Add to collection(s) Add to saved
  1. Bisnis
  2. Manajemen

Audit Keamanan Informasi Bagian Teknologi Informasi PT

advertisement 
Audit Keamanan Informasi Bagian Teknologi Informasi
PT PLN (Persero) DJBB Menggunakan SNI ISO/IEC
27001: 2009
Rizki Komalasari1, Ilham Perdana2
Jurusan Manajemen Bisnis Telekomunikasi & Informatika
Fakultas Ekonomi & Bisnis Universitas Telkom, Bandung
1)
2)
email: [email protected] , [email protected]
ABSTRACT
Most of public service agencies have not yet or are drafting information security
framework that meet the standard of SNI ISO/IEC 27001: 2009. One of them is
PT PLN (Persero) DJBB. Some cases occur related to information security
policy, physical and environmental security, and communication and operation
management. Therefore, an audit’s conducted for improvement of information
security management system, especially in the improvement and preparation of
Standard Operating Procedure (SOP) related information sercurity to be more
optimal. This research type is applied research. This research is descriptive
qualitative research. This research uses technique triangulation (structured
interview, observation, and documentation). Gap analysis is stated in a work
paper gap analysis table. This research measures the level of performace of
Information Technology that uses Capability Maturity Model Integration
(CMMI). The result of the audit indicates that level of security policy and
physical and environmental security is 4 (managed), while level of
communication and operation management is 5 (optimized).
Keywords : Gap Analysis, Information Security Audit, Maturity Level,
SNI ISO/IEC 27001:2009
1
Pendahuluan
IT Governance merupakan salah satu pilar utama dari GCG, maka dalam
pelaksanaan IT Governance atau tata kelola TI yang baik sangat diperlukan
standar tata kelola Tl dengan mengacu kepada standar tata kelola TI
internasional yang telah diterima secara luas dan teruji implementasinya. Tata
kelola TI termasuk di dalamnya adalah kemanan informasi [7].
201
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
Dalam rangka mendukung sistem keamanan informasi bagi lembaga
penyelenggara pelayanan publik, Badan Standarisasi Nasional (BSN)
mengadopsi ISO/IEC 27001: 2005 sebagai Standar Nasional Indonesia (SNI)
ISO/IEC 27001: 2009. Namun mayoritas instansi penyelenggara pelayanan
publik belum memiliki/ sedang menyusun kerangka kerja keamanan informasi
yang memenuhi standar SNI ISO/IEC 27001: 2009 [6]. Salah satunya adalah PT
PLN (Persero) DJBB.
Beberapa kasus yang ditemui terkait keamanan informasi di Bagian TI PLN
(Persero) DJBB. Terkait dengan klausul A.5 Kebijakan Keamanan, walaupun
sudah ada kebijakan keamanan, masih terdapat beberapa Standar Operating
Procedure (SOP) keamanan informasi yang masih dalam penyusunan dan
masih ada pula yang belum didokumentasikan.
Terkait dengan klausul A.9 Keamanan Fisik dan Lingkungan, masih dijumpai
penataan kabel yang tidak rapi, tidak ada pengecekan ataupun larangan
penggunaan kamera photo oleh pihak ketiga, di satu sisi gedung TI sangat
memerlukan pengamanan khusus karena di dalamnya menyimpan server utama.
Sedangkan terkait dengan klausul A.10 Manajemen Komunikasi dan Operasi,
berdasarkan status gangguan sistem informasi pada akhir tahun 2013 ada
beberapa gangguan yang sering terjadi adalah kondisi down pada jaringan Local
Area Network (LAN) karena berbagai gangguan misalnya serangan virus dan
gangguan listrik sehingga daya konektivitas lambat, adanya gangguan aplikasi
pelayanan pelanggan terpadu, juga gangguan koneksi jaringan lambat karena
banyaknya information technology broadcast sehingga data melebihi dari
kapasitas bandwidth yang ada, kerusakan perangkat Wide Area Network (WAN)
karena petir dan angin, apalagi saat ini sangat dipengaruhi oleh kondisi cuaca
yang buruk, serta putusnya kabel, serta beberapa kali terjadi di mana server
dalam kondisi down.
