UNIVERSITAS INDONESIA EVALUASI MANAJEMEN RISIKO … Ega Lestar… · Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013. ... sedapat mungkin risiko-risiko yang dapat mengganggu

UNIVERSITAS INDONESIA

EVALUASI MANAJEMEN RISIKO KEAMANAN INFORMASI SISTEM PROVISIONING GATEWAY TELKOM FLEXI

KARYA AKHIR

EGA LESTARIA SUKMA

1106121686

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI

JAKARTA JULI 2013

Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.

UNIVERSITAS INDONESIA

EVALUASI MANAJEMEN RISIKO KEAMANAN INFORMASI SISTEM PROVISIONING GATEWAY TELKOM FLEXI

KARYA AKHIR

Diajukan sebagai salah satu syarat untuk memperoleh gelar

Magister Teknologi Informasi

EGA LESTARIA SUKMA 1106121686

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI

JAKARTA JULI 2013




iv

KATA PENGANTAR

Puji syukur saya panjatkan kepada Allah SWT, karena atas berkat dan rahmat-

Nya, saya dapat menyelesaikan Karya Akhir ini. Penulisan Karya Akhir ini

dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar

Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi,

Fakultas Ilmu Komputer - Universitas Indonesia. Saya menyadari bahwa, tanpa

bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada

penyusunan karya akhir ini, sangatlah sulit bagi saya untuk menyelesaikannya.

Oleh karena itu, saya mengucapkan terima kasih kepada:

(1) Bapak Yudho Giri Sucahyo, Ph.D, selaku dosen pembimbing 1 yang telah

menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam

penyusunan Karya Akhir ini;

(2) Bapak Ivano Aviandi, Msc., selaku dosen pembimbing 2 yang telah

menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam

penyusunan Karya Akhir ini;

(3) Pihak PT. Telkom, yang telah banyak membantu dalam usaha memperoleh

data yang saya perlukan;

(4) Orang tua dan keluarga saya yang telah memberikan bantuan dukungan

material dan moral; dan

(5) Teman-teman di MTI yang telah banyak membantu saya dalam

menyelesaikan karya akhir ini.

Akhir kata, saya berharap Allah SWT berkenan membalas segala kebaikan semua

pihak yang telah membantu. Semoga karya akhir ini membawa manfaat bagi

pengembangan ilmu.

Jakarta, 4 Juli 2013

Penulis



vi Universitas Indonesia

ABSTRAK

Nama : Ega Lestaria Sukma Program Studi : Magister Teknologi Informasi Judul : Evaluasi Manajemen Risiko Keamanan Informasi Sistem

Provisioning Gateway Telkom Flexi Saat ini banyak perusahaan menggunakan sistem dan teknologi informasi untuk menunjang usaha dalam mencapai tujuan bisnis perusahaan. Oleh karena itu, aspek-aspek terkait sistem dan teknologi informasi ini menjadi perhatian penting. Salah satu aspek penting dalam sistem informasi adalah aspek keamanan, dimana informasi merupakan aset yang harus dilindungi untuk menjamin keberlangsungan bisnis. Apabila sistem informasi tidak dijaga keamanannya, maka risiko yang mungkin timbul dapat mengganggu jalannya bisnis perusahaan. Telkom Flexi merupakan salah satu produk Telkom untuk layanan fixed wireless. Untuk sistem provisioning Flexi, baru saja dikembangkan i-NEFI sebagai jantung dari sistem provisioning yang dikembangkan dan dikelola oleh Divisi Information System Center (ISC). Mengingat sangat pentingnya fungsi sistem tersebut, maka sedapat mungkin risiko-risiko yang dapat mengganggu kinerja sistem provisioning gateway harus diturunkan ke level terendah. Pengelolaan risiko untuk sistem ini sudah dijalankan, namun tidak ada prosedur yang jelas, sehingga peluang untuk terjadinya fraud sangat besar. Oleh karena itu suatu manajemen risiko keamanan informasi yang baik sangat penting diterapkan pada sistem ini. Dalam penelitian ini dilakukan evaluasi terhadap kondisi manajemen risiko keamanan informasi saat ini, untuk mendapatkan nilai kematangannya. Kemudian dilakukan perancangan manajemen risiko keamanan informasi pada sistem provisioning gateway menggunakan kerangka kerja ISO 27001:2005. Perancangan tersebut dilakukan melalui risk assessment sehingga didapatkan rekomendasi kontrol yang perlu diterapkan untuk sistem tersebut. Dari hasil evaluasi kondisi manajemen risiko keamanan informasi yang sudah ada, didapat nilai kematangannya sebesar 75.23% dengan tingkat kesesuaian terendah terhadap domain ISO 27001:2005 yaitu domain Asset Management. Keluaran dari penelitian ini adalah 13 rekomendasi kontrol, berikut prosedur untuk setiap domainnya. Kata Kunci: Manajemen risiko keamanan informasi, sistem provisioning gateway xii + 188 halaman; 9 gambar; 15 tabel; 2 lampiran


vii Universitas Indonesia

ABSTRACT

Name : Ega Lestaria Sukma Study Program : Magister of Information Technology Title : Evaluation of Information Security Risk Management of

Telkom Flexi Provisioning Gateway System Nowadays, many companies use information systems and technology to support the business in achieving its business objectives. Therefore, the relevant aspects of information systems and technology is an important concern. One critical aspect is the aspect of information systems security, in which information is an asset that must be protected, to ensure business continuity. If information systems security is not well-maintained, then the risks that may arise could disrupt the company's business. Telkom Flexi is one of Telkom’s product for fixed wireless service. For its provisioning system, i-NEFI is just developed as the heart of the system, which are developed and maintained by Division of Information System Center (ISC). Because of its vital function, the risks that can interfere with the performance of provisioning gateway system should be reduced to the lowest level. Risk management for this system has been implemented, but there is no clear procedure, so the opportunity for fraud is huge. Therefore an information security risk management are essential to be applied to this system. This research is about doing an evaluation of the condition of existing information security risk management, to get the value of maturity. Then to design the information security risk management for provisioning gateway system using ISO 27001:2005 framework. Information security risk management is designed through a risk assessment to obtain recommendations of control that need to be applied to the system. The result in evaluation of existing information security risk management shows that the readiness or maturity level of risk management in provisioning gateway system is 75.23%, with the lowest readiness level to ISO domain is the Asset Management domain. Output from this research are 13 control recommendations, including risk management procedure for each domain. Key Words: Information security risk management, provisioning gateway system xii + 188 pages; 9 pictures; 15 tables; 2 attachments


viii Universitas Indonesia

DAFTAR ISI HALAMAN JUDUL .............................................................................................. i HALAMAN PERNYATAAN ORISINALITAS ................................................ ii HALAMAN PENGESAHAN .............................................................................. iii KATA PENGANTAR .......................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS .............................................. v ABSTRAK ............................................................................................................ vi ABSTRACT ......................................................................................................... vii DAFTAR ISI ....................................................................................................... viii DAFTAR GAMBAR ............................................................................................. x DAFTAR TABEL ................................................................................................ xi DAFTAR LAMPIRAN ....................................................................................... xii BAB 1 PENDAHULUAN ..................................................................................... 1

1.1. Latar Belakang.......................................................................................... 1 1.2. Perumusan Masalah .................................................................................. 3 1.3. Ruang Lingkup Penelitian ........................................................................ 3 1.4. Tujuan Penelitian ...................................................................................... 4 1.5. Manfaat Penelitian .................................................................................... 4 1.6. Sistematika Penulisan ............................................................................... 4

BAB 2 LANDASAN TEORI ................................................................................ 6 2.1. Risiko dan Manajemen Risiko.................................................................. 6 2.1.1. Definisi Risiko ...................................................................................... 6 2.1.2. Manajemen Risiko ................................................................................ 8 2.2. Keamanan Informasi ................................................................................ 9 2.2.1. Definisi Keamanan Informasi ............................................................... 9 2.2.2. Ruang Lingkup Keamanan Informasi ................................................. 11 2.2.3. Sistem Manajemen Keamanan Informasi ........................................... 13 2.3. Standar dan Kerangka Kerja Keamanan Informasi ................................ 14 2.4. International Organization for Standardization (ISO) 27001:2005 ...... 22 2.4.1. Proses Perancangan Manajemen Keamanan Informasi ...................... 23 2.4.2. Domain, Kontrol, dan Kontrol Objektif ISO 27001 ........................... 27 2.5. Penelitian Sebelumnya ........................................................................... 29

BAB 3 METODOLOGI PENELITIAN ............................................................ 31 3.1. Metode Pengumpulan Data .................................................................... 31 3.2. Pola Pikir Penelitian ............................................................................... 32 3.3. Tahapan Penelitian ................................................................................. 32

BAB 4 PROFIL PERUSAHAAN ....................................................................... 37 4.1. Gambaran Singkat Perusahaan ............................................................... 37 4.2. Visi dan Misi Perusahaan ....................................................................... 38 4.3. Organisasi Divisi Information System Center (ISC) .............................. 38 4.3.1. Lingkup Peran Divisi Information System Center (ISC).................... 38 4.3.2. Struktur Organisasi Divisi Information System Center (ISC) ............ 39

BAB 5 ANALISA DAN PEMBAHASAN ......................................................... 41 5.1. Penentuan Ruang Lingkup ..................................................................... 41


ix Universitas Indonesia

5.2. Infrastruktur Teknologi Informasi .......................................................... 42 5.3. Kondisi Manajemen Keamanan Sistem Informasi Saat Ini .................... 43 5.4. Analisa Kesenjangan (Gap Analysis) ..................................................... 44 5.5. Metode Analisa Risiko ........................................................................... 47 5.6. Identifikasi Risiko .................................................................................. 51 5.6.1. Identifikasi Aset .................................................................................. 51 5.6.2. Identifikasi Ancaman dan Kerawanan ................................................ 52 5.7. Evaluasi Risiko ....................................................................................... 54 5.8. Pemilihan Kontrol dan Statement of Applicability (SOA) ..................... 62

BAB 6 KESIMPULAN DAN SARAN ............................................................... 66 6.1. Kesimpulan ............................................................................................. 66 6.2. Saran ....................................................................................................... 67

DAFTAR PUSTAKA .......................................................................................... 68 LAMPIRAN ......................................................................................................... 70


x Universitas Indonesia

DAFTAR GAMBAR

Gambar 2.1 Ruang Lingkup Keamanan Informasi .............................................. 12 Gambar 2.2 Proses Manajemen Risko NIST 800-30 ........................................... 17 Gambar 2.3 Kerangka Kerja OCTAVE ............................................................... 21 Gambar 2.4 Siklus P-D-C-A ISO 27001 ............................................................... 23 Gambar 3.1 Pola Pikir Penelitian ......................................................................... 32 Gambar 3.2 Tahapan Penelitian ........................................................................... 34 Gambar 4.1 Struktur Organisasi Divisi IS Center ................................................ 40 Gambar 5.1 Infrastruktur Sistem Provisioning Gateway Telkom Flexi .............. 42 Gambar 5.2 Chart Hasil Analisis Kesenjangan .................................................... 47


xi Universitas Indonesia

DAFTAR TABEL

Tabel 2.1 Domain dan Kontrol Objektif ISO 27001 ............................................ 28 Tabel 5.1 Penilaian Untuk Assessment Checklist ................................................. 43 Tabel 5.2 Kualifikasi Responden ......................................................................... 44 Tabel 5.3 Nilai Kesesuaian Berdasarkan Domain................................................ 45 Tabel 5.3 Nilai Kesesuaian Berdasarkan Kontrol Objektif .................................. 46 Tabel 5.4 Parameter Tingkat Kecenderungan Terjadi Risiko .............................. 48 Tabel 5.5 Parameter Tingkat Dampak Risiko ...................................................... 49 Tabel 5.6 Pengukuran Nilai Inheren Risk ............................................................ 50 Tabel 5.7 Pengukuran Nilai Residual Risk ............................................................ 51 Tabel 5.8 Daftar Aset ........................................................................................... 52 Tabel 5.9 Identifikasi Kerawanan (Vulnerabilities) ............................................. 53 Tabel 5.10 Identifikasi Ancaman (Threat) ........................................................... 54 Tabel 5.11 Nilai Inheren Risk .............................................................................. 55 Tabel 5.12 Hasil Penilaian Risiko (Risk Assessment) .......................................... 57 Tabel 5.13 Rekomendasi Kontrol ........................................................................ 62


xii Universitas Indonesia

DAFTAR LAMPIRAN Lampiran 1 Assessment Checklist......................................................................L-1 Lampiran 2 Statement of Applicability (SOA)...................................................L-2


1 Universitas Indonesia

BAB 1 PENDAHULUAN

Bab ini menjelaskan tentang latar belakang dilakukannya penelitian, permasalahan

yang diangkat dalam penelitian, pembatasan atau cakupan penelitian, tujuan dan

manfaat dari penelitian, serta sistematika penulisan penelitian.

1.1. Latar Belakang

Kebutuhan akan sistem informasi dan teknologi informasi saat ini semakin tinggi,

dapat dilihat dari dimanfaatkannya SI/TI untuk menjalankan aktivitas-aktivitas

penting perusahaan maupun instansi pemerintahan. Untuk mencapai tujuan

bisnisnya, saat ini banyak perusahaan yang bergantung pada teknologi informasi

untuk mencapai tujuan bisnisnya serta untuk memberikan layanan yang

berkualitas kepada pelanggannya. Sistem dan teknologi informasi memegang

fungsi penting dalam menunjang bisnis perusahaan, oleh karena itu guna tetap

menjaga optimalnya bisnis perusahaan, aspek-aspek terkait sistem dan teknologi

informasi ini menjadi perhatian penting. Teknologi informasi saat ini juga

semakin mudah dan murah untuk didapatkan dan dikembangkan. Perusahaan dan

organisasi besar maupun kecil dapat mengembangkan sistem informasi mereka

sendiri, atau dapat pula menggunakan jasa penyedia layanan sistem informasi dari

pihak lain, tergantung kebutuhan masing-masing perusahaan atau organisasi.

Salah satu aspek penting dalam sistem informasi adalah aspek keamanan.

Informasi merupakan aset penting perusahaan yang harus dilindungi, untuk

menjamin keberlangsungan bisnis perusahaan. Dengan semakin pesatnya

perkembangan teknologi, semakin meluasnya penggunaan teknologi informasi,

serta semakin mudahnya teknologi informasi didapatkan dan dikembangkan,

maka peluang timbulnya risiko terhadap informasi juga semakin besar. Apabila

sistem informasi tidak dijaga keamanannya, maka muncul risiko terganggunya

bisnis perusahaan. Risiko tersebut dapat berupa kerugian finansial, opportunity


2

Universitas Indonesia

loss, pelanggaran terhadap hukum, bahkan dapat pula mengakibatkan kerugian

reputasi.

Sebagai salah satu perusahaan telekomunikasi besar di Indonesia, bisnis Telkom

sangat bergantung pada kehandalan sistem dan teknologi informasi. Layanan yang

diberikan kepada pelanggan didukung oleh sistem dan infrastruktur teknologi

informasi yang kuat, termasuk dalam memberikan layanan fixed wireless berbasis

CDMA, yaitu Flexi.

Salah satu sistem inti yang mendukung jalannya layanan Flexi kepada pelanggan

adalah sistem provisioning. Provisioning merupakan proses pembuatan,

perubahan, maupun penghapusan basis data pelanggan pada jaringan

telekomunikasi atau yang dikenal sebagai Network Element (NE). Provisioning

mempersiapkan dan melengkapi NE sehingga sebuah layanan dapat dinikmati

oleh pelanggan. NE yang dimaksud antara lain HLR (Home Location Register),

WIN (Wireless Intelligent Network), SHLR (Smart HLR), Server AN-AAA

(Authentication, Authorization and Accounting), Server PCRF (Policy and

Charging Rules Function), serta perangkat lainnya.

Provisioning system Telkom Flexi dikembangkan dan dikelola oleh Divisi

Information System Center (ISC). Saat ini ISC baru saja mengembangkan i-NEFI

(Integrated Network Element Flexi Interface), dimana i-NEFI ini merupakan inti

dari sistem provisioning Flexi. Semua layanan Flexi yang membutuhkan

provisioning ke NE yang tersebar di beberapa lokasi di Indonesia dilayani oleh i-

NEFI. Dengan pentingnya peran i-Nefi, eksistensi i-NEFI sebagai sistem

provisioning mutlak diperlukan agar semua layanan bisa berfungsi sebagaimana

mestinya. Layanan yang ditangani oleh i-Nefi mulai dari produksi Kartu Perdana

(Starter Pack) dan Pasang Sambungan Baru (PSB), produksi voucher pulsa,

aktivasi Nada Sambung Pribadi (NSP), aktivasi layanan Flexi Combo, layanan

buka tutup isolir pelanggan, registrasi layanan Flexi-Net dan Flexi Mobile

Broadband, hingga layananan Customer Care.


3


Mengingat sangat pentingnya fungsi sistem provisioning gateway untuk

mendukung keberlangsungan bisnis Telkom Flexi, dan karena sistem ini

merupakan antarmuka atau gateway dari sekian banyak NE, maka sedapat

mungkin risiko-risiko yang dapat mengganggu kinerja sistem provisioning

gateway berada pada level serendah mungkin. Oleh karena itu suatu manajemen

risiko keamanan informasi sangat penting untuk dijalankan di sistem ini.

Saat ini, keamanan informasi pada sistem tersebut dijaga hanya mengacu kepada

kebutuhan operasional. Manajemen risiko dijalankan, namun tidak ada prosedur

yang jelas, sehingga peluang untuk terjadinya fraud sangat besar. Oleh karena itu,

kondisi manajemen risiko keamanan informasi yang sudah ada saat ini perlu

dievaluasi dan dilakukan penilaian terhadap sistem agar pengelolaan risiko sistem

provisioning gateway tersebut dapat dilakukan dengan baik, sesuai dengan

ancaman, kerawanan, dan dampak yang mungkin timbul yang dapat mengganggu

jalannya bisnis Flexi.

1.2. Perumusan Masalah

Berdasarkan latar belakang di atas, maka dapat dirumuskan permasalahan

penelitian sebagai berikut:

1. Bagaimana kondisi manajemen risiko keamanan informasi saat ini yang

diterapkan pada sistem provisioning gateway Telkom Flexi.

2. Manajemen risiko keamanan informasi seperti apa yang seharusnya

dijalankan terhadap sistem provisioning gateway agar sesuai dengan

standar keamanan informasi internasional yang ada.

1.3. Ruang Lingkup Penelitian

Ruang lingkup dari penelitian ini antara lain:

1. Evaluasi terhadap manajemen risiko keamanan informasi dilakukan pada

sistem provisioning gateway Telkom Flexi.

2. Kerangka kerja yang digunakan sebagai standar acuan keamanan

informasi adalah ISO 27001:2005.


4


1.4. Tujuan Penelitian

Tujuan yang ingin dicapai dari penelitian ini antara lain:

1. Mengetahui tingkat kematangan manajemen risiko keamanan informasi

yang dijalankan pada sistem provisioning gateway Telkom Flexi saat ini.

2. Menentukan manajemen risiko keamanan informasi seperti apa yang

sesuai untuk sistem provisioning gateway Telkom Flexi, dan kontrol-

kontrol apa yang perlu diterapkan untuk menjaga keamanan sistem

informasi.

1.5. Manfaat Penelitian

Manfaat dari penelitian ini antara lain:

1. Memberikan gambaran mengenai kondisi manajemen risiko keamanan

informasi yang dijalankan pada sistem provisioning gateway Telkom

Flexi dan kesenjangannya terhadap standar yang berlaku.

2. Memberikan rekomendasi kontrol yang perlu diterapkan untuk

manajemen risiko keamanan informasi yang lebih baik, berikut dengan

kebijakan dan prosedurnya.

1.6. Sistematika Penulisan

Karya Akhir atau penelitian ini ditulis dengan sistematika penulisan sebagai

berikut :

BAB 1 PENDAHULUAN

Bab ini menjelaskan tentang latar belakang masalah, perumusan masalah, tujuan

dan manfaat penelitian, serta sistematika penulisan.

BAB 2 LANDASAN TEORI

Bab ini menjelaskan tentang teori-teori yang relevan dengan penelitian yang

dilakukan, diantaranya mengenai manajemen risiko, kerangka kerja keamanan

sistem informasi, kerangka kerja ISO 27001:2005, serta hasil dari penelitian

sebelumnya yang sejenis.


5


BAB 3 METODOLOGI PENELITIAN

Bab ini menjelaskan tentang langkah-langkah yang dilakukan dan teknik-teknik

yang digunakan dalam penelitian, untuk menjawab permasalahan yang telah

dirumuskan.

BAB 4 PROFIL PERUSAHAAN

Bab ini berisi pemaparan profil dari organisasi Divisi Information System Center

(ISC) sebagai pengelola sistem provisioning gateway Telkom Flexi.

BAB 5 ANALISIS DAN PEMBAHASAN

Bab ini menjelaskan tentang analisis yang dilakukan beserta hasilnya, terhadap

manajemen keamanan sistem informasi provisioning gateway Telkom Flexi, dan

berisi rekomendasi bagi organisasi untuk pengelolaan risiko keamanan informasi

sistem.

BAB 6 KESIMPULAN DAN SARAN

Bab ini berisi kesimpulan yang didapat dari penelitian ini untuk menjawab

permasalahan, juga berisi saran yang dapat dijadikan sebagai perbaikan melalui

penelitian.



BAB 2 LANDASAN TEORI

Bab ini berisi uraian dari beberapa teori yang terkait dengan permasalahan

penelitian. Literatur yang diuraikan pada bab ini antara lain mengenai manajemen

risiko, kerangka kerja keamanan sistem informasi, kerangka kerja ISO

27001:2005, serta hasil dari penelitian sebelumnya yang sejenis.

2.1. Risiko dan Manajemen Risiko

Organisasi apapun, baik bersifat profit maupun non-profit, organisasi besar

maupun organisasi kecil, pasti akan selalu menghadapi pengaruh-pengaruh

internal maupun eksternal, yang dapat menimbulkan suatu ketidakpastian yang

dapat mempengaruhi organisasi tersebut dalam mencapai tujuannya. Efek dari

ketidakpastiaan yang mempengaruhi tujuan organisasi tersebut disebut dengan

risiko.

2.1.1. Definisi Risiko

Risiko dapat diartikan secara luas untuk berbagai aspek seperti finansial, sistem

informasi, pengelolaan proyek, risiko operasional, investasi, risiko lingkungan,

dan lain sebagainya. Dalam ISO Guide 73:2009 (ISO, 2009), risiko didefinisikan

sebagai efek ketidakpastian dalam tujuan, dimana:

• Efek merupakan penyimpangan dari yang diharapkan, baik positif dan

atau negatif.

• Tujuan dapat terkait beberapa aspek (misalnya finansial, kesehatan dan

keselamatan kerja, serta lingkungan) dan dapat diterapkan dalam

tingkatan yang berbeda (misalnya strategis, organisasi secara

keseluruhan, proyek, produk dan proses).

• Risiko sering dikenali dalam bentuk events dan consequences yang

potensial, atau gabungan dari keduanya.


7


• Risiko sering diekspresikan dalam bentuk kombinasi antara

consequences dari sebuah event (termasuk perubahan dalam suatu

keadaan) dan kemungkinan yang terkait.

• Ketidakpastian merupakan keadaan defisiensi informasi yang terkait,

pemahaman atau pengetahuan, meskipun sebagian, terhadap suatu

kejadian (event), kosekuensi dari kejadian (consequence), atau

kemungkinannya (likelihood).

