Upload
others
View
26
Download
0
Embed Size (px)
Citation preview
UNIVERSITAS INDONESIA
EVALUASI MANAJEMEN RISIKO KEAMANAN INFORMASI SISTEM PROVISIONING GATEWAY TELKOM FLEXI
KARYA AKHIR
EGA LESTARIA SUKMA
1106121686
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI
JAKARTA JULI 2013
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
UNIVERSITAS INDONESIA
EVALUASI MANAJEMEN RISIKO KEAMANAN INFORMASI SISTEM PROVISIONING GATEWAY TELKOM FLEXI
KARYA AKHIR
Diajukan sebagai salah satu syarat untuk memperoleh gelar
Magister Teknologi Informasi
EGA LESTARIA SUKMA 1106121686
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI
JAKARTA JULI 2013
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
iv
KATA PENGANTAR
Puji syukur saya panjatkan kepada Allah SWT, karena atas berkat dan rahmat-
Nya, saya dapat menyelesaikan Karya Akhir ini. Penulisan Karya Akhir ini
dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar
Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi,
Fakultas Ilmu Komputer - Universitas Indonesia. Saya menyadari bahwa, tanpa
bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada
penyusunan karya akhir ini, sangatlah sulit bagi saya untuk menyelesaikannya.
Oleh karena itu, saya mengucapkan terima kasih kepada:
(1) Bapak Yudho Giri Sucahyo, Ph.D, selaku dosen pembimbing 1 yang telah
menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam
penyusunan Karya Akhir ini;
(2) Bapak Ivano Aviandi, Msc., selaku dosen pembimbing 2 yang telah
menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam
penyusunan Karya Akhir ini;
(3) Pihak PT. Telkom, yang telah banyak membantu dalam usaha memperoleh
data yang saya perlukan;
(4) Orang tua dan keluarga saya yang telah memberikan bantuan dukungan
material dan moral; dan
(5) Teman-teman di MTI yang telah banyak membantu saya dalam
menyelesaikan karya akhir ini.
Akhir kata, saya berharap Allah SWT berkenan membalas segala kebaikan semua
pihak yang telah membantu. Semoga karya akhir ini membawa manfaat bagi
pengembangan ilmu.
Jakarta, 4 Juli 2013
Penulis
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
vi Universitas Indonesia
ABSTRAK
Nama : Ega Lestaria Sukma Program Studi : Magister Teknologi Informasi Judul : Evaluasi Manajemen Risiko Keamanan Informasi Sistem
Provisioning Gateway Telkom Flexi Saat ini banyak perusahaan menggunakan sistem dan teknologi informasi untuk menunjang usaha dalam mencapai tujuan bisnis perusahaan. Oleh karena itu, aspek-aspek terkait sistem dan teknologi informasi ini menjadi perhatian penting. Salah satu aspek penting dalam sistem informasi adalah aspek keamanan, dimana informasi merupakan aset yang harus dilindungi untuk menjamin keberlangsungan bisnis. Apabila sistem informasi tidak dijaga keamanannya, maka risiko yang mungkin timbul dapat mengganggu jalannya bisnis perusahaan. Telkom Flexi merupakan salah satu produk Telkom untuk layanan fixed wireless. Untuk sistem provisioning Flexi, baru saja dikembangkan i-NEFI sebagai jantung dari sistem provisioning yang dikembangkan dan dikelola oleh Divisi Information System Center (ISC). Mengingat sangat pentingnya fungsi sistem tersebut, maka sedapat mungkin risiko-risiko yang dapat mengganggu kinerja sistem provisioning gateway harus diturunkan ke level terendah. Pengelolaan risiko untuk sistem ini sudah dijalankan, namun tidak ada prosedur yang jelas, sehingga peluang untuk terjadinya fraud sangat besar. Oleh karena itu suatu manajemen risiko keamanan informasi yang baik sangat penting diterapkan pada sistem ini. Dalam penelitian ini dilakukan evaluasi terhadap kondisi manajemen risiko keamanan informasi saat ini, untuk mendapatkan nilai kematangannya. Kemudian dilakukan perancangan manajemen risiko keamanan informasi pada sistem provisioning gateway menggunakan kerangka kerja ISO 27001:2005. Perancangan tersebut dilakukan melalui risk assessment sehingga didapatkan rekomendasi kontrol yang perlu diterapkan untuk sistem tersebut. Dari hasil evaluasi kondisi manajemen risiko keamanan informasi yang sudah ada, didapat nilai kematangannya sebesar 75.23% dengan tingkat kesesuaian terendah terhadap domain ISO 27001:2005 yaitu domain Asset Management. Keluaran dari penelitian ini adalah 13 rekomendasi kontrol, berikut prosedur untuk setiap domainnya. Kata Kunci: Manajemen risiko keamanan informasi, sistem provisioning gateway xii + 188 halaman; 9 gambar; 15 tabel; 2 lampiran
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
vii Universitas Indonesia
ABSTRACT
Name : Ega Lestaria Sukma Study Program : Magister of Information Technology Title : Evaluation of Information Security Risk Management of
Telkom Flexi Provisioning Gateway System Nowadays, many companies use information systems and technology to support the business in achieving its business objectives. Therefore, the relevant aspects of information systems and technology is an important concern. One critical aspect is the aspect of information systems security, in which information is an asset that must be protected, to ensure business continuity. If information systems security is not well-maintained, then the risks that may arise could disrupt the company's business. Telkom Flexi is one of Telkom’s product for fixed wireless service. For its provisioning system, i-NEFI is just developed as the heart of the system, which are developed and maintained by Division of Information System Center (ISC). Because of its vital function, the risks that can interfere with the performance of provisioning gateway system should be reduced to the lowest level. Risk management for this system has been implemented, but there is no clear procedure, so the opportunity for fraud is huge. Therefore an information security risk management are essential to be applied to this system. This research is about doing an evaluation of the condition of existing information security risk management, to get the value of maturity. Then to design the information security risk management for provisioning gateway system using ISO 27001:2005 framework. Information security risk management is designed through a risk assessment to obtain recommendations of control that need to be applied to the system. The result in evaluation of existing information security risk management shows that the readiness or maturity level of risk management in provisioning gateway system is 75.23%, with the lowest readiness level to ISO domain is the Asset Management domain. Output from this research are 13 control recommendations, including risk management procedure for each domain. Key Words: Information security risk management, provisioning gateway system xii + 188 pages; 9 pictures; 15 tables; 2 attachments
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
viii Universitas Indonesia
DAFTAR ISI HALAMAN JUDUL .............................................................................................. i HALAMAN PERNYATAAN ORISINALITAS ................................................ ii HALAMAN PENGESAHAN .............................................................................. iii KATA PENGANTAR .......................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS .............................................. v ABSTRAK ............................................................................................................ vi ABSTRACT ......................................................................................................... vii DAFTAR ISI ....................................................................................................... viii DAFTAR GAMBAR ............................................................................................. x DAFTAR TABEL ................................................................................................ xi DAFTAR LAMPIRAN ....................................................................................... xii BAB 1 PENDAHULUAN ..................................................................................... 1
1.1. Latar Belakang.......................................................................................... 1 1.2. Perumusan Masalah .................................................................................. 3 1.3. Ruang Lingkup Penelitian ........................................................................ 3 1.4. Tujuan Penelitian ...................................................................................... 4 1.5. Manfaat Penelitian .................................................................................... 4 1.6. Sistematika Penulisan ............................................................................... 4
BAB 2 LANDASAN TEORI ................................................................................ 6 2.1. Risiko dan Manajemen Risiko.................................................................. 6 2.1.1. Definisi Risiko ...................................................................................... 6 2.1.2. Manajemen Risiko ................................................................................ 8 2.2. Keamanan Informasi ................................................................................ 9 2.2.1. Definisi Keamanan Informasi ............................................................... 9 2.2.2. Ruang Lingkup Keamanan Informasi ................................................. 11 2.2.3. Sistem Manajemen Keamanan Informasi ........................................... 13 2.3. Standar dan Kerangka Kerja Keamanan Informasi ................................ 14 2.4. International Organization for Standardization (ISO) 27001:2005 ...... 22 2.4.1. Proses Perancangan Manajemen Keamanan Informasi ...................... 23 2.4.2. Domain, Kontrol, dan Kontrol Objektif ISO 27001 ........................... 27 2.5. Penelitian Sebelumnya ........................................................................... 29
BAB 3 METODOLOGI PENELITIAN ............................................................ 31 3.1. Metode Pengumpulan Data .................................................................... 31 3.2. Pola Pikir Penelitian ............................................................................... 32 3.3. Tahapan Penelitian ................................................................................. 32
BAB 4 PROFIL PERUSAHAAN ....................................................................... 37 4.1. Gambaran Singkat Perusahaan ............................................................... 37 4.2. Visi dan Misi Perusahaan ....................................................................... 38 4.3. Organisasi Divisi Information System Center (ISC) .............................. 38 4.3.1. Lingkup Peran Divisi Information System Center (ISC).................... 38 4.3.2. Struktur Organisasi Divisi Information System Center (ISC) ............ 39
BAB 5 ANALISA DAN PEMBAHASAN ......................................................... 41 5.1. Penentuan Ruang Lingkup ..................................................................... 41
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
ix Universitas Indonesia
5.2. Infrastruktur Teknologi Informasi .......................................................... 42 5.3. Kondisi Manajemen Keamanan Sistem Informasi Saat Ini .................... 43 5.4. Analisa Kesenjangan (Gap Analysis) ..................................................... 44 5.5. Metode Analisa Risiko ........................................................................... 47 5.6. Identifikasi Risiko .................................................................................. 51 5.6.1. Identifikasi Aset .................................................................................. 51 5.6.2. Identifikasi Ancaman dan Kerawanan ................................................ 52 5.7. Evaluasi Risiko ....................................................................................... 54 5.8. Pemilihan Kontrol dan Statement of Applicability (SOA) ..................... 62
BAB 6 KESIMPULAN DAN SARAN ............................................................... 66 6.1. Kesimpulan ............................................................................................. 66 6.2. Saran ....................................................................................................... 67
DAFTAR PUSTAKA .......................................................................................... 68 LAMPIRAN ......................................................................................................... 70
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
x Universitas Indonesia
DAFTAR GAMBAR
Gambar 2.1 Ruang Lingkup Keamanan Informasi .............................................. 12 Gambar 2.2 Proses Manajemen Risko NIST 800-30 ........................................... 17 Gambar 2.3 Kerangka Kerja OCTAVE ............................................................... 21 Gambar 2.4 Siklus P-D-C-A ISO 27001 ............................................................... 23 Gambar 3.1 Pola Pikir Penelitian ......................................................................... 32 Gambar 3.2 Tahapan Penelitian ........................................................................... 34 Gambar 4.1 Struktur Organisasi Divisi IS Center ................................................ 40 Gambar 5.1 Infrastruktur Sistem Provisioning Gateway Telkom Flexi .............. 42 Gambar 5.2 Chart Hasil Analisis Kesenjangan .................................................... 47
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
xi Universitas Indonesia
DAFTAR TABEL
Tabel 2.1 Domain dan Kontrol Objektif ISO 27001 ............................................ 28 Tabel 5.1 Penilaian Untuk Assessment Checklist ................................................. 43 Tabel 5.2 Kualifikasi Responden ......................................................................... 44 Tabel 5.3 Nilai Kesesuaian Berdasarkan Domain................................................ 45 Tabel 5.3 Nilai Kesesuaian Berdasarkan Kontrol Objektif .................................. 46 Tabel 5.4 Parameter Tingkat Kecenderungan Terjadi Risiko .............................. 48 Tabel 5.5 Parameter Tingkat Dampak Risiko ...................................................... 49 Tabel 5.6 Pengukuran Nilai Inheren Risk ............................................................ 50 Tabel 5.7 Pengukuran Nilai Residual Risk ............................................................ 51 Tabel 5.8 Daftar Aset ........................................................................................... 52 Tabel 5.9 Identifikasi Kerawanan (Vulnerabilities) ............................................. 53 Tabel 5.10 Identifikasi Ancaman (Threat) ........................................................... 54 Tabel 5.11 Nilai Inheren Risk .............................................................................. 55 Tabel 5.12 Hasil Penilaian Risiko (Risk Assessment) .......................................... 57 Tabel 5.13 Rekomendasi Kontrol ........................................................................ 62
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
xii Universitas Indonesia
DAFTAR LAMPIRAN Lampiran 1 Assessment Checklist......................................................................L-1 Lampiran 2 Statement of Applicability (SOA)...................................................L-2
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
1 Universitas Indonesia
BAB 1 PENDAHULUAN
Bab ini menjelaskan tentang latar belakang dilakukannya penelitian, permasalahan
yang diangkat dalam penelitian, pembatasan atau cakupan penelitian, tujuan dan
manfaat dari penelitian, serta sistematika penulisan penelitian.
1.1. Latar Belakang
Kebutuhan akan sistem informasi dan teknologi informasi saat ini semakin tinggi,
dapat dilihat dari dimanfaatkannya SI/TI untuk menjalankan aktivitas-aktivitas
penting perusahaan maupun instansi pemerintahan. Untuk mencapai tujuan
bisnisnya, saat ini banyak perusahaan yang bergantung pada teknologi informasi
untuk mencapai tujuan bisnisnya serta untuk memberikan layanan yang
berkualitas kepada pelanggannya. Sistem dan teknologi informasi memegang
fungsi penting dalam menunjang bisnis perusahaan, oleh karena itu guna tetap
menjaga optimalnya bisnis perusahaan, aspek-aspek terkait sistem dan teknologi
informasi ini menjadi perhatian penting. Teknologi informasi saat ini juga
semakin mudah dan murah untuk didapatkan dan dikembangkan. Perusahaan dan
organisasi besar maupun kecil dapat mengembangkan sistem informasi mereka
sendiri, atau dapat pula menggunakan jasa penyedia layanan sistem informasi dari
pihak lain, tergantung kebutuhan masing-masing perusahaan atau organisasi.
Salah satu aspek penting dalam sistem informasi adalah aspek keamanan.
Informasi merupakan aset penting perusahaan yang harus dilindungi, untuk
menjamin keberlangsungan bisnis perusahaan. Dengan semakin pesatnya
perkembangan teknologi, semakin meluasnya penggunaan teknologi informasi,
serta semakin mudahnya teknologi informasi didapatkan dan dikembangkan,
maka peluang timbulnya risiko terhadap informasi juga semakin besar. Apabila
sistem informasi tidak dijaga keamanannya, maka muncul risiko terganggunya
bisnis perusahaan. Risiko tersebut dapat berupa kerugian finansial, opportunity
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
2
Universitas Indonesia
loss, pelanggaran terhadap hukum, bahkan dapat pula mengakibatkan kerugian
reputasi.
Sebagai salah satu perusahaan telekomunikasi besar di Indonesia, bisnis Telkom
sangat bergantung pada kehandalan sistem dan teknologi informasi. Layanan yang
diberikan kepada pelanggan didukung oleh sistem dan infrastruktur teknologi
informasi yang kuat, termasuk dalam memberikan layanan fixed wireless berbasis
CDMA, yaitu Flexi.