Oleh karena itu diperlukan audit keamanan informasi menggunakan standar SNI
ISO/IEC 27001: 2009 untuk menjawab rumusan masalah penelitian sebagai
berikut:
a. Bagaimana maturity level dan gap pada kebijakan keamanan Bagian
Teknologi Informasi PT PLN (Persero) Distribusi Jawa Barat dan Banten
berdasarkan standar SNI ISO/IEC 27001: 2009?
b. Bagaimana maturity level dan gap pada keamanan fisik dan lingkungan
Bagian Teknologi Informasi PT PLN (Persero) Distribusi Jawa Barat dan
Banten berdasarkan standar SNI ISO/IEC 27001: 2009?
202
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
c. Bagaimana maturity level dan gap pada manajemen komunikasi dan operasi
Bagian Teknologi Informasi PT PLN (Persero) Distribusi Jawa Barat dan
Banten berdasarkan standar SNI ISO/IEC 27001: 2009?
2
Landasan Teori
2.1
Definisi Informasi
Kaitannya dengan konsep informasi, informasi adalah semua hal yang
diperlukan dalam proses pembuatan keputusan, misalnya pengetahuan, fakta,
data, angka, dan sebagainya [1].
Selain itu juga disebutkan, “Information is the stuff of paper work system just as
material is the stuff of production system.” Pendapat tersebut menunjukan
bahwa informasi merupakan komoditi yang sangat penting bagi pelaksanaan
operasional manajemen efektif [1].
2.2
Definisi Keamanan Informasi
Keamanan informasi (information security) adalah penjagaan informasi dari
seluruh
ancaman
yang
mungkin
terjadi dalam upaya
untuk
memastikan/menjamin kelangsungan bisnis (business continuity), meminimasi
risiko bisnis (reduce business risk), dan memaksimalkan/mempercepat
pengembalian investasi dan peluang bisnis [8].
Keamanan informasi merupakan suatu keharusan untuk melindungi aset
perusahaan dari berbagai ancaman. Tujuannya adalah untuk meyakinkan
integritas, kelanjutan, dan kerahasiaan dari pengolah data [10].
2.3
Jenis Keamanan Informasi
Kelemahan keamanan informasi berdasarkan lubang keamanan (security hole)
dapat diklasifikasikan menjadi empat bagian utama yang akan dijelaskan
sebagaimana berikut:
a. Keamanan yang bersifat fisik (physical security). Hal tersebut mencakup
akses orang ke gedung, peralatan dan media yang digunakan.
b. Keamanan yang berhubungan dengan orang (personal security). Hal ini
termasuk identifikasi dan profil risiko dari pihak atau karyawan yang
mempunyai akses.Seringkali kelemahan keamanan informasi bergantung
kepada manusia (pemakai dan pengelola).
c. Keamanan dari data dan media serta teknik komunikasi (communications
security). Yang termasuk dalam bagian ini adalah kelemahan dalam
perangkat lunak (software) untuk pengelolaan data. Seorang pelaku
203
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
kejahatan dapat memasang virus atau trojan horse sehingga dapat
mengumpulkan informasi (seperti password) yang semestinya tidak berhak
diakses.
d. Keamanan dalam operasional/manajemen teknologi informasi (management
security). Hal ini mencakup kebijakan (policy) dan prosedur yang digunakan
untuk mengatur dan mengelola sistem keamanan dan juga prosedur setelah
serangan (post attack recovery), seringkali perusahaan tidak memiliki
dokumen kebijakan dan prosedur tersebut [8].
2.4
Audit Keamanan Informasi
Audit merupakan proses atau aktivitas yang sistematik, independen, dan
terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan
dievaluasi secara objektif untuk menentukan apakah telah memenuhi kriteria
pemeriksaan (audit) yang ditetapkan [8].
Audit keamanan informasi adalah suatu alat atau perangkat dalam menentukan,
mendapatkan, dan mengelola setiap level keamanan dalam suatu organisasi.
Audit keamanan informasi dimaksudkan untuk meningkatkan level keamanan
informasi, mencegah rancangan keamanan informasi yang tidak layak, dan
mengoptimalkan efisiensi benteng keamanan, dan proses keamanan informasi
itu sendiri. Audit ini akan memastikan atau menjamin berjalannya proses
operasional, reputasi dan aset suatu organisasi. Hasil dari audit keamanan
informasi adalah tersusunnya dokumen laporan audit yang terkait pada
keamanan teknologi informasi yang digunakan di lingkungan organisasi
tersebut [5].