David Vose mendefinisikan risiko sebagai “Kejadian random yang kemugkinan

akan terjadi, dan apabila itu terjadi, akan memberikan efek negatif terhadap tujuan

organisasi. Oleh karena itu, risiko terbentuk dari tiga elemen : skenario,

probabilitas kejadian, dan besarnya efek dari dari kejadian random tersebut

(dengan nilai tetap maupun distribusi)” (Vose, 2000). Sedangkan pengertian risiko

menurut Emmet J. Vaghan dan Therese Vaughan adalah suat kondisi dimana ada

peluang deviasi yang merugikan dari suatu hasil yang diinginkan (Vaughan,

2008).

Dari beberapa definisi diatas, kata kunci dari definisi risiko adalah antara lain

ketidakpastian, peluang, kerugian, dan tujuan organisasi. Risiko dapat dimaknai

sebagai suatu peluang atau kemungkinan yang dapat berpengaruh kepada suatu

tujuan, dan dapat menghasilkan kerugian apabila peluang kerugian itu tidak

dikelola dengan baik.

Risiko dapat dibedakan dalam beberapa kategori, dilihat dari kepada apa risiko

tersebut berdampak. Kategori dari risiko, diantaranya:

• Strategic Risk, merupakan risiko yang berhubungan tujuan organisasi

secara keseluruhan, berada pada level tertinggi organisasi dan dapat

menyebabkan timbulnya jenis-jenis risiko yang lainnya.

• Compliance Risk, merupakan risiko sanksi hukum, financial loss, atau

rusaknya reputasi suatu organisasi yang mungkin terjadi sebagai akibat

dari ketidakpatuhan organisasi tersebut terhadap hukum, regulasi,


8


peraturan, standar regulasi organisasi dan codes of conduct yang ada untuk

setiap aktivitas organisasi.

• Financial Risk, merupakan segala risiko yang berhubungan dengan

finansial organisasi, termasuk transaksi finansial yang dapat berpotensi

menyebabkan kerugian finansial bagi organisasi.

• Reputational Risk, merupakan risiko yang berpotensi terhadap citra

perusahaan di mata publik. Risiko ini biasanya berkaitan dengan business

practice organisasi yang dapat menyebabkan turunnya jumlah pelanggan

dan penurunan pendapatan. Reputational risk dapat terjadi akibat

kegagalan organisasi dalam mengelola jenis-jenis risiko yang lain yang

ada secara efektif.

• Operational Risk, merupakan risiko akibat adanya ketidaksesuaian sistem

yang berjalan, baik itu proses internal, orang-orang yang terkait

didalamnya, serta sistem teknologinya.

2.1.2. Manajemen Risiko

Segala aktivitas dari suatu organisasi memiliki risiko. Organisasi mengelola risiko

dengan cara mengantisipasi dan memahami risiko yang mungkin muncul.

Manajemen risiko merupakan aplikasi sistematik dalam kebijakan pengelolaan,

prosedur, dan langkah-langkah dalam aktivitas komunikasi, konsultasi,

menentukan ruang lingkup, serta mengidentifikasi, menganalisa, mengevaluasi,

memperlakukan, memantau, dan meninjau risiko (ISO, 2009). Dalam standar

NIST 800-30, manajemen risiko didefinisikan sebagai proses mengidentifikasi

risiko, menilai risiko, dan mengambil tindakan-tindakan untuk mengurangi risiko

ke level yang dapat diterima (Stoneburner, 2002). Sedangkan menurut Emmet J.

Vaughan dan Therese Vaughan (Vaughan, 2008), definisi dari manajemen risiko

adalah “Pendekatan ilmiah untuk menghadapi risiko murni dengan mengantisipasi

kemungkinan kerugian yang tidak disengaja dan mengimplementasikan prosedur

yang meminimalisasi terjadinya kerugian atau efek finansial dari kerugian yang

terjadi”.


9


Manajemen risiko dapat diaplikasikan dalam keseluruhan organisasi, pada

berbagai level dan area, begitu pula untuk fungsi, proyek, dan aktivitas tertentu.

Ada berbagai bentuk strategi manajemen risiko, tergantung pada jenis risiko dan

jenis bisnis organisasi. Standar internasional untuk manajemen risiko juga

beragam, antara lain yang dikembangkan oleh Project Management Institute,

International Standard for Organization (ISO), National Institute of Standards and

Technology, dan lain-lain.

Berdasarkan publikasi NIST 800-30 Risk Management Guide for Information

Technology Systems, ada 3 fase dalam manajemen risiko, yaitu (Stoneburner,

2002):

1. Risk Assessment: fokus kepada penentuan risiko yang mungkin muncul

dan potensi ancaman (threat) yang berhubungan dengan sistem.

2. Risk Mitigation: fokus kepada menyusun prioritas, evaluasi, dan

implementasi kontrol untuk minimalisasi risiko yang didapat dari hasil

rekomendasi proses risk assessment.

3. Evaluation and assessment: merupakan evaluasi terhadap mitigasi risiko

yang telah dilakukan.

2.2. Keamanan Informasi

2.2.1. Definisi Keamanan Informasi

Keamanan informasi merupakan perlindungan terhadap informasi, dimana

pastinya informasi itu sendiri bersifat penting sehingga perlu dilindungi. Informasi

didefinisikan oleh Gordon B. Davis sebagai suatu data yang telah diolah menjadi

suatu bentuk yang penting bagi si penerima dan mempunyai nilai yang nyata yang

dapat dirasakan dalam keputusan-keputusan sekarang atau keputusan-keputusan

yang akan datang (Gordon, 1974). Informasi adalah pengumpulan atau

pengolahan data untuk memberikan pengetahuan atau keterangan (Burch, 1974).

Definisi lainnya dari informasi adalah data yang penting yang memberikan

pengetahuan yang berguna. Dari definisi-definisi tersebut dapat disimpulkan

bahwa informasi adalah sesuatu yang penting sehingga perlu dilindungi melalui

suatu sistem keamanan informasi.


10


Tujuan dari keamanan informasi adalah untuk melindungi informasi dari dan

terhadap segala sumber. Prinsip utama dari keamanan informasi adalah

kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability).

• Confidentiality (kerahasiaan): mencegah adanya akses yang tidak berhak,

melindungi informasi yang bersifat rahasia dan proprietary.

• Integrity (integritas): menjaga informasi dari perubahan atau perusakan

yang tidak seharusnya, termasuk memastikan aspek non repudiation dan

autentikasi dari suatu informasi.

• Availability (ketersediaan): memastikan informasi dapat diakses dan

digunakan setiap dibutuhkan.

Namun tidak hanya tiga aspek diatas yang harus dijaga dari suatu informasi,

tergantung pada masing-masing kebutuhan. ISO 27001:2005 mendefinisikan

keamanan informasi sebagai perlindungan terhadap kerahasiaan, integritas, dan

ketersediaan informasi, serta terhadap aspek lainnya seperti autentikasi,

akuntabilitas, non-repudiation dan reliabilitas (ISO, 2005).

Keamanan informasi tidak hanya terancam oleh aspek-aspek yang sangat teknis

seperti virus komputer, penyadapan komunikasi, atau pencurian komputer.

Keamanan informasi juga dapat terganggu oleh beberapa hal seperti:

• Force majeure (misalnya kebakaran, banjir, dan gempa bumi) dapat secara

langsung berdampak pada data atau sistem TI. Dokumen, sistem TI atau

layanan lainnya tidak lagi tersedia seperti yang dibutuhkan.

• Setalah gagalnya update software, aplikasi dapat tidak berfungsi dengan

baik atau data dapat dimodifikasi tanpa diketahui.

• Proses bisnis penting terhambat karena satu-satunya staf yang paham

aplikasi sedang sakit.

• Informasi rahasia secara tidak sengaja bocor ke pihak lain akibat staf

perusahaan tidak menandai dokumen tersebut dengan tanda “rahasia”.


11


Untuk menjaga prinsip utama dari keamanan informasi (kerahasiaan, integritas,

dan ketersediaan), ada beberapa strategi yang dapat dilakukan, antara lain:

• Physical security

Strategi ini merupakan strategi yang bertujuan untuk mengamankan aset-

aset yang bersifat fisik, seperti perangkat keras, personil, karyawan, serta

perlindungan terhadap tempat kerja.

• Personal security

Strategi ini merupakan strategi yang bertujuan untuk mengamankan

individu-individu seperti memberikan pelatihan atau sosialisasi perihal

keamanan informasi dalam rangka menciptakan kesadaran individu akan

pentingnya menjaga keamanan informasi.

• Operation security


operasional organisasi atau perusahaan dari gangguan yang dapat

mengganggu kelancaran aktivitas operasional.

• Communication security

Strategi ini merupakan strategi yang bertujuan untuk mengamankan media

komunikasi dan teknologi komunikasi sehingga fungsi komunikasi dalam

organisasi dapat berjalan dengan baik.

• Network security


jaringan yang digunakan sebagai media pertukaran informasi perusahaan,

serta memastikan bahwa kapabilitas dan kapasitas jaringan untuk

mengirimkan dan menerima informasi terpenuhi sesuai kebutuhan

organisasi atau perusahaan.

2.2.2. Ruang Lingkup Keamanan Informasi

Ruang lingkup keamanan informasi terdiri dari empat aspek yaitu organization,

people, process, dan technology (ISACA, 2011). Keempat aspek ini dapat


12


dikatakan sebagai aset yang harus dilindugi dan dikelola risikonya. Keterkaitan

antara keempat aspek tersebut dapat dilihat pada gambar di bawah ini:

Gambar 2.1 Ruang Lingkup Keamanan Informasi

• Organization

Sebuah organisasi merupakan jaringan yang terbentuk dari sumber daya

manusia, aset, dan proses yang saling berinteraksi satu dengan yang lain,

dalam perannya masing-masing yang telah ditentukan serta saling bekerja

untuk mencapai tujuan yang sama.

• People

Ruang lingkup dari aspek ini adalah sumber daya manusia dan masalah-

masalah keamanan informasi yang terkait dengannya. Dalam aspek ini

didefinisikan siapa yang menerapkan setiap bagian dari strategi. Aspek ini

merepresentasikan sekolompok sumber daya manusia dengan nilai-nilai

perilaku, serta nilai-nilai lainnya yang masih bias yang harus

diperhitungkan.

• Process

Ruang lingkup aspek ini adalah seluruh mekanisme formal dan informal

(besar dan kecil, sederhana dan kompleks) dalam menyelesaikan sesuatu

dan menjadi penghubung yang penting bagi seluruh interkoneksi yang

dinamis.


13


• Technology

Teknologi merupakan seluruh alat, aplikasi, dan infrastruktur yang

membuat proses menjadi lebih efisien.

2.2.3. Sistem Manajemen Keamanan Informasi

Sistem manajemen keamanan informasi merupakan suatu kesatuan sistem yang

disusun berdasarkan pendekatan risiko bisnis. Sistem manajemen keamanan

informasi perusahaan bertujuan untuk pengembangan, implementasi,

pengoperasian, pengawasan, pemeliharaan serta peningkatan keamanan informasi

perusahaan. Sebagai sebuah sistem, keamanan informasi harus didukung oleh hal-

hal berikut: (Syafrizal, 2007)

• Struktur organisasi

Struktur organisasi menunjukan pemetaan dan pembagian fungsi kerja

sehingga dapat diketahui pembagian tanggung jawab terkait keamanan

informasi

• Kebijakan keamanan informasi

Kebijakan keamanan informasi merupakan dasar yang dijadikan acuan

dalam penerapan manajemen keamanan informasi. Kebijakan keamanan

informasi dibuat oleh perusahaan dan disahkan oleh manajemen, untuk

kemudian diturunkan dalam bentuk prosedur di tingkat operasionl.

• Prosedur dan proses

Prosedur dan proses merupakan turunan dari kebijakan, yang dibuat lebih

terperinci sebagai panduan implementasi keamanan informasi di tingkat

operasional.

• Tanggung jawab

Di dalam prosedur dan proses terdapat pembagian tanggung jawab,

dimana tanggung jawab ini harus dibuat sangat jelas, sehingga setiap

individu terkait paham akan peran dan kewajibannya terhadap pengelolaan

keamanan informasi

• Sumber daya manusia


14


Sumber daya manusia merupakan pelaksana setiap prosedur dan proses

pengelolaan keamanan informasi sesuai dengan peran, kewenangan, dan

tanggung jawabnya masing-masing.

2.3. Standar dan Kerangka Kerja Keamanan Informasi

Manajemen keamanan informasi yang efektif adalah ketika organisasi

memperhitungkan seluruh proses operasional dan organisasional serta pihak yang

terkait keamanan informasi. Keamanan informasi harus menjadi proses yang

berjalan, dimana apabila keamanan informasi ini dikembangkan secara

keseluruhan, maka akan menempatkan organisasi pada isu keamanan yang tepat

sehingga tujuan bisnis dapat tercapai. Dalam area keamanan informasi, berbagai

macam standar dan kerangka kerja telah dikembangkan dimana titik beratnya

terletak pada target atau area subyek. Penggunaan standar keamanan di

perusahaan, organisasi, maupun pemerintahan tidak hanya meningkatkan tingkat

keamanan, tapi juga memudahkan organisasi dalam menentukan prosedur

keamanan apa yang harus dijalankan dan bagaimana bentuknya. Ada beberapa

standar dan kerangka kerja terkait keamanan informasi yang telah teruji dan

diaplikasikan secara internasional, antara lain:

1. International Organization for Standardization (ISO)

Dengan pertimbangan terus bertambahnya jumlah standar keamanan

informasi yang berkembang, maka ISO dan IEC (International

Electrotechnical Commission) sepakat untuk berkonsolidasi dalam

pengembangan standar keamanan informasi seri 2700x. Standar-standar

tersebut antara lain:

• ISO 13335

Standar ISO 13335 merupakan standar untuk Management of

Information and Communictations Technology Security, dimana

standar ini menyediakan arahan umum untuk menginisiasi dan

mengimplementasikan proses manajemen keamanan teknologi

informasi. ISO 13335 menyediakan instruksi namun bukan solusi untk

mengelola keamanan teknologi informasi. Bagaimanapun juga,


15


standar ini merupakan titik awal dan referensi bagi perkembangan

standar lain dalam manajemen keamanan teknologi informasi.

• ISO 27001

Akibat kompleksnya area teknologi informasi, dan karena adanya

kebutuhan untuk sertifikasi, sejumlah manual, standar dan norma

nasional untuk keamanan informasi telah muncul selama beberapa

tahun yang lalu. ISO 27001 (Information Technology - Security

Techniques - Information Security Management Systems Requirement

Specification) merupakan standar internasional pertama untuk

manajemen keamanan informasi yang dapat disertifikasi. ISO 27001

berisi rekomendasi umum mengenai bagaimana menjalankan dan

meningkatkan dokumentasi sistem manajemen keamanan informasi

yang juga mempertimbangkan risiko-risiko.

• ISO 27002

ISO 27002 awalnya dikenal ISO 17799:2005 (Information Technology

- Code of Practice for Information Security Management). Tujuan dari

ISO 27002 adalah menentukan kerangka kerja untuk manajemen

keamanan informasi. ISO 27002 fokus terhadap langkah-langkah yang

diperlukan untuk membangun fungsionalitas sistem manajemen

keamanan dan menanamkannya ke dalam organisasi. Rekomendasi

yang diberikan pada ISO 27002 khususnya ditujukan untuk level

manajemen dan tidak terlalu banyak mengandung informasi teknis

yang spesifik. Implementasi ISO 27002 merupakan salah satu dari

berbagai cara untuk memenuhi persyaratan yang ada dalam standar

ISO 27001.

• ISO 27005

ISO 27005 (Information Security Risk Management) mengandung

rekomendasi umum untuk manajemen risiko keamanan informasi. ISO


16


27005 digunakan untuk mendukung implementasi persyaratan yang

ada dalam ISO 27001.

• ISO 27006

ISO 27006 (Information Technology – Security Techniques –

Requirements for The Accreditation of Bodies Providing Certification

of Information Security Management Systems) menjelaskan

persyaratan yang dibutuhkan untuk mengakreditasi sertifikasi ISMS

dan juga menjelaskan detail proses sertifikasi ISMS secara spesifik.

2. National Institute of Standards and Technology (NIST) 800-30

NIST 800-30 dipublikasikan pada tahun 2002 oleh National Institute of

Standards and Technology, sebuah institut teknologi federal yang

bekerjasama dengan industri untuk mengembangkan dan mengaplikasikan

teknologi, pengukuran, dan standar. NIST 800-30 merupakan publikasi

khusus mengenai Risk Guide for Information Technology System. NIST 800-

30 menyediakan dasar untuk pengembangan program manajemen risiko yang

efektif yang berisi baik definisi-definisi maupun arahan praktis yang

dibutuhkan untuk menilai dan memitigasi risiko yang teridentifikasi didalam

suatu sistem teknologi informasi. Tujuan dari NIST 800-30 adalah untuk

membantu organisasi dalam mengelola risiko terkait teknologi informasi

dengan lebih baik. Kerangka kerja ini juga menyediakan informasi dalam

menyeleksi kontrol keamanan informasi yang efektif secara biaya yang dapat

digunakan untuk memitigasi risiko dalam rangka memberikan perlindungan

bagi informasi penting dan sistem teknologi informasi yang memproses,

menyimpan, dan membawa informasi tersebut.

Dalam NIST 800-30, proses manajemen risiko dilakukan dalam tiga aktivitas seperti pada gambar di bawah ini:


17


Gambar 2.2 Proses Manajemen Risko NIST 800-30

Tahapan yang dilakukan dalam gambar di atas antara lain: (Stoneburner, 2002)

a. Penilaian risiko

Penilaian risiko merupakan proses pertama dalam manajemen risiko.

Organisasi menggunakan penilaian risiko untuk menentukan ancaman dan

risiko potensial terkait sistem teknologi informasi. penilaian risiko

mencakup identifikasi dan evaluasi risiko dan efek dari risiko, serta

rekomendasi untuk pengukuran minimalisasi risiko.Dalam melakukan

penilaian risiko, terdapat 9 langkah utama yang dapat dilakukan, yaitu:

• System Characterization, menentukan ruang lingkup dari sistem

yang akan dinilai risikonya. Dalam tahapan ini, diidentifikasi

batasan-batasan dari sistem beserta sumberdaya dan informasi

yang berkaitan dengan sistem.

• Threat Identification, mengidentifikasi sumber ancaman serta

motivasi terjadinya ancaman. Ancaman disini dapat diakibatkan

oleh adanya kelemahan internal maupun eksternal.

• Vulnerability Identification, mengidentifikasi sumber kerawanan

serta motivasi terjadinya kerawanan. Kerawanan merupakan

kelemahan dalam prosedur keamanan sistem, perancangan,

implementasi, atau kontrol internal yang dapat diekploitasi.

• Control Analysis, menganalisa kontrol yang telah

diimplementasikan, atau telah direncanakan akan


18


diimplementasikan oleh organisasi untuk meminimalisasi atau

mengeliminasi probabilitas ancaman.

• Likelihood Determination, menentukan level dari kemungkinan

suatu kelemahan dapat dieksploitasi oleh sumber ancaman. Level

kemungkinan tersebut dibagi menjadi High, Medium, dan Low.

• Impact Analysis, menganalisa dampak dari kelemahan yang

berhasil dieksploitasi dengan mengacu kepada misi sistem, tingkat

kepentingan sistem dan data, serta tingkat sensitivitas sistem dan

data. Keluaran dari tahapan ini adalah level dari dampak yang

dinyatakan dalam High, Medium, dan Low.

• Risk Determination, menilai level risiko terhadap sistem TI.

Penilaian ini dilakukan dengan menentukan skala dari risiko dan

matriks dari level risiko. Keduanya dinyatakan dalam tingkatan

High, Medium, dan Low.

• Control Recommendation, menentukan rekomendasi dari kontrol-

kontrol yang dapat memitigasi ataupun mengeliminasi risiko yang

teridentifikasi, dimana kontrol-kontrol tersebut relevan dengan

operasional organisasi. Tujuan dari adanya rekomendasi kontrol ini

adalah untuk menurunkan level risiko dari sistem teknologi

informasi beserta datanya ke level yang dapat diterima.

• Results Documentation, mendokumentasikan dengan jelas hasil

dari keseluruhan tahapan, mulai dari penilaian risiko sampai

rekomendasi kontrol.

b. Mitigasi Risiko

Mitigasi risiko merupakan proses kedua setelah penilaian risiko yang

mencakup pemrioritasan, mengimplementasikan, dan menjaga pengukuran

minimalisasi risiko yang cocok yang didapat dari hasil penilaian risiko.

Tahapan dari aktivitas mitigasi risiko, antara lain:

• Prioritize Action, merupakan penentuan prioritas aktivitas yang

akan diimplementasikan dengan berdasar kepada level risiko yang

didapat dari laporan penilaian risiko. Keluaran dari tahapan ini


19


adalah urutan prioritas aktivitas mulai dari yang tertinggi sampai

yang terendah.

• Evaluate Recommended Control Options, kontrol yang

direkomendasikan dalam proses penilaian risiko dapat saja bukan

merupakan pilihan yang paling cocok untuk organisasi dan sistem

TI tertentu. Dalam tahapan ini, dilakukan analisa terhadap

efektivitas rekomendasi kontrol dengan tujuan untuk memilih

kontrol yang paling cocok dan relevan untuk meminimalisasi

risiko.

• Conduct Cost-Benefit Analysis, merupakan analisa terhadap cost-

benefit dari rekomendasi kontrol untuk membantu manajemen

dalam membuat keputusan kontrol-kontrol mana saja yang akan

diterapkan dengan melihat efektifitas kontrol dari sisi biaya.

• Select Control, yaitu memilih kontrol yang telah ditentukan

manajemen setelah melalui analisa cost-benefit. Kontrol-kontrol

yang dipilih harus menggabungkan aspek teknis, operasional, dan

kontrol manajemen untuk memastikan keamanan sistem teknologi

informasi dan keamanan organisasi.

• Assign Responsibility, menentukan tanggung jawab dari personil

atau staf yang memiliki kemampuan dan keahlian yang memadai

untuk mengimplementasikan kontrol yang telah dipilih.

• Develop a Safeguard Implementation Plan, dimana dalam tahapan

ini dikembangkan suatu action plan yang berisi informasi

mengenai risiko, rekomendasi kontrol, prioritas aktivitas, kontrol

yang terpilih, sumberdaya yang dibutuhkan untuk implementasi

kontrol, daftar tanggung jawab personil dan tim, tanggal

dimulainya implementasi, target penyelesaian implementasi, dan

kebutuhan pemeliharaan.

• Implement Selected Controls, yaitu tahapan dimana kontrol yang

telah dipilih diimplementasikan.


20


c. Evaluasi Risiko

Evaluasi risiko merupakan proses evaluasi secara berkelanjutan dan

merupakan kunci untuk mengimplementasikan program manajemen risiko

yang baik.