Salah satu sistem inti yang mendukung jalannya layanan Flexi kepada pelanggan
adalah sistem provisioning. Provisioning merupakan proses pembuatan,
perubahan, maupun penghapusan basis data pelanggan pada jaringan
telekomunikasi atau yang dikenal sebagai Network Element (NE). Provisioning
mempersiapkan dan melengkapi NE sehingga sebuah layanan dapat dinikmati
oleh pelanggan. NE yang dimaksud antara lain HLR (Home Location Register),
WIN (Wireless Intelligent Network), SHLR (Smart HLR), Server AN-AAA
(Authentication, Authorization and Accounting), Server PCRF (Policy and
Charging Rules Function), serta perangkat lainnya.
Provisioning system Telkom Flexi dikembangkan dan dikelola oleh Divisi
Information System Center (ISC). Saat ini ISC baru saja mengembangkan i-NEFI
(Integrated Network Element Flexi Interface), dimana i-NEFI ini merupakan inti
dari sistem provisioning Flexi. Semua layanan Flexi yang membutuhkan
provisioning ke NE yang tersebar di beberapa lokasi di Indonesia dilayani oleh i-
NEFI. Dengan pentingnya peran i-Nefi, eksistensi i-NEFI sebagai sistem
provisioning mutlak diperlukan agar semua layanan bisa berfungsi sebagaimana
mestinya. Layanan yang ditangani oleh i-Nefi mulai dari produksi Kartu Perdana
(Starter Pack) dan Pasang Sambungan Baru (PSB), produksi voucher pulsa,
aktivasi Nada Sambung Pribadi (NSP), aktivasi layanan Flexi Combo, layanan
buka tutup isolir pelanggan, registrasi layanan Flexi-Net dan Flexi Mobile
Broadband, hingga layananan Customer Care.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
3
Universitas Indonesia
Mengingat sangat pentingnya fungsi sistem provisioning gateway untuk
mendukung keberlangsungan bisnis Telkom Flexi, dan karena sistem ini
merupakan antarmuka atau gateway dari sekian banyak NE, maka sedapat
mungkin risiko-risiko yang dapat mengganggu kinerja sistem provisioning
gateway berada pada level serendah mungkin. Oleh karena itu suatu manajemen
risiko keamanan informasi sangat penting untuk dijalankan di sistem ini.
Saat ini, keamanan informasi pada sistem tersebut dijaga hanya mengacu kepada
kebutuhan operasional. Manajemen risiko dijalankan, namun tidak ada prosedur
yang jelas, sehingga peluang untuk terjadinya fraud sangat besar. Oleh karena itu,
kondisi manajemen risiko keamanan informasi yang sudah ada saat ini perlu
dievaluasi dan dilakukan penilaian terhadap sistem agar pengelolaan risiko sistem
provisioning gateway tersebut dapat dilakukan dengan baik, sesuai dengan
ancaman, kerawanan, dan dampak yang mungkin timbul yang dapat mengganggu
jalannya bisnis Flexi.
1.2. Perumusan Masalah
Berdasarkan latar belakang di atas, maka dapat dirumuskan permasalahan
penelitian sebagai berikut:
1. Bagaimana kondisi manajemen risiko keamanan informasi saat ini yang
diterapkan pada sistem provisioning gateway Telkom Flexi.
2. Manajemen risiko keamanan informasi seperti apa yang seharusnya
dijalankan terhadap sistem provisioning gateway agar sesuai dengan
standar keamanan informasi internasional yang ada.
1.3. Ruang Lingkup Penelitian
Ruang lingkup dari penelitian ini antara lain:
1. Evaluasi terhadap manajemen risiko keamanan informasi dilakukan pada
sistem provisioning gateway Telkom Flexi.
2. Kerangka kerja yang digunakan sebagai standar acuan keamanan
informasi adalah ISO 27001:2005.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
4
Universitas Indonesia
1.4. Tujuan Penelitian
Tujuan yang ingin dicapai dari penelitian ini antara lain:
1. Mengetahui tingkat kematangan manajemen risiko keamanan informasi
yang dijalankan pada sistem provisioning gateway Telkom Flexi saat ini.
2. Menentukan manajemen risiko keamanan informasi seperti apa yang
sesuai untuk sistem provisioning gateway Telkom Flexi, dan kontrol-
kontrol apa yang perlu diterapkan untuk menjaga keamanan sistem
informasi.
1.5. Manfaat Penelitian
Manfaat dari penelitian ini antara lain:
1. Memberikan gambaran mengenai kondisi manajemen risiko keamanan
informasi yang dijalankan pada sistem provisioning gateway Telkom
Flexi dan kesenjangannya terhadap standar yang berlaku.
2. Memberikan rekomendasi kontrol yang perlu diterapkan untuk
manajemen risiko keamanan informasi yang lebih baik, berikut dengan
kebijakan dan prosedurnya.
1.6. Sistematika Penulisan
Karya Akhir atau penelitian ini ditulis dengan sistematika penulisan sebagai
berikut :
BAB 1 PENDAHULUAN
Bab ini menjelaskan tentang latar belakang masalah, perumusan masalah, tujuan
dan manfaat penelitian, serta sistematika penulisan.
BAB 2 LANDASAN TEORI
Bab ini menjelaskan tentang teori-teori yang relevan dengan penelitian yang
dilakukan, diantaranya mengenai manajemen risiko, kerangka kerja keamanan
sistem informasi, kerangka kerja ISO 27001:2005, serta hasil dari penelitian
sebelumnya yang sejenis.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
5
Universitas Indonesia
BAB 3 METODOLOGI PENELITIAN
Bab ini menjelaskan tentang langkah-langkah yang dilakukan dan teknik-teknik
yang digunakan dalam penelitian, untuk menjawab permasalahan yang telah
dirumuskan.
BAB 4 PROFIL PERUSAHAAN
Bab ini berisi pemaparan profil dari organisasi Divisi Information System Center
(ISC) sebagai pengelola sistem provisioning gateway Telkom Flexi.
BAB 5 ANALISIS DAN PEMBAHASAN
Bab ini menjelaskan tentang analisis yang dilakukan beserta hasilnya, terhadap
manajemen keamanan sistem informasi provisioning gateway Telkom Flexi, dan
berisi rekomendasi bagi organisasi untuk pengelolaan risiko keamanan informasi
sistem.
BAB 6 KESIMPULAN DAN SARAN
Bab ini berisi kesimpulan yang didapat dari penelitian ini untuk menjawab
permasalahan, juga berisi saran yang dapat dijadikan sebagai perbaikan melalui
penelitian.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
6 Universitas Indonesia
BAB 2 LANDASAN TEORI
Bab ini berisi uraian dari beberapa teori yang terkait dengan permasalahan
penelitian. Literatur yang diuraikan pada bab ini antara lain mengenai manajemen
risiko, kerangka kerja keamanan sistem informasi, kerangka kerja ISO
27001:2005, serta hasil dari penelitian sebelumnya yang sejenis.
2.1. Risiko dan Manajemen Risiko
Organisasi apapun, baik bersifat profit maupun non-profit, organisasi besar
maupun organisasi kecil, pasti akan selalu menghadapi pengaruh-pengaruh
internal maupun eksternal, yang dapat menimbulkan suatu ketidakpastian yang
dapat mempengaruhi organisasi tersebut dalam mencapai tujuannya. Efek dari
ketidakpastiaan yang mempengaruhi tujuan organisasi tersebut disebut dengan
risiko.
2.1.1. Definisi Risiko
Risiko dapat diartikan secara luas untuk berbagai aspek seperti finansial, sistem
informasi, pengelolaan proyek, risiko operasional, investasi, risiko lingkungan,
dan lain sebagainya. Dalam ISO Guide 73:2009 (ISO, 2009), risiko didefinisikan
sebagai efek ketidakpastian dalam tujuan, dimana:
• Efek merupakan penyimpangan dari yang diharapkan, baik positif dan
atau negatif.
• Tujuan dapat terkait beberapa aspek (misalnya finansial, kesehatan dan
keselamatan kerja, serta lingkungan) dan dapat diterapkan dalam
tingkatan yang berbeda (misalnya strategis, organisasi secara
keseluruhan, proyek, produk dan proses).
• Risiko sering dikenali dalam bentuk events dan consequences yang
potensial, atau gabungan dari keduanya.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
7
Universitas Indonesia
• Risiko sering diekspresikan dalam bentuk kombinasi antara
consequences dari sebuah event (termasuk perubahan dalam suatu
keadaan) dan kemungkinan yang terkait.
• Ketidakpastian merupakan keadaan defisiensi informasi yang terkait,
pemahaman atau pengetahuan, meskipun sebagian, terhadap suatu
kejadian (event), kosekuensi dari kejadian (consequence), atau
kemungkinannya (likelihood).
David Vose mendefinisikan risiko sebagai “Kejadian random yang kemugkinan
akan terjadi, dan apabila itu terjadi, akan memberikan efek negatif terhadap tujuan
organisasi. Oleh karena itu, risiko terbentuk dari tiga elemen : skenario,
probabilitas kejadian, dan besarnya efek dari dari kejadian random tersebut
(dengan nilai tetap maupun distribusi)” (Vose, 2000). Sedangkan pengertian risiko
menurut Emmet J. Vaghan dan Therese Vaughan adalah suat kondisi dimana ada
peluang deviasi yang merugikan dari suatu hasil yang diinginkan (Vaughan,
2008).
Dari beberapa definisi diatas, kata kunci dari definisi risiko adalah antara lain
ketidakpastian, peluang, kerugian, dan tujuan organisasi. Risiko dapat dimaknai
sebagai suatu peluang atau kemungkinan yang dapat berpengaruh kepada suatu
tujuan, dan dapat menghasilkan kerugian apabila peluang kerugian itu tidak
dikelola dengan baik.
Risiko dapat dibedakan dalam beberapa kategori, dilihat dari kepada apa risiko
tersebut berdampak. Kategori dari risiko, diantaranya:
• Strategic Risk, merupakan risiko yang berhubungan tujuan organisasi
secara keseluruhan, berada pada level tertinggi organisasi dan dapat
menyebabkan timbulnya jenis-jenis risiko yang lainnya.
• Compliance Risk, merupakan risiko sanksi hukum, financial loss, atau
rusaknya reputasi suatu organisasi yang mungkin terjadi sebagai akibat
dari ketidakpatuhan organisasi tersebut terhadap hukum, regulasi,
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
8
Universitas Indonesia
peraturan, standar regulasi organisasi dan codes of conduct yang ada untuk
setiap aktivitas organisasi.
• Financial Risk, merupakan segala risiko yang berhubungan dengan
finansial organisasi, termasuk transaksi finansial yang dapat berpotensi
menyebabkan kerugian finansial bagi organisasi.
• Reputational Risk, merupakan risiko yang berpotensi terhadap citra
perusahaan di mata publik. Risiko ini biasanya berkaitan dengan business
practice organisasi yang dapat menyebabkan turunnya jumlah pelanggan
dan penurunan pendapatan. Reputational risk dapat terjadi akibat
kegagalan organisasi dalam mengelola jenis-jenis risiko yang lain yang
ada secara efektif.
• Operational Risk, merupakan risiko akibat adanya ketidaksesuaian sistem
yang berjalan, baik itu proses internal, orang-orang yang terkait
didalamnya, serta sistem teknologinya.
2.1.2. Manajemen Risiko
Segala aktivitas dari suatu organisasi memiliki risiko. Organisasi mengelola risiko
dengan cara mengantisipasi dan memahami risiko yang mungkin muncul.
Manajemen risiko merupakan aplikasi sistematik dalam kebijakan pengelolaan,
prosedur, dan langkah-langkah dalam aktivitas komunikasi, konsultasi,
menentukan ruang lingkup, serta mengidentifikasi, menganalisa, mengevaluasi,
memperlakukan, memantau, dan meninjau risiko (ISO, 2009). Dalam standar
NIST 800-30, manajemen risiko didefinisikan sebagai proses mengidentifikasi
risiko, menilai risiko, dan mengambil tindakan-tindakan untuk mengurangi risiko
ke level yang dapat diterima (Stoneburner, 2002). Sedangkan menurut Emmet J.
Vaughan dan Therese Vaughan (Vaughan, 2008), definisi dari manajemen risiko
adalah “Pendekatan ilmiah untuk menghadapi risiko murni dengan mengantisipasi
kemungkinan kerugian yang tidak disengaja dan mengimplementasikan prosedur
yang meminimalisasi terjadinya kerugian atau efek finansial dari kerugian yang
terjadi”.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
9
Universitas Indonesia
Manajemen risiko dapat diaplikasikan dalam keseluruhan organisasi, pada
berbagai level dan area, begitu pula untuk fungsi, proyek, dan aktivitas tertentu.
Ada berbagai bentuk strategi manajemen risiko, tergantung pada jenis risiko dan
jenis bisnis organisasi. Standar internasional untuk manajemen risiko juga
beragam, antara lain yang dikembangkan oleh Project Management Institute,
International Standard for Organization (ISO), National Institute of Standards and
Technology, dan lain-lain.
Berdasarkan publikasi NIST 800-30 Risk Management Guide for Information
Technology Systems, ada 3 fase dalam manajemen risiko, yaitu (Stoneburner,
2002):
1. Risk Assessment: fokus kepada penentuan risiko yang mungkin muncul
dan potensi ancaman (threat) yang berhubungan dengan sistem.
2. Risk Mitigation: fokus kepada menyusun prioritas, evaluasi, dan
implementasi kontrol untuk minimalisasi risiko yang didapat dari hasil
rekomendasi proses risk assessment.
3. Evaluation and assessment: merupakan evaluasi terhadap mitigasi risiko
yang telah dilakukan.
2.2. Keamanan Informasi
2.2.1. Definisi Keamanan Informasi
Keamanan informasi merupakan perlindungan terhadap informasi, dimana
pastinya informasi itu sendiri bersifat penting sehingga perlu dilindungi. Informasi
didefinisikan oleh Gordon B. Davis sebagai suatu data yang telah diolah menjadi
suatu bentuk yang penting bagi si penerima dan mempunyai nilai yang nyata yang
dapat dirasakan dalam keputusan-keputusan sekarang atau keputusan-keputusan
yang akan datang (Gordon, 1974). Informasi adalah pengumpulan atau
pengolahan data untuk memberikan pengetahuan atau keterangan (Burch, 1974).
Definisi lainnya dari informasi adalah data yang penting yang memberikan
pengetahuan yang berguna. Dari definisi-definisi tersebut dapat disimpulkan
bahwa informasi adalah sesuatu yang penting sehingga perlu dilindungi melalui
suatu sistem keamanan informasi.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
10
Universitas Indonesia
Tujuan dari keamanan informasi adalah untuk melindungi informasi dari dan
terhadap segala sumber. Prinsip utama dari keamanan informasi adalah
kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability).
• Confidentiality (kerahasiaan): mencegah adanya akses yang tidak berhak,
melindungi informasi yang bersifat rahasia dan proprietary.
• Integrity (integritas): menjaga informasi dari perubahan atau perusakan
yang tidak seharusnya, termasuk memastikan aspek non repudiation dan
autentikasi dari suatu informasi.
• Availability (ketersediaan): memastikan informasi dapat diakses dan
digunakan setiap dibutuhkan.
Namun tidak hanya tiga aspek diatas yang harus dijaga dari suatu informasi,
tergantung pada masing-masing kebutuhan. ISO 27001:2005 mendefinisikan
keamanan informasi sebagai perlindungan terhadap kerahasiaan, integritas, dan
ketersediaan informasi, serta terhadap aspek lainnya seperti autentikasi,
akuntabilitas, non-repudiation dan reliabilitas (ISO, 2005).
Keamanan informasi tidak hanya terancam oleh aspek-aspek yang sangat teknis
seperti virus komputer, penyadapan komunikasi, atau pencurian komputer.