2.5
Standar Keamanan Informasi
Lima standar keamanan informasi berdasarkan best practice yang umum
digunakan antara lain sebagai berikut:
a. BS 7799. BS 7799 merupakan standar yang diterbitkan oleh British Standard
Institution (BSI) Group pada 1995. Bagian pertama, berisi praktik terbaik
untuk sistem manajemen keamanan informasi, direvisi pada 1998, yang
akhirnya diadopsi oleh ISO sebagai ISO 17799, Teknologi Informasi-Kode
Praktek untuk Manajemen Keamanan Informasi. Bagian kedua diterbitkan
pada 1999, dikenal dengan BS 7799 part 2, berjudul Sistem Manajemen
Keamanan Informasi-Spesifikasi dengan panduan penggunaan, yang
terfokus dalam menerapkan sistem manajemen keamanan informasi,
mengacu pada struktur dan kontrol manajemen keamanan informasi yang
diidentifikasi dalam BS 7799-2, yang kemudian menjadi ISO 27001.
b. PCIDSS. The Payment Card Industry Data Security Standard (PCIDSS)
adalah standar keamanan informasi di seluruh dunia yang ditetapkan oleh
204
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
Payment Card Industry Security Council. Standar ini diciptakan untuk
membantu proses organisasi industri dalam pembayaran kartu dan mencegah
penipuan kartu kredit melalui peningkatan kontrol data.
c. ITIL. The Information Technology Infrastructure Library (ITIL) adalah
seperangkat konsep dan praktek manajemen layanan TI, pengembangan TI,
dan operasi TI yang memiliki bagian fokus pada keamanan mengandung
delapan komponen utama antara lain adalah Service Support, Service
Delivery, ICT Infrastructure Management, Security Management,
Application Management, Software Asset Management, Planning to
Implement Service Management, dan Small-Scale Implementation.
d. COBIT. The Control Objectives for Information and related Technology
(COBIT) adalah sertifikasi yang dibuat ISACA dan IT Governance Institute
(ITGI) pada 1996, yang merupakan kerangka kerja tata kelola TI dan
seperangkat alat yang mendukung manajer untuk menjembatani kesenjangan
antara persyaratan kontrol, masalah teknis, risiko bisnis, dan masalah
keamanan.
e. ISO/IEC 27001: 2005. ISO/IEC 2700: 2005 adalah standar keamanan
informasi (information security) yang diterbitkan pada Oktober 2005 oleh
ISO (The International Organization for Standardization) dan IEC (The
International Electrotechnical Commission). ISO/IEC 27001:2005
menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan,
memonitor, menganalisa, dan memelihara serta mendokumentasikan standar
sistem manajemen keamanan informasi [9].
ISO/IEC 27001 mendefinisikan 11 klausul, 39 objektif kontrol (sasaran
pengendalian), dan 133 kontrol (pengendalian) yang dapat diterapkan untuk
membangun sistem manajemen keamanan informasi [5]. Kelompok
kebutuhan pengendalian keamanan ditunjukkan pada Gambar 1.
205
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
A.5
Kebijakan
Keamanan
A.6 Organisasi Keamanan
Informasi
A.7 Pengelolaan Aset
A.15 Kesesuaian (compliance)
Organizational
A.8 Keamanan Sumber Daya Manusia
A.9 Keamanan Fisik dan Lingkungan
A.11 Akses Kontrol
Technical
A.12 Akuisisi, Pengembangan, dan Pemeliharaan Sistem Informasi
A.10 Manajemen Komunikasi dan Operasi
A.13 Manajemen Insiden Keamanan Informasi
Operational
A.14 Business Continuity Management
Gambar 1 Kelompok Kebutuhan Pengendalian Keamanan [5]
2.6
Maturity Model
Dalam
alam mengidentifikasi tingkat kematangan penerapan keamanan informasi
berstandar SNI ISO/IEC 27001: 2009, mengacu kepada tingkatan kematangan
yang digunakan oleh kerangka kerja COBIT (Control
(Control Objective for Information
and related Technology)
Technology atau CMMI (Capability
Capability Maturity Model for
Integration) [6].
CMMI adalah model kematangan yang digunakan
digunakan untuk melakukan penilaian
oleh manajemen TI secara lebih efisien yang dapat diterapkan/diaplikasikan ke
masing-masing
sing klausul ISO/IEC 27001: 2005 [4].