3. COBIT (Control Objective for Information and Related Technology)

COBIT merupakan standar atau kerangka kerja yang menyediakan metode

untuk mengontrol risiko akibat penggunaan teknologi informasi untuk

mendukung proses bisnis. COBIT dikeluarkan oleh Information Domains

Audit and Control Association (ISACA) IT Governance Institute. COBIT

disusun dari suatu gabungan dokumen dan kerangka kerja yang

diklasifikasikan dan secara umum diterima sebagai best practice untuk tata

kelola teknologi informasi. Referensi perihal manajemen risiko secara khusus

dibahas pada proses PO9 dalam COBIT. Kerangka kerja manajemen risiko

teknologi informasi dengan menggunakan COBIT terdiri dari: (IT

Governance Institute, 2005)

a. Penetapan objektif, kriteria informasi dari COBIT dapat digunakan

sebagai dasar dalam mendefinisikan objek TI. Terdapat tujuh kriteria

informasi dari COBIT yaitu effectiveness, efficiency, confidentiality,

integrity, availability, compliance, dan reliability.

b. Identifikasi risiko, merupakan proses untuk mengetahui adanya risiko

yang dapat bersumber dari manusia, proses, dan teknologi, dari dalam atau

luar perusahaan, serta bbersumber dari bencana, ketidakpastian, dan

kesempatan

c. Penilaian risiko, merupakan proses untuk menilai seberapa sering risiko

terjadi dan seberapa besar dampak yang dapat ditimbulkannya. Dampak

risiko terhadap bisnis dapat berupa dampak finansial, menurunnya reputasi

disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan

aset, dan penundaan pengambilan keputusan.

d. Respon risiko, dilakukan dengan menerapkan kontrol objektif yang sesuai

dalam melakukan manajemen risiko. Jika sisa risiko masih melebihi risiko

yang dapat diterima, maka diperlukan respon risiko tambahan. Proses-


21


proses pada kerangka kerja COBIT yang sesuai untuk manajemen risiko

adalah:

• PO1 (Define a Strategic IT Plan) dan PO9 (Assess and Manage

Risk)

• A16 (Manages Change)

• DS5 (Ensure System and Security)

• ME1 (Monitor and Evaluate IT Performance)

e. Monitor risiko, setiap langkah dimonitor untuk menjamin bahwa risiko

dan respon berjalan sepanjang waktu.

4. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability

Evaluation)

Kerangka kerja manajemen risiko keamanan informasi menggunakan

pendekatan OCTAVE dapat dilihat pada gambar di bawah ini: (Alberts,

2002)

Gambar 2.3 Kerangka Kerja OCTAVE

Aktivitas yang dilakukan dalam manajemen risiko keamanan informasi

dengan pendekatan OCTAVE seperti gambar di atas, antara lain:

a. Identifikasi, merupakan prosestransformasi ketidakpastian mengenai

seberapa baik aset perusahaan dilindungi terhadap risiko. Aktivitas yang

dilakukan antara lain identifikasi profil risiko (aset kritis, ancaman,

kebutuhan keamanan, kebutuhan keamanan untuk aset kritis, deskripsi

tentang dampak risiko pada perusahaan, dan komponen infrastruktur


22


utama yang berhubungan dengan aset kritis) serta identifikasi informasi

perusahaan seperti kebijakan dan prosedur keamanan informasi

b. Analisa, merupakan proses untuk memproyeksikan bagaimana resiko-

resiko ekstensif dan bagaimana menggunakan proyeksi tersebut untuk

membuat skala prioritas. Tugas dalam proses analisa adalah melakukan

evaluasi resiko (nilai-nilai untuk mengukur resiko, dampak dan peluang)

serta skala prioritas resiko (pendekatan pengurangan resiko, menerima

atau mengurangi resiko)

c. Perencanaan, merupakan proses untuk menentukan aksi-aksi yang akan

diambil untuk meningkatkan postur dan perlindungan keamanan aset kritis

tersebut. Langkah dalam perencanaan adalah mengembangkan strategi

proteksi, rencana mitigasi resiko, rencana aksi, budget, jadwal, kriteria

sukses, ukuran-ukuran untuk monitor rencana aksi, dan penugasan personil

untuk implementasi rencana aksi.

d. Implementasi, merupakan proses untuk melaksanakan aksi yang

direncanakan untuk meningkatkan keamanan sistem berdasarkan jadwal

dan kriteria sukses yang didefinisikan selama perencanaan risiko.

e. Monitor, yaitu pengawasan jejak rencana aksi untuk menentukan status

saat ini dan meninjau ulang data perusahaan sebagai tanda adanya risiko

baru atau perubahan yang ada.

f. Kontrol, merupakan proses yang didesain agar personil melakukan

penyesuaian rencana aksi dan menentukan apakah dengan merubah

kondisi organisasi akan menyebabkan timbulnya risiko baru.

2.4. International Organization for Standardization (ISO) 27001:2005

International Organization for Standardization adalah badan standar dunia yang

mengembangkan dan mempublikasikan berbagai jenis standar, mulai dari standar

teknologi informasi, sampai kepada standar energi nuklir. ISO berkantor pusat di

Genewa, Swiss, dan beranggotakan 162 anggota yang merepresentasikan masing-

masing negara. Standar ISO 27001:2005 merupakan standar untuk ISMS

(Information Security Management System) yang dipublikasikan ISO dan IEC

(International Electrotechnical Commission) pada Oktober 2005 dalam rangka


23


menggantikan standar BS7799-2. Standar BS7799-2 sendiri dikeluarkan oleh

British Standart Institute pada tahun 1995 sebagai code of practice yang fokus

pada bagaimana mengimplementasikan ISMS dengan mengacu kepada struktur

manajemen keamanan informasi dan kontrol.

2.4.1. Proses Perancangan Manajemen Keamanan Informasi

Tujuan dari standar ISO 27001:2005 ini adalah agar dapat digunakan sebagai

model acuan dalam pembangunan, pengimplementasian, pengoperasian,

pengawasan, peninjauan, pemeliharaan dan perbaikan sistem manajemen

keamanan informasi. ISO 27001 menggunakan siklus Plan-Do-Check-Act untuk

menstrukturisasi setiap proses. Siklus PDCA tersebut dapat dilihat pada gambar

dibawah ini (ISO, 2005).

Gambar 2.4 Siklus P-D-C-A ISO 27001

1. Plan

Merupakan tahapan untuk perancangan ISMS, menetapkan aturan, tujuan,

proses dan prosedur yang relevan untuk mengelola risiko dan meningkatkan

keamanan informasi untuk memberikan hasil yang sesuai dengan keseluruhan

tujuan dan kebijakan organisasi.


24


2. Do

Merupakan tahapan implementasi dan jalannya kebijakan, aturan, kontrol,

proses dan prosedur ISMS yang sudah dipilih pada tahap Plan.

3. Check

Merupakan tahapan dilakukannya penilaian, pengawasan dan peninjauan

implementasi dari ISMS, serta apabila memungkinkan, dilakukan pula

pengukuran performansi proses terhadap kebijakan ISMS, dan melaporkan

hasilnya kepada manajemen untuk dilakukan peninjauan.

4. Act

Merupakan tahapan dalam melakukan perbaikan dan peningkatan kinerja

ISMS. Langkag-langkah korektif dan preventif diambil berdasarkan hasil dari

audit internal ISMS dan management review atau informasi lainnya yang

relevan, agar mencapai perbaikan ISMS secara berkelanjutan.

Dalam membangun atau merancang ISMS, beberapa hal harus dilakukan oleh

organisasi, antara lain:

1. Menentukan ruang lingkup dan batasan dari ISMS terkait karakteristik

bisnis, organisasi, lokasi, aset dan teknologi, termasuk rincian dan

justifikasi untuk hal-hal yang berada diluar ruang lingkup.

2. Menentukan kebijakan ISMS terkait karakteristik bisnis, organisasi, lokasi,

aset dan teknologi.

3. Menentukan pendekatan penilaian risiko organisasi.

4. Mengidentifikasi risiko terhadap aset, ancaman, kerawanan, serta dampak

atas hilangnya kerahasiaan, integritas, dan ketersediaan yang mungkin

terjadi terhadap aset.

5. Menganalisa dan mengevaluasi risiko, termasuk didalamnya mengestimasi

level risiko dan menentukan apakah risiko-risiko tersebut dapat diterima

atau membutuhkan perlakuan khusus.


25


6. Mengidentifikasi dan mengevaluasi pilihan untuk perlakuan terhadap

risiko, diantaranya menjalankan kontrol yang sesuai, menerima risiko,

menghindari risiko, dan mentransfer risiko bisnis ke pihak lain.

7. Memilih kontrol dan kontrol objektif untuk perlakuan terhadap risiko.

8. Mendapatkan persetujuan dari manajemen terhadap risiko yang diajukan.

9. Mendapatkan otoritas manajemen untuk mengimplementasikan dan

mengoperasikan ISMS.

10. Menyiapkan Statement of Applicability, dimana didalamnya terdapat

sasaran kontrol dan kontrol yang dipilih, serta alasan pemilihan kontrol

tersebut, sasaran kontrol dan kontrol yang saat ini sedang

diimplementasikan, serta pengecualian terhadap sasaran kontrol dan

kontrol serta justifikasi terhadap pengecualian tersebut.

Setelah menentukan perencanaan ISMS, tahap selanjutnya organisasi

mengimplementasikan dan mengoperasikan ISMS. Hal-hal yang harus dilakukan

organisasi antara lain:

1. Memformulasikan perencanaan tindak lanjut risiko untuk menentukan

tindakan manajemen yang sesuai, sumber daya, tanggung jawab dan

prioritas untuk mengelola risiko keamanan informasi.

2. Mengimplementasikan perencanaan tindak lanjut terhadap risiko dalam

rangka mencapai sasaran kontrol, yang termasuk pertimbangan pendanaan

dan alokasi peran dan tanggung jawab.

3. Mengimplementasikan kontrol yang telah dipilih untuk mencapai sasaran

kontrol.

4. Menentukan bagaimana mengukur efektivitas kontrol yang telah dipilih

dan menentukan bagaimana pengukuran ini digunakan untuk menilai

efektivitas kontrol untuk menghasilkan hasil yang dapat dibandingkan.

5. Mengimplementasikan program pelatihan dan kesadaran terhadap

keamanan informasi.

6. Mengelola operasional ISMS.

7. Mengelola sumber daya ISMS


26


8. Mengimplementasikan prosedur dan kontrol lainnya yang dapat

mendeteksi dan merespon adanya insiden keamanan.

Pada tahapan selanjutnya, dilakukan pengawasan dan peninjauan terhadap ISMS

yang sedang berjalan, dimana pada tahap ini ativitas-aktivitas yang dapat

dilakukan organisasi antara lain:

1. Menjalankan prosedur pengawasan dan peninjauan serta kontrol lainya.

2. Melakukan tinjauan berkala terhadap efektivitas ISMS (termasuk

dijalankannya kebijakan dan sasaran ISMS, serta tinjauan terhadap

kontrol-kontrol keamanan) dengan melihat kepada hasil dari audit

keamanan, insiden, hasil dari efektivitas pengukuran, saran dan feedback

dari seluruh pihak yang berkepentingan.

3. Mengukur efektivitas kontrol untuk memastikan bahwa kebutuhan

keamanan benar-benar terpenuhi.

4. Meninjau penilaian risiko pada jangka waktu tertentu dan meninjau sisa

risiko dan level risiko yang telah teridentifikasi dengan mepertimbangkan

perubahan organisasi, teknologi, tujuan dan proses bisnis, ancaman,

efektivitas dari kontrol yang berjalan, serta perubahan eksternal misalnya

perubahan peraturan hukum atau regulasi, perubahan kontrak kewajiban,

dan perubahan iklim sosial

5. Menjalankan audit internal ISMS sesuai jangka waktu yang telah

direncanakan

6. Melakukan tinjauan manajemen terhadap ISMS untuk memastikan ruang

lingkup ISMS tetap terpenuhi dan perbaikan pada proses ISMS

teridentifikasi.

7. Melakukan perbaharuan rencana dengan mempertimbangkan temuan

dalam aktivitas pengawasan dan peninjauan ISMS.

8. Menyimpan atau mendokumentasikan aktivitas dan event yang dapat

berdampak pada efektivitas maupun performansi ISMS.

Tahap terakhir pada siklus PDCA ISMS adalah menjaga dan melakukan

peningkatan ISMS. Organisasi secara berkala harus melakukan hal-hal di bawah

ini, yaitu:


27


1. Mengimplementasikan perbaikan yang teridentifikasi di ISMS

2. Mengambil tindakan korektif dan preventif. Mengaplikasikan lesson learnt

dari pengalaman terkait keamanan baik dari organisasi lain maupun dari

organisasi itu sendiri.

3. Mengkomunikasikan tindakan dan perbaikan tersebut kepada seluruh

pihak yang berkepentingan.

4. Memastikan perbaikan tersebut memenuhi sasaran yang diharapkan.

2.4.2. Domain, Kontrol, dan Kontrol Objektif ISO 27001

Dalam ISO 27001:2005 terdapat 11 domain, 39 kontrol objektif dan 133 kontrol

yang dapat dijadikan acuan untuk diimplementasikan guna memenuhi kebutuhan

manajemen keamanan informasi yang didapat dari hasil penilaian risiko. Kontrol-

kontrol ini diterapkan untuk menurunkan tingkat risiko keamanan informasi ke

tingkat yang dapat diterima.

Dalam implementasinya, tidak seluruh kontrol yang ada pada ISO 27001:2005

harus diterapkan oleh organisasi atau perusahaan. Setiap organisasi atau sistem

memiliki karakteristik yang berbeda-beda, sehingga ada beberapa kontrol ISO

27001:2005 yang tidak dapat diterapkan pada organisasi atau sistem tersebut.

Oleh karena itu, organisasi harus memilih kontrol yang relevan dengan subjek

atau ruang lingkup mereka. Kontrol-kontrol yang tidak relevan dengan kebutuhan

atau kondisi organisasi atau perusahaan, dimasukan ke dalam Statement of

Applicability, yang berisi kontrol mana saja yang akan diterapkan, serta justifikasi

atas kontrol-kontrol yang tidak akan diterapkan karena tidak relevan. Kontrol-

kontrol yang tidak relevan tersebut nantinya tidak akan menjadi ruang lingkup

pada saat audit. Domain dan kontrol objektif dari ISO 27001:2005 dapat dilihat

pada tabel di bawah ini:


28


Tabel 2.1 Domain dan Kontrol Objektif ISO 27001 Ref.Annex

A Domain & Kontrol Objektif

A.5 Security Policy A5.1 Information security policy A.6 Organization of information security

A.6.1 Internal Organization A6.2 External parties A.7 Asset Management

A.7.1 Responsibility for assets A.7.2 Information classification A.8 Human resources security

A.8.1 Prior to employment A.8.2 During employment A.8.3 Termination or change of employment A.9 Physical and environmental security

A9.1 Secure areas A9.2 Equipment security A10 Communications and operations management

A10.1 Operational procedures and responsibilities A10.2 Third party service delivery management A10.3 System planning and acceptance A10.4 Protection against malicious and mobile code A10.5 Back-up A10.6 Network security management A10.7 Media handling A10.8 Exchange of information A10.9 Electronic commerce services A10.10 Monitoring

A11 Access Control A11.1 Business requirement for access control A11.2 User access management A11.3 User responsibilities A11.4 Network access control A11.5 Operating system access control A11.6 Application and information access control A11.7 Mobile computing and Teleworking A12 Information systems acquisition, development and maintenance

A12.1 Security requirements of information systems A12.2 Correct processing in applications A12.3 Cryptographic controls A12.4 Security of system files A12.5 Security in development and support processes A12.6 Technical Vulnerability Management A13 Information security incident management

A13.1 Reporting information security events and weaknesses A13.2 Management of information security incidents and improvements A14 Business continuity management

A14.1 Information security aspects of business continuity management A15 Compliance

A15.1 Compliance with legal requirements A15.2 Compliance with security policies and standards, and technical compliance A15.3 Information system audit considerations


29


2.5. Penelitian Sebelumnya

Salah satu penelitian sejenis yang sebelumnya telah dilakukan adalah penelitian

yang dilakukan oleh Arief Budi Winarto mengenai Evaluasi Kinerja Manajemen

Risiko Keamanan Informasi Charging System : Studi Kasus PT XYZ (Winarto,

2012). Penelitian yang dilakukan Arief Budi Winarto adalah mengevaluasi kinerja

manajemen risiko keamanan sistem informasi pada Charging System dimana

sistem ini menyimpan aset informasi yang penting yang menjadi core business

perusahaan. Perusahaan ini menggunakan framework ISMS berbasis ISO

27001:2005 untuk melakukan proses pengamanan aset informasi penting

perusahaan terutama aset terkait Charging System. Dalam penelitian ini Arief

Budi Winarto mengevaluasi kinerja manajemen risiko terhadap Charging System

tersebut. Kemudian Arief Budi Winarto juga melakukan evaluasi terhadap kinerja

tata kelola TI terkait kemanan informasi dengan mengacu kepada Cobit 4.1.

Keluaran dari penelitian ini adalah nilai hasil analisa kesenjangan domain ISO

serta suatu rekomendasi strategi manajemen risiko keamanan informasi pada

Charging System perusahaan tempat penelitian ini dilakukan, yaitu berupa 14

rancangan kerja dan 5 kebijakan serta prosedur-prosedur terkait dengan

peningkatan kinerja control objective dalam upaya pengamanan aset informasi

Charging System.

Penelitian sejenis lainnya juga pernah dilakukan oleh Vinici Vasquera Silitonga

dalam penelitiannya yang berjudul “Perancangan Manajemen Risiko Pada PT.

XYZ dengan Menggunakan Metode NIST 800-30” pada tahun 2012 (Silitonga,

2012). Penelitian ini dilakukan terhadap sistem SAP perusahaan serta lingkungan

pendukung layanan sistem SAP di perusahaan tersebut. PT. XYZ telah

menerapkan sistem SAP untuk mendukung proses bisnisnya, namun belum ada

pengelolaan terhadap keamanan sistem informasi yang berisiko dapat

menghambat jalannya proses bisnis dan berpotensi menimbulkan kerugian. Dalam

melakukan perancangan manajemen risiko, Vinici Vasquera Silitonga

menggunakan kerangka kerja NIST 800-30 sebagai acuan dalam mengidentifikasi

masalah. Peneltian ini hanya terbatas pada fase penilaian risiko dan mitigasi

risiko, sedangkan fase implementasi dan evaluasi risiko tidak termasuk dalam


30


cakupan penelitian. Penilaian risiko dilakukan dengan 8 tahapan antara lain

mengidentifikasi karakteristik sistem, mengidentifikasi ancaman, mengidentifikasi

kelemahan, analisis kontrol, penentuan kemungkinan, analisa dampak, penentuan

level risiko, dan yang terakhir rekomendasi kontrol. Sedangkan mitigasi risiko

dilakukan dalam 5 tahapan antara lain prioritas aksi, mengevaluasi kontrol yang

direkomendasikan, analisa cost-benefit, penugasan tanggung jawab, dan

membangun rancangan implementasi keamanan. Keluaran dari penelitian ini

adalah suatu draft kebijakan keamanan sistem informasi untuk sistem SAP pada

perusahaan tempat penelitian ini dilakukan, yaitu berupa 10 kontrol kebijakan dan

standar keamanan sistem informasi yang dapat menjadi acuan bagi PT. XYZ

untuk mengelola 14 risiko yang ditemukan dalam penelitian ini.

Penelitian juga dilakukan oleh Yuliansyah Al’Rasyid dengan judul penelitian

“Analisa dan Kajian Model Kerangka Kerja Manajemen Risiko Teknologi

Informasi Studi Kasus pada PT. Rajawali Nusantara Indonesia” tahun 2009

(Al’Rasyid, 2009). Saat penelitian ini dilakukan, PT. Rajawali Nusantara

Indonesia belum memiliki pengelolaan manajemen risiko yang mungkin terjadi

sehingga memungkinkan timbulnya kerugian yang tidak diinginkan. Pada

penelitian ini, pertama dilakukan identifikasi dan pendefinisian area manajemen

risiko TI, kemudian dilakukan pemetaan manajemen risiko TI yang ada saat ini.

Setelah dilakukan pemetaan, dilakukan pengukuran dan analisa proses manajemen

risiko TI dengan menggunakan capability analysis. Tahapan lain yang dilakukan

adalah gap analysis manajemen risiko dengan mengacu kepada COBIT,

sedangkan untuk penyusunan kebijakan manajemen risiko digunakan standar

AU/NZS 4360-2004. Keluaran dari penelitian ini adalah 3 cakupan area

operasional manajemen risiko yaitu risiko ketersediaan, risiko keamanan, dan

risiko kemanfaatan TI terhadap proses bisnis.



BAB 3 METODOLOGI PENELITIAN

Bab ini menjelaskan langkah-langkah dilakukannya penelitian yang digunakan

untuk pemecahan permasalahan penelitian dan mencapai tujuan penelitian.

Karya Akhir ini merupakan penelitian dengan menggunakan metode studi kasus,

dimana penelitian dilakukan terhadap permasalahan nyata yang ada di lapangan.

Penelitian ini dilakukan berdasarkan data kualitatif dan kuantitatif. Peneliti

melakukan pengamatan secara langsung terhadap obyek penelitian, melakukan

studi literatur, dan mengumpulkan data yang relevan untuk kemudian dilakukan

analisa agar dapat memberikan rekomendasi bagi perbaikan sistem di lokasi

tempat penelitian dilakukan, khususnya untuk manajemen risiko keamanan

informasi sesuai dengan ruang lingkup yang telah ditentukan.

3.1. Metode Pengumpulan Data

Dalam penelitian ini, data yang dijadikan acuan untuk melakukan evaluasi

terhadap manajemen risiko keamanan informasi dibagi menjadi dua, yaitu data

primer dan data sekunder.

a. Data primer

Data primer merupakan data yang diperoleh langsung dari sumber yang

relevan. Dalam penelitian ini, data primer didapat melalui wawancara

terhadap pihak terkait, pengisian assessment checklist, serta survei dan

observasi lapangan.

b. Data sekunder

Data sekunder merupakan data yang didapat melalui dokumen organisasi

maupun hasil penelitian yang dilakukan oleh orang lain. Dalam

penelitian ini, data sekunder didapat dari dokumen arsitektur teknologi

sistem provisioning gateway Telkom Flexi, dokumen kebijakan

perusahaan, serta dokumen pendukung studi literatur.


32


3.2. Pola Pikir Penelitian

Pola pikir yang digunakan dalam penelitian ini adalah sebagai berikut:

Gambar 3.1 Pola Pikir Penelitian

Usulan perbaikan manajemen keamanan sistem informasi didapat dari hasil

analisa kesenjangan antara kontrol objektif yang ada pada ISO 27001:2005

dengan kontrol – kontrol yang telah diterapkan dalam mengelola keamanan

informasi sistem provisioning gateway. Gambaran dari kondisi manajemen sistem

informasi saat ini didapat berdasarkan hasil observasi di lapangan, melakukan

wawancara berdasarkan assessment checklist, serta berdasarkan dokumen –

dokumen perusahaan terkait kebijakan ataupun prosedur manajemen keamanan

sistem informasi.

3.3. Tahapan Penelitian

Penelitian dilakukan dalam dua bagian utama, yaitu pertama, akan dilakukan

evaluasi tingkat kematangan manajemen risiko keamanan informasi pada sistem

provisioning gateway Telkom Flexi, melalui analisis kesenjangan. Kemudian


33


yang kedua, akan dilakukan penilaian risiko untuk setiap aset terkait sistem

provisioning gateway sehingga dapat ditentukan rekomendasi kontrol keamanan

informasi.