Keamanan informasi juga dapat terganggu oleh beberapa hal seperti:
• Force majeure (misalnya kebakaran, banjir, dan gempa bumi) dapat secara
langsung berdampak pada data atau sistem TI. Dokumen, sistem TI atau
layanan lainnya tidak lagi tersedia seperti yang dibutuhkan.
• Setalah gagalnya update software, aplikasi dapat tidak berfungsi dengan
baik atau data dapat dimodifikasi tanpa diketahui.
• Proses bisnis penting terhambat karena satu-satunya staf yang paham
aplikasi sedang sakit.
• Informasi rahasia secara tidak sengaja bocor ke pihak lain akibat staf
perusahaan tidak menandai dokumen tersebut dengan tanda “rahasia”.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
11
Universitas Indonesia
Untuk menjaga prinsip utama dari keamanan informasi (kerahasiaan, integritas,
dan ketersediaan), ada beberapa strategi yang dapat dilakukan, antara lain:
• Physical security
Strategi ini merupakan strategi yang bertujuan untuk mengamankan aset-
aset yang bersifat fisik, seperti perangkat keras, personil, karyawan, serta
perlindungan terhadap tempat kerja.
• Personal security
Strategi ini merupakan strategi yang bertujuan untuk mengamankan
individu-individu seperti memberikan pelatihan atau sosialisasi perihal
keamanan informasi dalam rangka menciptakan kesadaran individu akan
pentingnya menjaga keamanan informasi.
• Operation security
Strategi ini merupakan strategi yang bertujuan untuk mengamankan
operasional organisasi atau perusahaan dari gangguan yang dapat
mengganggu kelancaran aktivitas operasional.
• Communication security
Strategi ini merupakan strategi yang bertujuan untuk mengamankan media
komunikasi dan teknologi komunikasi sehingga fungsi komunikasi dalam
organisasi dapat berjalan dengan baik.
• Network security
Strategi ini merupakan strategi yang bertujuan untuk mengamankan
jaringan yang digunakan sebagai media pertukaran informasi perusahaan,
serta memastikan bahwa kapabilitas dan kapasitas jaringan untuk
mengirimkan dan menerima informasi terpenuhi sesuai kebutuhan
organisasi atau perusahaan.
2.2.2. Ruang Lingkup Keamanan Informasi
Ruang lingkup keamanan informasi terdiri dari empat aspek yaitu organization,
people, process, dan technology (ISACA, 2011). Keempat aspek ini dapat
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
12
Universitas Indonesia
dikatakan sebagai aset yang harus dilindugi dan dikelola risikonya. Keterkaitan
antara keempat aspek tersebut dapat dilihat pada gambar di bawah ini:
Gambar 2.1 Ruang Lingkup Keamanan Informasi
• Organization
Sebuah organisasi merupakan jaringan yang terbentuk dari sumber daya
manusia, aset, dan proses yang saling berinteraksi satu dengan yang lain,
dalam perannya masing-masing yang telah ditentukan serta saling bekerja
untuk mencapai tujuan yang sama.
• People
Ruang lingkup dari aspek ini adalah sumber daya manusia dan masalah-
masalah keamanan informasi yang terkait dengannya. Dalam aspek ini
didefinisikan siapa yang menerapkan setiap bagian dari strategi. Aspek ini
merepresentasikan sekolompok sumber daya manusia dengan nilai-nilai
perilaku, serta nilai-nilai lainnya yang masih bias yang harus
diperhitungkan.
• Process
Ruang lingkup aspek ini adalah seluruh mekanisme formal dan informal
(besar dan kecil, sederhana dan kompleks) dalam menyelesaikan sesuatu
dan menjadi penghubung yang penting bagi seluruh interkoneksi yang
dinamis.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
13
Universitas Indonesia
• Technology
Teknologi merupakan seluruh alat, aplikasi, dan infrastruktur yang
membuat proses menjadi lebih efisien.
2.2.3. Sistem Manajemen Keamanan Informasi
Sistem manajemen keamanan informasi merupakan suatu kesatuan sistem yang
disusun berdasarkan pendekatan risiko bisnis. Sistem manajemen keamanan
informasi perusahaan bertujuan untuk pengembangan, implementasi,
pengoperasian, pengawasan, pemeliharaan serta peningkatan keamanan informasi
perusahaan. Sebagai sebuah sistem, keamanan informasi harus didukung oleh hal-
hal berikut: (Syafrizal, 2007)
• Struktur organisasi
Struktur organisasi menunjukan pemetaan dan pembagian fungsi kerja
sehingga dapat diketahui pembagian tanggung jawab terkait keamanan
informasi
• Kebijakan keamanan informasi
Kebijakan keamanan informasi merupakan dasar yang dijadikan acuan
dalam penerapan manajemen keamanan informasi. Kebijakan keamanan
informasi dibuat oleh perusahaan dan disahkan oleh manajemen, untuk
kemudian diturunkan dalam bentuk prosedur di tingkat operasionl.
• Prosedur dan proses
Prosedur dan proses merupakan turunan dari kebijakan, yang dibuat lebih
terperinci sebagai panduan implementasi keamanan informasi di tingkat
operasional.
• Tanggung jawab
Di dalam prosedur dan proses terdapat pembagian tanggung jawab,
dimana tanggung jawab ini harus dibuat sangat jelas, sehingga setiap
individu terkait paham akan peran dan kewajibannya terhadap pengelolaan
keamanan informasi
• Sumber daya manusia
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
14
Universitas Indonesia
Sumber daya manusia merupakan pelaksana setiap prosedur dan proses
pengelolaan keamanan informasi sesuai dengan peran, kewenangan, dan
tanggung jawabnya masing-masing.
2.3. Standar dan Kerangka Kerja Keamanan Informasi
Manajemen keamanan informasi yang efektif adalah ketika organisasi
memperhitungkan seluruh proses operasional dan organisasional serta pihak yang
terkait keamanan informasi. Keamanan informasi harus menjadi proses yang
berjalan, dimana apabila keamanan informasi ini dikembangkan secara
keseluruhan, maka akan menempatkan organisasi pada isu keamanan yang tepat
sehingga tujuan bisnis dapat tercapai. Dalam area keamanan informasi, berbagai
macam standar dan kerangka kerja telah dikembangkan dimana titik beratnya
terletak pada target atau area subyek. Penggunaan standar keamanan di
perusahaan, organisasi, maupun pemerintahan tidak hanya meningkatkan tingkat
keamanan, tapi juga memudahkan organisasi dalam menentukan prosedur
keamanan apa yang harus dijalankan dan bagaimana bentuknya. Ada beberapa
standar dan kerangka kerja terkait keamanan informasi yang telah teruji dan
diaplikasikan secara internasional, antara lain:
1. International Organization for Standardization (ISO)
Dengan pertimbangan terus bertambahnya jumlah standar keamanan
informasi yang berkembang, maka ISO dan IEC (International
Electrotechnical Commission) sepakat untuk berkonsolidasi dalam
pengembangan standar keamanan informasi seri 2700x. Standar-standar
tersebut antara lain:
• ISO 13335
Standar ISO 13335 merupakan standar untuk Management of
Information and Communictations Technology Security, dimana
standar ini menyediakan arahan umum untuk menginisiasi dan
mengimplementasikan proses manajemen keamanan teknologi
informasi. ISO 13335 menyediakan instruksi namun bukan solusi untk
mengelola keamanan teknologi informasi. Bagaimanapun juga,
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
15
Universitas Indonesia
standar ini merupakan titik awal dan referensi bagi perkembangan
standar lain dalam manajemen keamanan teknologi informasi.
• ISO 27001
Akibat kompleksnya area teknologi informasi, dan karena adanya
kebutuhan untuk sertifikasi, sejumlah manual, standar dan norma
nasional untuk keamanan informasi telah muncul selama beberapa
tahun yang lalu. ISO 27001 (Information Technology - Security
Techniques - Information Security Management Systems Requirement
Specification) merupakan standar internasional pertama untuk
manajemen keamanan informasi yang dapat disertifikasi. ISO 27001
berisi rekomendasi umum mengenai bagaimana menjalankan dan
meningkatkan dokumentasi sistem manajemen keamanan informasi
yang juga mempertimbangkan risiko-risiko.
• ISO 27002
ISO 27002 awalnya dikenal ISO 17799:2005 (Information Technology
- Code of Practice for Information Security Management). Tujuan dari
ISO 27002 adalah menentukan kerangka kerja untuk manajemen
keamanan informasi. ISO 27002 fokus terhadap langkah-langkah yang
diperlukan untuk membangun fungsionalitas sistem manajemen
keamanan dan menanamkannya ke dalam organisasi. Rekomendasi
yang diberikan pada ISO 27002 khususnya ditujukan untuk level
manajemen dan tidak terlalu banyak mengandung informasi teknis
yang spesifik. Implementasi ISO 27002 merupakan salah satu dari
berbagai cara untuk memenuhi persyaratan yang ada dalam standar
ISO 27001.
• ISO 27005
ISO 27005 (Information Security Risk Management) mengandung
rekomendasi umum untuk manajemen risiko keamanan informasi. ISO
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
16
Universitas Indonesia
27005 digunakan untuk mendukung implementasi persyaratan yang
ada dalam ISO 27001.
• ISO 27006
ISO 27006 (Information Technology – Security Techniques –
Requirements for The Accreditation of Bodies Providing Certification
of Information Security Management Systems) menjelaskan
persyaratan yang dibutuhkan untuk mengakreditasi sertifikasi ISMS
dan juga menjelaskan detail proses sertifikasi ISMS secara spesifik.
2. National Institute of Standards and Technology (NIST) 800-30
NIST 800-30 dipublikasikan pada tahun 2002 oleh National Institute of
Standards and Technology, sebuah institut teknologi federal yang
bekerjasama dengan industri untuk mengembangkan dan mengaplikasikan
teknologi, pengukuran, dan standar. NIST 800-30 merupakan publikasi
khusus mengenai Risk Guide for Information Technology System. NIST 800-
30 menyediakan dasar untuk pengembangan program manajemen risiko yang
efektif yang berisi baik definisi-definisi maupun arahan praktis yang
dibutuhkan untuk menilai dan memitigasi risiko yang teridentifikasi didalam
suatu sistem teknologi informasi. Tujuan dari NIST 800-30 adalah untuk
membantu organisasi dalam mengelola risiko terkait teknologi informasi
dengan lebih baik. Kerangka kerja ini juga menyediakan informasi dalam
menyeleksi kontrol keamanan informasi yang efektif secara biaya yang dapat
digunakan untuk memitigasi risiko dalam rangka memberikan perlindungan
bagi informasi penting dan sistem teknologi informasi yang memproses,
menyimpan, dan membawa informasi tersebut.
Dalam NIST 800-30, proses manajemen risiko dilakukan dalam tiga aktivitas seperti pada gambar di bawah ini:
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
17
Universitas Indonesia
Gambar 2.2 Proses Manajemen Risko NIST 800-30
Tahapan yang dilakukan dalam gambar di atas antara lain: (Stoneburner, 2002)
a. Penilaian risiko
Penilaian risiko merupakan proses pertama dalam manajemen risiko.
Organisasi menggunakan penilaian risiko untuk menentukan ancaman dan
risiko potensial terkait sistem teknologi informasi. penilaian risiko
mencakup identifikasi dan evaluasi risiko dan efek dari risiko, serta
rekomendasi untuk pengukuran minimalisasi risiko.Dalam melakukan
penilaian risiko, terdapat 9 langkah utama yang dapat dilakukan, yaitu:
• System Characterization, menentukan ruang lingkup dari sistem
yang akan dinilai risikonya. Dalam tahapan ini, diidentifikasi
batasan-batasan dari sistem beserta sumberdaya dan informasi
yang berkaitan dengan sistem.
• Threat Identification, mengidentifikasi sumber ancaman serta
motivasi terjadinya ancaman. Ancaman disini dapat diakibatkan
oleh adanya kelemahan internal maupun eksternal.
• Vulnerability Identification, mengidentifikasi sumber kerawanan
serta motivasi terjadinya kerawanan. Kerawanan merupakan
kelemahan dalam prosedur keamanan sistem, perancangan,
implementasi, atau kontrol internal yang dapat diekploitasi.
• Control Analysis, menganalisa kontrol yang telah
diimplementasikan, atau telah direncanakan akan
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
18
Universitas Indonesia
diimplementasikan oleh organisasi untuk meminimalisasi atau
mengeliminasi probabilitas ancaman.
• Likelihood Determination, menentukan level dari kemungkinan
suatu kelemahan dapat dieksploitasi oleh sumber ancaman. Level
kemungkinan tersebut dibagi menjadi High, Medium, dan Low.
• Impact Analysis, menganalisa dampak dari kelemahan yang
berhasil dieksploitasi dengan mengacu kepada misi sistem, tingkat
kepentingan sistem dan data, serta tingkat sensitivitas sistem dan
data. Keluaran dari tahapan ini adalah level dari dampak yang
dinyatakan dalam High, Medium, dan Low.
• Risk Determination, menilai level risiko terhadap sistem TI.
Penilaian ini dilakukan dengan menentukan skala dari risiko dan
matriks dari level risiko. Keduanya dinyatakan dalam tingkatan
High, Medium, dan Low.
• Control Recommendation, menentukan rekomendasi dari kontrol-
kontrol yang dapat memitigasi ataupun mengeliminasi risiko yang
teridentifikasi, dimana kontrol-kontrol tersebut relevan dengan
operasional organisasi. Tujuan dari adanya rekomendasi kontrol ini
adalah untuk menurunkan level risiko dari sistem teknologi
informasi beserta datanya ke level yang dapat diterima.
• Results Documentation, mendokumentasikan dengan jelas hasil
dari keseluruhan tahapan, mulai dari penilaian risiko sampai
rekomendasi kontrol.
b. Mitigasi Risiko
Mitigasi risiko merupakan proses kedua setelah penilaian risiko yang
mencakup pemrioritasan, mengimplementasikan, dan menjaga pengukuran
minimalisasi risiko yang cocok yang didapat dari hasil penilaian risiko.
Tahapan dari aktivitas mitigasi risiko, antara lain:
• Prioritize Action, merupakan penentuan prioritas aktivitas yang
akan diimplementasikan dengan berdasar kepada level risiko yang
didapat dari laporan penilaian risiko. Keluaran dari tahapan ini
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
19
Universitas Indonesia
adalah urutan prioritas aktivitas mulai dari yang tertinggi sampai
yang terendah.
• Evaluate Recommended Control Options, kontrol yang
direkomendasikan dalam proses penilaian risiko dapat saja bukan
merupakan pilihan yang paling cocok untuk organisasi dan sistem
TI tertentu. Dalam tahapan ini, dilakukan analisa terhadap
efektivitas rekomendasi kontrol dengan tujuan untuk memilih
kontrol yang paling cocok dan relevan untuk meminimalisasi
risiko.
• Conduct Cost-Benefit Analysis, merupakan analisa terhadap cost-
benefit dari rekomendasi kontrol untuk membantu manajemen
dalam membuat keputusan kontrol-kontrol mana saja yang akan
diterapkan dengan melihat efektifitas kontrol dari sisi biaya.
• Select Control, yaitu memilih kontrol yang telah ditentukan
manajemen setelah melalui analisa cost-benefit. Kontrol-kontrol
yang dipilih harus menggabungkan aspek teknis, operasional, dan
kontrol manajemen untuk memastikan keamanan sistem teknologi
informasi dan keamanan organisasi.