Model
odel kematangan untuk pengelolaan dan pengendalian pada proses teknologi
informasi didasarkan pada metode
metode evaluasi organisasi sehingga dapat
mengevaluasi sendiri dari level 0 (tidak ada) hingga level 5 (Optimis). Model
kematangan dimaksudkan untuk mengetahui keberadaan persoalan yang ada
dan bagaimana menentukan prioritas peningkatan.
peningkatan [2]. Adapun tingkatan
tingkat
kematangan CMMI secara umum ditunjukkan pada Tabel 1.
206
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
Tabel 1 Tingkatan Generic CMMI [2]
Tingkatan
Kematangan
0 - NonExistent
Definisi
Kekurangan yang menyeluruh terhadap proses apapun yang dapat dikenali.
Perusahaan bahkan tidak mengetahui bahwa terdapat permasalahan yang harus
diatasi.
1 – Initial
Terdapat bukti bahwa perusahaan mengetahui adanya permasalahan yang
harus diatasi. Bagaimanapun juga tidak terdapat proses standar, namun
menggunakan pendekatan ad hoc yang cenderung diperlakukan secara
individu/ per kasus. Secara umum pendekatan proses tidak terorganisasi.
2–
Repeatable
Proses dikembangkan ke dalam tahapan di mana prosedur serupa diikuti oleh
pihak-pihak yang berbeda untuk pekerjaan yang sama. Tidak terdapat pelatihan
formal/pengkomunikasian prosedur, standar, dan tanggung jawab diserahkan
kepada individu masing-masing. Terdapat tingkat kepercayaan yang tinggi
terhadap individu sehingga memungkinkan terjadi error sangat besar.
3 – Defined
Prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan
melalui pelatihan. Kemudian diamanatkan bahwa proses-proses tersebut harus
diikuti. Namun penyimpangan tidak mungkin dapat terdeteksi. Prosedur sendiri
tidak lengkap namun sudah menformalkan praktek yang berjalan.
4 – Managed
Manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan
mengambil tindakan jika proses tidak dapat dikerjakan secara efektif. Proses
berada di bawah peningkatan yang konstan dan penyediaan praktek yang baik.
Otomatisasi dan perangkat digunakan dalam batasan tertentu.
5 – Optimized
Proses telah dipilih ke dalam tingkat praktek yang baik, berdasarkan hasil dari
perbaikan berkelanjutan dan pemodelan kedewasaan dengan perusahaan lain.
Teknologi informasi digunakan sebagai cara terintegrasi untuk
mengotomatisasi alur kerja, penyediaan alat untuk peningkatan kualitas dan
efektivitas serta membuat perusahaan cepat beradaptasi.
Jika di kelompokan berdasarkan nilai level kematangan maka dapat dirinci
seperti Tabel 2.
Tabel 2 Level Kematangan Tata Kelola TI [3]
Indeks Kematangan
Level Kematangan
0– 0,49
0 - Non-Existent
0,50 – 1,49
1 – Initial
1,5 - 2,49
2 – Repeatable
2,5 – 3,49
3 – Defined
207
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
Indeks Kematangan
Level Kematangan
3,5 – 4,49
4 – Managed
4,5 – 5,00
5 – Optimized
Penggunaan model kematangan memungkinkan manajemen dapat
mengidentifikasi kondisi perusahaan sekarang, kondisi sekarang dari industri
untuk perbandingan, kondisi yang diinginkan perusahaan, dan pertumbuhan
yang diinginkan antara as-is dan to-be [3]. Urutan tingkat kematangan tata
kelola TI dalam perusahaan ditunjukkan pada Gambar 2.
Gambar 2 Urutan Tingkat Kematangan [3]
3
Metode Penelitian
3.1
Jenis Penelitian
Berdasarkan tujuannya, penelitian ini menggunakan metode penelitian terapan
(applied research). Pendekatan penelitian yang digunakan adalah penelitian
kualitatif. Penelitian ini termasuk ke dalam rancangan penelitian deskriptif.
Penelitian ini termasuk ke dalam jenis-jenis penelitian tersebut karena dalam
penelitian ini dilakukan audit keamanan informasi dengan menerapkan
instrumen/indikator dalam teori SNI ISO/IEC 27001: 2009. Penelitian ini juga
berisi kutipan-kutipan dari data/fakta di lapangan yang dideskripsikan secara
lebih lengkap.