Sedangkan untuk alur penelitian, dibagi ke dalam empat tahapan yaitu :

1. Tahap perencanaan

Pada tahap perencanaan dilakukan perumusan masalah dan studi literatur

teori pendukung dalam melakukan penelitian.

2. Tahap pengumpulan data

Tahap pengumpulan data dilakukan melalui wawancara dan pengisian

assessment checklist, serta studi dokumen perusahaan terkait kebijakan

dan prosedur keamanan informasi.

3. Tahap analisa

Pada tahap analisa dilakukan analisis kesenjangan, identifikasi dan

evaluasi risiko serta evaluasi kontrol.

4. Tahap penyelesaian

Pada tahap penyelesaian dilakukan penyusuan prosedur keamanan

informasi yang dijadikan sebagai rekomendasi perbaikan manajemen

keamanan informasi pada sistem provisioning gateway Telkom Flexi.

Tahapan penelitian dapat dilihat pada gambar di bawah ini:


34


Perumusan Masalah

Studi Literatur

Wawancara & pengisian

assessment checklist

Studi Dokumen Perusahaan

Gap Analysis

Identifikasi dan Evaluasi Risiko

Evaluasi Kontrol

Tahap Perencanaan

Tahap Pengumpulan

Data

Usulan perbaikan Manajemen

Keamanan Sistem Informasi

Tahap Analisa

Tahap Penyelesaian

Gambar 3.2 Tahapan Penelitian


35


Penjelasan dari setiap aktivitas pada gambar tahapan penelitian di atas adalah

sebagai berikut:

1. Melakukan perumusan masalah dimana di dalam perumusan masalah ini

dijabarkan tentang permasalahan yang diteliti. Dalam perumusan masalah

juga ditentukan ruang lingkup dan batasan manajemen keamanan

informasi yang menunjukan cakupan dari manajemen keamanan informasi

yang diimplementasikan ataupun yang akan dievaluasi.

2. Melakukan studi literatur dengan mempelajari teori-teori yang relevan

untuk melakukan analisis, diantaranya studi literatur mengenai manajemen

risiko, keamanan informasi, ISO 27001:2005, serta studi literatur terkait

penelitian-penelitian sejenis yang pernah dilakukan sebelumnya.

3. Pengumpulan data meliputi data primer dan data sekunder, diantaranya

data hasil wawancara, pengamatan langsung, pengisian assessment

checklist serta data perusahaan terkait sistem provisioning gateway. Pada

tahap pengumpulan data dilakukan penilaian terhadap manajemen

keamanan sistem informasi yang telah ada sebelumnya untuk

mendapatkan gambaran mengenai tingkat kematangan manajemen

keamanan sistem provisioning gateway saat ini.

4. Melakukan analisis kesenjangan manajemen risiko keamanan informasi

yang ada saat ini dengan kontrol objektif yang ada pada ISO 27001:2005.

Analisis kesenjangan dilakukan melalui assessment checklist yang

disesuaikan dengan kontrol objektif ISO 27001:2005.

5. Melakukan identifikasi dan evaluasi risiko keamanan sistem informasi.

Dalam identifikasi resiko, hal-hal yang dilakukan antara lain :

a. Mengidentifikasi semua aset yang berhubungan dengan ruang

lingkup sistem manajemen keamanan informasi serta orang atau

pihak yang bertanggung jawab terhadap produksi, pengembangan,

pemeliharaan, penggunaan, maupun keamanan dari aset tersebut.


36


b. Mengidentifikasi ancaman yang ada pada aset-aset tersebut

c. Mengidentifikasi kerawanan yang mungkin dapat dieksploitasi

d. Mengidentifikasi dampak dari kehilangan aspek-aspek kerahasiaan,

integritas, dan ketersediaan yang ada pada aset tersebut.

Sedangkan dalam evaluasi risiko, dilakukan pemetaan nilai kecenderungan

(likelihood) dan analisa dampak bisnis dari ancaman dan kerawanan yang

ada, serta mengukur level resiko yang ada saat ini (inherent risk).

6. Melalukan evaluasi kontrol untuk menentukan rekomendasi kontol yang

perlu diterapkan dalam menjaga keamanan informasi sistem provisioning

gateway, dilihat berdasarkan tingkat risiko yang didapat dari hasil

identifikasi dan evaluasi risiko.

7. Rekomendasi perbaikan prosedur yang langsung dapat dijadikan acuan

untuk melakukan perbaikan proses manajemen risiko keamanan informasi

sistem provisioning gateway Telkom Flexi.



BAB 4 PROFIL PERUSAHAAN

Bab ini berisi uraian mengenai profil perusahaan, serta peran dan pembagian

fungsi kerja yang dapat dilihat dari struktur organisasi. Profil yang diuraikan

adalah profil dari Divisi Information System Center (ISC) sebagai pengembang,

pengelola, dan penanggung jawab sistem provisioning gateway Telkom Flexi.

4.1. Gambaran Singkat Perusahaan

PT Telekomunikasi Indonesia, Tbk (Telkom) merupakan Badan Usaha Milik

Negara yang bergerak dalam bidang penyediaan layanan telekomunikasi dan

jaringan di wilayah Indonesia. Sebagai perusahaan milik negara, saham Telkom

mayoritas dimiliki oleh Pemerintah Republik Indonesia, sedangkan sisanya

dimiliki oleh publik. Saham perusahaan ini diperdagangkan di Bursa Efek

Indonesia (BEI), New York Stock Exchange (NYSE), London Stock Exchange

(LSE) dan public offering without listing (POWL) di Jepang.

Layanan telekomunikasi dan jaringan Telkom sangat luas dan beragam meliputi

layanan dasar telekomunikasi domestik dan internasional, baik menggunakan

jaringan kabel, nirkabel tidak bergerak (Code Division Multiple Access atau

CDMA) maupun Global System for Mobile Communication (GSM) serta layanan

interkoneksi antar operator penyedia jaringan. Di luar layanan telekomunikasi,

Telkom juga berbisnis di bidang Multimedia berupa konten dan aplikasi,

melengkapi portofolio bisnis perusahaan yang disebut TIMES

(Telecommunication, Information, Media, Edutainment, dan Services). Bisnis

telekomunikasi merupakan fundamental platform bisnis Telkom yang bersifat

legacy, sedangkan portofolio bisnis lainnya disebut sebagai new wave yang

mengarahkan perusahaan untuk berinovasi pada produk berbasis kreatif digital.


38


4.2. Visi dan Misi Perusahaan

Visi perusahaan :

“Menjadi perusahaan yang unggul dalam penyelenggaraan TIMES di kawasan

regional.”

Misi perusahaan :

• Menyediakan layanan TIMES yang berkualitas tinggi dengan harga yang

kompetitif.

• Menjadi model pengelolaan korporasi terbaik di Indonesia.

4.3. Organisasi Divisi Information System Center (ISC)

4.3.1. Lingkup Peran Divisi Information System Center (ISC)

Information System Center (ISC) adalah unit bisnis Telkom yang merupakan

organisasi di bawah Direktorat IT, Solution & Supply yang memiliki peran

sebagai pengelola sistem informasi untuk seluruh unit organisasi yang ada di

Telkom. Untuk tercapainya kinerja sistem informasi perusahaan yang optimal,

ISC dibentuk untuk menjalankan peran:

a. Penyelenggara dukungan sistem informasi perusahaan untuk

mengkondisikan efektifitas penyelenggaraan proses bisnis perusahaan;

b. Penyelenggara operasi pendayagunaan sarana dan prasaranan TI dalam

rangka mengimplementasikan kebijakan TI bisnis perusahaan pada

lingkup TelkomGroup.

Untuk mendukung peran tersebut, ISC mengelola aktivitas utama sebagai berikut:

a. Pengembangan aplikasi untuk dukungan sistem informasi pada

penyelenggaraan proses bisnis perusahaan (aplikasi untuk pengelolaan

pelanggan, infrastruktur bisnis, dan enterprise);

b. Penyelenggaraan operasi pendayagunaan sarana dan prasarana TI;

c. Penyelenggaraan operasi internet, customer data management, dan

dukungan sistem informasi untuk bisnis dan enterprise;

d. Pengelolaan fungsi technostructure untuk penyelenggaraan organisasi ISC;

e. Pengimplementasian kebijakan perusahaan di bidang operasional TI;

f. Pengembangan layanan operasional dan pemeliharaan TI yang ada;


39


g. Pengelolaan seluruh aplikasi sistem informasi di unit-unit kerja Telkom;

h. Pengelolaan perubahan dan performansi TI yang ada;

Pengelolaan temporary/transisi di bidang TI.

4.3.2. Struktur Organisasi Divisi Information System Center (ISC)

Organisasi Information System Center (ISC) terdiri atas:

1. Pimpinan Information System Center (ISC) yaitu :

a. Senior General Manager (SGM) ISC;

b. Deputy Senior General Manager (Deputy SGM) ISC.

2. Pengelola fungsi-fungsi pengembangan Information System Center (ISC)

yaitu :

a. Bidang OSS Application Development;

b. Bidang Business Application Development;

c. Bidang Enterprise Application Development;

d. Bidang Infrastructure Development.

3. Pengelola fungsi dukungan manajemen yaitu :

a. Bidang Planning & Controlling;

b. Bidang General Support.

4. Pengelola operasional dan layanan TI yaitu :

a. Sub Unit IS CS;

b. Sub Unit IS EWS;

c. Sub Unit IS PO Service;

d. Sub Unit IS PO Infrastructure;

e. Sub Unit Customer Data Management;

f. Sub Unit IS Service Support Management;

g. Sub Unit IS Shared Service Operation;

h. Sub Unit IS Business, Customer & Enterprise Operation.

Struktur organisasi Divisi Information System Center (ISC) dapat dilihat pada

gambar di bawah ini:


40


Gambar 4.1 Struktur Organisasi Divisi IS Center



BAB 5 ANALISA DAN PEMBAHASAN

Bab ini berisi pemaparan mengenai analisa yang dilakukan melalui metodologi

yang telah ditentukan sebelumnya, untuk menjawab permasalahan penelitian.

5.1. Penentuan Ruang Lingkup

Langkah pertama dalam melakukan penilaian terhadap manajemen keamanan

sistem informasi adalah menentukan ruang lingkup. Ruang lingkup adalah apa

saja yang akan dinilai dan sejauh mana penilaian terhadap manajemen keamanan

sistem informasi dilakukan. Dalam penelitian ini, ruang lingkup yang diteliti

adalah sistem provisioning gateway Telkom Flexi, dimana ruang lingkup ini

meliputi organisasinya, lokasinya, serta aset dan teknologi yang berhubungan

dengan sistem provisioning gateway.

Adapun ruang lingkup yang dimaksud di atas antara lain :

1. Organisasi, yaitu Telkom Flexi dan ISC (Information System Center)

sebagai pemilik dan pengelola sistem provisioning gateway.

2. Lokasi, yaitu Ruang Server STO Gambir dan Ruang Server STO Kota.

3. Aset dan Teknologi, yaitu :

a. Teknologi, meliputi aplikasi i-Nefi, Server Nefi 1, Server Nefi 2,

Load Balancer, Access Point, PC dan laptop, media penyimpanan,

sistem operasi, basis data, antivirus, dan source code;

b. Data dan informasi, meliputi user management, command

management, konfigurasi routing, entity profile, log transaksi, SOP

dan dokumen teknis;

c. Pengguna layanan, meliputi system admin, staf operasional VaS,

dan mitra kerja;

d. Fasilitas pendukung, meliputi listrik, HVAC, UPS, dan CCTV.


42


5.2. Infrastruktur Teknologi Informasi

Arsitektur teknologi sistem provisioning gateway Telkom Flexi saat ini dapat

dilihat pada gambar di bawah ini.

Gambar 5.1 Infrastruktur Sistem Provisioning Gateway Telkom Flexi

i-NEFI sebagai provisioning gateway menggunakan teknologi sebagai berikut:

1. Java berbasis Spring framework yang sudah teruji kehandalannya dalam

membangun sistem besar dengan pola MVC (Model, View, Controller)

2. Netbeans sebagai IDE (Interface Development Enviorenment) yang

memungkinkan pembuatan solusi berbasis platform Java dengan biaya

lisensi nol.

3. Protokol standar interfacing http post dan socket yang memungkinkan

multi koneksi antara node dapat dilakukan secara akurat dan aman .

4. Web application server dimana aplikasi i-NEFI berbasis Spring dideploy.

5. Load Balancer sebagai penyedia fitur high availability pada server

redundansi menggunakan metoda round-robin dengan pembobotan.

6. Database MySQL yang menggantikan database proprietary commercial.


43


5.3. Kondisi Manajemen Keamanan Sistem Informasi Saat Ini

Untuk mendapatkan gambaran terhadap tingkat kematangan manajemen risiko

keamanan sistem informasi yang telah diterapkan oleh organisasi terhadap sistem

provisioning gateway, maka dilakukan pengamatan langsung dan wawancara

dengan pihak terkait. Pengamatan langsung dan wawancara didasarkan pada

assessment checklist, dimana didalamnya berisi pertanyaan-pertanyaan mengenai

implementasi manajemen keamanan sistem informasi yang mengacu kepada

domain dan kontrol yang ada pada ISO 27001:2002.

Untuk setiap pertanyaan assessment diberi nilai dalam bentuk presentase dengan

melihat kepada ada atau tidaknya prosedur, serta dijalankan atau tidaknya kontrol

terkait keamanan sistem informasi. Acuan penilaian beserta keterangannya adalah

sebagai berikut:

Tabel 5.1 Penilaian Untuk Assessment Checklist

Nilai (%) Keterangan 0 Prosedur belum ada dan belum ada kontrol yang dilaksanakan

25 Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur

50 Prosedur belum ada dan kontrol sudah dilaksanakan

75 Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur

100 Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur

Pengisian assessment checklist dilakukan bersama dengan pihak dari Divisi IS

Center yang mengembangkan dan mengelola sistem provisioning gateway

Telkom Flexi. Pengisian assessment checklist dilakukan oleh responden melalui

diskusi bersama. Kualifikasi responden adalah sebagai berikut:


44


Tabel 5.2 Kualifikasi Responden

Responden Deskripsi 1 • Merupakan key person perihal teknis pengembangan dan

pengelolaan sistem Provisioning Gateway • Menerima laporan secara rutin dari mitra terkait performansi

sistem Provisioning Gateway 2 • Merupakan administrator aplikasi i-Nefi

• Terlibat sejak awal dalam pengembangan sistem, mulai dari inisiasi, pengetesan, migrasi, dan go live aplikasi

• Menerima laporan secara rutin dari mitra terkait performansi sistem Provisioning Gateway

Daftar pertanyaan dan nilai sesuai nilai yang telah diisi dapat dilihat pada

Lampiran 1 Karya Akhir ini.

5.4. Analisa Kesenjangan (Gap Analysis)

Setelah seluruh pertanyaan assessment diberi nilai yang sesuai, nilai tersebut

dikelompokan berdasarkan kontrol dan berdasarkan domain ISO 27001:2002.

Nilai yang didapat kemudian dirata-rata dari setiap pertanyan assessment per

kontrol dan per domain. Perhitungan tersebut dilakukan untuk melihat seberapa

jauh kesesuaian implementasi manajemen keamanan sistem informasi

provisioning gateway Telkom Flexi dengan kontrol objektif dari ISO 27001:2002.

Hasil perhitungan nilai kesesuaian atau kematangan per domain ISO 27001:2002

tersebut dapat dilihat pada Tabel 5.3. Dari tabel 5.3 di bawah ini dapat dilihat

bahwa domain ISO 27001:2005 yang 100% sesuai dengan kontrol dan kontrol

objektif adalah domain Security Policy. Ini berarti IS Center telah memiliki

kebijakan keamanan informasi, dimana kebijakan yang dijadikan acuan keamanan

informasi sistem provisioning gateway adalah kebijakan keamanan informasi

perusahaan. Sedangkan nilai kesesuaian terendah berada pada domain Asset

Management, dikarenakan belum ada prosedur dan pembagian kerja yang jelas

terkait pengelolaan aset terkait sistem provisioning gateway, serta masih

rendahnya kesadaran pihak-pihak yang terkait terhadap pentingnya mengelola aset

perusahaan.


45


Tabel 5.3 Nilai Kesesuaian Berdasarkan Domain

DomainKeadaan Saat

Ini (%)

Security Policy 100,00

Organization of information security 77,38

Asset management 58,33

Human resources security 76,39

Physical and environmental security 79,58

Communications and operations management

66,00

Access Control 84,40

Information systems acquisition, development and maintenance

69,79

Information security incident management 77,08

Business continuity management 65,00

Compliance 73,61

Selain dilihat per domain, kondisi manajemen keamanan informasi sistem

provisioning gateway juga dapat dilihat berdasarkan kontrol objektif, untuk

melihat dengan lebih detail area ISO 27001 yang penerapannya belum maksimal

pada sistem provisioning gateway ini. Nilai kesesuaian atau kematangan

berdasarkan setiap kontrol objektif ISO 27001:2005 dapat dilihat pada Tabel 5.4.

Dari perhitungan nilai kesesuaian, secara keseluruhan didapatkan bahwa tingkat

kematangan manajemen risiko keamanan sistem provisioning gateway Telkom

Flexi terhadap kontrol-kontrol ISO 27001:2005 adalah 75.23% yang didapat dari

perhitungan rata-rata nilai kesesuaian (status) per domain.


46


Tabel 5.4 Nilai Kesesuaian Berdasarkan Kontrol Objektif

Domain Control Objectives Status (%)

Information security policy 100,00 100,00

Internal organization 71,43 External parties 83,33

77,38 Responsibility for assets 66,67 Information classification 50,00

58,33 Prior to employment 83,33 During employment 62,50 Termination or change of employment 83,33

76,39 Secure areas 80,00 Equipment security 79,17

79,58 Operational procedures and responsibilities 70,00 Third party service delivery management 83,33 System planning and acceptance 62,50 Protection against malicious and mobile code 62,50 Back‐up 75,00 Network security management 91,67 Media handling 75,00 Exchange of information 65,00 Electronic commerce services ‐ Monitoring 75,00

66,00 Business requirement for access control 75,00 User access management 87,50 User responsibilities 68,75 Network access control 92,86 Operating system access control 91,67 Application and information access control 87,50 Mobile computing & teleworking 87,50

84,40 Security requirements of information systems 75,00 Correct processing in applications 62,50 Cryptographic controls 87,50 Security of system files 75,00 Security in development and support processes 68,75 Technical Vulnerability Management 50,00

69,79 Reporting information security events and weaknesses

87,50

Management of information security incidents and improvements

66,67

77,08 Information security aspects of business continuity management

65,00

65,00 Compliance with legal requirements 83,33 Compliance with security policies and standards, and technical compliance

75,00

Information systems audit considerations 62,50 73,61

Access Control


Information security incident management

Business continuity management

Compliance

Security Policy

Organization of information security

Asset management

Human resources security

Physical and environmental security



47


Dalam bentuk radar chart, dapat dilihat kesenjangan manajemen risiko keamanan

sistem informasi per domain ISO 27001:2005 sebagai berikut:

Gambar 5.2 Chart Hasil Analisis Kesenjangan

5.5. Metode Analisa Risiko

Analisa risiko merupakan proses untuk mengidentifikasi, memprioritaskan, dan

memitigasi risiko. Dalam melakukan analisa risiko, beberapa tahapan yang

dilakukan antara lain mengidentifikasi risiko yang dilihat dari ancaman dan

kerawanan yang dapat timbul dari suatu aset serta dampak yang akan

mempengaruhi bisnis perusahaan, melakukan evaluasi terhadap risiko, serta

mengevaluasi beberapa pilihan penanganan risiko. Analisa risiko ini digunakan

sebagai dasar pemilihan kontrol yang akan dilakukan dalam memitigasi risiko

yang ada.

1. Melakukan identifikasi risiko, tahapan yang dilakukan antara lain:

a. Identifikasi aset

Aset-aset yang akan diidentifikasi adalah berupa aset teknologi,

aset data dan informasi, aset fasilitas pendukung, serta aset sumber

daya manusia. Aset-aset yang dinilai hanyalah aset yang


48


mempunyai dampak bagi bisnis perusahaan bila kerahasiaan dan

integritas dari aset tersebut dilanggar, serta ketersediaannya tidak

terjamin.

b. Identifikasi ancaman dan kerawanan

Pada proses ini dilakukan identifikasi terhadap ancaman dari setiap

aset. Ancaman yang diidentifikasi ini kemudian dikorelasikan

dengan aset yang telah diidentifikasi sebelumnya. Selanjutnya

dilakukan pula identifikasi kerawanan dari aset dan dikorelasikan

juga dengan ancaman yang ada.

c. Identifikasi dampak atas hilangnya kerahasiaan (confidentiality),

integritas (integrity), dan ketersediaan (availability) yang mungkin

timbul dari aset.

2. Melakukan evaluasi terhadap risiko

Evaluasi terhadap risiko dilakukan dengan cara menilai kecenderungan

terjadinya kegagalan keamanan sistem informasi terkait dengan ancaman

dan kerawanan, serta dampak yang berhubungan dengan aset, berikut

dengan kontrol yang saat ini diimplementasikan. Tujuan dari evaluasi

risiko adalah mendapatkan tingkat atau level tingginya risiko per aset

sehingga nantinya dapat diputuskan perlakuan terhadap risiko, apakah

risiko tersebut akan diterima dan dimitigasi, ditolak, atau ditransfer ke

pihak lain. Di bawah ini dapat dilihat tabel parameter nilai kecenderungan

terjadinya risiko.

Tabel 5.5 Parameter Tingkat Kecenderungan Terjadi Risiko

Jarang Sedang Sering

Insidentil Kemungkinan terjadi kurang dari 5 kali dalam 5 tahun

Kemungkinan terjadi 6 ‐ 10 kali dalam 5 tahun

Kemungkinan terjadi 11 ‐ 15 kali dalam 5 tahun

Peluang Terjadi

Mungkin terjadi Kadang‐kadang terjadi

Hampir pasti terjadi


49


Sedangkan untuk kriteria tingkatan besarnya dampak risiko berdasarkan

faktor finansial dan non finansial perusahaan dapat dilihat pada tabel di

bawah ini.

Tabel 5.6 Parameter Tingkat Dampak Risiko

Rendah Sedang Tinggi

Financial Kerugian Aktual / Potensi / Opportunity

0% < unconsolidated monthly revenue ≤ 0.25%

0.25% < unconsolidated monthly revenue ≤ 2.5%

unconsolidated monthly revenue > 2.5%

Non Financial

Reputasi (area publikasi)

Publikasi negatif pada skala kabupaten / kota madya

Publikasi negatif pada skala provinsi

Publikasi negatif pada skala nasional

Gangguan operasional (waktu non operasi)

0 menit < downtime≤ 1 menit

1 menit < downtime< 10 menit

downtime ≥ 10 menit

3. Melakukan pengukuran nilai risiko saat ini (inheren risk). Nilai inheren

risk merupakan nilai yang menunjukan tingkat risiko pada aset dengan

mengimplementasikan kontrol yang ada. Nilai inheren risk didapat dari

hasil pemetaan nilai kecenderungan terjadinya risiko atau kegagalan

keamanan sistem informasi (likelihood) serta nilai dampak (impact).

Pengukuran tingkat risiko saat ini (inheren risk) dari hasil pemetaan

tersebut dapat dilihat pada tabel di bawah ini.


