data menggunakan standar ISO 27001 dan
memperoleh dokumen hasil penilaian maturity level menggunakan
wawancara. SSE-CMM, dikarenakan ISO memang
3. Hasil maturity level didapat dari belum memiliki metode penilaian maka
seluruh kontrol keamanan dari itu untuk pengembangan penelitian
mendapatkan nilai sebesar 2,90 yang selanjutnya dapat menggunakan
berarti bahwa kontrol keamanan masih maturity model lain untuk bahan
berada pada level 2 planned and perbandingan.
tracked (direncanakan dan dilacak)
namun telah mendekati level 3 well
defined (didefinisikan dengan baik)
yang merupakan level yang diharapkan
oleh perusahaan, sehingga diperlukan

7
Daftar Pustaka
Direktorat Penelitian dan Pengaturan
Perbankan.2007. Pedoman
Penerapan Manajemen Resiko
dalam Penggunaan Teknologi
Informasi oleh Bank Umum.
Jakarta. Bank Indonesia.

Gondodiyoto, S. 2007. Audit Sistem

Informasi Pendekatan COBIT.
Jakarta: Mitra Wacana Media.

Gunawan, H dan Suhono, R D. 2006. Studi

ISO 17799:2005 Dan Systems
Security Engineering Capability
Maturity Model (SSE-CMM) Untuk
Keamanan Aplikasi Web. Bandung:
Institut Teknologi Bandung.

Jogianto, H,M. 2005. Analisa dan Desain.

Yogyakarta: Andi

Sarno, Riyanarto. 2009. Audit Sistem &

Teknologi Informasi. Surabaya:
ITS Press.

Sarno, R. dan Iffano, I. 2009. Sistem

Manajemen Keamanan Informasi.
Surabaya: ITS Press.