3.2
Tahapan Penelitian
Tahapan penelitian terdiri dari lima tahap antara lain sebagai berikut:
a. Tahap Identifikasi
Tahap awal penelitian yang dilakukan adalah tahap identifikasi masalah
dengan merumuskan masalah dan menentuan tujuan penelitian. Selanjutnya
dilakukan perizinan objek penelitian yang ditentukan. Studi literatur
208
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
b.
c.
d.
e.
menggunakan beberapa referensi terkait dengan keamanan informasi
menggunakan SNI ISO/IEC 27001: 2009, seperti buku Manajemen
Keamanan Informasi, Panduan Penerapan Tata Kelola Keamanan Informasi
bagi Penyelenggara Pelayanan Publik Edisi 2.0, Bakuan Audit Keamanan
Informasi Kemenpora, dan beberapa buku serta penelitian terdahulu.
Tahap Perancangan
Selanjutnya dilakukan perancangan lingkup audit sesuai dengan kondisi
eksisting PT PLN (Persero) DJBB, agar rekomendasi dapat diterima dan
sejalan dengan proses bisnis yang berlaku di perusahaan.
Tahap Pengumpulan Data
Pada tahap pengumpulan data, sebelum dilakukan audit, dibuat work paper
berisi daftar pertanyaan audit sesuai dengan ruang lingkup yang telah
ditentukan. Kemudian audit keamanan informasi dilakukan menggunakan
SNI ISO/IEC 27001: 2009 menggunakan bebaerapa teknik pengumpulan
data seperti triangulasi, wawancara, observasi, dan dokumentasi.
Tahap Analisa dan Rekomendasi
Setelah pengumpulan data dilakukan, tahap selanjutnya adalah melakukan
analisis data. Dimulai dengan mereduksi hasil wawancara, observasi, dan
dokumentasi ke dalam verbatm, catatan lapangan, dan DFI (Deskripsi
Fenomena Individu). Selanjutnya dilakukan display data dengan
menyederhanakan data yang ada ke dalam matriks kategorisasi dan coding.
Berikutnya temuan yang didapat ditampilkan ke dalam tabel work paper gap
analysis dan dibuat rekomendasi. Tahap berikutnya adalah dilakukan
penilaian kesiapan keamanan informasi dengan menggunakan metode
Capability Maturity Model Integration (CMMI) yang terdiri dari enam
tingkatan kematangan.
Tahap Kesimpulan dan Saran
Tahap terakhir dalam penelitian ini adalah pembuatan kesimpulan dan saran.
4
Hasil Penelitian dan Pembahasan
4.1
Gap Analysis
Setelah dilakukan audit keamanan informasi dengan beberapa teknik
pengumpulan data, tahap selanjutnya adalah gap analysis, yaitu
membandingkan fakta di lapangan dengan standar SNI ISO/IEC 27001: 2009
sehingga didapat temuan penelitian. Tetapi sebelumnya dilakukan reduksi data
dengan merubah hasil wawancara ke dalam verbatim dan catatan lapangan,
kemudian direduksi kembali ke DFI dan dilakukan kategorisasi dan
pengkodean. Sedangkan hasil dokumentasi dan observasi, serta temuan
penelitian dituangkan ke dalam tabel work paper gap analysis.
209
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
Pada tabel work paper gap analysis terdapat kolom jawaban untuk status
perseroan dalam menerapkan tiap sasaran pengendalian, kolom temuan, kolom
evidence, dan kolom gap. Sebanyak 105 pertanyaan dari 121 pertanyaan atau
sekitar 86,78% memberikan jawaban “ya”, sedangkan hanya 16 pertanyaan atau
sekitar 13,22% memberikan jawaban “tidak”.
Kolom temuan berisi temuan-temuan yang diperoleh dari lapangan yang
menunjukkan gap antara penerapan perseroan dengan SNI ISO/IEC 27001:
2009. Pada klausul kebijakan keamanan, sebesar 16% adalah temuan terkait
dengan peninjauan ulang kebijakan keamanan, sedangkan sisanya sudah sesuai
standar. Pada klausul keamanan fisik dan lingkungan, paling besar temuan
sebanyak 5% masing-masing adalah perlindungan terhadap ancaman eksternal
dan lingkungan, serta keamanan kabel. Sedangkan pada klausul manajemen
komunikasi dan operasi tidak ada temuan.