50


Tabel 5.7 Pengukuran Nilai Inheren Risk

Kecenderungan (Likelihood)

Jarang (0.1)

Sedang (0.5)

Sering (1)

Dampak (Impact)

Rendah (10)

Rendah (10*0.1=1)

Sedang (10*0.5=5)

Sedang (10*1=10)

Sedang (50)

Sedang (50*0.1=5)

Tinggi (50*0.5=25)

Tinggi (50*1=50)

Tinggi (100)

Tinggi (100*0.1=10)

Tinggi (100*0.5=50)

Kritis (100*1=100)

Tingkat kecenderungan terjadinya risiko diberi nilai dengan skala 0.1 – 1,

begitu pula tingkatan besaran dampak dari risiko diberi nilai 10 – 100.

Dari nilai dampak dan kecenderungan tersebut, didapatkan nilai inheren

risk dengan skala nilai 0 – 1 untuk Rendah, 5 – 10 untuk Sedang, 10 – 50

untuk Tinggi, dan 50 - 100 untuk Kritis.

4. Melakukan evaluasi kontrol dengan melihat kepada hasil analisa

kesenjangan antara kondisi manajemen keamanan sistem informasi saat ini

dengan kontrol dan kontrol objektif yang ada pada ISO 27001:2005.

Kontrol dan kontrol objektif ISO 27001:2005 yang dipilih hanya yang

relevan dengan ruang lingkup sistem provisioning gateway Telkom Flexi.

Kontrol-kontrol yang tidak relevan akan dimasukan ke dalam Statemant of

Applicability.

5. Melakukan pengukuran nilai risiko akhir (residual risk). Nilai residual risk

merupakan nilai tingkat risiko yang diharapkan setelah menerapkan

kontrol. Penentuan nilai residual risk juga berdasar kepada hasil pemetaan

kecenderungan terjadinya risiko (likelihood) dan nilai dampak (impact).

Pengukuran tingkat risiko akhir (residual risk) dari hasil pemetaan dampak

dan kecenderungan setelah kontrol baru diterapkan dapat dilihat pada tabel

di bawah ini.


51


Tabel 5.8 Pengukuran Nilai Residual Risk

Kecenderungan (Likelihood)

Jarang (0.1)

Sedang (0.5)

Sering (1)

Dampak (Impact)

Rendah (10)

Hilang Sedang

(10*0.5=5) Sedang

(10*1=10)

Sedang (50)

Sedang (50*0.1=5)

Tinggi (50*0.5=25)

Tinggi (50*1=50)

Tinggi (100)

Tinggi (100*0.1=10)

Tinggi (100*0.5=50)

Kritis (100*1=100)

Sama seperti pengukuran nilai inheren risk, tingkat kecenderungan

terjadinya risiko diberi nilai dengan skala 0.1 – 1, begitu pula tingkatan

besaran dampak dari risiko diberi nilai 10 – 100. Dari nilai dampak dan

kecenderungan tersebut, didapatkan nilai residual risk dengan skala nilai 5

– 10 untuk Sedang, 10 – 50 untuk Tinggi, dan 50 - 100 untuk Kritis.

Apabila dampak yang diharapkan setelah implementasi kontrol menjadi

rendah, dan kecenderungan menjadi jarang, maka dianggap risiko menjadi

hilang.

5.6. Identifikasi Risiko

Setelah mendapatkan gambaran terhadap tingkat kematangan manajemen

keamanan sistem informasi provisioning gateway Telkom Flexi, selanjutnya

dilakukan identifikasi terhadap risiko yang muncul terhadap obyek penelitian.

Identifikasi risiko dilakukan dengan terlebih dahulu mengidentifikasi aset-aset apa

saja yang terkait dengan obyek penelitian. Kemudian dilakukan identifikasi

terhadap ancaman, kerawanan, dan dampak dari setiap aset tersebut.

5.6.1. Identifikasi Aset

Berdasarkan pengamatan dan melihat arsitektur sistem provsioning gateway

Tekom Flexi, maka didapat daftar aset yang berada dalam ruang lingkup sistem

tersebut. Aset terbagi menjadi aset teknologi, aset data dan informasi, aset fasilitas


52


pendukung, serta aset sumber daya manusia. Adapun aset-aset tersebut adalah

sebagai berikut:

Tabel 5.9 Daftar Aset

No Aset Klasifikasi Pemilik

1 Aplikasi i‐NEFI Vital ISC2 Server NEFI 1 Vital ISC3 Server NEFI 2 Vital ISC4 Load Balancer Vital ISC5 Access Point Important ISC6 PC dan Laptop Important User7 Storage Device Important ISC8 Sistem Operasi (Ms. Windows Server 2003 & Windows XP)

Important ISC

9 MySQL Important ISC10 Antivirus Important ISC11 Source Code Important ISC

1 User management Vital ISC2 Command management Vital ISC3 Konfigurasi routing Vital ISC4 Entity Profile Secondary ISC5 Log transaksi Important ISC6 SOP & Technical Document Important ISC

1 Admin Vital ISC2 User Important ISC & DWB3 Mitra Important ‐

1 Ruang Server STO Gambir Vital DWB2 Ruang Server STO Kota Vital DWB3 Listrik Vital DWB4 HVAC Vital DWB5 UPS Important DWB6 CCTV Secondary DWB

Aset Teknologi

Aset Data dan Informasi

Aset Sumber Daya Manusia

Aset Pendukung

5.6.2. Identifikasi Ancaman dan Kerawanan

Setelah aset yang berada dalam ruang lingkup obyek penelitian diidentifikasi,

proses selanjutnya adalah melakukan identifikasi terhadap ancaman (threat) dan

kerawanan (vulnerability) yang mungkin timbul dari masing-masing aset tersebut.

Adapun kerawanan yang telah diidentifikasi adalah sebagai berikut:


53


Tabel 5.10 Identifikasi Kerawanan (Vulnerabilities)

No. Kerawanan (Vulnerabilities) Kode 1 Penggunaan dan pengamanan hak akses yang tidak tepat,

seperti dilakukannya sharing password V1

2 Password dan user ID ditulis di sticky notes dan ditempel di beberapa PC

V2

3 Tidak diperbaharuinya versi perangkat lunak dan patching yang terlambat

V3

4 File sharing dilakukan melalui media yang tidak tepat, dan tanpa prosedur yang sesuai

V4

5 Penyimpanan data dan informasi di media portable storage V5

6 Proses kerja utama masih bergantung pada sedikit orang (serta melekat ke orang, bukan posisi pekerjaan)

V6

7 Pemeliharaan sistem oleh pihak ketiga/mitra tidak terpantau V7 8 Beberapa perangkat IT tidak terawat dengan baik V8 9 Permintaan perubahan sistem sering tidak dilakukan melalui

prosedur change request yang formal V9

10 Penggunaan software bajakan di beberapa PC V10 11 Access Control pintu ruangan tidak digunakan V11 12 Meninggalkan perangkat kerja tanpa 'logout' (misal PC, laptop) V12 13 Backup data tidak dijalankan secara rutin V13 14 Kurangnya dokumentasi perubahan konfigurasi V14 15 Kurangnya pengetahuan dan kesadaran SDM tentang keamanan

sistem informasi V15

16 Fasilitas pendukung kurang dikelola dengan baik (misal catu daya, pendingin ruangan)

V16

17 Penggunaan perangkat kerja pribadi untuk pengolahan informasi

V17

18 Dokumen hardcopy yang sifatnya rahasia diletakan di sembarang tempat

V18

19 Update antivirus di perangkat kerja yang tidak menggunakan antivirus resmi perusahaan, tidak dilakukan secara berkala

V19

20 Sering dilakukannya pengiriman data perusahaan menggunakan email publik (contoh: gmail, yahoo)

V20

Sedangkan ancaman yang telah diidentifikasi dari aset adalah sebagai berikut:


54


Tabel 5.11 Identifikasi Ancaman (Threat)

No. Ancaman (Threat) Kode 1 Akses yang tidak berhak dari pihak eksternal yang mengancam

kerahasiaan ketersediaan, dan integritas data dan informasi T1

2 Akses yang tidak berhak dari pihak internal yang mengancam kerahasiaan ketersediaan, dan integritas data dan informasi

T2

3 Perusakan aset fisik secara disengaja T3 4 Kerusakan perangkat keras, perangkat lunak, dan fasilitas

pendukung T4

5 SDM utama sakit, berhalangan hadir, atau resign T5 6 Perubahan konfigurasi yang tidak terkontrol T6 7 Server Overload T7 8 Serangan virus, worm, atau trojan T8 9 Manipulasi data, perubahan data yang tidak sah T9 10 Kesalahan operasional yang dilakukan personel/staf/mitra T10 11 Pencurian dokumen T11 12 Pencurian perangkat T12 13 Gempa bumi, kebakaran, kerusuhan T13

5.7. Evaluasi Risiko

Risiko-risiko yang telah diidentifikasi kemudian di evaluasi tingkat risikonya

berdasarkan dampak dan kecenderungan untuk mendapatkan nilai risiko dasar

(inheren risk). Sebelumnya terlebih dahulu dilakukan pemetaan kerawanan,

ancaman, dan dampak apa saja yang ada pada masing-masing aset. Kemudian

diidentifikasi kontrol apa saja yang telah dijalankan pada setiap aset tersebut.

Langkah selanjutnya adalah memberikan penilaian terhadap kecenderungan dan

dampak untuk setiap aset dengan acuan nilai seperti pada Tabel 5.4 dan Tabel 5.5.

Setelah kecenderungan dan dampak diberi nilai, maka kemudian dilakukaan

pengukuran nilai inheren risk berdasarkan pemetaan pada Tabel 5.6. Nilai inheren

risk untuk setiap aset yang telah teridentifikasi adalah sebagai berikut.


55


Tabel 5.12 Nilai Inheren Risk

Dampak KecenderunganNilai Risiko

Dasar1 Apl ikasi i ‐NEFI V1, V7, V9, V14 T1, T2, T6, T10 I1, I3, I4, I5 Tinggi

90Tinggi

1Kritis90

2 Server NEFI 1 V1, V2, V3, V7, V8, V13

T1, T2, T3, T4, T7, T8, T12

I1, I2, I3, I4, I5, I6

Tinggi100

Sedang0.5

Tinggi50

3 Server NEFI 2 V1, V2, V3, V7, V8, V13

T1, T2, T3, T4, T7, T8, T12

I1, I2, I3, I4, I5, I6

Tinggi100

Sedang0.5

Tinggi50

4 Load Balancer V1, V2, V3, V7, V8 T3, T4, T6, T8, T12

I1 Sedang50

Jarang0.1

Sedang5

5 Access Point V8 T3, T4, T6, T12 I1, I6, I8 Rendah10

Jarang0.1

Rendah1

6 PC dan Laptop V1, V2, V8, V10, V11, V12, V17, V19

T3, T4, T8, T12 I1, I6, I8 Sedang50

Sedang0.5

Tinggi25

7 Storage Device V4, V5, V8, V13 T3, T4, T8, T11, T12

I1, I2, I3, I4, I6 Tinggi100

Sedang0.5

Tinggi50

8 Sistem Operasi (Ms. Windows Server 2003 & Windows XP)

V3, V10 T8 I1 Tinggi100

Jarang0.1

Tinggi10

9 MySQL V1, V3, V13 T1, T2, T4, T8, T9, T10

I1, I3, I4, I5 Sedang50

Sedang0.5

Tinggi25

10 Antivirus V3, V10, V19 T8 I1, I6, I8 Sedang50

Sedang0.5

Tinggi25

11 Source Code V2, V13, V15 T1, T2, T9, T11 I2 Tinggi100

Jarang0.1

Tinggi10

12 User management V1, V2, V13, V15 T1, T2, T9, T11 I1, I3, I4, I5 Tinggi100

Sedang0.5

Tinggi50

13 Command management

V2, V13, V14, V15 T1, T2, T9, T11 I1, I3, I4, I5 Tinggi100

Tinggi1

Kritis100

14 Konfigurasi routing V2, V13, V14, V15 T1, T2, T9, T11 I1, I3, I4, I5 Tinggi100

Sedang0.5

Tinggi50

15 Entity Profi le V2, V13, V15 T1, T2, T9, T11 I1, I3, I4, I5 Sedang50

Jarang0.1

Sedang5

16 Log transaksi V13 T1, T2, T9, T11 I1, I7 Sedang50

Sedang0.5

Tinggi25

17 SOP & Technical Document

V5, V18 T1, T2, T9, T11 I1, I2, I8 Sedang50

Sedang0.5

Tinggi25

18 Staf Teknis V6, V12, V15, V17, V20

T5, T10 I1, I3, I8 Tinggi100

Sedang0.5

Tinggi50

19 User V6, V12, V15, V17, V20

T5, T10 I1, I3, I8 Tinggi100

Sedang0.5

Tinggi50

20 Mitra V7, V12, V15, V17, V20

T5, T10 I1, I2, I3, I8 Tinggi100

Sedang0.5

Tinggi50

21 Ruang Server STO Gambir

V11 T13 I1, I5 Tinggi100

Jarang0.1

Tinggi10

22 Ruang Server STO Kota

V11 T13 I1, I5 Tinggi100

Jarang0.1

Tinggi10

23 Listrik V16 T4 I1, I5 Tinggi100

Sedang0.5

Tinggi50

24 HVAC V16 T4 I1, I5 Sedang50

Jarang0.1

Sedang5

25 UPS V16 T4 I1, I5 Tinggi100

Jarang0.1

Tinggi10

26 CCTV V16 T4, T12 I7 Rendah10

Jarang0.1

Rendah1

InherenNo Aset

Kerawanan (Vulnerabilities)

Ancaman (Threat)

Dampak (Impact)


56


Nilai inheren risk merupakan nilai tingkat risiko ketika pada saat kontrol yang ada

saat itu diimplementasikan. Dari tabel di atas terlihat bahwa terdapat dua aset

yang memiliki risiko kritis, dan 19 aset dengan nilai risiko tinggi. Untuk

mengurangi risiko tersebut ke tingkat yang dapat diterima oleh perusahaan, maka

perlu diimplementasikan kontrol yang tepat. Harapan tingkatan risiko setelah

menerapkan kontrol baru adalah nilai dari residual risk. Nilai residual risk didapat

melalui pemetaan dampak dan kecenderungan seperti pada Tabel 5.7. Berdasarkan

pengukuran residual risk yang dilakukan, tidak ada lagi aset dengan nilai resiko

kritis, sedangkan untuk jumlah aset dengan risiko tinggi turun menjadi 8 aset.

Dari setiap kontrol dan kontrol objektif per aset, disusun rencana kerja dengan

waktu penyelesaiannya. Implementasi rencana kerja akan dilakukan mulai dari

triwulan 3 2013 sampai dengan triwulan 1 2014, tergantung kebutuhan biaya dan

ketersediaan sumber daya manusia.

Nilai residual risk untuk tiap-tiap aset dan serta kontrol dan kontrol objektif yang

direkomendasikan untuk diterapkan berikut rencana kerja dan target

penyelesaiannya dituangkan dalam satu tabel penilaian risiko (risk assessment)

seperti pada Tabel 5.12 di bawah ini.


57


Tabel 5.13 Hasil Penilaian Risiko (Risk Assessment)

DampakKecende‐rungan

Nilai Risiko Dasar


Nilai Risiko Akhir

1 Aplikasi i‐NEFI ISC V1, V7, V9, V14 T1, T2, T6, T10 I1, I3, I4, I5 ‐ Password management‐ Session time‐out

Tinggi90

Tinggi1

Kritis90

Sedang50

Sedang0.5

Tinggi25

Accept ‐ A.10.4‐ A.10.10

Penyusunan prosedur change management

Triwulan 3 ‐ 2013

2 Server NEFI 1 ISC V1, V2, V3, V7, V8, V13

T1, T2, T3, T4, T7, T8, T12

I1, I2, I3, I4, I5, I6

‐ Pengamanan fisik server‐ Pembagian user access

Tinggi100

Sedang0.5

Tinggi50

Sedang50

Sedang0.5

Tinggi25

Accept ‐ A.7.1‐ A.9.2‐ A.10.3

‐ Upgrade server memory‐ Penyusunan prosedur Backup‐ Penyusunan prosedur pengelolaan aset

Triwulan 4 ‐ 2013

3 Server NEFI 2 ISC V1, V2, V3, V7, V8, V13

T1, T2, T3, T4, T7, T8, T12

I1, I2, I3, I4, I5, I6

‐ Pengamanan fisik server‐ Pembagian user access

Tinggi100

Sedang0.5

Tinggi50

Sedang50

Sedang0.5

Tinggi25

Accept ‐ A.7.1‐ A.9.2‐ A.10.3

‐ Upgrade server memory‐ Penyusunan prosedur Backup‐ Penyusunan prosedur pengelolaan aset

Triwulan 4 ‐ 2013

4 Load Balancer ISC V1, V2, V3, V7, V8

T3, T4, T6, T8, T12

I1 ‐ Pengamanan fisik‐ Backup konfigurasi

Sedang50

Jarang0.1

Sedang5

Rendah10

Jarang0.1

Hilang Accept ‐ A.7.1‐ A.9.2‐ A.10.3

‐ Penyusunan prosedur pengelolaan aset‐ Penyusunan prosedur keamanan perangkat‐ Penyusunan prosedur system planning & acceptance

Triwulan 3 ‐ 2013

5 Access Point ISC V8 T3, T4, T6, T12 I1, I6, I8 Pengamanan fisik

Rendah10

Jarang0.1

Rendah1

Rendah10

Jarang0.1

Hilang Accept A.9.2 Penyusunan prosedur keamanan perangkat

Triwulan 3 ‐ 2013

Implementasi Rencana Kerja

Strategi Mitigasi

Rencana Kerja

No AsetPenanggung Jawab Aset

Kerawanan (Vulnerabilities

)

Ancaman (Threat)

Target Penyelesaia

nKontrol yang Ada

InherenDampak (Impact)

Residual


58



Nilai Risiko Dasar


Nilai Risiko Akhir

6 PC dan Laptop User V1, V2, V8, V10, V11, V12, V17, V19

T3, T4, T8, T12 I1, I6, I8 ‐ Pengamanan fisik‐ Password management

Sedang50

Sedang0.5

Tinggi25

Sedang50

Jarang0.1

Sedang5

Accept ‐ A.9.2‐ A.10.4‐ A.11.3

‐ Penyusunan prosedur keamanan perangkat‐ Update antivirus‐ Penyusunan prosedur user responsibilities

Triwulan 4 ‐ 2013

7 Storage Device ISC V4, V5, V8, V13 T3, T4, T8, T11, T12

I1, I2, I3, I4, I6

Backup berkala Tinggi100

Sedang0.5

Tinggi50

Sedang50

Jarang0.1

Sedang5

Accept ‐ A.10.7‐ A.9.2‐ A.10.3

‐ Penyusunan prosedur keamanan perangkat‐ Penyusunan prosedur penanganan media‐ Penyusunan prosedur system planning & acceptance

Triwulan 4 ‐ 2013

8 Sistem Operasi (Ms. Windows Server 2003 & Windows XP)

ISC V3, V10 T8 I1 Antivirus Tinggi100

Jarang0.1

Tinggi10

Sedang50

Jarang0.1

Sedang5

Accept A.10.4 ‐ Penyusunan prosedur keamanan terhadap malicious code dan mobile code‐ Update antivirus

Triwulan 3 ‐ 2013

9 MySQL ISC V1, V3, V13 T1, T2, T4, T8, T9, T10

I1, I3, I4, I5 Backup Sedang50

Sedang0.5

Tinggi25

Sedang50

Jarang0.1

Sedang5

Accept ‐ A.10.4‐ A.10.3‐ A.11.3

‐ Penyusunan prosedur keamanan terhadap malicious code dan mobile code

Triwulan 4 ‐ 2013

10 Antivirus ISC V3, V10, V19 T8 I1, I6, I8 Update secara otomatis

Sedang50

Sedang0.5

Tinggi25

Sedang50

Jarang0.1

Sedang5

Accept A.10.4 Update antivirus Triwulan 3 ‐ 2013


Strategi Mitigasi

Rencana Kerja



)

Ancaman (Threat)

Target Penyelesaia

nKontrol yang Ada


Residual


59



Nilai Risiko Dasar


Nilai Risiko Akhir

11 Source Code ISC V2, V13, V15 T1, T2, T9, T11 I2 Backup Tinggi100

Jarang0.1

Tinggi10

Sedang50

Jarang0.1

Sedang5

Accept ‐ A.12.4‐ A.10.5

‐ Penyusunan prosedur keamanan system files‐ Pembelian Backup tape

Triwulan 4 ‐ 2013

12 User management ISC V1, V2, V13, V15 T1, T2, T9, T11 I1, I3, I4, I5 Pergantian password berkala

Tinggi100

Sedang0.5

Tinggi50

Tinggi100

Jarang0.1

Tinggi10

Accept ‐ A.10.5‐ A.11.3

‐ Penyusunan prosedur back‐up‐ Pembelian Backup tape‐ Penyusunan prosedur user responsibilities

Triwulan 4 ‐ 2013

13 Command management

ISC V2, V13, V14, V15

T1, T2, T9, T11 I1, I3, I4, I5 ‐ Backup ‐ Password management

Tinggi100

Tinggi1

Kritis100

Tinggi100

Sedang0.5

Tinggi50

Accept ‐ A.10.5‐ A.11.3


Triwulan 4 ‐ 2013

14 Konfigurasi routing ISC V2, V13, V14, V15

T1, T2, T9, T11 I1, I3, I4, I5 Backup konfigurasi

Tinggi100

Sedang0.5

Tinggi50

Tinggi100

Jarang0.1

Tinggi10

Accept ‐ A.10.5‐ A.11.3


Triwulan 4 ‐ 2013

15 Entity Profile ISC V2, V13, V15 T1, T2, T9, T11 I1, I3, I4, I5 Backup Sedang50

Jarang0.1

Sedang5

Rendah10

Jarang0.1

Hilang Accept A.10.1 Penyusunan prosedur tanggung jawab dan prosedur operasional

Triwulan 1 ‐ 2014

16 Log transaksi ISC V13 T1, T2, T9, T11 I1, I7 Pencatatan log transaksi

Sedang50

Sedang0.5

Tinggi25

Sedang50

Jarang0.1

Sedang5

Accept A.10.10 Penyusunan prosedur monitoring

Triwulan 1 ‐ 2014


Strategi Mitigasi

Rencana Kerja



)

Ancaman (Threat)

Target Penyelesaia

nKontrol yang Ada


Residual


60



Nilai Risiko Dasar


Nilai Risiko Akhir

17 SOP & Technical Document

ISC V5, V18 T1, T2, T9, T11 I1, I2, I8 Backup Sedang50

Sedang0.5

Tinggi25

Sedang50

Jarang0.1

Sedang5

Accept A.10.1 Penyusunan prosedur tanggung jawab dan prosedur operasional

Triwulan 3 ‐ 2013

18 Staf Teknis ISC V6, V12, V15, V17, V20

T5, T10 I1, I3, I8 Pelatihan Tinggi100

Sedang0.5

Tinggi50

Sedang50

Jarang0.1

Sedang5

Accept ‐ A.8.2‐ A.8.3‐ A.11.3

‐ Penyunan prosedur keamanan SDM‐ Pengadaan pelatihan keamanan informasi‐ Penyusunan prosedur user responsibilities

Triwulan 1 ‐ 2014

19 User ISC & DWB V6, V12, V15, V17, V20

T5, T10 I1, I3, I8 Prosedur operasional

Tinggi100

Sedang0.5

Tinggi50

Sedang50

Jarang0.1

Sedang5

Accept ‐ A.8.2‐ A.8.3‐ A.11.3

‐ Penyunan prosedur keamanan SDM‐ Pengadaan pelatihan keamanan informasi‐ Penyusunan prosedur user responsibilities

Triwulan 1 ‐ 2014

20 Mitra ‐ V7, V12, V15, V17, V20

T5, T10 I1, I2, I3, I8 Perjanjian Kerja Sama

Tinggi100

Sedang0.5

Tinggi50

Sedang50

Jarang0.1

Sedang5

Accept ‐ A.8.2‐ A.8.3‐ A.11.3

‐ Penyusunan prosedur keamanan SDM‐ Penyusunan prosedur user responsibilities

Triwulan 1 ‐ 2014

21 Ruang Server STO Gambir

DWB V11 T13 I1, I5 Pintu ruang server dilengkapi dengan kartu akses

Tinggi100

Jarang0.1

Tinggi10

Tinggi100

Jarang0.1

Tinggi10

Accept A.9.1 Penyusunan prosedur keamanan fisik dan lingkungan

Triwulan 1 ‐ 2014


Strategi Mitigasi

Rencana Kerja



)

Ancaman (Threat)

Target Penyelesaia

nKontrol yang Ada


Residual


61



Nilai Risiko Dasar


Nilai Risiko Akhir

22 Ruang Server STO Kota

DWB V11 T13 I1, I5 Pintu ruang server dilengkapi dengan kartu akses

Tinggi100

Jarang0.1

Tinggi10

Tinggi100

Jarang0.1

Tinggi10


Triwulan 1 ‐ 2014

23 Listrik DWB V16 T4 I1, I5 UPS Tinggi100

Sedang0.5

Tinggi50

Sedang50

Sedang0.5

Tinggi25


Triwulan 1 ‐ 2014

24 HVAC DWB V16 T4 I1, I5 Maintenance staff

Sedang50

Jarang0.1

Sedang5

Sedang50

Jarang0.1

Sedang5


Triwulan 1 ‐ 2014

25 UPS DWB V16 T4 I1, I5 Backup UPS Tinggi100

Jarang0.1

Tinggi10

Sedang50

Jarang0.1

Sedang5

Accept A.9.2 ‐ Penyusunan prosedur keamanan fisik dan lingkungan‐ Pembelian UPS tambahan untuk beberapa lokasi

Triwulan 1 ‐ 2014

26 CCTV DWB V16 T4, T12 I7 Pengamanan fisik Rendah10

Jarang0.1

Rendah1

Rendah10

Jarang0.1

Hilang Accept A.9.2 Penyusunan prosedur keamanan fisik dan lingkungan

Triwulan 1 ‐ 2014


Strategi Mitigasi

Rencana Kerja



)

Ancaman (Threat)

Target Penyelesaia

nKontrol yang Ada


Residual


62


5.8. Pemilihan Kontrol dan Statement of Applicability (SOA)

Untuk menurunkan tingkat risiko ke tingkat yang dapat diterima oleh perusahaan,

maka beberapa kontrol dan kontrol objektif dari ISO 97001:2005

direkomendasikan kepada perusahaan untuk diterapkan. Kerangka kerja

keamanan informasi serta kebijakan dan prosedur untuk masing-masing kontrol

dan kontrol objektif tersebut akan dirancang sebagai acuan bagi perusahaan untuk

mengimplementasikan perbaikan manajamen keamanan sistem informasi.