• Assign Responsibility, menentukan tanggung jawab dari personil
atau staf yang memiliki kemampuan dan keahlian yang memadai
untuk mengimplementasikan kontrol yang telah dipilih.
• Develop a Safeguard Implementation Plan, dimana dalam tahapan
ini dikembangkan suatu action plan yang berisi informasi
mengenai risiko, rekomendasi kontrol, prioritas aktivitas, kontrol
yang terpilih, sumberdaya yang dibutuhkan untuk implementasi
kontrol, daftar tanggung jawab personil dan tim, tanggal
dimulainya implementasi, target penyelesaian implementasi, dan
kebutuhan pemeliharaan.
• Implement Selected Controls, yaitu tahapan dimana kontrol yang
telah dipilih diimplementasikan.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
20
Universitas Indonesia
c. Evaluasi Risiko
Evaluasi risiko merupakan proses evaluasi secara berkelanjutan dan
merupakan kunci untuk mengimplementasikan program manajemen risiko
yang baik.
3. COBIT (Control Objective for Information and Related Technology)
COBIT merupakan standar atau kerangka kerja yang menyediakan metode
untuk mengontrol risiko akibat penggunaan teknologi informasi untuk
mendukung proses bisnis. COBIT dikeluarkan oleh Information Domains
Audit and Control Association (ISACA) IT Governance Institute. COBIT
disusun dari suatu gabungan dokumen dan kerangka kerja yang
diklasifikasikan dan secara umum diterima sebagai best practice untuk tata
kelola teknologi informasi. Referensi perihal manajemen risiko secara khusus
dibahas pada proses PO9 dalam COBIT. Kerangka kerja manajemen risiko
teknologi informasi dengan menggunakan COBIT terdiri dari: (IT
Governance Institute, 2005)
a. Penetapan objektif, kriteria informasi dari COBIT dapat digunakan
sebagai dasar dalam mendefinisikan objek TI. Terdapat tujuh kriteria
informasi dari COBIT yaitu effectiveness, efficiency, confidentiality,
integrity, availability, compliance, dan reliability.
b. Identifikasi risiko, merupakan proses untuk mengetahui adanya risiko
yang dapat bersumber dari manusia, proses, dan teknologi, dari dalam atau
luar perusahaan, serta bbersumber dari bencana, ketidakpastian, dan
kesempatan
c. Penilaian risiko, merupakan proses untuk menilai seberapa sering risiko
terjadi dan seberapa besar dampak yang dapat ditimbulkannya. Dampak
risiko terhadap bisnis dapat berupa dampak finansial, menurunnya reputasi
disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan
aset, dan penundaan pengambilan keputusan.
d. Respon risiko, dilakukan dengan menerapkan kontrol objektif yang sesuai
dalam melakukan manajemen risiko. Jika sisa risiko masih melebihi risiko
yang dapat diterima, maka diperlukan respon risiko tambahan. Proses-
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
21
Universitas Indonesia
proses pada kerangka kerja COBIT yang sesuai untuk manajemen risiko
adalah:
• PO1 (Define a Strategic IT Plan) dan PO9 (Assess and Manage
Risk)
• A16 (Manages Change)
• DS5 (Ensure System and Security)
• ME1 (Monitor and Evaluate IT Performance)
e. Monitor risiko, setiap langkah dimonitor untuk menjamin bahwa risiko
dan respon berjalan sepanjang waktu.
4. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
Evaluation)
Kerangka kerja manajemen risiko keamanan informasi menggunakan
pendekatan OCTAVE dapat dilihat pada gambar di bawah ini: (Alberts,
2002)
Gambar 2.3 Kerangka Kerja OCTAVE
Aktivitas yang dilakukan dalam manajemen risiko keamanan informasi
dengan pendekatan OCTAVE seperti gambar di atas, antara lain:
a. Identifikasi, merupakan prosestransformasi ketidakpastian mengenai
seberapa baik aset perusahaan dilindungi terhadap risiko. Aktivitas yang
dilakukan antara lain identifikasi profil risiko (aset kritis, ancaman,
kebutuhan keamanan, kebutuhan keamanan untuk aset kritis, deskripsi
tentang dampak risiko pada perusahaan, dan komponen infrastruktur
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
22
Universitas Indonesia
utama yang berhubungan dengan aset kritis) serta identifikasi informasi
perusahaan seperti kebijakan dan prosedur keamanan informasi
b. Analisa, merupakan proses untuk memproyeksikan bagaimana resiko-
resiko ekstensif dan bagaimana menggunakan proyeksi tersebut untuk
membuat skala prioritas. Tugas dalam proses analisa adalah melakukan
evaluasi resiko (nilai-nilai untuk mengukur resiko, dampak dan peluang)
serta skala prioritas resiko (pendekatan pengurangan resiko, menerima
atau mengurangi resiko)
c. Perencanaan, merupakan proses untuk menentukan aksi-aksi yang akan
diambil untuk meningkatkan postur dan perlindungan keamanan aset kritis
tersebut. Langkah dalam perencanaan adalah mengembangkan strategi
proteksi, rencana mitigasi resiko, rencana aksi, budget, jadwal, kriteria
sukses, ukuran-ukuran untuk monitor rencana aksi, dan penugasan personil
untuk implementasi rencana aksi.
d. Implementasi, merupakan proses untuk melaksanakan aksi yang
direncanakan untuk meningkatkan keamanan sistem berdasarkan jadwal
dan kriteria sukses yang didefinisikan selama perencanaan risiko.
e. Monitor, yaitu pengawasan jejak rencana aksi untuk menentukan status
saat ini dan meninjau ulang data perusahaan sebagai tanda adanya risiko
baru atau perubahan yang ada.
f. Kontrol, merupakan proses yang didesain agar personil melakukan
penyesuaian rencana aksi dan menentukan apakah dengan merubah
kondisi organisasi akan menyebabkan timbulnya risiko baru.
2.4. International Organization for Standardization (ISO) 27001:2005
International Organization for Standardization adalah badan standar dunia yang
mengembangkan dan mempublikasikan berbagai jenis standar, mulai dari standar
teknologi informasi, sampai kepada standar energi nuklir. ISO berkantor pusat di
Genewa, Swiss, dan beranggotakan 162 anggota yang merepresentasikan masing-
masing negara. Standar ISO 27001:2005 merupakan standar untuk ISMS
(Information Security Management System) yang dipublikasikan ISO dan IEC
(International Electrotechnical Commission) pada Oktober 2005 dalam rangka
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
23
Universitas Indonesia
menggantikan standar BS7799-2. Standar BS7799-2 sendiri dikeluarkan oleh
British Standart Institute pada tahun 1995 sebagai code of practice yang fokus
pada bagaimana mengimplementasikan ISMS dengan mengacu kepada struktur
manajemen keamanan informasi dan kontrol.
2.4.1. Proses Perancangan Manajemen Keamanan Informasi
Tujuan dari standar ISO 27001:2005 ini adalah agar dapat digunakan sebagai
model acuan dalam pembangunan, pengimplementasian, pengoperasian,
pengawasan, peninjauan, pemeliharaan dan perbaikan sistem manajemen
keamanan informasi. ISO 27001 menggunakan siklus Plan-Do-Check-Act untuk
menstrukturisasi setiap proses. Siklus PDCA tersebut dapat dilihat pada gambar
dibawah ini (ISO, 2005).
Gambar 2.4 Siklus P-D-C-A ISO 27001
1. Plan
Merupakan tahapan untuk perancangan ISMS, menetapkan aturan, tujuan,
proses dan prosedur yang relevan untuk mengelola risiko dan meningkatkan
keamanan informasi untuk memberikan hasil yang sesuai dengan keseluruhan
tujuan dan kebijakan organisasi.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
24
Universitas Indonesia
2. Do
Merupakan tahapan implementasi dan jalannya kebijakan, aturan, kontrol,
proses dan prosedur ISMS yang sudah dipilih pada tahap Plan.
3. Check
Merupakan tahapan dilakukannya penilaian, pengawasan dan peninjauan
implementasi dari ISMS, serta apabila memungkinkan, dilakukan pula
pengukuran performansi proses terhadap kebijakan ISMS, dan melaporkan
hasilnya kepada manajemen untuk dilakukan peninjauan.
4. Act
Merupakan tahapan dalam melakukan perbaikan dan peningkatan kinerja
ISMS. Langkag-langkah korektif dan preventif diambil berdasarkan hasil dari
audit internal ISMS dan management review atau informasi lainnya yang
relevan, agar mencapai perbaikan ISMS secara berkelanjutan.
Dalam membangun atau merancang ISMS, beberapa hal harus dilakukan oleh
organisasi, antara lain:
1. Menentukan ruang lingkup dan batasan dari ISMS terkait karakteristik
bisnis, organisasi, lokasi, aset dan teknologi, termasuk rincian dan
justifikasi untuk hal-hal yang berada diluar ruang lingkup.
2. Menentukan kebijakan ISMS terkait karakteristik bisnis, organisasi, lokasi,
aset dan teknologi.
3. Menentukan pendekatan penilaian risiko organisasi.
4. Mengidentifikasi risiko terhadap aset, ancaman, kerawanan, serta dampak
atas hilangnya kerahasiaan, integritas, dan ketersediaan yang mungkin
terjadi terhadap aset.
5. Menganalisa dan mengevaluasi risiko, termasuk didalamnya mengestimasi
level risiko dan menentukan apakah risiko-risiko tersebut dapat diterima
atau membutuhkan perlakuan khusus.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
25
Universitas Indonesia
6. Mengidentifikasi dan mengevaluasi pilihan untuk perlakuan terhadap
risiko, diantaranya menjalankan kontrol yang sesuai, menerima risiko,
menghindari risiko, dan mentransfer risiko bisnis ke pihak lain.
7. Memilih kontrol dan kontrol objektif untuk perlakuan terhadap risiko.
8. Mendapatkan persetujuan dari manajemen terhadap risiko yang diajukan.
9. Mendapatkan otoritas manajemen untuk mengimplementasikan dan
mengoperasikan ISMS.
10. Menyiapkan Statement of Applicability, dimana didalamnya terdapat
sasaran kontrol dan kontrol yang dipilih, serta alasan pemilihan kontrol
tersebut, sasaran kontrol dan kontrol yang saat ini sedang
diimplementasikan, serta pengecualian terhadap sasaran kontrol dan
kontrol serta justifikasi terhadap pengecualian tersebut.
Setelah menentukan perencanaan ISMS, tahap selanjutnya organisasi
mengimplementasikan dan mengoperasikan ISMS. Hal-hal yang harus dilakukan
organisasi antara lain:
1. Memformulasikan perencanaan tindak lanjut risiko untuk menentukan
tindakan manajemen yang sesuai, sumber daya, tanggung jawab dan
prioritas untuk mengelola risiko keamanan informasi.
2. Mengimplementasikan perencanaan tindak lanjut terhadap risiko dalam
rangka mencapai sasaran kontrol, yang termasuk pertimbangan pendanaan
dan alokasi peran dan tanggung jawab.
3. Mengimplementasikan kontrol yang telah dipilih untuk mencapai sasaran
kontrol.
4. Menentukan bagaimana mengukur efektivitas kontrol yang telah dipilih
dan menentukan bagaimana pengukuran ini digunakan untuk menilai
efektivitas kontrol untuk menghasilkan hasil yang dapat dibandingkan.
5. Mengimplementasikan program pelatihan dan kesadaran terhadap
keamanan informasi.
6. Mengelola operasional ISMS.
7. Mengelola sumber daya ISMS
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
26
Universitas Indonesia
8. Mengimplementasikan prosedur dan kontrol lainnya yang dapat
mendeteksi dan merespon adanya insiden keamanan.
Pada tahapan selanjutnya, dilakukan pengawasan dan peninjauan terhadap ISMS
yang sedang berjalan, dimana pada tahap ini ativitas-aktivitas yang dapat
dilakukan organisasi antara lain:
1. Menjalankan prosedur pengawasan dan peninjauan serta kontrol lainya.
2. Melakukan tinjauan berkala terhadap efektivitas ISMS (termasuk
dijalankannya kebijakan dan sasaran ISMS, serta tinjauan terhadap
kontrol-kontrol keamanan) dengan melihat kepada hasil dari audit
keamanan, insiden, hasil dari efektivitas pengukuran, saran dan feedback
dari seluruh pihak yang berkepentingan.
3. Mengukur efektivitas kontrol untuk memastikan bahwa kebutuhan
keamanan benar-benar terpenuhi.
4. Meninjau penilaian risiko pada jangka waktu tertentu dan meninjau sisa
risiko dan level risiko yang telah teridentifikasi dengan mepertimbangkan
perubahan organisasi, teknologi, tujuan dan proses bisnis, ancaman,
efektivitas dari kontrol yang berjalan, serta perubahan eksternal misalnya
perubahan peraturan hukum atau regulasi, perubahan kontrak kewajiban,
dan perubahan iklim sosial
5. Menjalankan audit internal ISMS sesuai jangka waktu yang telah
direncanakan
6. Melakukan tinjauan manajemen terhadap ISMS untuk memastikan ruang
lingkup ISMS tetap terpenuhi dan perbaikan pada proses ISMS
teridentifikasi.
7. Melakukan perbaharuan rencana dengan mempertimbangkan temuan
dalam aktivitas pengawasan dan peninjauan ISMS.
8. Menyimpan atau mendokumentasikan aktivitas dan event yang dapat
berdampak pada efektivitas maupun performansi ISMS.
Tahap terakhir pada siklus PDCA ISMS adalah menjaga dan melakukan
peningkatan ISMS. Organisasi secara berkala harus melakukan hal-hal di bawah
ini, yaitu:
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
27
Universitas Indonesia
1. Mengimplementasikan perbaikan yang teridentifikasi di ISMS
2. Mengambil tindakan korektif dan preventif. Mengaplikasikan lesson learnt
dari pengalaman terkait keamanan baik dari organisasi lain maupun dari
organisasi itu sendiri.
3. Mengkomunikasikan tindakan dan perbaikan tersebut kepada seluruh
pihak yang berkepentingan.
4. Memastikan perbaikan tersebut memenuhi sasaran yang diharapkan.
2.4.2. Domain, Kontrol, dan Kontrol Objektif ISO 27001
Dalam ISO 27001:2005 terdapat 11 domain, 39 kontrol objektif dan 133 kontrol
yang dapat dijadikan acuan untuk diimplementasikan guna memenuhi kebutuhan
manajemen keamanan informasi yang didapat dari hasil penilaian risiko. Kontrol-
kontrol ini diterapkan untuk menurunkan tingkat risiko keamanan informasi ke
tingkat yang dapat diterima.
Dalam implementasinya, tidak seluruh kontrol yang ada pada ISO 27001:2005
harus diterapkan oleh organisasi atau perusahaan. Setiap organisasi atau sistem
memiliki karakteristik yang berbeda-beda, sehingga ada beberapa kontrol ISO
27001:2005 yang tidak dapat diterapkan pada organisasi atau sistem tersebut.