Sedangkan kolom evidence berisi bukti-bukti yang mendukung pernyataan
narasumber pada kolom jawaban. Evidence dapat berupa foto hasil observasi
yang dilampirkan, maupun dokumen-dokumen seperti surat keputusan direksi,
Standard Operating Procedure (SOP), dan standar pengelolaan.
4.2
Analisis Maturity Level Model
Penilaian maturity level dilakukan terhadap masing-masing klausul untuk
masing-masing sasaran pengendalian, berdasarkan kriteria penilaian yang telah
disediakan dengan memilih skor 0 sampai dengan 5. Setelah masing-masing
sasaran pengendalian pada tiap klausul mendapat nilai maturity, maka
dilakukan penggabungan seluruh nilai sasaran pengendalian tersebut untuk
mendapatkan rata-rata maturity level keamanan informasi untuk klausul
tersebut. Tingkat kematangan tiap klausul yang didapatkan merefleksikan
kondisi keamanan informasi organisasi, yang selanjutnya akan dibuat
rekomendasi perbaikan.
Setelah dilakukan penilaian maturity level untuk masing-masing klausul yang
diteliti, maka indeks maturity level tersebut akan dirata-ratakan kembali untuk
mendapatkan indeks akhir maturity level pada klausul keamanan informasi
Ringkasan indeks akhir maturity level keamanan informasi organisasi
ditunjukkan oleh Tabel 3.
210
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
Tabel 3 Ringkasan Hasil Penilaian Akhir Maturity Level
Klausul/ Pengendalian/
Sasaran Pengendalian
0
1
2
3
4
5
Rata-Rata
indeks/
Pengendalian
Rata-Rata
indeks/
Klausul
Maturity Level
4,25
Managed
3,714
Managed
A.5 Kebijakan
Keamanan
5.1 Kebijakan
Keamanan Informasi
5.1.1 Dokumen
Kebijakan Keamanan
Informasi
1. Dokumentasi
2. Pemberlakuan
4,25
5.1.2 Kajian
Kebijakan Keamanan
Informasi
1. Cakupan
2. Peninjauan ulang
A.9 Keamanan Fisik
dan Lingkungan
9.1 Area yang Aman
9.1.1
Perimeter
Keamanan Fisik
9.1.2
Entri
Fisik
4
Pengendalian
yang Bersifat
9.1.3 Mengamankan
Kantor, Ruangan, dan
Fasilitas
9.1.4
Perlindungan
terhadap
Ancaman
Eksternal
dan
211
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
Klausul/ Pengendalian/
Sasaran Pengendalian
0
1
2
3
4
5
Rata-Rata
indeks/
Pengendalian
Rata-Rata
indeks/
Klausul
Maturity Level
5
Optimized
Lingkungan
9.1.5 Bekerja di Area
yang Aman
9.2
Keamanan
Peralatan
9.2.1 Penempatan dan
Perlindungan
Peralatan
9.2.2
Pendukung
3,428
Sarana
9.2.3 Keamanan Kabel
9.2.4
Pemeliharaan
Peralatan
9.2.5
Peralatan
Lokasi
Keamanan
di Luar
9.2.6
Pembuangan
atau
Penggunaan
Kembali
Peralatan
secara Aman
9.2.7
Barang
Pemindahan
A.10
Manajemen
Komunikasi
dan
Operasi
10.3
Perencanaan
dan
Penerimaan
Sistem
10.3.1
Manajemen
Kapasitas
212
5
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
Klausul/ Pengendalian/
Sasaran Pengendalian
10.3.2
Sistem
Penerimaan
0
1
2
3
4
5
Rata-Rata
indeks/
Pengendalian
Rata-Rata
indeks/
Klausul
Maturity Level
4,32
Managed
10.4
Perlindungan
terhadap Malicious
& Mobile Code
10.4.1
Kontrol
terhadap
Malicious
Code
dan
10.4.2
Kontrol
terhadap
Mobile Code
5
10.6
Manajemen
Keamanan Jaringan
10.6.1
Kontrol
Jaringan dan 10.6.2
Keamanan
dalam
Layanan Jaringan
5
Rata-rata indeks akhir dan maturity level pada klausul
keamanan informasi
Berdasarkan Tabel 3 terlihat bahwa indeks maturity level klausul kebijakan
keamanan dan keamanan fisik dan lingkungan secara berturut-turut adalah 4,25
dan 3,714, yang berarti berada pada maturity level managed. Sedangkan indeks
maturity level klausul manajemen komunikasi dan operasi memiliki indeks 5,
yang berarti berada pada maturity level optimized. Secara umum rata-rata
indeks akhir keamanan informasi organisasi adalah 4,32, yang berarti berada
pada maturity level managed.