Kontrol ISO 27001:2005 yang direkomendasikan sesuai dengan hasil gap analysis

dan evaluasi risiko adalah sebagai berikut:

Tabel 5.14 Rekomendasi Kontrol

No. Control Objectives

1 Responsibility for assets 2 Information classification 3 During employment 4 Secure areas 5 Equipment security 6 Operational procedures and responsibilities 7 System planning and acceptance 8 Protection against malicious and mobile code 9 Back-up

10 Media handling 11 Monitoring 12 User responsibilities 13 Security of system files

Untuk setiap kontrol di atas, direkomendasikan pula prosedur keamanan informasi

sehingga dapat langsung diterapkan pada pengelolaan keamanan informasi sistem

provisioning gateway Telkom Flexi. Prosedur-prosedur untuk kontrol tersebut

merupakan penambahan atau perbaikan dari kebijakan keamanan informasi

perusahaan yang telah ada dan masih berlaku, sehingga prosedur yang baru dapat

mengakomodir kebutuhan operasional dan relevan dengan kondisi sistem

Provisioning Gateway.


63


Penjelasan dari 13 rekomendasi kontrol yang diberikan di atas adalah sebagai

berikut:

1. Responsibility for assets

Dari hasil assessment checklist yang dilakukan, diketahui bahwa

inventarisasi aset terkait sistem provisioning gateway Telkom Flexi belum

dilakukan dengan baik. Oleh karena itu perlu adanya prosedur dan

pembagian tanggung jawab yang jelas untuk pengelolaan aset.

2. Information Classification

Informasi terkait sistem provisioning gateway belum diklasifikasi sesuai

dengan nilai, persyaratan hukum, sensitivitas dan kritikalitasnya terhadap

organisasi. Selain itu pelabelan informasi juga belum sepenuhnya

dilakukan, kecuali pada informasi Nota Dinas yang pelabelannya

dilakukan secara otomatis lewat sistem. Oleh karena itu klasifikasi

informasi dan pelabelan informasi non Nota Dinas perlu dilakukan seseuai

kebijakan keamanan informasi yang ada.

3. During employment

Personil atau karyawan yang menangani operasional sistem provisioning

gateway belum dibekali dengan pelatihan security awareness, sehingga

kesadaran sumber daya manusia terkait keamanan informasi masih kurang.

Dibuktikan dengan masih seringnya pertukaran informasi dilakukan

melalui media email publik, serta tidak dijalankannya clear desk policy.

Untuk itu direkomendasikan diadakannya pelatihan keamanan informasi

untuk personil atau karyawan yang mengelola sistem provisioning

gateway.

4. Secure areas

Area kerja IS Center sudah dilengkapi dengan pengamanan akses berupa

access card, sehingga kemungkinan pihak-pihak luar memasuki area kerja


64


dapat dihindari. Penggunaan access card hanya perlu lebih ditertibkan,

pintu harus ditutup kembali setelah dibuka dan larangan untuk

meminjamkan access card ke pihak yang tidak berhak.

5. Equipment security

Rekomendasi untuk kontrol pengamanan perangkat adalah pengadaan

fasilitas pendukung yang dapat melindungi perangkat, misalnya berupa

backup catu daya, penempatan perangkat pada area yang aman yang tidak

dapat diakses oleh sembarang orang.

6. Operational procedures and responsibilities

Kontrol yang perlu diperbaiki untuk Operational procedures and

responsibilities adalah prosedur untuk pengelolaan perubahan terhadap

sistem, sehingga permintaan perubahan sistem dapat dilakukan melalui

prosedur dan approval berjenjang. Hal ini juga betujuan agar dokumentasi

perubahan tercatat dengan baik.

7. System planning and acceptance

Penggunaan sumber daya harus dimonitor, disesuaikan dan dilakukan

proyeksi kebutuhan kapasitas untuk memastikan performansi sistem.

Pengelolaan kapasitas yang paling penting dilakukan adalah pada server i-

Nefi dikarenakan untuk sistem provisioning gateway hanya menggunakan

dua buah server sehingga perlu direkomendasikan untuk menambahkan

memori pada server atau penambahan server baru.

8. Protection against malicious and mobile code

Penggunaan mobile code diijinkan, oleh karena itu harus ada prosedur

untuk memastikan bahwa mobile code yang sah beroperasi sesuai dengan

kebijakan keamanan yang ditetapkan secara jelas, dan penggunaan mobile

code yang tidak sah harus dicegah.


65


9. Back-up

Informasi dari sistem harus dibackup secara berkala. Beberapa data

informasi sudah dilakukan back-up oleh mitra sebagai bagian dari

perjanjian kerja untuk maintenance. Namun direkomendasikan agar dapat

menggunakan media tape sebagai media backup dari media tape ke server

sehingga kualitas backup informasi lebih baik.

10. Media handling

Belum ada prosedur untuk manajemen removable media, contohnya USB,

disk, memory card, hard disk eksternal, dan lain-lain, sehingga perlu

disusun prosedur untuk penanganan media tersebut, termasuk prosedur

untuk pemusnahan media untuk menghindari penyalahgunaan media yang

sudah tidak digunakan lagi.

11. Monitoring

Prosedur untuk pemantauan penggunaan fasilitas pengolahan informasi

harus ditetapkan dan dijalankan, serta fasilitas pencatatan log dan

informasi harus dijaga dari akses yang tidak berhak.

12. User responsibilities

Harus ada arahan yang jelas kepada karyawan, pengguna, maupun mitra

mengenai kebijakan clear desk terhadap kertas dan removable media.

13. Security of system files

Akses ke source code harus dibatasi, termasuk akses ke sistem file.

Untuk kontrol-kontrol ISO 27001:2005 yang tidak dapat diimplementasikan

karena tidak relevan dengan ruang lingkup sistem provisioning gateway akan

dimasukan ke dalam dokumen Statement of Applicability (SOA), terlampir pada

Lampiran 2.



BAB 6 KESIMPULAN DAN SARAN

6.1. Kesimpulan

Kesimpulan yang didapat dari penelitian ini, antara lain :

1. Dari hasil analisis kesenjangan yang dilakukan terhadap manajemen risiko

keamanan informasi, dapat disimpulkan bahwa tingkat kematangan

manajemen risiko keamanan informasi sistem provisioning gateway

Telkom Flexi adalah sebesar 75.23%. Domain pengelolaan aset (Asset

Management) saat ini masih lemah, yaitu dengan tingkat kematangan

sebesar 58.33%. Kebijakan dari perusahaan terkait pengelolaan aset sudah

tersedia, namun pelaksanaannya masih kurang atau tidak konsisten.

Sedangkan untuk domain ISO 27001:2005 yang sudah diimplementasikan

secara penuh adalah domain Security Policy. Saat ini kebijakan untuk

keamanan informasi sistem provisioning gateway Telkom Flexi mengacu

kepada kebijakan yang dikeluarkan perusahaan.

2. Setelah dilakukan risk assessment, disimpulkan bahwa terdapat 13 kontrol

objektif ISO 27001:2005 yang direkomendasikan untuk diterapkan

perusahaan guna perbaikan terhadap manajemen risiko keamanan sistem

provisioning gateway Telkom Flexi.

3. Kontrol yang paling dahulu akan diterapkan dengan mempertimbangkan

tingkat risiko dan ketersediaan sumber daya adalah penyusunan dan

pengesahan seluruh prosedur, upgrade memori server, dan melakukan

update antivirus untuk seluruh perangkat yang antivirusnya tidak

menggunakan antivirus resmi perusahaan. Rencana kerja akan dijalankan

mulai dari Triwulan 3 2013 sampai dengan Triwulan 1 2014.


67


6.2. Saran

Untuk penelitian selanjutnya, dapat dilakukan analisis terhadap manfaat dan biaya

dengan melakukan kuantifikasi terhadap dampak dari diimplementasikan atau

tidak diimplementasikannya kontrol, sehingga kontrol yang dipilih merupakan

kontrol yang paling memberikan manfaat terbesar dengan biaya yang terendah,

tanpa tidak mengabaikan tingkat risiko apabila kontrol tidak diterapkan.


68


DAFTAR PUSTAKA C.Alberts, A.Dorofee. (2002). Managing Information Security Risks: The OCTAVESM Approach, Addison Wesley, USA.

Al’Rayid, Yuliansyah. (2009). Analisa dan Kajian Model Kerangka Kerja Manajemen Risiko Teknologi Informasi Studi Kasus Pada PT. Rajawali Nusantara Indonesia”.

Burch, John G., Felix R. Strater. (1974). Information System: Theory and Practice. Hamilton Publishing Company.

BSI-Standard 100-1. (2008). Information Security Management System (ISMS).

Davis, Gordon B. (1974). Management Information System: Conceptual Foundation, Structure, and Development, McGraw-Hill International Book Company.

ISACA. (2011). Certified Information Security Manager : Review Manual 2011. ISACA.

ISO/IEC 27001. (2005). Information Technology – Security Techniques – Information Security Management Systems – Requirements. 2005.

International Organization for Standardization. (2009). Guide 73 Risk Management – Vocabulary.

The IT Governance Institute. (2005). COBIT 4.0. USA.

Silitonga, Vinicio Vasquera. (2012). Perancangan Manajemen Risiko di PT. XYZ Menggunakan Metode NIST 800-30.

Stoneburner, Gary., Alice Gouguen & Alexis Feringa. (2012). Risk Management Guide for Information Technology System – Recomendatio of the National Institute of Standards and technology. NIST.

Syafrizal, M. (2007). ISO 17799 : Standar Sistem Manajemen Keamanan Informasi. Seminar Nasional Teknologi.



Vaughan, Emmet., Therese M Vaughan. (2008). Fundamentals of Risk and Insurance. John Wiley & Sons Ltd.

Vose, David. (2000). Risk Analysis – A Quantitative Guide. John Wiley & Sons Ltd.

Winarto, Arief Budi. (2012). Evaluasi Kinerja Manajemen Risiko Keamanan Informasi Charging System Studi Divisi PT. XYZ. 2012



LAMPIRAN


L-1

LAMPIRAN 1 ASSESSMENT CHECKLIST


Bobot (%)

0

25

50

75

100

1.1 5.1 Information security policy

1.1.1 5.1.1Information security policy

document

Apakah dokumen terkait kebijakan keamanan informasi telah

disahkan oleh manajemen, dan dipublikasikan serta dikomunikasikan

kepada seluruh karyawan dan pihak eksternal yang terkait ?100

1.1.2 5.1.2Review of the information

security policy

Apakah ada dilakukan peninjauan terhadap kebijakan keamanan

informasi tiap rentang waktu tertentu yang telah ditetapkan atau

ditinjau setiap terjadinya perubahan-perubahan yang signifikan, demi

memastikan kesesuaian, kecukupan, dan efektifitas keamanan

informasi yang berkelanjutan ?

100

Scoring System :

Assessment Checklist

Security Policy

Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan

Checklist Standard

Hasil

Assessment

Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur

Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur

NilaiPertanyaan AssessmentArea

Keterangan

Prosedur belum ada dan belum ada kontrol yang dilaksanakan

Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur

Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan


Bobot (%)

0

25

50

75

100

2.1 6.1 Internal organization

2.1.1 6.1.1

Management commitment

to

information security

Apakah manajemen secara aktif mendukung keamanan sistem melalui

arahan yang jelas, menunjukan komitmen, penugasan yang jelas dan

sadar akan tanggung jawabnya terhadap keamanan sistem ?

100

2.1.2 6.1.2Information security

coordination

Apakah aktivitas keamanan informasi sudah dikoordinasikan dengan

wakil-wakil dari unit lain sesuai dengan peran dan fungsi kerjanya

masing-masing?

75

2.1.3 6.1.3Allocation of information

security responsibilities

Apakah seluruh tanggung jawab terkait keamanan informasi sudah

ditetapkan dengan jelas?75

2.1.4 6.1.4

Authorization process for

information processing

facilities

Apakah proses otorisasi manajemen untuk fasilitas pengolahan

informasi baru di dalam organisasi sudah ditetapkan dan

diimplementasikan ?

50

2.1.5 6.1.5 Confidentiality agreements

Apakah persyaratan untuk kerahasiaan atau Non-Disclosure

Agreement (NDE) yang mencerminkan kebutuhan organisasi untuk

perlindungan informasi sudah diidentifikasi dan dikaji secara berkala ?

75

2.1.6 6.1.6 Contact with authoritiesApakah komunikasi dengan pihak yang terkait dengan keamanan

sistem dikelola dengan baik ?75

Organization of information security




Scoring System :


Keterangan

Checklist Standard




NilaiArea Pertanyaan Assessment

Hasil Assessment



Checklist Standard NilaiArea Pertanyaan Assessment

Hasil Assessment

2.1.7 6.1.7Contact with special interest

groups

Apakah komunikasi dengan special interest group atau forum security

specialist dan asosiasi profesi dikelola dengan baik ?NA

2.1.8 6.1.8Independent review of

information security

Apakah pendekatan organisasi untuk mengelola keamanan informasi /

keamanan sistem dan implementasinya (kontrol, kebijakan, proses,

dan prosedur) sudah ditinjau secara independen pada interval waktu

tertentu atau pada saat terjadi perubahan signifikan terhadap

implementasi keamanan sistem ?

50

2.2 6.2 External parties

2.2.1 6.2.1Identification of risks related

to external parties

Apakah resiko terhadap informasi organisasi dan fasilitas pengolahan

informasi dari proses bisnis yang melibatkan pihak-pihak eksternal

sudah diidentifikasi dan sudah diterapkan kontrol-kontrol yang sesuai

sebelum memberikan akses kepada pihak eksternal ?

50

2.2.2 6.2.2Addressing security when

dealing with customers

Apakah seluruh persyaratan keamanan yang diidentifikasi sudah

ditekankan sebelum memberikan akses kepada pelanggan / user ? 100

2.2.3 6.2.3Addressing security in third

party agreements

Apakah perjanjian dengan pihak ketiga meliputi pengaksesan,

pengolahan, pengkomunikasian atau pengelolaan informasi organisasi

atau fasilitas pengolahan informasi, atau penambahan produk atau

jasa ke dalam fasilitas pengolahan informasi sudah mencakup seluruh

persyaratan keamanan yang relevan ?

100


Bobot (%)

0

25

50

75

100

3.1 7.1 Responsibility for assets

3.1.1 7.1.1 Inventory of assetsApakah seluruh aset sudah diidentifikasi dengan jelas dan inventaris

dari seluruh aset penting sudah dicatat dan dipelihara ?50

3.1.2 7.1.2 Ownership of assets

Apakah manajemen secara resmi sudah menunjuk suatu unit atau

bagian organisasi untuk mengontrol produksi, pengembangan,

pemeliharaan, penggunaan, dan keamanan seluruh informasi dan aset

terkait fasilitas pengolahan informasi?

75

3.1.3 7.1.3 Acceptable use of assets

Apakah peraturan penggunaan informasi dan aset terkait dengan

fasilitas pengolahan informasi sudah diidentifikasi, didokumentasikan

dan diimplementasikan ?

75

3.2 7.2 Information classification

3.2.1 7.2.1 Classification guidelinesApakah informasi sudah diklasifikasi sesuai dengan nilai, persyaratan

hukum, sensitivitas dan kritikalitasnya terhadap organisasi?50


Scoring System :

Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment

Standard Area Pertanyaan Assessment NilaiChecklist

Asset management

Keterangan








Standard Area Pertanyaan Assessment NilaiChecklist

3.2.2 7.2.2Information labelling and

handling

Apakah prosedur-prosedur untuk pelabelan dan penanganan informasi

sudah dikembangkan dan diimplementasikan sesuai dengan skema

klasifikasi yang diadopsi oleh organisasi ?

50


Bobot (%)

0

25

50

75

100

4.1 8.1 Prior to employment

4.1.1 8.1.1 Roles and responsibilities

Apakah peran dan tanggung jawab dari pegawai, kontraktor dan user

dari pihak ketiga terhadap keamanan sudah ditetapkan dan

didokumentasikan sesuai dengan kebijakan keamanan informasi

sistem ?

100

4.1.2 8.1.2 Screening

Apakah ada dilakukan verifikasi profil seluruh calon pegawai,

kontraktor, dan pengguna dari pihak ketiga berdasarkan hukum dan

undang-undang serta etika yang berlaku dan proporsional terhadap

persyaratan bisnis, klasifikasi informasi yang diakses dan risiko yang

ada ?

75

4.1.3 8.1.3Terms and conditions of

employment

Sebagai bagian dari kontrak, apakah karyawan, pegawai dan

kontraktor menandatangani terms and conditions dalam kontrak kerja

mereka, dimana di dalamnya menyebutkan tanggung jawab mereka

terhadap keamanan informasi ?

75

4.2 8.2 During employment


Human resources security

Checklist Standard Area Pertanyaan Assessment Nilai


Scoring System :


Keterangan








4.2.1 8.2.1 Management responsibilitiesApakah manajemen sudah mensyaratkan pegawai, kontraktor dan

user dari pihak ketiga untuk menerapkan keamanan sesuai kebijakan

dan prosedur organisasi yang ditetapkan ?

75

4.2.2 8.2.2

Information security

awareness, education and

training

Apakah seluruh pegawai dan, jika relevan, kontraktor dan user dari

pihak ketiga, sudah menerima pelatihan kepedulian dan informasi

terkini secara reguler terkait kebijakan dan prosedur, sesuai dengan

fungsi kerjanya?

50

4.2.3 8.2.3 Disciplinary process

Apakah ada proses pendisiplinan yang resmi untuk pegawai yang

melakukan pelanggaran keamanan ? NA

4.3 8.3

4.3.1 8.3.1 Termination responsibilitiesApakah tanggung jawab untuk melaksanakan pengakhiran atau

perubahan pekerjaan sudah ditetapkan dengan jelas?75

4.3.2 8.3.2 Return of assets

Apakah seluruh pegawai, kontraktor dan user dari pihak ketiga harus

mengembalikan semua aset organisasi yang digunakannya apabila

kontrak atau perjanjian dengan mereka berakhir ?100

4.3.3 8.3.3 Removal of access rights

Apakah hak akses seluruh pegawai, kontraktor dan user dari pihak

ketiga terhadap informasi dan fasilitas pengolahan informasi ditarik

atau dihapus ketika pekerjaan, kontrak atau perjanjian berakhir ?

75

Termination or change of employment


Bobot (%)

0

25

50

75

100

5.1 9.1 Secure areas

5.1.1 9.1.1 Physical security perimeter

Apakah terdapat perlindungan secara fisik terhadap area yang

mengandung informasi dan fasilitas pengolahan informasi (contohnya

dinding, card controlled door, atau petugas keamanan)

75

5.1.2 9.1.2 Physical entry controls

Apakah area yang menyimpan informasi sudah dilindungi oleh entry

control untuk memastikan bahwa hanya pihak yang berwenang yang

dapat memasuki area tersebut75

5.1.3 9.1.3Securing offices, rooms and

facilities

Apakah sistem keamanan fisik untuk kantor, ruangan, dan fasilitas

lainnya sudah dirancang dan diterapkan ? 75

5.1.4 9.1.4Protecting against external

and environmental threats

Apakah perlindungan fisik terhadap kerusakan akibat dari kebakaran,

banjir, gempa bumi, ledakan, kerusuhan dan bentuk lain dari bencana

alam atau bencana buatan manusia sudah dirancang dan diterapkan?100

5.1.5 9.1.5 Working in secure areasApakah perlindungan fisik dan pedoman kerja dalam area yang aman

sudah dirancang dan diterapkan?75

5.2 9.2 Equipment security

Area




Pertanyaan Assessment

Physical and environmental security

Checklist NilaiStandard


Scoring System :


Keterangan




Area Pertanyaan AssessmentChecklist NilaiStandard


5.2.1 9.2.1Equipment siting and

protection

Apakah peralatan/perangkat sudah ditempatkan atau dilindungi untuk

mengurangi risiko dari ancaman dan bahaya lingkungan serta peluang

untuk akses oleh pihak yang tidak berwenang?