Oleh karena itu, organisasi harus memilih kontrol yang relevan dengan subjek
atau ruang lingkup mereka. Kontrol-kontrol yang tidak relevan dengan kebutuhan
atau kondisi organisasi atau perusahaan, dimasukan ke dalam Statement of
Applicability, yang berisi kontrol mana saja yang akan diterapkan, serta justifikasi
atas kontrol-kontrol yang tidak akan diterapkan karena tidak relevan. Kontrol-
kontrol yang tidak relevan tersebut nantinya tidak akan menjadi ruang lingkup
pada saat audit. Domain dan kontrol objektif dari ISO 27001:2005 dapat dilihat
pada tabel di bawah ini:
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
28
Universitas Indonesia
Tabel 2.1 Domain dan Kontrol Objektif ISO 27001 Ref.Annex
A Domain & Kontrol Objektif
A.5 Security Policy A5.1 Information security policy A.6 Organization of information security
A.6.1 Internal Organization A6.2 External parties A.7 Asset Management
A.7.1 Responsibility for assets A.7.2 Information classification A.8 Human resources security
A.8.1 Prior to employment A.8.2 During employment A.8.3 Termination or change of employment A.9 Physical and environmental security
A9.1 Secure areas A9.2 Equipment security A10 Communications and operations management
A10.1 Operational procedures and responsibilities A10.2 Third party service delivery management A10.3 System planning and acceptance A10.4 Protection against malicious and mobile code A10.5 Back-up A10.6 Network security management A10.7 Media handling A10.8 Exchange of information A10.9 Electronic commerce services A10.10 Monitoring
A11 Access Control A11.1 Business requirement for access control A11.2 User access management A11.3 User responsibilities A11.4 Network access control A11.5 Operating system access control A11.6 Application and information access control A11.7 Mobile computing and Teleworking A12 Information systems acquisition, development and maintenance
A12.1 Security requirements of information systems A12.2 Correct processing in applications A12.3 Cryptographic controls A12.4 Security of system files A12.5 Security in development and support processes A12.6 Technical Vulnerability Management A13 Information security incident management
A13.1 Reporting information security events and weaknesses A13.2 Management of information security incidents and improvements A14 Business continuity management
A14.1 Information security aspects of business continuity management A15 Compliance
A15.1 Compliance with legal requirements A15.2 Compliance with security policies and standards, and technical compliance A15.3 Information system audit considerations
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
29
Universitas Indonesia
2.5. Penelitian Sebelumnya
Salah satu penelitian sejenis yang sebelumnya telah dilakukan adalah penelitian
yang dilakukan oleh Arief Budi Winarto mengenai Evaluasi Kinerja Manajemen
Risiko Keamanan Informasi Charging System : Studi Kasus PT XYZ (Winarto,
2012). Penelitian yang dilakukan Arief Budi Winarto adalah mengevaluasi kinerja
manajemen risiko keamanan sistem informasi pada Charging System dimana
sistem ini menyimpan aset informasi yang penting yang menjadi core business
perusahaan. Perusahaan ini menggunakan framework ISMS berbasis ISO
27001:2005 untuk melakukan proses pengamanan aset informasi penting
perusahaan terutama aset terkait Charging System. Dalam penelitian ini Arief
Budi Winarto mengevaluasi kinerja manajemen risiko terhadap Charging System
tersebut. Kemudian Arief Budi Winarto juga melakukan evaluasi terhadap kinerja
tata kelola TI terkait kemanan informasi dengan mengacu kepada Cobit 4.1.
Keluaran dari penelitian ini adalah nilai hasil analisa kesenjangan domain ISO
serta suatu rekomendasi strategi manajemen risiko keamanan informasi pada
Charging System perusahaan tempat penelitian ini dilakukan, yaitu berupa 14
rancangan kerja dan 5 kebijakan serta prosedur-prosedur terkait dengan
peningkatan kinerja control objective dalam upaya pengamanan aset informasi
Charging System.
Penelitian sejenis lainnya juga pernah dilakukan oleh Vinici Vasquera Silitonga
dalam penelitiannya yang berjudul “Perancangan Manajemen Risiko Pada PT.
XYZ dengan Menggunakan Metode NIST 800-30” pada tahun 2012 (Silitonga,
2012). Penelitian ini dilakukan terhadap sistem SAP perusahaan serta lingkungan
pendukung layanan sistem SAP di perusahaan tersebut. PT. XYZ telah
menerapkan sistem SAP untuk mendukung proses bisnisnya, namun belum ada
pengelolaan terhadap keamanan sistem informasi yang berisiko dapat
menghambat jalannya proses bisnis dan berpotensi menimbulkan kerugian. Dalam
melakukan perancangan manajemen risiko, Vinici Vasquera Silitonga
menggunakan kerangka kerja NIST 800-30 sebagai acuan dalam mengidentifikasi
masalah. Peneltian ini hanya terbatas pada fase penilaian risiko dan mitigasi
risiko, sedangkan fase implementasi dan evaluasi risiko tidak termasuk dalam
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
30
Universitas Indonesia
cakupan penelitian. Penilaian risiko dilakukan dengan 8 tahapan antara lain
mengidentifikasi karakteristik sistem, mengidentifikasi ancaman, mengidentifikasi
kelemahan, analisis kontrol, penentuan kemungkinan, analisa dampak, penentuan
level risiko, dan yang terakhir rekomendasi kontrol. Sedangkan mitigasi risiko
dilakukan dalam 5 tahapan antara lain prioritas aksi, mengevaluasi kontrol yang
direkomendasikan, analisa cost-benefit, penugasan tanggung jawab, dan
membangun rancangan implementasi keamanan. Keluaran dari penelitian ini
adalah suatu draft kebijakan keamanan sistem informasi untuk sistem SAP pada
perusahaan tempat penelitian ini dilakukan, yaitu berupa 10 kontrol kebijakan dan
standar keamanan sistem informasi yang dapat menjadi acuan bagi PT. XYZ
untuk mengelola 14 risiko yang ditemukan dalam penelitian ini.
Penelitian juga dilakukan oleh Yuliansyah Al’Rasyid dengan judul penelitian
“Analisa dan Kajian Model Kerangka Kerja Manajemen Risiko Teknologi
Informasi Studi Kasus pada PT. Rajawali Nusantara Indonesia” tahun 2009
(Al’Rasyid, 2009). Saat penelitian ini dilakukan, PT. Rajawali Nusantara
Indonesia belum memiliki pengelolaan manajemen risiko yang mungkin terjadi
sehingga memungkinkan timbulnya kerugian yang tidak diinginkan. Pada
penelitian ini, pertama dilakukan identifikasi dan pendefinisian area manajemen
risiko TI, kemudian dilakukan pemetaan manajemen risiko TI yang ada saat ini.
Setelah dilakukan pemetaan, dilakukan pengukuran dan analisa proses manajemen
risiko TI dengan menggunakan capability analysis. Tahapan lain yang dilakukan
adalah gap analysis manajemen risiko dengan mengacu kepada COBIT,
sedangkan untuk penyusunan kebijakan manajemen risiko digunakan standar
AU/NZS 4360-2004. Keluaran dari penelitian ini adalah 3 cakupan area
operasional manajemen risiko yaitu risiko ketersediaan, risiko keamanan, dan
risiko kemanfaatan TI terhadap proses bisnis.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
31 Universitas Indonesia
BAB 3 METODOLOGI PENELITIAN
Bab ini menjelaskan langkah-langkah dilakukannya penelitian yang digunakan
untuk pemecahan permasalahan penelitian dan mencapai tujuan penelitian.
Karya Akhir ini merupakan penelitian dengan menggunakan metode studi kasus,
dimana penelitian dilakukan terhadap permasalahan nyata yang ada di lapangan.
Penelitian ini dilakukan berdasarkan data kualitatif dan kuantitatif. Peneliti
melakukan pengamatan secara langsung terhadap obyek penelitian, melakukan
studi literatur, dan mengumpulkan data yang relevan untuk kemudian dilakukan
analisa agar dapat memberikan rekomendasi bagi perbaikan sistem di lokasi
tempat penelitian dilakukan, khususnya untuk manajemen risiko keamanan
informasi sesuai dengan ruang lingkup yang telah ditentukan.
3.1. Metode Pengumpulan Data
Dalam penelitian ini, data yang dijadikan acuan untuk melakukan evaluasi
terhadap manajemen risiko keamanan informasi dibagi menjadi dua, yaitu data
primer dan data sekunder.
a. Data primer
Data primer merupakan data yang diperoleh langsung dari sumber yang
relevan. Dalam penelitian ini, data primer didapat melalui wawancara
terhadap pihak terkait, pengisian assessment checklist, serta survei dan
observasi lapangan.
b. Data sekunder
Data sekunder merupakan data yang didapat melalui dokumen organisasi
maupun hasil penelitian yang dilakukan oleh orang lain. Dalam
penelitian ini, data sekunder didapat dari dokumen arsitektur teknologi
sistem provisioning gateway Telkom Flexi, dokumen kebijakan
perusahaan, serta dokumen pendukung studi literatur.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
32
Universitas Indonesia
3.2. Pola Pikir Penelitian
Pola pikir yang digunakan dalam penelitian ini adalah sebagai berikut:
Gambar 3.1 Pola Pikir Penelitian
Usulan perbaikan manajemen keamanan sistem informasi didapat dari hasil
analisa kesenjangan antara kontrol objektif yang ada pada ISO 27001:2005
dengan kontrol – kontrol yang telah diterapkan dalam mengelola keamanan
informasi sistem provisioning gateway. Gambaran dari kondisi manajemen sistem
informasi saat ini didapat berdasarkan hasil observasi di lapangan, melakukan
wawancara berdasarkan assessment checklist, serta berdasarkan dokumen –
dokumen perusahaan terkait kebijakan ataupun prosedur manajemen keamanan
sistem informasi.
3.3. Tahapan Penelitian
Penelitian dilakukan dalam dua bagian utama, yaitu pertama, akan dilakukan
evaluasi tingkat kematangan manajemen risiko keamanan informasi pada sistem
provisioning gateway Telkom Flexi, melalui analisis kesenjangan. Kemudian
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
33
Universitas Indonesia
yang kedua, akan dilakukan penilaian risiko untuk setiap aset terkait sistem
provisioning gateway sehingga dapat ditentukan rekomendasi kontrol keamanan
informasi.
Sedangkan untuk alur penelitian, dibagi ke dalam empat tahapan yaitu :
1. Tahap perencanaan
Pada tahap perencanaan dilakukan perumusan masalah dan studi literatur
teori pendukung dalam melakukan penelitian.
2. Tahap pengumpulan data
Tahap pengumpulan data dilakukan melalui wawancara dan pengisian
assessment checklist, serta studi dokumen perusahaan terkait kebijakan
dan prosedur keamanan informasi.
3. Tahap analisa
Pada tahap analisa dilakukan analisis kesenjangan, identifikasi dan
evaluasi risiko serta evaluasi kontrol.
4. Tahap penyelesaian
Pada tahap penyelesaian dilakukan penyusuan prosedur keamanan
informasi yang dijadikan sebagai rekomendasi perbaikan manajemen
keamanan informasi pada sistem provisioning gateway Telkom Flexi.
Tahapan penelitian dapat dilihat pada gambar di bawah ini:
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
34
Universitas Indonesia
Perumusan Masalah
Studi Literatur
Wawancara & pengisian
assessment checklist
Studi Dokumen Perusahaan
Gap Analysis
Identifikasi dan Evaluasi Risiko
Evaluasi Kontrol
Tahap Perencanaan
Tahap Pengumpulan
Data
Usulan perbaikan Manajemen
Keamanan Sistem Informasi
Tahap Analisa
Tahap Penyelesaian
Gambar 3.2 Tahapan Penelitian
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
35
Universitas Indonesia
Penjelasan dari setiap aktivitas pada gambar tahapan penelitian di atas adalah
sebagai berikut:
1. Melakukan perumusan masalah dimana di dalam perumusan masalah ini
dijabarkan tentang permasalahan yang diteliti. Dalam perumusan masalah
juga ditentukan ruang lingkup dan batasan manajemen keamanan
informasi yang menunjukan cakupan dari manajemen keamanan informasi
yang diimplementasikan ataupun yang akan dievaluasi.
2. Melakukan studi literatur dengan mempelajari teori-teori yang relevan
untuk melakukan analisis, diantaranya studi literatur mengenai manajemen
risiko, keamanan informasi, ISO 27001:2005, serta studi literatur terkait
penelitian-penelitian sejenis yang pernah dilakukan sebelumnya.
3. Pengumpulan data meliputi data primer dan data sekunder, diantaranya
data hasil wawancara, pengamatan langsung, pengisian assessment
checklist serta data perusahaan terkait sistem provisioning gateway. Pada
tahap pengumpulan data dilakukan penilaian terhadap manajemen
keamanan sistem informasi yang telah ada sebelumnya untuk
mendapatkan gambaran mengenai tingkat kematangan manajemen
keamanan sistem provisioning gateway saat ini.
4. Melakukan analisis kesenjangan manajemen risiko keamanan informasi
yang ada saat ini dengan kontrol objektif yang ada pada ISO 27001:2005.
Analisis kesenjangan dilakukan melalui assessment checklist yang
disesuaikan dengan kontrol objektif ISO 27001:2005.
5. Melakukan identifikasi dan evaluasi risiko keamanan sistem informasi.
Dalam identifikasi resiko, hal-hal yang dilakukan antara lain :
a. Mengidentifikasi semua aset yang berhubungan dengan ruang
lingkup sistem manajemen keamanan informasi serta orang atau
pihak yang bertanggung jawab terhadap produksi, pengembangan,
pemeliharaan, penggunaan, maupun keamanan dari aset tersebut.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
36
Universitas Indonesia
b. Mengidentifikasi ancaman yang ada pada aset-aset tersebut
c. Mengidentifikasi kerawanan yang mungkin dapat dieksploitasi
d. Mengidentifikasi dampak dari kehilangan aspek-aspek kerahasiaan,
integritas, dan ketersediaan yang ada pada aset tersebut.
Sedangkan dalam evaluasi risiko, dilakukan pemetaan nilai kecenderungan
(likelihood) dan analisa dampak bisnis dari ancaman dan kerawanan yang
ada, serta mengukur level resiko yang ada saat ini (inherent risk).
6. Melalukan evaluasi kontrol untuk menentukan rekomendasi kontol yang
perlu diterapkan dalam menjaga keamanan informasi sistem provisioning
gateway, dilihat berdasarkan tingkat risiko yang didapat dari hasil
identifikasi dan evaluasi risiko.
7. Rekomendasi perbaikan prosedur yang langsung dapat dijadikan acuan
untuk melakukan perbaikan proses manajemen risiko keamanan informasi
sistem provisioning gateway Telkom Flexi.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
37 Universitas Indonesia
BAB 4 PROFIL PERUSAHAAN
Bab ini berisi uraian mengenai profil perusahaan, serta peran dan pembagian
fungsi kerja yang dapat dilihat dari struktur organisasi. Profil yang diuraikan
adalah profil dari Divisi Information System Center (ISC) sebagai pengembang,
pengelola, dan penanggung jawab sistem provisioning gateway Telkom Flexi.
4.1. Gambaran Singkat Perusahaan
PT Telekomunikasi Indonesia, Tbk (Telkom) merupakan Badan Usaha Milik
Negara yang bergerak dalam bidang penyediaan layanan telekomunikasi dan
jaringan di wilayah Indonesia. Sebagai perusahaan milik negara, saham Telkom
mayoritas dimiliki oleh Pemerintah Republik Indonesia, sedangkan sisanya
dimiliki oleh publik. Saham perusahaan ini diperdagangkan di Bursa Efek
Indonesia (BEI), New York Stock Exchange (NYSE), London Stock Exchange
(LSE) dan public offering without listing (POWL) di Jepang.