Analisis maturity level menggunakan grafik maturity level model dilakukan agar
mengetahui posisi maturity level tiap klausul organisasi dalam menerapkan
keamanan informasi berdasarkan SNI ISO/IEC 27001: 2009 dibandingkan
dengan rata-rata maturity level industri dan maturity level yang ditargetkan
perseroan. Berdasarkan Peraturan Menteri BUMN Nomor: PER-02/MBU/2013
menyatakan target maturity level dari tata kelola TI BUMN adalah minimal
maturity level 3. Sedangkan menurut Deputi Manager TI, maturity level yang
213
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
ditargetkan untuk keamanan informasi di PT PLN (Persero) DJBB adalah 4.
Maka grafik maturity level model organisasi adalah sebagai berikut:
a. Grafik Maturity Level Klausul Kebijakan Keamanan Informasi
Gambar 3 Grafik Maturity Level Kebijakan Keamanan Informasi
Setelah dilakukan analisis dengan menggunakan grafik maturity level model
seperti Gambar 3 terlihat bahwa organisasi dalam hal kebijakan keamanan
telah mencapai level 4 (managed). Hal ini menunjukkan bahwa kebijakan
keamanan informasi yang ada sudah termonitor dan terukur. Level yang telah
dicapai oleh organisasi sudah cukup jauh dengan level minimum BUMN
yaitu 3 dan sesuai dengan target maturity level yang ingin dicapai
perusahaan yaitu 4.
b. Grafik Maturity Level Klausul Keamanan Fisik dan Lingkungan
Gambar 4 Grafik Maturity Level Keamanan Fisik dan Lingkungan
Setelah dilakukan analisis dengan menggunakan grafik maturity level model
seperti Gambar 4, terlihat bahwa organisasi dalam hal keamanan fisik dan
lingkungan telah mencapai level 4 (managed), yang berarti sudah termonitor
dan terukur. Level yang telah dicapai oleh organisasi sudah cukup jauh
dengan level minimum BUMN yaitu 3 dan sesuai dengan target maturity
level yang ingin dicapai perusahaan yaitu 4. Walaupun begitu masih banyak
temuan yang ditemukan di lapangan.
c. Grafik Maturity Level Klausul Manajemen Komunikasi dan Operasi
Gambar 5 Grafik Maturity Level Manajemen Komunikasi dan Operasi
214
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
Setelah dilakukan analisis dengan menggunakan grafik maturity level model
seperti Gambar 5, terlihat bahwa organisasi dalam hal manajemen
komunikasi dan operasi telah mencapai level 5 (optimized), yang berarti
organisasi telah mencapai praktek terbaik dalam manajemen komunikasi dan
operasi dengan adanya perbaikan yang berkelanjutan. Level yang telah
dicapai organisasi sudah jauh dengan level minimum BUMN yaitu 3 dan di
atas target maturity level yang ingin dicapai perusahaan yaitu 4.
5
Kesimpulan dan Saran
Berdasarkan hasil penelitian, maka dapat ditarik kesimpulan sebagai berikut:
a. Maturity level terkait dengan kebijakan keamanan telah mencapai level 4
(managed). Kebijakan keamanan informasi yang berlaku sudah ada, lengkap,
dan terdokumentasi, tetapi belum ada evaluasi sesuai dengan interval yang
direncanakan, serta masih terdapat beberapa SOP yang belum
didokumentasikan.
b. Maturity level terkait dengan keamanan fisik dan lingkungan telah mencapai
level 4 (managed). Paling banyak temuan terkait perlindungan terhadap
ancaman eksternal dan lingkungan, serta keamanan kabel, yakni masingmasing sebesar 5%.
c. Maturity level terkait dengan manajemen komunikasi dan operasi telah
mencapai level 5 (optimized). Walaupun masih terdapat gangguan operasi
tetapi perusahaan dapat mengatasinya dengan baik hingga tingkat praktik
terbaik. Klausul sudah sesuai dengan standar.