75

Apakah peralatan/perangkat sudah dilindungi dari kegagalan catu daya

dan gangguan lain yang disebabkan oleh kegagalan sarana pendukung?100

Apakah cadangan power supply sudah dipergunakan (misal : beda

catuan gardu listrik, auto backup generator, UPS) ?100

5.2.3 9.2.3 Cabling security

Apakah kabel power dan kabel telekomunikasi yang membawa data

atau informasi pendukung sudah dilindungi dari intersepsi atau

kerusakan ?

100

Apakah pemeliharaan peralatan/perangkat dilakukan secara tepat

untuk memastikan ketersediaan dan integritas layanan ?75

Apakah pemeliharaan peralatan/perangkat dilakukan sesuai spesifikasi

dan interval yang direkomendasikan supplier ?75

Apakah pemeliharaan peralatan/perangkat dilakukan oleh personil

yang layak ?100

Apakah dilakukan pemeliharaan terhadap log system (suspected atau

actual faults) sebagai bagian dari tindakan preventif dan korektif ?75

Apakah kendali yang tepat sudah diterapkan pada saat pengiriman

peralatan atau bagian dari peralatan? Apakah peralatan sudah

dilindungi oleh asuransi atau jaminan dari supplier yang memadai ?

75

Equipment maintenance5.2.4 9.2.4

9.2.2 Supporting utilities5.2.2


Area Pertanyaan AssessmentChecklist NilaiStandard


5.2.5 9.2.5Security of equipment off-

premises

Apakah sistem keamanan sudah diterapkan pada peralatan di luar

lokasi organisasi dengan mempertimbangkan risiko yang berbeda pada

saat bekerja di luar lokasi organisasi?

50

5.2.6 9.2.6Secure disposal or re-use of

equipment

Apakah seluruh item dari perangkat yang memuat media penyimpanan

sudah diperiksa untuk memastikan bahwa setiap data sensitif dan

perangkat lunak berlisensi telah dihapus atau ditimpa (overwritten)

secara aman sebelum dibuang ?75

5.2.7 9.2.7 Removal of property

Apakah terdapat suatu aturan untuk perangkat, informasi atau

perangkat lunak yang dibawa keluar lokasi organisasi tanpa melalui ijin

yang berwenang?

50


Bobot (%)

0

25

50

75

100

6.1 10.1

Apakah prosedur operasional sudah didokumentasikan, dikelola, dan

tersedia untuk seluruh user yang membutuhkannya ?100

Apakah dokumen prosedur tersebut sudah diformalkan sebagai

dokumen prosedur operasi resmi dan mendapat otorisasi dari pejabat

yang berwenang ?

75

6.1.2 10.1.2 Change managementApakah perubahan terhadap fasilitas dan sistem pengolahan informasi

sudah dikontrol ?50

6.1.3 10.1.3 Segregation of duties

Apakah tugas dan lingkup tanggung jawab sudah dipisahkan untuk

mengurangi peluang bagi modifikasi yang tidak sengaja atau tidak sah

atau penyalahgunaan terhadap aset organisasi?

75

6.1.4 10.1.4Separation of development,

test and operational facilities

Apakah fasilitas pengembangan, pengujian dan operasional sudah

dipisahkan untuk mengurangi risiko akses atau perubahan yang tidak

sah terhadap sistem operasional ?

50

6.2 10.2

Checklist Pertanyaan Assessment Nilai

Documented operating

procedures

Operational procedures and responsibilities

Third party service delivery management


Scoring System :

6.1.1 10.1.1


Keterangan







Standard Area




Standard Area

6.2.1 10.2.1 Service delivery

Apakah sudah dipastikan bahwa kontrol terhadap keamanan, definisi

dan level layanan yang dicakup dalam perjanjian dengan pihak

ketiga/mitra telah dijalankan, dioperasikan, dan dikelola oleh pihak

ketiga/mitra tersebut ?

75

6.2.2 10.2.2Monitoring and review of

third party services

Apakah layanan dan laporan yang diberikan oleh pihak ketiga/mitra

sudah dimonitor dan dikaji secara berkala?100

6.2.3 10.2.3Managing changes to third

party services

Apakah perubahan terhadap ketentuan layanan, termasuk

pemeliharaan dan peningkatan kebijakan prosedur dan pengendalian

keamanan informasi yang ada, sudah dikelola dengan baik?

75

6.3 10.3

6.3.1 10.3.1 Capacity management

Apakah penggunaan sumber daya sudah dimonitor, disesuaikan dan

dilakukan proyeksi kebutuhan kapasitas untuk memastikan

performansi sistem ? Contoh : Monitoring space hard disk, RAM dan

CPU pada server

50

6.3.2 10.3.2 System acceptance

Apakah acceptance criteria untuk sistem informasi baru, upgrade, dan

versi baru sudah ditentukan dan sudah dilakukan pengujian sistem

yang sesuai selama masa pengembangan dan sebelum diputuskan

untuk diterima ?

75

6.4 10.4

6.4.1 10.4.1Controls against malicious

code

Apakah kontrol terkait deteksi, pencegahan, dan recovery untuk

perlindungan terhadap malicious code dan prosedur user awareness

yang sesuai sudah dijalankan ?

75

Protection against malicious and mobile code

System planning and acceptance




Standard Area

6.4.2 10.4.2Controls against mobile

code

Apakah apabila penggunaan mobile code diijinkan, konfigurasi

tersebut sudah memastikan bahwa mobile code yang sah beroperasi

sesuai dengan kebijakan keamanan yang ditetapkan secara jelas, dan

penggunaan mobile code yang tidak sah harus dicegah?

50

6.5 10.5

6.5.1 10.5.1 Information back-upApakah backup copy dari informasi dan perangkat lunak sudah diambil

dan diuji secara berkala sesuai dengan backup policy yang disetujui ?75

6.6 10.6

Apakah jaringan sudah dikelola dan dikontrol dengan baik agar

terlindung dari threat (ancaman) ?100

Apakah keamanan terhadap sistem dan aplikasi yang menggunakan

jaringan sudah dikelola dan dikontrol dengan baik, termasuk informasi

yang lewat didalamnya ?

100

6.6.2 10.6.2 Security of network services

Apakah fitur security, service level dan persyaratan manajemen untuk

semua layanan sudah diidentifikasi dan dimasukan kedalam seluruh

network service agreement, baik layanan tersebut disediakan secara in-

house maupun outsource ?

75

6.7 10.7

6.7.1 10.7.1Management of removable

media

Apakah sudah tersedia prosedur untuk manajemen removable media,

contohnya tape, disk, memory card, dll ?75

6.7.2 10.7.2 Disposal of mediaApakah media secara aman dimusnahkan menggunakan prosedur

formal apabila tidak lagi diperlukan ? 50

6.7.3 10.7.3Information handling

procedures

Apakah prosedur untuk penanganan dan penyimpanan informasi

sudah ditetapkan ?100

6.6.1 10.6.1 Network controls

Media handling

Network security management

Back-up




Standard Area

6.7.4 10.7.4Security of system

documentation

Apakah dokumentasi sistem sudah dilindungi terhadap akses yang

tidak berhak?75

6.8 10.8

6.8.3 10.8.3 Physical media in transit

Apakah media yang memuat informasi sudah dilindungi terhadap

akses yang tidak sah, penyalahgunaan atau kerusakan selama

transportasi diluar batasan fisik organisasi?

75

6.8.4 10.8.4 Electronic messagingApakah informasi dalam bentuk pesan elektronik sudah dilindungi

dengan benar?100

6.8.5 10.8.5 Business information systems

Apakah kebijakan dan prosedur sudah dikembangkan dan diterapkan

untuk melindungi informasi yang berkaitan dengan interkoneksi sistem

informasi bisnis?

75

6.9 10.9

6.9.1 10.9.1 Electronic commerce

Apakah informasi yang termasuk dalam layanan electronic commerce

yang melalui jaringan publik sudah dilindungi dari tindak kecurangan,

perselisihan kontrak dan disclosure serta modifikasi yang tidak sah?

NA

6.9.2 10.9.2 On-line transactions

Apakah informasi yang termasuk dalam transaksi online sudah

dilindungi untuk mencegah transmisi yang tidak lengkap, kesalahan

routing, perubahan pesan, disclosure, duplikasi atau pengulangan

pesan yang tidak sah?

NA

6.9.3 10.9.3 Publicly available information

Apakah integritas informasi yang tersedia pada sistem yang digunakan

untuk publik sudah dilindungi untuk mencegah modifikasi yang tidak

sah?

NA

6.8.1 10.8.1Information exchange

policies and procedures

Exchange of information

75

0

Apakah ada kebijakan, prosedur, dan kontrol untuk melindungi

pertukaran informasi melalui penggunaan semua jenis media

komunikasi ?

Apakah ada perjanjian tertulis antara organisasi dengan pihak luar

terkait pertukaran informasi ?

Electronic commerce services

6.8.2 10.8.2 Exchange agreements




Standard Area

6.10 10.10

6.10.1 10.10.1 Audit logging

Apakah log audit yang merekam kegiatan user, pengecualian dan

security events telah dibuat dan disimpan untuk periode waktu yang

telah untuk membantu dalam investigasi di masa yang akan datang

dan memantau access control ?

75

6.10.2 10.10.2 Monitoring system useApakah prosedur untuk pemantauan penggunaan fasilitas pengolahan

informasi sudah ditetapkan dan dijalankan?75

6.10.3 10.10.3 Protection of log informationApakah fasilitas pencatatan log dan informasi log sudah dilindungi dari

ganguan dan akses tidak sah?50

6.10.4 10.10.4Administrator and operator

log

Apakah aktivitas-aktivitas dari administrator dan operator sistem

sudah dicatat dalam log ?75

6.10.5 10.10.5 Fault loggingApakah fault yang terjadi sudah dicatat dalam log, kemudian dianalisa,

dan diambil langkah-langkah yang sesuai ?75

6.10.6 10.10.6 Clock synchronization

Apakah penunjuk waktu dari seluruh sistem pengolahan informasi

dalam organisasi atau domain keamanan sudah disinkronisasikan

dengan sumber penunjuk waktu yang akurat dan telah disepakati.

Misalnya time server harus disinkronisasikan untuk akurasi audit dan

log

100

Monitoring


Bobot (%)

0

25

50

75

100

7.1 11.1

7.1.1 11.1.1 Access control policy

Apakah kebijakan terkait pengendalian akses sudah ditetapkan,

didokumentasikan, dan ditinjau berdasarkan tuntutan bisnis dan

keamanan terhadap akses ?

75

7.2 11.2

7.2.1 11.2.1 User registration

Apakah terdapat prosedur pendaftaran dan penghapusan user secara

formal untuk pemberian dan pencabutan akses terhadap seluruh

layanan dan sistem informasi?

75

7.2.2 11.2.2 Privilege managementApakah alokasi dan penggunaan hak akses khusus sudah dibatasi dan

dikendalikan?100

7.2.3 11.2.3 User password managementApakah alokasi password sudah dikendalikan melaui proses

manajemen yang formal ?100

7.2.4 11.2.4 Review of user access rightsApakah secara formal manajemen melakukan tinjauan secara berkala

terhadap hak akses user?75

7.3 11.3

7.3.1 11.3.1 Password use

Apakah user sudah diminta untuk mengikuti praktek keamanan yang

baik dalam pemilihan dan penggunaan password?


Scoring System :

Access Control

Keterangan





100

Area Pertanyaan Assessment

User responsibilities

Business requirement for access control

User access management

Standard



Checklist Nilai


Area Pertanyaan AssessmentStandard


Checklist Nilai

7.3.2 11.3.2 Unattended user equipment

Apakah peralatan yang ditinggal oleh penggunanya (unattended)

sudah dipastikan terlindungi dengan tepat? Misal : Logoff saat

meninggalkan komputer, menutup sesi setelah menggunakan aplikasi,

dll.

75

Apakah kebijakan clear desk terhadap kertas dan media penyimpanan

yang dapat dipindahkan sudah ditetapkan?50

Apakah kebijakan clear screen untuk fasilitas pengolahan informasi

sudah ditetapkan?50

7.4 11.4

7.4.1 11.4.1Policy on use of network

services

Apakah user hanya diberikan akses terhadap layanan sesuai

kewenangan yang secara spesifik telah diberikan?100

7.4.2 11.4.2User authentication for

external connections

Apakah ada digunakan metode otentikasi yang tepat untuk

mengontrol akses oleh remote user ? 100

7.4.3 11.4.3Equipment identification in

networks

Apakah identifikasi perangkat secara otomatis sudah dipertimbangkan

sebagai cara untuk melakukan otentikasi koneksi dan peralatan yang

spesifik ?

75

7.4.4 11.4.4Remote diagnostic and

configuration port protection

Apakah akses secara fisik dan logik untuk mendiagnosa dan

mengkonfigurasi port sudah dikontrol dengan baik ? 100

7.4.5 11.4.5 Segregation in network

Apakah pengelompokan terhadap layanan informasi, pengguna dan

sistem informasi di dalam jaringan sudah disegregasikan? 75

7.4.6 11.4.6 Network connection control

Untuk jaringan yang digunakan bersama, terutama jaringan yang

diperluas sampai keluar dari jangkauan organisasi, apakah kemampuan

user untuk terhubung ke jaringan telah dibatasi, sejalan dengan

kebijakan access control dan kebutuhan dari aplikasi bisnis ?

100

11.3.3Clear desk and clear screen

policy

Network access control

7.3.3




Checklist Nilai

7.4.7 11.4.7 Network routing control

Apakah kontrol terhadap routing sudah diimplementasikan untuk

jaringan agar dapat dipastikan bahwa koneksi komputer dan alur

informasi tidak melanggar keijakan access control dari aplikasi bisnis ?

100

7.5 11.5

7.5.1 11.5.1 Secure log-on proceduresApakah akses ke Operating System sudah dikontrol menggnakan

prosedur log-on yang aman ?100

7.5.2 11.5.2User identification and

authentication

Apakah seluruh user memiliki satu pengenal yang unik (User ID) yang

hanya digunakan bagi keperluan masing-masing mereka saja ?100

7.5.3 11.5.3Password management

system

Apakah telah ada sistem untuk mengelola password yang bersifat

interaktif dan dapat memastikan kualitas password ? Misal : Meminta

user mengganti password secara berkala, ada ketentuan jumlah

minimum karakter dalam membuat password, password harus

mengandung huruf dan angka, dll

100

7.5.4 11.5.4 Use of system utilitiesApakah penggunaan utility program yag dapat mengganggu sistem dan

kontrol aplikasi sudah dibatasi dan dikontrol secara ketat ?50

7.5.5 11.5.5 Session time-outApakah ada mekanisme yang memastikan bahwa sesi yang tidak aktif

dalam jangka waktu tertentu harus dimatikan ?100

7.5.6 11.5.6 Limitation of connection time

Apakah ada pembatasan pada connection time sebagai keamanan

tambahan bagi aplikasi-aplikasi yang berisiko tinggi ? 100

7.6 11.6

Operating system access control

Application and information access control




Checklist Nilai

7.6.1 11.6.1 Information access restriction

Apakah akses ke informasi dan sistem aplikasi oleh user dan personel

support telah dibatasi sesuai dengan kebijakan access control yang

telah ditetapkan ?

75

7.6.2 11.6.2 Sensitive system isolationApakah sistem-sistem yang bersifat sensitif telah diisolasi dengan

computing environment yang dedicated ?100

7.7 11.7

7.7.1 11.7.1Mobile computing and

communications

Apakah kebijakan formal sudah tersedia dan tindakan pengamanan

yang tepat sudah dilakukan terkait penggunaan fasilitas mobile

computing and communication ? (Beberapa contoh fasilitas mobile

computing and communication meliputi notebook, tablet, laptop,

smartphone)

75

7.7.2 11.7.2 TeleworkingApakah ada kebijakan, prosedur, dan perencanaan operasional terkait

aktivitas teleworking ?100

Mobile computing & teleworking


Bobot (%)

0

25

50

75

100

8.1 12.1

8.1.1 12.1.1Security requirements

analysis and specification

Apakah pernyataan kebutuhan bisnis terhadap sistem informasi baru

atau perbaikan dari sistem informasi saat ini sudah mencantumkan

persyaratan untuk security control ?

75

8.2 12.2

8.2.1 12.2.1 Input data validationApakah data yang dimasukan ke dalam aplikasi telah divalidasi untuk

memastikan bahwa data tersebut benar dan tepat ?75

8.2.2 12.2.2Control of internal

processing

Apakah pengecekan validasi telah dimasukan ke dalam aplikasi untuk

mendeteksi adanya perusakan informasi melalui kesalahan

pemrosesan atau tindakan yang disengaja ?

50

8.2.3 12.2.3 Message integrity

Apakah persyaratan untuk memastikan keaslian dan perlindungan

integritas pesan dalam aplikasi sudah diidentifikasi, dan pengendalian

yang tepat sudah pula diidentifikasi dan diterapkan?

75

Area Assessment, Tujuan dan Pertanyaan Hasil Assessment


Correct processing in applications

Security requirements of information systems


Scoring System :

Keterangan







Referensi ISO 27001




Referensi ISO 27001

8.2.4 12.2.4 Output data validation

Apakah dilakukan validasi terhadap data yang keluar dari aplikasi

untuk memastikan bahwa informasi yang disimpan adalah benar dan

tepat sesuai dengan keadaan?

50

8.3 12.3

8.3.1 12.3.1Policy on the use of

cryptographic controls

Apakah kebijakan terkait penggunaan kontrol kriptografi untuk

melindungi informasi sudah dikembangkan dan diimplementasikan ?100

8.3.2 12.3.2 Key management Apakah key management sudah diterapkan untuk mendukung

penggunaan teknik kriptografi oleh organisasi ?

75

8.4 12.4

8.4.1 12.4.1Control of operational

software

Apakah ada prosedur untuk mengontrol instalasi perangkat lunak pada

sistem operasional ?100

8.4.2 12.4.2Protection of system test

data

Apakah data yang digunakan untuk testing telah dipilih dengan

seksama, dan dilindungi dan dikontrol ?50

8.4.3 12.4.3Access control to program

source code

Apakah akses ke source code program sudah dibatasi ?75

8.5 12.5

8.5.1 12.5.1 Change control proceduresApakah penerapan perubahan-perubahan di sistem sudah dikontrol

melalui penggunaan prosedur change control yang formal ?50

8.5.2 12.5.2

Technical review of

applications after operating

system changes

Ketika ada perubahan pada sistem operasional, apakah aplikasi bisnis

yang kritikal telah ditinjau dan dites untuk memastikan bahwa tidak

ada dampak yang merugikan keamanan dan operasional organsasi ? 75

Security in development and support processes

Cryptographic controls

Security of system files




Referensi ISO 27001

8.5.3 12.5.3Restrictions on changes to

software packages

Apakah perubahan terhadap software package telah dibatasi hanya

untuk perubahan yang penting, dan apakah seluruh perubahan

tersebut sudah dikontrol dengan ketat ?

75

8.5.4 12.5.4 Information leakage Apakah peluang atas bocornya informasi telah dihindari ? 75

8.5.5 12.5.5Outsourced software

development

Apakah pengembangan perangkat lunak yang dikerjakan oleh pihak

ketiga (outsource ) diawasi dan dimonitor oleh organisasi ?NA

8.6 12.6

Apakah informasi tepat waktu tentang kerawanan teknis dari sistem

informasi yang digunakan sudah diperoleh?50

Apakah eksposur organisasi terhadap kerawanan tersebut dievaluasi,

dan diambil tindakan yang tepat untuk menangani resiko terkait?50

8.6.1 12.6.1Control of technical

vulnerabilities

Technical Vulnerability Management


Bobot (%)

0

25

50

75

100

9.1 13.1

9.1.1 13.1.1Reporting information

security events

Apakah event terkait keamanan informasi dilaporkan melalui jalur

manajemen yang tepat secepat mungkin?75

9.1.2 13.1.2Reporting security

weaknesses

Apakah seluruh karyawan, mitra dan pengguna sistem informasi dari

pihak ketiga diminta untukmencatat dan melaporkan setiap

kelemahan keamanan yang diamati ata dicurigai ada di sistem atau

layanan ?

100

9.2 13.2

9.2.1 13.2.1Responsibilities and

procedures

Apakah tersedia prosedur dan tanggung jawab manajemen untuk

memastikan respon yang cepat, efektif, dan sesuai terkait insiden

keamanan informasi?

100

9.2.2 13.2.2Learning from information

security incidents

Apakah tersedia mekanisme untuk memungkinkan jenis, besaran, dan

biaya atas insiden keamanan informasi dikuantifikasi dan dimonitor? 50




Standard Area Pertanyaan Assessment

Reporting information security events and weaknesses

Nilai


Scoring System :

Information security incident management

Referensi ISO 27001

Keterangan

Checklist







Standard Area Pertanyaan Assessment Nilai

Referensi ISO 27001

Checklist

9.2.3 13.2.3 Collection of evidence

Apakah bukti-bukti terkait keamanan informasi disimpan dan

dikumpulkan? (dalam hal apabila terjadi insiden keamanan informasi

yang menyebabkan adanya tindakan hukum, bukti-bukti tersebut

digunakan untuk kebutuhan pengadilan ketika ingin melaporkan

seseorang atau organisasi).

50


Bobot (%)

0

25

50

75

100

10.1 14.1

10.1.1 14.1.1

Including information

security in the business

continuity management

process

Apakah terdapat proses yang dikembangkan dan dipelihara untuk

keberlanjutan bisnis organisasi secara menyeluruh, yang menekankan

penggunaan persyaratan keamanan informasi yang dibutuhkan untuk

keberlanjutan bisnis organisasi?75

10.1.2 14.1.2Business continuity and risk

assessment

Apakah kejadian yang dapat menyebabkan gangguan terhadap proses

bisnis sudah diidentifikasi, bersamaan dengan kemungkinan dan

dampak dari gangguan tesebut serta konsekuensinya terhadap

keamanan informasi?

75

10.1.3 14.1.3

Developing and

implementing continuity

plans including information

security

Apakah perencanaan dalam mengelola dan mengembalikan

operasional sudah dikembangkan dan diterapkan untuk memastikan

ketersediaan informasi pada tingkat dan jangka waktu tertentu

setelah terjadinya gangguan atau kegagalan proses bisnis penting ?

75


Area Pertanyaan Assessment Nilai

Information security aspects of business continuity management

Business continuity management

Checklist Standard


Scoring System :

Referensi ISO 27001 Area Assessment, Tujuan dan PertanyaanHasil

Assessment

Keterangan






Area Pertanyaan Assessment NilaiChecklist Standard


Assessment

10.1.4 14.1.4Business continuity planning

framework

Apakah kerangka kerja BCP (Business Continuity Plan ) dikelola untuk

memastikan seluruh perencanaan terkait keberlangsungan bisnis

tetap konsisten dan secara konsisten pula memenuhi kebutuhan

keamanan informasi, dan untuk mengidentifikasi prioritas pengujian

dan pemeliharaan sistem ?

50

10.1.5 14.1.5

Testing, maintaining and

reassessing

business

continuity plans

Apakah BCP (Business Continuity Plan ) diuji dan diperbaharui secara

berkala untuk memastikan bahwa perencanaan tersebut up to date

dan efektif ?50


Bobot (%)

0

25

50

75

100

11.1 15.1

11.1.1 15.1.1Identification of applicable

legislation

Apakah seluruh hukum, peraturan perundang-undangan dan

persyaratan kontrak serta pendekatan organisasi untuk memenuhi

persyaratan tersebut sudah ditetapkan secara eksplisit,

didokumentasikan, dan dijaga pemutakhirannya untuk setiap sistem

informasi dan untuk organisasi ?