Layanan telekomunikasi dan jaringan Telkom sangat luas dan beragam meliputi
layanan dasar telekomunikasi domestik dan internasional, baik menggunakan
jaringan kabel, nirkabel tidak bergerak (Code Division Multiple Access atau
CDMA) maupun Global System for Mobile Communication (GSM) serta layanan
interkoneksi antar operator penyedia jaringan. Di luar layanan telekomunikasi,
Telkom juga berbisnis di bidang Multimedia berupa konten dan aplikasi,
melengkapi portofolio bisnis perusahaan yang disebut TIMES
(Telecommunication, Information, Media, Edutainment, dan Services). Bisnis
telekomunikasi merupakan fundamental platform bisnis Telkom yang bersifat
legacy, sedangkan portofolio bisnis lainnya disebut sebagai new wave yang
mengarahkan perusahaan untuk berinovasi pada produk berbasis kreatif digital.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
38
Universitas Indonesia
4.2. Visi dan Misi Perusahaan
Visi perusahaan :
“Menjadi perusahaan yang unggul dalam penyelenggaraan TIMES di kawasan
regional.”
Misi perusahaan :
• Menyediakan layanan TIMES yang berkualitas tinggi dengan harga yang
kompetitif.
• Menjadi model pengelolaan korporasi terbaik di Indonesia.
4.3. Organisasi Divisi Information System Center (ISC)
4.3.1. Lingkup Peran Divisi Information System Center (ISC)
Information System Center (ISC) adalah unit bisnis Telkom yang merupakan
organisasi di bawah Direktorat IT, Solution & Supply yang memiliki peran
sebagai pengelola sistem informasi untuk seluruh unit organisasi yang ada di
Telkom. Untuk tercapainya kinerja sistem informasi perusahaan yang optimal,
ISC dibentuk untuk menjalankan peran:
a. Penyelenggara dukungan sistem informasi perusahaan untuk
mengkondisikan efektifitas penyelenggaraan proses bisnis perusahaan;
b. Penyelenggara operasi pendayagunaan sarana dan prasaranan TI dalam
rangka mengimplementasikan kebijakan TI bisnis perusahaan pada
lingkup TelkomGroup.
Untuk mendukung peran tersebut, ISC mengelola aktivitas utama sebagai berikut:
a. Pengembangan aplikasi untuk dukungan sistem informasi pada
penyelenggaraan proses bisnis perusahaan (aplikasi untuk pengelolaan
pelanggan, infrastruktur bisnis, dan enterprise);
b. Penyelenggaraan operasi pendayagunaan sarana dan prasarana TI;
c. Penyelenggaraan operasi internet, customer data management, dan
dukungan sistem informasi untuk bisnis dan enterprise;
d. Pengelolaan fungsi technostructure untuk penyelenggaraan organisasi ISC;
e. Pengimplementasian kebijakan perusahaan di bidang operasional TI;
f. Pengembangan layanan operasional dan pemeliharaan TI yang ada;
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
39
Universitas Indonesia
g. Pengelolaan seluruh aplikasi sistem informasi di unit-unit kerja Telkom;
h. Pengelolaan perubahan dan performansi TI yang ada;
Pengelolaan temporary/transisi di bidang TI.
4.3.2. Struktur Organisasi Divisi Information System Center (ISC)
Organisasi Information System Center (ISC) terdiri atas:
1. Pimpinan Information System Center (ISC) yaitu :
a. Senior General Manager (SGM) ISC;
b. Deputy Senior General Manager (Deputy SGM) ISC.
2. Pengelola fungsi-fungsi pengembangan Information System Center (ISC)
yaitu :
a. Bidang OSS Application Development;
b. Bidang Business Application Development;
c. Bidang Enterprise Application Development;
d. Bidang Infrastructure Development.
3. Pengelola fungsi dukungan manajemen yaitu :
a. Bidang Planning & Controlling;
b. Bidang General Support.
4. Pengelola operasional dan layanan TI yaitu :
a. Sub Unit IS CS;
b. Sub Unit IS EWS;
c. Sub Unit IS PO Service;
d. Sub Unit IS PO Infrastructure;
e. Sub Unit Customer Data Management;
f. Sub Unit IS Service Support Management;
g. Sub Unit IS Shared Service Operation;
h. Sub Unit IS Business, Customer & Enterprise Operation.
Struktur organisasi Divisi Information System Center (ISC) dapat dilihat pada
gambar di bawah ini:
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
40
Universitas Indonesia
Gambar 4.1 Struktur Organisasi Divisi IS Center
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
41 Universitas Indonesia
BAB 5 ANALISA DAN PEMBAHASAN
Bab ini berisi pemaparan mengenai analisa yang dilakukan melalui metodologi
yang telah ditentukan sebelumnya, untuk menjawab permasalahan penelitian.
5.1. Penentuan Ruang Lingkup
Langkah pertama dalam melakukan penilaian terhadap manajemen keamanan
sistem informasi adalah menentukan ruang lingkup. Ruang lingkup adalah apa
saja yang akan dinilai dan sejauh mana penilaian terhadap manajemen keamanan
sistem informasi dilakukan. Dalam penelitian ini, ruang lingkup yang diteliti
adalah sistem provisioning gateway Telkom Flexi, dimana ruang lingkup ini
meliputi organisasinya, lokasinya, serta aset dan teknologi yang berhubungan
dengan sistem provisioning gateway.
Adapun ruang lingkup yang dimaksud di atas antara lain :
1. Organisasi, yaitu Telkom Flexi dan ISC (Information System Center)
sebagai pemilik dan pengelola sistem provisioning gateway.
2. Lokasi, yaitu Ruang Server STO Gambir dan Ruang Server STO Kota.
3. Aset dan Teknologi, yaitu :
a. Teknologi, meliputi aplikasi i-Nefi, Server Nefi 1, Server Nefi 2,
Load Balancer, Access Point, PC dan laptop, media penyimpanan,
sistem operasi, basis data, antivirus, dan source code;
b. Data dan informasi, meliputi user management, command
management, konfigurasi routing, entity profile, log transaksi, SOP
dan dokumen teknis;
c. Pengguna layanan, meliputi system admin, staf operasional VaS,
dan mitra kerja;
d. Fasilitas pendukung, meliputi listrik, HVAC, UPS, dan CCTV.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
42
Universitas Indonesia
5.2. Infrastruktur Teknologi Informasi
Arsitektur teknologi sistem provisioning gateway Telkom Flexi saat ini dapat
dilihat pada gambar di bawah ini.
Gambar 5.1 Infrastruktur Sistem Provisioning Gateway Telkom Flexi
i-NEFI sebagai provisioning gateway menggunakan teknologi sebagai berikut:
1. Java berbasis Spring framework yang sudah teruji kehandalannya dalam
membangun sistem besar dengan pola MVC (Model, View, Controller)
2. Netbeans sebagai IDE (Interface Development Enviorenment) yang
memungkinkan pembuatan solusi berbasis platform Java dengan biaya
lisensi nol.
3. Protokol standar interfacing http post dan socket yang memungkinkan
multi koneksi antara node dapat dilakukan secara akurat dan aman .
4. Web application server dimana aplikasi i-NEFI berbasis Spring dideploy.
5. Load Balancer sebagai penyedia fitur high availability pada server
redundansi menggunakan metoda round-robin dengan pembobotan.
6. Database MySQL yang menggantikan database proprietary commercial.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
43
Universitas Indonesia
5.3. Kondisi Manajemen Keamanan Sistem Informasi Saat Ini
Untuk mendapatkan gambaran terhadap tingkat kematangan manajemen risiko
keamanan sistem informasi yang telah diterapkan oleh organisasi terhadap sistem
provisioning gateway, maka dilakukan pengamatan langsung dan wawancara
dengan pihak terkait. Pengamatan langsung dan wawancara didasarkan pada
assessment checklist, dimana didalamnya berisi pertanyaan-pertanyaan mengenai
implementasi manajemen keamanan sistem informasi yang mengacu kepada
domain dan kontrol yang ada pada ISO 27001:2002.
Untuk setiap pertanyaan assessment diberi nilai dalam bentuk presentase dengan
melihat kepada ada atau tidaknya prosedur, serta dijalankan atau tidaknya kontrol
terkait keamanan sistem informasi. Acuan penilaian beserta keterangannya adalah
sebagai berikut:
Tabel 5.1 Penilaian Untuk Assessment Checklist
Nilai (%) Keterangan 0 Prosedur belum ada dan belum ada kontrol yang dilaksanakan
25 Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
50 Prosedur belum ada dan kontrol sudah dilaksanakan
75 Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
100 Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Pengisian assessment checklist dilakukan bersama dengan pihak dari Divisi IS
Center yang mengembangkan dan mengelola sistem provisioning gateway
Telkom Flexi. Pengisian assessment checklist dilakukan oleh responden melalui
diskusi bersama. Kualifikasi responden adalah sebagai berikut:
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
44
Universitas Indonesia
Tabel 5.2 Kualifikasi Responden
Responden Deskripsi 1 • Merupakan key person perihal teknis pengembangan dan
pengelolaan sistem Provisioning Gateway • Menerima laporan secara rutin dari mitra terkait performansi
sistem Provisioning Gateway 2 • Merupakan administrator aplikasi i-Nefi
• Terlibat sejak awal dalam pengembangan sistem, mulai dari inisiasi, pengetesan, migrasi, dan go live aplikasi
• Menerima laporan secara rutin dari mitra terkait performansi sistem Provisioning Gateway
Daftar pertanyaan dan nilai sesuai nilai yang telah diisi dapat dilihat pada
Lampiran 1 Karya Akhir ini.
5.4. Analisa Kesenjangan (Gap Analysis)
Setelah seluruh pertanyaan assessment diberi nilai yang sesuai, nilai tersebut
dikelompokan berdasarkan kontrol dan berdasarkan domain ISO 27001:2002.
Nilai yang didapat kemudian dirata-rata dari setiap pertanyan assessment per
kontrol dan per domain. Perhitungan tersebut dilakukan untuk melihat seberapa
jauh kesesuaian implementasi manajemen keamanan sistem informasi
provisioning gateway Telkom Flexi dengan kontrol objektif dari ISO 27001:2002.
Hasil perhitungan nilai kesesuaian atau kematangan per domain ISO 27001:2002
tersebut dapat dilihat pada Tabel 5.3. Dari tabel 5.3 di bawah ini dapat dilihat
bahwa domain ISO 27001:2005 yang 100% sesuai dengan kontrol dan kontrol
objektif adalah domain Security Policy. Ini berarti IS Center telah memiliki
kebijakan keamanan informasi, dimana kebijakan yang dijadikan acuan keamanan
informasi sistem provisioning gateway adalah kebijakan keamanan informasi
perusahaan. Sedangkan nilai kesesuaian terendah berada pada domain Asset
Management, dikarenakan belum ada prosedur dan pembagian kerja yang jelas
terkait pengelolaan aset terkait sistem provisioning gateway, serta masih
rendahnya kesadaran pihak-pihak yang terkait terhadap pentingnya mengelola aset
perusahaan.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
45
Universitas Indonesia
Tabel 5.3 Nilai Kesesuaian Berdasarkan Domain
DomainKeadaan Saat
Ini (%)
Security Policy 100,00
Organization of information security 77,38
Asset management 58,33
Human resources security 76,39
Physical and environmental security 79,58
Communications and operations management
66,00
Access Control 84,40
Information systems acquisition, development and maintenance
69,79
Information security incident management 77,08
Business continuity management 65,00
Compliance 73,61
Selain dilihat per domain, kondisi manajemen keamanan informasi sistem
provisioning gateway juga dapat dilihat berdasarkan kontrol objektif, untuk
melihat dengan lebih detail area ISO 27001 yang penerapannya belum maksimal
pada sistem provisioning gateway ini. Nilai kesesuaian atau kematangan
berdasarkan setiap kontrol objektif ISO 27001:2005 dapat dilihat pada Tabel 5.4.
Dari perhitungan nilai kesesuaian, secara keseluruhan didapatkan bahwa tingkat
kematangan manajemen risiko keamanan sistem provisioning gateway Telkom
Flexi terhadap kontrol-kontrol ISO 27001:2005 adalah 75.23% yang didapat dari
perhitungan rata-rata nilai kesesuaian (status) per domain.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
46
Universitas Indonesia
Tabel 5.4 Nilai Kesesuaian Berdasarkan Kontrol Objektif
Domain Control Objectives Status (%)
Information security policy 100,00 100,00
Internal organization 71,43 External parties 83,33
77,38 Responsibility for assets 66,67 Information classification 50,00
58,33 Prior to employment 83,33 During employment 62,50 Termination or change of employment 83,33
76,39 Secure areas 80,00 Equipment security 79,17
79,58 Operational procedures and responsibilities 70,00 Third party service delivery management 83,33 System planning and acceptance 62,50 Protection against malicious and mobile code 62,50 Back‐up 75,00 Network security management 91,67 Media handling 75,00 Exchange of information 65,00 Electronic commerce services ‐ Monitoring 75,00
66,00 Business requirement for access control 75,00 User access management 87,50 User responsibilities 68,75 Network access control 92,86 Operating system access control 91,67 Application and information access control 87,50 Mobile computing & teleworking 87,50
84,40 Security requirements of information systems 75,00 Correct processing in applications 62,50 Cryptographic controls 87,50 Security of system files 75,00 Security in development and support processes 68,75 Technical Vulnerability Management 50,00
69,79 Reporting information security events and weaknesses
87,50
Management of information security incidents and improvements
66,67
77,08 Information security aspects of business continuity management
65,00
65,00 Compliance with legal requirements 83,33 Compliance with security policies and standards, and technical compliance
75,00
Information systems audit considerations 62,50 73,61
Access Control
Information systems acquisition, development and maintenance
Information security incident management
Business continuity management
Compliance
Security Policy
Organization of information security
Asset management
Human resources security
Physical and environmental security
Communications and operations management
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
47
Universitas Indonesia
Dalam bentuk radar chart, dapat dilihat kesenjangan manajemen risiko keamanan
sistem informasi per domain ISO 27001:2005 sebagai berikut:
Gambar 5.2 Chart Hasil Analisis Kesenjangan
5.5. Metode Analisa Risiko
Analisa risiko merupakan proses untuk mengidentifikasi, memprioritaskan, dan
memitigasi risiko. Dalam melakukan analisa risiko, beberapa tahapan yang
dilakukan antara lain mengidentifikasi risiko yang dilihat dari ancaman dan
kerawanan yang dapat timbul dari suatu aset serta dampak yang akan
mempengaruhi bisnis perusahaan, melakukan evaluasi terhadap risiko, serta
mengevaluasi beberapa pilihan penanganan risiko. Analisa risiko ini digunakan
sebagai dasar pemilihan kontrol yang akan dilakukan dalam memitigasi risiko
yang ada.
1. Melakukan identifikasi risiko, tahapan yang dilakukan antara lain:
a. Identifikasi aset
Aset-aset yang akan diidentifikasi adalah berupa aset teknologi,
aset data dan informasi, aset fasilitas pendukung, serta aset sumber
daya manusia. Aset-aset yang dinilai hanyalah aset yang
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
48
Universitas Indonesia
mempunyai dampak bagi bisnis perusahaan bila kerahasiaan dan
integritas dari aset tersebut dilanggar, serta ketersediaannya tidak
terjamin.
b. Identifikasi ancaman dan kerawanan
Pada proses ini dilakukan identifikasi terhadap ancaman dari setiap
aset. Ancaman yang diidentifikasi ini kemudian dikorelasikan
dengan aset yang telah diidentifikasi sebelumnya. Selanjutnya
dilakukan pula identifikasi kerawanan dari aset dan dikorelasikan
juga dengan ancaman yang ada.
c. Identifikasi dampak atas hilangnya kerahasiaan (confidentiality),
integritas (integrity), dan ketersediaan (availability) yang mungkin
timbul dari aset.