Berdasarkan kesimpulan, maka saran yang dapat diberikan untuk penelitian ini
adalah sebagai berikut:
a. Organisasi perlu memperbaiki kebijakan keamanan informasi dengan
melakukan evaluasi perbaikan atau revisi kebijakan sesuai dengan interval
yang direncanakan, serta melengkapi dokumentasi SOP terkait dengan
keamanan informasi.
b. Organisasi meningkatkan perlindungan keamanan fisik dan lingkungan
khususnya terkait perlindungan terhadap ancaman eksternal dan
lingkungan, serta keamanan kabel.
c. Organisasi harus mempertahankan penerapan manajemen komunikasi dan
operasi yang ada saat ini, terutama dalam hal pengevaluasian dengan
perbaikan secara berkelanjutan.
215
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
Daftar Pustaka
[1] Darmawan, Deni dan Kunkun Nur Fauzi.(2013). Sistem Informasi Manajemen.
Bandung: PT Remaja Rosdakarya Offset.
[2]
ISACA.(2008). Maturity Level. Diakses pada 19 Januari 2014, dari
http://www.google.com/url?sa=t&rct=j&q=not+existent+initial+repeatable+define
d+managed+optimized&source=web&cd=7&cad=rja&ved=0CFAQFjAG&url=htt
p://www.sfisaca.org/download/cobit_audit_report_template.doc&ei=NLneUpLV
Mc2jrQfWwICQCw&usg=AFQjCNF_WY7kVYe6WKQJqfgl_uK96k3jg&bvm=bv.59568121,d.bmk.
[3] ITGI.(2007). Framework Control Objectives Management Guidelines Maturity
Models. Chicago: ISACA.
[4] Jean dan Carbonel, Christophe CISA.(2008).Assessing IT Security Governance
Through a Maturity Model and the Definition of a Governance Profile.Information
System Control Journal, 2(1), 1-4. ISACA.
[5] Kemenpora. (2012). Bakuan Audit Keamanan Informasi Kemenpora. Jakarta:
Kementrian Pemuda dan Olahraga Republik Indonesia.
[6] Kominfo.(2011). Panduan Penerapan Tata Kelola Keamanan Informasi bagi
Penyelenggara Pelayanan Publik Edisi 2.0. Jakarta: Tim Direktorat Keamanan
Informasi.
[7] Menteri Negara BUMN RI.(2013). Salinan Peraturan Menteri BUMN Nomor:
PER-02/MBU/2013 tentang Panduan Penyusunan Pengelolaan TI BUMN.
Jakarta: Kementrian BUMN.
[8]
Sarno, Riyanarto dan Irsyat Iffano.(2009). Sistem Manajemen Keamanan
Informasi. Surabaya: ITSPRess.
[9] Susanto, Heru dkk.(2011). Information Security Management System Standards:A
Comparative Study of the Big Five.International Journal of Electrical &
Computer Sciences IJECS-IJENS, 11(5), 23-29. International Journals of
Engineering and Sciences.
[11] Sutabri, Tata.(2012). Konsep Sistem Informasi. Yogyakarta: Andi.
216
Related documents
kebijakan lingkungan pt
kebijakan lingkungan pt
Soal matakuliah manajemen mutu Pertemuan 8
Soal matakuliah manajemen mutu Pertemuan 8
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN
Pengantar ISO - Id
Pengantar ISO - Id
Struktur Dokumen
Struktur Dokumen
Etika Profesi - Official Site of DIAN KEMALA PUTRI
Etika Profesi - Official Site of DIAN KEMALA PUTRI
audit keamanan sistem informasi berdasarkan standar iso
audit keamanan sistem informasi berdasarkan standar iso
skripsi.unnes.ac.id
skripsi.unnes.ac.id
manajemen sumber daya manusia
manajemen sumber daya manusia
Standarisasi Mutu Produk
Standarisasi Mutu Produk
1 BAB I PENDAHULUAN 1.1 Latar Belakang Informasi merupakan
1 BAB I PENDAHULUAN 1.1 Latar Belakang Informasi merupakan
Download
advertisement