100

11.1.2 15.1.2Intellectual property rights

(IPR)

Apakah prosedur yang sesuai sudah diterapkan untuk memastikan

kesesuaian dengan peraturan hukum, peraturan perundang-

undangan dan persyaratan kontrak terkait penggunaan material

dalam dimana mungkin terdapat hak kekayaan intelektual produk

perangkat lunak?

75

11.1.3 15.1.3Protection of organizational

records

Apakah rekaman penting sudah dilindungi dari kehilangan,

penghancuran dan pemalsuan sesuai dengan peraturan perundang-

undangan, persyaratan kontrak dan persyaratan bisnis?

75

Compliance with legal requirements

Compliance

Checklist


Assessment

Area Pertanyaan Assessment


Scoring System :

Keterangan

NilaiStandard







Compliance

Checklist


Assessment

Area Pertanyaan Assessment NilaiStandard

11.1.4 15.1.4Data protection and privacy

of personal information

Apakah perlindungan data dan kerahasiaan sudah dijamin seperti

dipersyaratkan dalam legislasi, regulasi yang relevan, dan klausul

kontrak, jika diperlukan?

100

11.1.5 15.1.5

Prevention of misuse of

information processing

facilities

Apakah penggunaan fasilitas pengolahan informasi untuk setiap

tujuan non-bisnis atau yang tidak layak atau tanpa persetujuan

manajemen, diperlakukan sebagai penyalahgunaan fasilitas?

50

11.1.6 15.1.6Regulation of cryptographic

controls

Apakah kontrol kriptografi sudah digunakan sesuai dengan seluruh

perjanjian undang-undang dan regulasi yang relevan?100

11.2 15.2

11.2.1 15.2.1Compliance with security

policies and standards

Apakah manajemen sudah memastikan bahwa seluruh prosedur

dalam lingkup tanggung jawabnya dilakukan secara benar untuk demi

tercapainya kesesuaian dengan standar dan kebijakan keamanan ?75

11.2.2 15.2.2Technical compliance

checking

Apakah sistem informasi secara berkala diperiksa agar selalu sesuai

dengan standar imlementasi keamanan ?75

11.3 15.3

11.3.1 15.3.1Information systems audit

controls

Apakah persyaratan audit dan kegiatan yang melibatkan pengecekan

pada sistem operasional sudah direncanakan secara hati-hati serta

telah disetujui untuk meminimalisasi risiko dari gangguan terhadap

proses bisnis?

75

11.3.2 15.3.2Protection of information

systems audit tools

Apakah akses terhadap alat audit sistem informasi sudah dilindungi

untuk mencegah setiap kemungkinan penyalahgunaan atau gangguan

(compromise)?

50

Information systems audit considerations

Compliance with security policies and standards, and technical compliance


L-2

LAMPIRAN 2 STATEMENT OF APPLICABILITY (SOA)


A.5.1

A.5.1.1 Information security policy document YaKebijakan keamanan informasi akan tetap menggunakan Kebijakan Sekuriti Keamanan Informasi yang masih berlaku karena masih relevan

A.5.1.2 Review of the information security policy YaManajemen ISC akan tetap diikutsertakan dalam pelaksanaan kajian Kebijakan Sekuriti Keamanan Informasi setiap tahunnya, bersama dengan Dirktorat ITSS

A.6.1

A.6.1.1Management commitment to information security

YaKomitmen manajemen ditunjukkan dengan pembagian fungsi dan tanggung jawab pengelolaan keamanan informasi yang bertugas mengawal berjalannya kontrol-kontrol keamanan informasi dengan baik.

A.6.1.2 Information security coordination YaMasalah keamanan informasi akan dikoordinasikan secara rutin setiap bulannya dengan unit-unit kerja terkait.

A.6.1.3Allocation of information security responsibilities

YaPembagian tanggung jawab keamanan informasi ditetapkan dan disosialisasikan

A.6.1.4Authorization process for information processing facilities

YaSetiap fasilitas pengolahan informasi yang terkait dengan sistem provisioning gateway harus mendapat persetujuan penanggungjawab.

A.6.1.5 Confidentiality agreements YaConfidentiality Agreement (NDA) diwajibkan bagi karyawan kontrak dan pihak ketiga. Untuk karyawan tetap, NDA menjadi kewenangan HR pusat.

A.6.1.6 Contact with authorities YaKomunikasi dengan pihak yang terkait dijaga untuk pelaporan masalah keamanan dan koordinasi untuk tindak lanjutnya.

A.6.1.7 Contact with special interest groups TidakPengelola sistem provisioning gateway tidak diharuskan untuk mengikuti forum dengan pihak luar terkait provisioning.

Implementasi (Ya /Tidak)

Justifikasi

Information security policy

Internal Organization

Klausul Control Objectives

A.5 Security policy

A.6 Organization of information security



JustifikasiKlausul Control Objectives

A.6.1.8 Independent review of information security YaDilakukan minimum 1 (satu) tahun sekali melalui proses audit untuk menjamin efektivitas kontrol.

A.6.2

A.6.2.1Identification of risks related to external parties

Ya Dilakukan sebagai salah satu fungsi pengendalian risiko akibat pihak eksternal

A.6.2.2Addressing security when dealing with customers

YaKeamanan informasi menjadi isu penting dalam memberikan layanan ke pelanggan

A.6.2.3Addressing security in third party agreements

YaMasalah keamanan informasi diakomodasi dalam Confidentiality Agreement (NDA) yang diwajibkan bagi karyawan kontrak dan pihak ketiga.

A.7.1 A.7.1.1 Inventory of assets Ya Melakukan identifikasi dan inventarisasi aset sesuai prosedurA.7.1.2 Ownership of assets Ya Menetapkan pemilik aset sebagai pengelola dan penanggung jawab aset

A.7.1.3 Acceptable use of assets YaDitetapkan untuk melindungi aset TI agar dapat digunakan secara benar dan aman dari penyalahgunaan .

A.7.2A.7.2.1 Classification guidelines Ya Membuat prosedur klasifikasi informasi

A.7.2.2 Information labeling and handling YaPelabelan dan penanganan informasi dilakukan berdasarkan klasifikasi masing-masing informasi

A.8.1

A.8.1.1 Roles and responsibilities YaSetiap karyawan dan mitra perlu memahami peran dan tanggung jawabnya terhadap keamanan informasi

Responsibility for assets

Information classification

Prior to employmentA.8 Human resources security

A.7 Asset management

External parties




A.8.1.2 Screening YaScreening hanya akan dilakukan kepada calon mitra kerja atau pihak ketiga, karena screening untuk karyawan tetap hanya dilakukan oleh HR pusat

A.8.1.3Terms and conditions ofemployment

YaDi dalam perjanjian kerja, karyawan dan mitra perlu menandatangani terms and condition

A.8.2

A.8.2.1 Management responsibilities YaDiperlukan sebagai pengarah dan pengawas bagi penerapan keamanan informasi.

A.8.2.2Information security awareness, education and training

YaSosialisasi keamanan informasi dilakukan minimal sekali setiap bulannya, diberikan kepada seluruh pihak terkait. Pelatihan dan pendidikan hanya diberikan bagi karyawanan tetap

A.8.2.3 Disciplinary process Tidak Proses pendisiplinan secara formal hanya berhak dilakukan oleh HR pusat

A.8.3A.8.3.1 Termination responsibilities Ya Membuat prosedur pengakhiran tanggung jawab dalam penugasan

A.8.3.2 Return of assets YaDiperlukan agar dapat dipastikan bawah aset dan informasi penting perusahaan tidak keluar dari kontrol perusahaan

A.8.3.3 Removal of access rights YaDiperlukan agar dapat dipastikan bawah aset dan informasi penting perusahaan tidak keluar dari kontrol perusahaan

A.9.1A.9.1.1 Physical security perimeter Ya Untuk memasuki ruang server, sudah menggunakan access card

A.9.1.2 Physical entry controls Ya Akses masuk ke ruang server dibatasi hanya untuk orang-orang yang berhak

A.9.1.3 Securing offices, rooms and facilities YaUntuk ruang kerja akan ditempatkan satpam di depan pintu masuk agar tidak sembarang orang dapat masuk ke ruang kerja

During employment

Termination or change of employment

A.9 Physical and environmental securitySecure areas




A.9.1.4Protecting against external and environmental threats

YaRuang server dan ruang kerja dilindungi dari kebakaran, gangguan petir atau pencurian

A.9.1.5 Working in secure areas YaMenetapkan aturan bekerja di ruang server dan ruang kerja untuk melindungi karyawan dan perangkat.

A.9.1.6 Public access, delivery and loading areas Tidak Loading area tidak digunakan

A.9.2

A.9.2.1 Equipment sitting and protection YaMembuat prosedur dan aturan penempatan perangkat agar terlindungi dari bahaya lingkungan dan akses oleh pihak yang tidak berhak

A.9.2.2 Supporting utilities YaPerangkat yang ada di ruang server dan ruang kerja sudah dilengkapi dengan fasilitas pendukung seperti UPS dan genset listrik, apabila terjadi pemutusan listrik

A.9.2.3 Cabling security YaKabel daya dan kabel telekomunikasi akan dipisahkan jalurnya agar terhindar dari kerusakan dan intersepsi.

A.9.2.4 Equipment maintenance YaPerawatan berkala dilakukan untuk setiap perangkat, baik yang dilakukan oleh internal maupun yang dilakukan oleh mitra

A.9.2.5 Security of equipment off-premises YaPersyaratan keamanan informasi juga diterapkan untuk perangkat TI (PC, laptop atau removable media ) yang digunakan di luar lokasi ruang lingkup

A.9.2.6 Secure disposal or re-use of equipment YaPerangkat dan media penyimpan informasi harus dihancurkan bila sudah tidak digunakan.

A.9.2.7 Removal of property YaPemindahan perangkat keluar lokasi perusahaan harus dilakukan atas persetujuan personil yang bertanggungjawab.

A.10.1A.10 Communications and operations management

Equipment security

Operational procedures and responsibilities




A.10.1.1 Documented operating procedures YaSOP sudah didokumentasikan, dikelola, dan tersedia untuk seluruh pengguna yang membutuhkan

A.10.1.2 Change management YaMembuat prosedur pengelolaan perubahan agar perubahan terhadap sistem atau aplikasi dapt terkontrol.

A.10.1.3 Segregation of duties Ya Administrator dipisahkan dari operator.

A.10.1.4Separation of development, test and operational facilities

YaProses pengembangan dan pegujian aplikasi akan menggunakan fasilitas yang berbeda dengan fasilitas operasional

A.10.2A.10.2.1 Service delivery Ya Terdapat layanan pihak ketiga dalam maintenance aplikasi

A.10.2.2Monitoring and review of third party services

Ya Secara rutin pihak ketiga mengirimkan laporan kepada IS PO Service

A.10.2.3 Managing changes to third party services YaSetiap perubahan layanan pihak ketiga harus dilakukan atas persetujuan IS PO Service .

A.10.3

A.10.3.1 Capacity management YaMembuat prosedur pengelolaan kapasitas untuk memastikan sistem tetap dapa berjalan optimal meskipun pada saat traffic sedang tinggi

A.10.3.2 System acceptance YaMembuat prosedur yang berisi kriteria penerimaan untuk sistem informasi baru, atau sistem informasi hasil upgrade

A.10.4

A.10.4.1 Controls against malicious code YaDiperlukan agar serangan virus dapat dicegah dari seluruh perangkat, baik milik perusahaan maupun milik personal yang digunakan untuk pengolahan informasi perusahaan

A.10.4.2 Controls against mobile code Ya Mobile code digunakan dalam browser A.10.5

A.10.5.1 Information back-up YaMembuat prosedur backup informasi secara berkala dan mengadakan perangkat atau media untuk backup

Third party service delivery management

System planning and acceptance

Protection against malicious and mobile code

Back-up




A.10.6A.10.6.1 Network controls Ya Jaringan internal sudah dikelola dengan baik agar terhindar dari ancamanA.10.6.2 Security of network services Ya Membuat prosedur untuk network service aggrementA.10.7A.10.7.1 Management of removable media Ya Membuat prosedur untuk pengelolaan removable media

A.10.7.2 Disposal of media YaDiperlukan untuk memastikan tidak ada informasi yang bocor dari media yang sudah tidak dipakai lagi.

A.10.7.3 Information handling procedures Ya Diperlukan untuk mencegah kebocoran informasi.A.10.7.4 Security of system documentation Ya Diterapkan baik untuk dokumen hardcopy maupun softcopy.A.10.8

A.10.8.1Information exchange policies and procedures

Ya Pertukaran informasi seringkali diperlukan dengan pihak ketiga

A.10.8.2 Exchange agreements YaMembuat perjanjian tertulis antara ISC dengan pihak luar terkait pertukaran informasi

A.10.8.3 Physical media in transit YaMedia yang memuat informasi harus dilindungi pada saat dibawa keluar dari lokasi ISC

A.10.8.4 Electronic messaging Ya Seluruh karyawan diwajibkan menggunakan email perusahaan.A.10.8.5 Business information systems Ya Informasi penting tentang perusahaan dibatasi aksesnya.A.10.9

A.10.9.1 Electronic commerce Tidak Sistem provisioning gateway tidak terkait dengan layanan e-commerce

A.10.9.2 On-line transactions Tidak Sistem provisioning gateway tidak terkait dengan layanan e-commerce

A.10.9.3 Publicly available information TidakTidak ada informasi terkait sistem provisioning gateway yang tersedia untuk publik

A.10.10 Monitoring

Network security management

Media handling

Exchange of information

Electronic commerce services




A.10.10.1 Audit logging YaAktivitas seluruh user dicatat dan disimpan selama periode tertentu untuk proses monitoring hak akses

A.10.10.2 Monitoring system use Ya Membuat prosedur pemantauan penggunaan fasilitas pengolahan informasi

A.10.10.3 Protection of log information YaMembuat prosedur pencatatan log untuk melindungi informasi log dari penyalahgunaan

A.10.10.4 Administrator and operator logs Ya Aktivitas administrator dan operator dicatat dalam log

A.10.10.5 Fault logging YaFault pada proses pengolahan informasi di sistem harus dicatat untuk keperluan analisa dan pengambilan langkah-langkah yang sesuai

A.10.10.6 Clock synchronization YaPenunjuk waktu sistem pengolahan informasi disinkronisasikan dengan penunjuk waktu server NEFI

A.11.1

A.11.1.1 Access control policy YaKebijakan pengendalian akses akan ditinjau berkala berdasarkan tuntutan bisnis dan keamanan terhadap akses

A.11.2A.11.2.1 User registration Ya Pendaftaran dan penghapusan user sudah dilakukan secara formal

A.11.2.2 Privilege management Ya Alokasi dan penggunaan hak akses khusus sudah dibatasi dan dikendalikan

A.11.2.3 User password management Ya Alokasi password sudah dikendalikan melalui Nota DinasA.11.2.4 Review of user access rights Ya Hak akses user akan ditinjau secara berkalaA.11.3

A.11.3.1 Password use YaUser sudah diminta untuk mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password

A.11.3.2 Unattended user equipment Ya Untuk melindungi perangkat dari kehilangan saat tidak diawasi.

User access management

User responsibilities

Business requirement for access controlA.11 Access control




A.11.3.3 Clear desk and clear screen policy Ya Membuat kebijakan clear desk dan clear screenA.11.4

A.11.4.1 Policy on use of network services YaUser hanya diberikan akses terhadap layanan sesuai kewenangan yang secara spesifik telah diberikan

A.11.4.2User authentication for external connections

Ya Sudah digunakan metode otentikasi untuk mengontrol akses oleh remote user

A.11.4.3 Equipment identification in networks Ya Perangkat yang tersambung di LAN internal dapat diidentifikasi dengan IP

A.11.4.4Remote diagnostic and configuration port protection

Ya Diterapkan antara lain terhadap akses VPN melalui proses otentikasi

A.11.4.5 Segregation in networks Ya Jaringan internal dipisahkan dari jaringan publik.

A.11.4.6 Network connection control YaKemampuan user untuk terhubung ke jaringan telah dibatasi, sejalan dengan kebutuhan dari aplikasi bisnis

A.11.4.7 Network routing control Ya Kontrol terhadap routing sudah diimplementasikanA.11.5A.11.5.1 Secure log-on procedures Ya Diperlukan untuk mengelola dan mengendalikan akses ke OSA.11.5.2 User identification and authentication Ya Seluruh user sudah memiliki satu pengenal yang unik (User ID )

A.11.5.3 Password management system YaUser sudah diminta untuk setiap tiga bulan mengganti password , ada ketentuan jumlah minimum karakter dalam membuat password

A.11.5.4 Use of system utilities Ya Penggunaan utility program di komputer dikendalikan oleh Administrator.

A.11.5.5 Session time-out YaSudah diterapkan session time-out untuk memastikan bahwa sesi yang tidak aktif dalam jangka waktu tertentu dimatikan

A.11.5.6 Limitation of connection time Ya Sudah diterapkan pembatasan pada connection time A.11.6

Network access control

Operating system access control

Application and information access control




A.11.6.1 Information access restriction YaDiterapkan untuk membatasi akses informasi rahasia oleh user dan personil support

A.11.6.2 Sensitive system isolation Ya Sistem provisioning gateway sudah dijalankan di lingkungan yang dedicated

A.11.7

A.11.7.1 Mobile computing and communications YaMembuat prosedur untuk komunikasi dan pengolahan informasi melalui notebook, tablet, atau smartphone

A.11.7.2 Teleworking YaPenggunaan teleworking diperbolehkan oleh perusahaan dan sudah dijaga keamanannya menggunakan jaringan VPN

A.12.1

A.12.1.1Security requirements analysis and specification

YaDiperlukan untuk menjamin agar sistem aplikasi yang digunakan memenuhi syarat keamanan

A.12.2A.12.2.1 Input data validation Ya Membuat prosedur validasi data masukanA.12.2.2 Control of internal processing Ya Pengecekan validasi akan dimasukan ke dalam aplikasi

A.12.2.3 Message integrity YaPersyaratan untuk memastikan keaslian dan perlindungan terhadap integritas dalam aplikasi harus diidentifikasi dan dikendalikan

A.12.2.4 Output data validation Ya Membuat prosedur validasi data keluaranA.12.3

A.12.3.1 Policy on the use of cryptographic controls YaKebijakan terkait penggunaan kontrol kriptografi untuk melindungi informasi sudah diimplementasikan

A.12.3.2 Key management YaKey management sudah diterapkan untuk mendukung penggunaan teknik kriptografi

A.12.4 Security of system files

Cryptographic controls

Mobile computing and Teleworking

Security requirements of information systems

Correct processing in applications

A.12 Information systems acquisition, development and maintenance




A.12.4.1 Control of operational software YaSuda ada prosedur untuk mengontrol instalasi perangkat lunak pada sistem operasional

A.12.4.2 Protection of system test data Ya Membuat prosedur perlindungan terhadap data system test

A.12.4.3 Access control to program source code Ya Membuat prosedur pengelolaan akses ke source code aplikasi

A.12.5A.12.5.1 Change control procedures Ya Diperlukan untuk mengendalikan perubahan aset dan layanan TI

A.12.5.2Technical review of applications after operating system changes

Ya Untuk mencegah agar perubahan sistem operasi tidak mengganggu operasional

A.12.5.3Restrictions on changes to software packages

YaUntuk mencegah agar perubahan paket perangkat lunak tidak mengganggu operasional

A.12.5.4 Information leakage Ya Untuk mencegah peluang terjadinya kebocoran informasi rahasia.

A.12.5.5 Outsourced software development TidakSeluruh pengembangan perangkat lunak dikerjakan sendiri (insource). Penggunaan layanan pihak ketiga hanya untuk maintenance

A.12.6A.12.6.1 Control of technical vulnerabilities Ya Membuat prosedur pengeolaan kerawanan teknis

A.13.1

A.13.1.1 Reporting information security events YaSeluruh insiden harus dilaporkan ke Sub Unit Planning & Controlling untuk ditindaklanjuti dengan tepat

A.13.1.2 Reporting security weaknesses YaSeluruh insiden harus dilaporkan ke Sub Unit Planning & Controlling untuk ditindaklanjuti dengan tepat

A.13.2

A.13.2.1 Responsibilities and procedures Ya Tugas masing-masing pihak yang terlibat dijelaskan dalam prosedur terkait

Security in development and support processes

Technical Vulnerability Management



A.13 Information security incident management




A.13.2.2Learning from information security incidents

YaMembuat mekanisme yang memungkinkan jenis, besaran, dan biaya atas insiden keamanan informasi dikuantifikasi dan dimonitor

A.13.2.3 Collection of evidence YaBukti-bukti terkait pelanggaran keamanan informasi akan dikumpulkan disimpan

A.14.1

A.14.1.1Including information security in the business continuity management process

YaDiperlukan untuk mengatasi gangguan yang mempengaruhi keberlangsungan layanan

A.14.1.2 Business continuity and risk assessment Ya BCP disusun dengan memperhatikan risk assessment

A.14.1.3Developing and implementing continuity plans including information security

YaStrategi BCP dirancang dengan memperhatikan gangguan/insiden keamanan informasi yang mungkin terjadi.

A.14.1.4 Business continuity planning framework Ya Disusun sebagai acuan dalam menjamin keberlangsungan layanan

A.14.1.5Testing, maintaining and reassessing business continuity plans

YaUntuk memastikan agar BCP yang dibangun dapat diterapkan secara tepat dan efektif

A.15.1

A.15.1.1 Identification of applicable legislation YaSeluruh hukum, peraturan perundang-undangan dan persyaratan kontrak serta pendekatan organisasi untuk memenuhi persyaratan keamanan informasi sudah ditetapkan

A.15.1.2 Intellectual property rights (IPR) Ya Kecuali freeware, hanya perangkat lunak berlisensi yang boleh digunakan.

Information security aspects of business continuity management

Compliance with legal requirements

A.14 Business continuity management

A.15 Compliance




A.15.1.3 Protection of organizational records YaMembuat dokumen perlindungan terhadap rekaman penting perusahaan dari kehilangan, penghancuran, atau pemalsuan

A.15.1.4Data protection and privacy of personal information

Ya Data pribadi karyawan termasuk data rahasia yang harus dilindungi.

A.15.1.5Prevention of misuse of information processing facilities

YaAkan dilakukan pengawasan terhadap penggunaan fasilitas pengolahan informasi untuk mencegah terjadinya penyalahgunaan.

A.15.1.6 Regulation of cryptographic controls YaISC mengikuti kontrol kriptografi perusahaan yang sudah sesuai dengan regulasi yang relevan

A.15.2

A.15.2.1Compliance with security policies and standards

YaDilakukan pamantauan berkala untuk menjamin kepatuhan terhadap standar dan kebijakan keamanan informasi

A.15.2.2 Technical compliance checking YaSistem informasi secara berkala akan diperiksa agar selalu sesuai dengan standar implementasi keamanan

A.15.3

A.15.3.1 Information systems audit controls YaAkan dilakukan audit internal untuk menjamin kepatuhan terhadap kebijakan dan standar keamanan informasi

A.15.3.2Protection of information systems audit tools

YaMembuat prosedur perlindungan terhadap system audit tools untuk mencegah setiap kemungkinan penyalahgunaan atau gangguan

Compliance with security policies and standards, and technical compliance

Information system audit considerations


Documents

UNIVERSITAS INDONESIA EVALUASI MANAJEMEN RISIKO … Ega Lestar… · Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013. ... sedapat mungkin risiko-risiko yang dapat mengganggu