2. Melakukan evaluasi terhadap risiko
Evaluasi terhadap risiko dilakukan dengan cara menilai kecenderungan
terjadinya kegagalan keamanan sistem informasi terkait dengan ancaman
dan kerawanan, serta dampak yang berhubungan dengan aset, berikut
dengan kontrol yang saat ini diimplementasikan. Tujuan dari evaluasi
risiko adalah mendapatkan tingkat atau level tingginya risiko per aset
sehingga nantinya dapat diputuskan perlakuan terhadap risiko, apakah
risiko tersebut akan diterima dan dimitigasi, ditolak, atau ditransfer ke
pihak lain. Di bawah ini dapat dilihat tabel parameter nilai kecenderungan
terjadinya risiko.
Tabel 5.5 Parameter Tingkat Kecenderungan Terjadi Risiko
Jarang Sedang Sering
Insidentil Kemungkinan terjadi kurang dari 5 kali dalam 5 tahun
Kemungkinan terjadi 6 ‐ 10 kali dalam 5 tahun
Kemungkinan terjadi 11 ‐ 15 kali dalam 5 tahun
Peluang Terjadi
Mungkin terjadi Kadang‐kadang terjadi
Hampir pasti terjadi
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
49
Universitas Indonesia
Sedangkan untuk kriteria tingkatan besarnya dampak risiko berdasarkan
faktor finansial dan non finansial perusahaan dapat dilihat pada tabel di
bawah ini.
Tabel 5.6 Parameter Tingkat Dampak Risiko
Rendah Sedang Tinggi
Financial Kerugian Aktual / Potensi / Opportunity
0% < unconsolidated monthly revenue ≤ 0.25%
0.25% < unconsolidated monthly revenue ≤ 2.5%
unconsolidated monthly revenue > 2.5%
Non Financial
Reputasi (area publikasi)
Publikasi negatif pada skala kabupaten / kota madya
Publikasi negatif pada skala provinsi
Publikasi negatif pada skala nasional
Gangguan operasional (waktu non operasi)
0 menit < downtime≤ 1 menit
1 menit < downtime< 10 menit
downtime ≥ 10 menit
3. Melakukan pengukuran nilai risiko saat ini (inheren risk). Nilai inheren
risk merupakan nilai yang menunjukan tingkat risiko pada aset dengan
mengimplementasikan kontrol yang ada. Nilai inheren risk didapat dari
hasil pemetaan nilai kecenderungan terjadinya risiko atau kegagalan
keamanan sistem informasi (likelihood) serta nilai dampak (impact).
Pengukuran tingkat risiko saat ini (inheren risk) dari hasil pemetaan
tersebut dapat dilihat pada tabel di bawah ini.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
50
Universitas Indonesia
Tabel 5.7 Pengukuran Nilai Inheren Risk
Kecenderungan (Likelihood)
Jarang (0.1)
Sedang (0.5)
Sering (1)
Dampak (Impact)
Rendah (10)
Rendah (10*0.1=1)
Sedang (10*0.5=5)
Sedang (10*1=10)
Sedang (50)
Sedang (50*0.1=5)
Tinggi (50*0.5=25)
Tinggi (50*1=50)
Tinggi (100)
Tinggi (100*0.1=10)
Tinggi (100*0.5=50)
Kritis (100*1=100)
Tingkat kecenderungan terjadinya risiko diberi nilai dengan skala 0.1 – 1,
begitu pula tingkatan besaran dampak dari risiko diberi nilai 10 – 100.
Dari nilai dampak dan kecenderungan tersebut, didapatkan nilai inheren
risk dengan skala nilai 0 – 1 untuk Rendah, 5 – 10 untuk Sedang, 10 – 50
untuk Tinggi, dan 50 - 100 untuk Kritis.
4. Melakukan evaluasi kontrol dengan melihat kepada hasil analisa
kesenjangan antara kondisi manajemen keamanan sistem informasi saat ini
dengan kontrol dan kontrol objektif yang ada pada ISO 27001:2005.
Kontrol dan kontrol objektif ISO 27001:2005 yang dipilih hanya yang
relevan dengan ruang lingkup sistem provisioning gateway Telkom Flexi.
Kontrol-kontrol yang tidak relevan akan dimasukan ke dalam Statemant of
Applicability.
5. Melakukan pengukuran nilai risiko akhir (residual risk). Nilai residual risk
merupakan nilai tingkat risiko yang diharapkan setelah menerapkan
kontrol. Penentuan nilai residual risk juga berdasar kepada hasil pemetaan
kecenderungan terjadinya risiko (likelihood) dan nilai dampak (impact).
Pengukuran tingkat risiko akhir (residual risk) dari hasil pemetaan dampak
dan kecenderungan setelah kontrol baru diterapkan dapat dilihat pada tabel
di bawah ini.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
51
Universitas Indonesia
Tabel 5.8 Pengukuran Nilai Residual Risk
Kecenderungan (Likelihood)
Jarang (0.1)
Sedang (0.5)
Sering (1)
Dampak (Impact)
Rendah (10)
Hilang Sedang
(10*0.5=5) Sedang
(10*1=10)
Sedang (50)
Sedang (50*0.1=5)
Tinggi (50*0.5=25)
Tinggi (50*1=50)
Tinggi (100)
Tinggi (100*0.1=10)
Tinggi (100*0.5=50)
Kritis (100*1=100)
Sama seperti pengukuran nilai inheren risk, tingkat kecenderungan
terjadinya risiko diberi nilai dengan skala 0.1 – 1, begitu pula tingkatan
besaran dampak dari risiko diberi nilai 10 – 100. Dari nilai dampak dan
kecenderungan tersebut, didapatkan nilai residual risk dengan skala nilai 5
– 10 untuk Sedang, 10 – 50 untuk Tinggi, dan 50 - 100 untuk Kritis.
Apabila dampak yang diharapkan setelah implementasi kontrol menjadi
rendah, dan kecenderungan menjadi jarang, maka dianggap risiko menjadi
hilang.
5.6. Identifikasi Risiko
Setelah mendapatkan gambaran terhadap tingkat kematangan manajemen
keamanan sistem informasi provisioning gateway Telkom Flexi, selanjutnya
dilakukan identifikasi terhadap risiko yang muncul terhadap obyek penelitian.
Identifikasi risiko dilakukan dengan terlebih dahulu mengidentifikasi aset-aset apa
saja yang terkait dengan obyek penelitian. Kemudian dilakukan identifikasi
terhadap ancaman, kerawanan, dan dampak dari setiap aset tersebut.
5.6.1. Identifikasi Aset
Berdasarkan pengamatan dan melihat arsitektur sistem provsioning gateway
Tekom Flexi, maka didapat daftar aset yang berada dalam ruang lingkup sistem
tersebut. Aset terbagi menjadi aset teknologi, aset data dan informasi, aset fasilitas
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
52
Universitas Indonesia
pendukung, serta aset sumber daya manusia. Adapun aset-aset tersebut adalah
sebagai berikut:
Tabel 5.9 Daftar Aset
No Aset Klasifikasi Pemilik
1 Aplikasi i‐NEFI Vital ISC2 Server NEFI 1 Vital ISC3 Server NEFI 2 Vital ISC4 Load Balancer Vital ISC5 Access Point Important ISC6 PC dan Laptop Important User7 Storage Device Important ISC8 Sistem Operasi (Ms. Windows Server 2003 & Windows XP)
Important ISC
9 MySQL Important ISC10 Antivirus Important ISC11 Source Code Important ISC
1 User management Vital ISC2 Command management Vital ISC3 Konfigurasi routing Vital ISC4 Entity Profile Secondary ISC5 Log transaksi Important ISC6 SOP & Technical Document Important ISC
1 Admin Vital ISC2 User Important ISC & DWB3 Mitra Important ‐
1 Ruang Server STO Gambir Vital DWB2 Ruang Server STO Kota Vital DWB3 Listrik Vital DWB4 HVAC Vital DWB5 UPS Important DWB6 CCTV Secondary DWB
Aset Teknologi
Aset Data dan Informasi
Aset Sumber Daya Manusia
Aset Pendukung
5.6.2. Identifikasi Ancaman dan Kerawanan
Setelah aset yang berada dalam ruang lingkup obyek penelitian diidentifikasi,
proses selanjutnya adalah melakukan identifikasi terhadap ancaman (threat) dan
kerawanan (vulnerability) yang mungkin timbul dari masing-masing aset tersebut.
Adapun kerawanan yang telah diidentifikasi adalah sebagai berikut:
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
53
Universitas Indonesia
Tabel 5.10 Identifikasi Kerawanan (Vulnerabilities)
No. Kerawanan (Vulnerabilities) Kode 1 Penggunaan dan pengamanan hak akses yang tidak tepat,
seperti dilakukannya sharing password V1
2 Password dan user ID ditulis di sticky notes dan ditempel di beberapa PC
V2
3 Tidak diperbaharuinya versi perangkat lunak dan patching yang terlambat
V3
4 File sharing dilakukan melalui media yang tidak tepat, dan tanpa prosedur yang sesuai
V4
5 Penyimpanan data dan informasi di media portable storage V5
6 Proses kerja utama masih bergantung pada sedikit orang (serta melekat ke orang, bukan posisi pekerjaan)
V6
7 Pemeliharaan sistem oleh pihak ketiga/mitra tidak terpantau V7 8 Beberapa perangkat IT tidak terawat dengan baik V8 9 Permintaan perubahan sistem sering tidak dilakukan melalui
prosedur change request yang formal V9
10 Penggunaan software bajakan di beberapa PC V10 11 Access Control pintu ruangan tidak digunakan V11 12 Meninggalkan perangkat kerja tanpa 'logout' (misal PC, laptop) V12 13 Backup data tidak dijalankan secara rutin V13 14 Kurangnya dokumentasi perubahan konfigurasi V14 15 Kurangnya pengetahuan dan kesadaran SDM tentang keamanan
sistem informasi V15
16 Fasilitas pendukung kurang dikelola dengan baik (misal catu daya, pendingin ruangan)
V16
17 Penggunaan perangkat kerja pribadi untuk pengolahan informasi
V17
18 Dokumen hardcopy yang sifatnya rahasia diletakan di sembarang tempat
V18
19 Update antivirus di perangkat kerja yang tidak menggunakan antivirus resmi perusahaan, tidak dilakukan secara berkala
V19
20 Sering dilakukannya pengiriman data perusahaan menggunakan email publik (contoh: gmail, yahoo)
V20
Sedangkan ancaman yang telah diidentifikasi dari aset adalah sebagai berikut:
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
54
Universitas Indonesia
Tabel 5.11 Identifikasi Ancaman (Threat)
No. Ancaman (Threat) Kode 1 Akses yang tidak berhak dari pihak eksternal yang mengancam
kerahasiaan ketersediaan, dan integritas data dan informasi T1
2 Akses yang tidak berhak dari pihak internal yang mengancam kerahasiaan ketersediaan, dan integritas data dan informasi
T2
3 Perusakan aset fisik secara disengaja T3 4 Kerusakan perangkat keras, perangkat lunak, dan fasilitas
pendukung T4
5 SDM utama sakit, berhalangan hadir, atau resign T5 6 Perubahan konfigurasi yang tidak terkontrol T6 7 Server Overload T7 8 Serangan virus, worm, atau trojan T8 9 Manipulasi data, perubahan data yang tidak sah T9 10 Kesalahan operasional yang dilakukan personel/staf/mitra T10 11 Pencurian dokumen T11 12 Pencurian perangkat T12 13 Gempa bumi, kebakaran, kerusuhan T13
5.7. Evaluasi Risiko
Risiko-risiko yang telah diidentifikasi kemudian di evaluasi tingkat risikonya
berdasarkan dampak dan kecenderungan untuk mendapatkan nilai risiko dasar
(inheren risk). Sebelumnya terlebih dahulu dilakukan pemetaan kerawanan,
ancaman, dan dampak apa saja yang ada pada masing-masing aset. Kemudian
diidentifikasi kontrol apa saja yang telah dijalankan pada setiap aset tersebut.
Langkah selanjutnya adalah memberikan penilaian terhadap kecenderungan dan
dampak untuk setiap aset dengan acuan nilai seperti pada Tabel 5.4 dan Tabel 5.5.
Setelah kecenderungan dan dampak diberi nilai, maka kemudian dilakukaan
pengukuran nilai inheren risk berdasarkan pemetaan pada Tabel 5.6. Nilai inheren
risk untuk setiap aset yang telah teridentifikasi adalah sebagai berikut.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
55
Universitas Indonesia
Tabel 5.12 Nilai Inheren Risk
Dampak KecenderunganNilai Risiko
Dasar1 Apl ikasi i ‐NEFI V1, V7, V9, V14 T1, T2, T6, T10 I1, I3, I4, I5 Tinggi
90Tinggi
1Kritis90
2 Server NEFI 1 V1, V2, V3, V7, V8, V13
T1, T2, T3, T4, T7, T8, T12
I1, I2, I3, I4, I5, I6
Tinggi100
Sedang0.5
Tinggi50
3 Server NEFI 2 V1, V2, V3, V7, V8, V13
T1, T2, T3, T4, T7, T8, T12
I1, I2, I3, I4, I5, I6
Tinggi100
Sedang0.5
Tinggi50
4 Load Balancer V1, V2, V3, V7, V8 T3, T4, T6, T8, T12
I1 Sedang50
Jarang0.1
Sedang5
5 Access Point V8 T3, T4, T6, T12 I1, I6, I8 Rendah10
Jarang0.1
Rendah1
6 PC dan Laptop V1, V2, V8, V10, V11, V12, V17, V19
T3, T4, T8, T12 I1, I6, I8 Sedang50
Sedang0.5
Tinggi25
7 Storage Device V4, V5, V8, V13 T3, T4, T8, T11, T12
I1, I2, I3, I4, I6 Tinggi100
Sedang0.5
Tinggi50
8 Sistem Operasi (Ms. Windows Server 2003 & Windows XP)
V3, V10 T8 I1 Tinggi100
Jarang0.1
Tinggi10
9 MySQL V1, V3, V13 T1, T2, T4, T8, T9, T10
I1, I3, I4, I5 Sedang50
Sedang0.5
Tinggi25
10 Antivirus V3, V10, V19 T8 I1, I6, I8 Sedang50
Sedang0.5
Tinggi25
11 Source Code V2, V13, V15 T1, T2, T9, T11 I2 Tinggi100
Jarang0.1
Tinggi10
12 User management V1, V2, V13, V15 T1, T2, T9, T11 I1, I3, I4, I5 Tinggi100
Sedang0.5
Tinggi50
13 Command management
V2, V13, V14, V15 T1, T2, T9, T11 I1, I3, I4, I5 Tinggi100
Tinggi1
Kritis100
14 Konfigurasi routing V2, V13, V14, V15 T1, T2, T9, T11 I1, I3, I4, I5 Tinggi100
Sedang0.5
Tinggi50
15 Entity Profi le V2, V13, V15 T1, T2, T9, T11 I1, I3, I4, I5 Sedang50
Jarang0.1
Sedang5
16 Log transaksi V13 T1, T2, T9, T11 I1, I7 Sedang50
Sedang0.5
Tinggi25
17 SOP & Technical Document
V5, V18 T1, T2, T9, T11 I1, I2, I8 Sedang50
Sedang0.5
Tinggi25
18 Staf Teknis V6, V12, V15, V17, V20
T5, T10 I1, I3, I8 Tinggi100
Sedang0.5
Tinggi50
19 User V6, V12, V15, V17, V20
T5, T10 I1, I3, I8 Tinggi100
Sedang0.5
Tinggi50
20 Mitra V7, V12, V15, V17, V20
T5, T10 I1, I2, I3, I8 Tinggi100
Sedang0.5
Tinggi50
21 Ruang Server STO Gambir
V11 T13 I1, I5 Tinggi100
Jarang0.1
Tinggi10
22 Ruang Server STO Kota
V11 T13 I1, I5 Tinggi100
Jarang0.1
Tinggi10
23 Listrik V16 T4 I1, I5 Tinggi100
Sedang0.5
Tinggi50
24 HVAC V16 T4 I1, I5 Sedang50
Jarang0.1
Sedang5
25 UPS V16 T4 I1, I5 Tinggi100
Jarang0.1
Tinggi10
26 CCTV V16 T4, T12 I7 Rendah10
Jarang0.1
Rendah1
InherenNo Aset
Kerawanan (Vulnerabilities)
Ancaman (Threat)
Dampak (Impact)
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
56
Universitas Indonesia
Nilai inheren risk merupakan nilai tingkat risiko ketika pada saat kontrol yang ada
saat itu diimplementasikan. Dari tabel di atas terlihat bahwa terdapat dua aset
yang memiliki risiko kritis, dan 19 aset dengan nilai risiko tinggi. Untuk
mengurangi risiko tersebut ke tingkat yang dapat diterima oleh perusahaan, maka
perlu diimplementasikan kontrol yang tepat. Harapan tingkatan risiko setelah
menerapkan kontrol baru adalah nilai dari residual risk. Nilai residual risk didapat
melalui pemetaan dampak dan kecenderungan seperti pada Tabel 5.7. Berdasarkan
pengukuran residual risk yang dilakukan, tidak ada lagi aset dengan nilai resiko
kritis, sedangkan untuk jumlah aset dengan risiko tinggi turun menjadi 8 aset.
Dari setiap kontrol dan kontrol objektif per aset, disusun rencana kerja dengan
waktu penyelesaiannya. Implementasi rencana kerja akan dilakukan mulai dari
triwulan 3 2013 sampai dengan triwulan 1 2014, tergantung kebutuhan biaya dan
ketersediaan sumber daya manusia.
Nilai residual risk untuk tiap-tiap aset dan serta kontrol dan kontrol objektif yang
direkomendasikan untuk diterapkan berikut rencana kerja dan target
penyelesaiannya dituangkan dalam satu tabel penilaian risiko (risk assessment)
seperti pada Tabel 5.12 di bawah ini.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
57
Universitas Indonesia
Tabel 5.13 Hasil Penilaian Risiko (Risk Assessment)
DampakKecende‐rungan
Nilai Risiko Dasar
DampakKecende‐rungan
Nilai Risiko Akhir
1 Aplikasi i‐NEFI ISC V1, V7, V9, V14 T1, T2, T6, T10 I1, I3, I4, I5 ‐ Password management‐ Session time‐out
Tinggi90
Tinggi1
Kritis90
Sedang50
Sedang0.5
Tinggi25
Accept ‐ A.10.4‐ A.10.10
Penyusunan prosedur change management
Triwulan 3 ‐ 2013
2 Server NEFI 1 ISC V1, V2, V3, V7, V8, V13
T1, T2, T3, T4, T7, T8, T12
I1, I2, I3, I4, I5, I6
‐ Pengamanan fisik server‐ Pembagian user access
Tinggi100
Sedang0.5
Tinggi50
Sedang50
Sedang0.5
Tinggi25
Accept ‐ A.7.1‐ A.9.2‐ A.10.3
‐ Upgrade server memory‐ Penyusunan prosedur Backup‐ Penyusunan prosedur pengelolaan aset
Triwulan 4 ‐ 2013
3 Server NEFI 2 ISC V1, V2, V3, V7, V8, V13
T1, T2, T3, T4, T7, T8, T12
I1, I2, I3, I4, I5, I6
‐ Pengamanan fisik server‐ Pembagian user access
Tinggi100
Sedang0.5
Tinggi50
Sedang50
Sedang0.5
Tinggi25
Accept ‐ A.7.1‐ A.9.2‐ A.10.3
‐ Upgrade server memory‐ Penyusunan prosedur Backup‐ Penyusunan prosedur pengelolaan aset
Triwulan 4 ‐ 2013
4 Load Balancer ISC V1, V2, V3, V7, V8
T3, T4, T6, T8, T12
I1 ‐ Pengamanan fisik‐ Backup konfigurasi
Sedang50
Jarang0.1
Sedang5
Rendah10
Jarang0.1
Hilang Accept ‐ A.7.1‐ A.9.2‐ A.10.3
‐ Penyusunan prosedur pengelolaan aset‐ Penyusunan prosedur keamanan perangkat‐ Penyusunan prosedur system planning & acceptance
Triwulan 3 ‐ 2013
5 Access Point ISC V8 T3, T4, T6, T12 I1, I6, I8 Pengamanan fisik
Rendah10
Jarang0.1
Rendah1
Rendah10
Jarang0.1
Hilang Accept A.9.2 Penyusunan prosedur keamanan perangkat
Triwulan 3 ‐ 2013
Implementasi Rencana Kerja
Strategi Mitigasi
Rencana Kerja
No AsetPenanggung Jawab Aset
Kerawanan (Vulnerabilities
)
Ancaman (Threat)
Target Penyelesaia
nKontrol yang Ada
InherenDampak (Impact)
Residual
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
58
Universitas Indonesia
DampakKecende‐rungan
Nilai Risiko Dasar
DampakKecende‐rungan
Nilai Risiko Akhir
6 PC dan Laptop User V1, V2, V8, V10, V11, V12, V17, V19
T3, T4, T8, T12 I1, I6, I8 ‐ Pengamanan fisik‐ Password management
Sedang50
Sedang0.5
Tinggi25
Sedang50
Jarang0.1
Sedang5
Accept ‐ A.9.2‐ A.10.4‐ A.11.3
‐ Penyusunan prosedur keamanan perangkat‐ Update antivirus‐ Penyusunan prosedur user responsibilities
Triwulan 4 ‐ 2013
7 Storage Device ISC V4, V5, V8, V13 T3, T4, T8, T11, T12
I1, I2, I3, I4, I6
Backup berkala Tinggi100
Sedang0.5
Tinggi50
Sedang50
Jarang0.1
Sedang5
Accept ‐ A.10.7‐ A.9.2‐ A.10.3
‐ Penyusunan prosedur keamanan perangkat‐ Penyusunan prosedur penanganan media‐ Penyusunan prosedur system planning & acceptance
Triwulan 4 ‐ 2013
8 Sistem Operasi (Ms. Windows Server 2003 & Windows XP)
ISC V3, V10 T8 I1 Antivirus Tinggi100
Jarang0.1
Tinggi10
Sedang50
Jarang0.1
Sedang5
Accept A.10.4 ‐ Penyusunan prosedur keamanan terhadap malicious code dan mobile code‐ Update antivirus
Triwulan 3 ‐ 2013
9 MySQL ISC V1, V3, V13 T1, T2, T4, T8, T9, T10
I1, I3, I4, I5 Backup Sedang50
Sedang0.5
Tinggi25
Sedang50
Jarang0.1
Sedang5
Accept ‐ A.10.4‐ A.10.3‐ A.11.3
‐ Penyusunan prosedur keamanan terhadap malicious code dan mobile code
Triwulan 4 ‐ 2013
10 Antivirus ISC V3, V10, V19 T8 I1, I6, I8 Update secara otomatis
Sedang50
Sedang0.5
Tinggi25
Sedang50
Jarang0.1
Sedang5
Accept A.10.4 Update antivirus Triwulan 3 ‐ 2013
Implementasi Rencana Kerja
Strategi Mitigasi
Rencana Kerja
No AsetPenanggung Jawab Aset
Kerawanan (Vulnerabilities
)
Ancaman (Threat)
Target Penyelesaia
nKontrol yang Ada
InherenDampak (Impact)
Residual
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
59
Universitas Indonesia
DampakKecende‐rungan
Nilai Risiko Dasar
DampakKecende‐rungan
Nilai Risiko Akhir
11 Source Code ISC V2, V13, V15 T1, T2, T9, T11 I2 Backup Tinggi100
Jarang0.1
Tinggi10
Sedang50
Jarang0.1
Sedang5
Accept ‐ A.12.4‐ A.10.5
‐ Penyusunan prosedur keamanan system files‐ Pembelian Backup tape
Triwulan 4 ‐ 2013
12 User management ISC V1, V2, V13, V15 T1, T2, T9, T11 I1, I3, I4, I5 Pergantian password berkala
Tinggi100
Sedang0.5
Tinggi50
Tinggi100
Jarang0.1
Tinggi10
Accept ‐ A.10.5‐ A.11.3
‐ Penyusunan prosedur back‐up‐ Pembelian Backup tape‐ Penyusunan prosedur user responsibilities
Triwulan 4 ‐ 2013
13 Command management
ISC V2, V13, V14, V15
T1, T2, T9, T11 I1, I3, I4, I5 ‐ Backup ‐ Password management
Tinggi100
Tinggi1
Kritis100
Tinggi100
Sedang0.5
Tinggi50
Accept ‐ A.10.5‐ A.11.3
‐ Penyusunan prosedur back‐up‐ Pembelian Backup tape‐ Penyusunan prosedur user responsibilities
Triwulan 4 ‐ 2013
14 Konfigurasi routing ISC V2, V13, V14, V15
T1, T2, T9, T11 I1, I3, I4, I5 Backup konfigurasi
Tinggi100
Sedang0.5
Tinggi50
Tinggi100
Jarang0.1
Tinggi10
Accept ‐ A.10.5‐ A.11.3
‐ Penyusunan prosedur back‐up‐ Pembelian Backup tape‐ Penyusunan prosedur user responsibilities
Triwulan 4 ‐ 2013
15 Entity Profile ISC V2, V13, V15 T1, T2, T9, T11 I1, I3, I4, I5 Backup Sedang50
Jarang0.1
Sedang5
Rendah10
Jarang0.1
Hilang Accept A.10.1 Penyusunan prosedur tanggung jawab dan prosedur operasional
Triwulan 1 ‐ 2014
16 Log transaksi ISC V13 T1, T2, T9, T11 I1, I7 Pencatatan log transaksi
Sedang50
Sedang0.5
Tinggi25
Sedang50
Jarang0.1
Sedang5
Accept A.10.10 Penyusunan prosedur monitoring
Triwulan 1 ‐ 2014
Implementasi Rencana Kerja
Strategi Mitigasi
Rencana Kerja
No AsetPenanggung Jawab Aset
Kerawanan (Vulnerabilities
)
Ancaman (Threat)
Target Penyelesaia
nKontrol yang Ada
InherenDampak (Impact)
Residual
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
60
Universitas Indonesia
DampakKecende‐rungan
Nilai Risiko Dasar
DampakKecende‐rungan
Nilai Risiko Akhir
17 SOP & Technical Document
ISC V5, V18 T1, T2, T9, T11 I1, I2, I8 Backup Sedang50
Sedang0.5
Tinggi25
Sedang50
Jarang0.1
Sedang5
Accept A.10.1 Penyusunan prosedur tanggung jawab dan prosedur operasional
Triwulan 3 ‐ 2013
18 Staf Teknis ISC V6, V12, V15, V17, V20
T5, T10 I1, I3, I8 Pelatihan Tinggi100
Sedang0.5
Tinggi50
Sedang50
Jarang0.1
Sedang5
Accept ‐ A.8.2‐ A.8.3‐ A.11.3
‐ Penyunan prosedur keamanan SDM‐ Pengadaan pelatihan keamanan informasi‐ Penyusunan prosedur user responsibilities
Triwulan 1 ‐ 2014
19 User ISC & DWB V6, V12, V15, V17, V20
T5, T10 I1, I3, I8 Prosedur operasional
Tinggi100
Sedang0.5
Tinggi50
Sedang50
Jarang0.1
Sedang5
Accept ‐ A.8.2‐ A.8.3‐ A.11.3
‐ Penyunan prosedur keamanan SDM‐ Pengadaan pelatihan keamanan informasi‐ Penyusunan prosedur user responsibilities
Triwulan 1 ‐ 2014
20 Mitra ‐ V7, V12, V15, V17, V20
T5, T10 I1, I2, I3, I8 Perjanjian Kerja Sama
Tinggi100
Sedang0.5
Tinggi50
Sedang50
Jarang0.1
Sedang5
Accept ‐ A.8.2‐ A.8.3‐ A.11.3
‐ Penyusunan prosedur keamanan SDM‐ Penyusunan prosedur user responsibilities
Triwulan 1 ‐ 2014
21 Ruang Server STO Gambir
DWB V11 T13 I1, I5 Pintu ruang server dilengkapi dengan kartu akses
Tinggi100
Jarang0.1
Tinggi10
Tinggi100
Jarang0.1
Tinggi10
Accept A.9.1 Penyusunan prosedur keamanan fisik dan lingkungan
Triwulan 1 ‐ 2014
Implementasi Rencana Kerja
Strategi Mitigasi
Rencana Kerja
No AsetPenanggung Jawab Aset
Kerawanan (Vulnerabilities
)
Ancaman (Threat)
Target Penyelesaia
nKontrol yang Ada
InherenDampak (Impact)
Residual
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
61
Universitas Indonesia
DampakKecende‐rungan
Nilai Risiko Dasar
DampakKecende‐rungan
Nilai Risiko Akhir
22 Ruang Server STO Kota
DWB V11 T13 I1, I5 Pintu ruang server dilengkapi dengan kartu akses
Tinggi100
Jarang0.1
Tinggi10
Tinggi100
Jarang0.1
Tinggi10
Accept A.9.1 Penyusunan prosedur keamanan fisik dan lingkungan
Triwulan 1 ‐ 2014
23 Listrik DWB V16 T4 I1, I5 UPS Tinggi100
Sedang0.5
Tinggi50
Sedang50
Sedang0.5
Tinggi25
Accept A.9.2 Penyusunan prosedur keamanan fisik dan lingkungan
Triwulan 1 ‐ 2014
24 HVAC DWB V16 T4 I1, I5 Maintenance staff
Sedang50
Jarang0.1
Sedang5
Sedang50
Jarang0.1
Sedang5
Accept A.9.2 Penyusunan prosedur keamanan fisik dan lingkungan
Triwulan 1 ‐ 2014
25 UPS DWB V16 T4 I1, I5 Backup UPS Tinggi100
Jarang0.1
Tinggi10
Sedang50
Jarang0.1
Sedang5
Accept A.9.2 ‐ Penyusunan prosedur keamanan fisik dan lingkungan‐ Pembelian UPS tambahan untuk beberapa lokasi
Triwulan 1 ‐ 2014
26 CCTV DWB V16 T4, T12 I7 Pengamanan fisik Rendah10
Jarang0.1
Rendah1
Rendah10
Jarang0.1
Hilang Accept A.9.2 Penyusunan prosedur keamanan fisik dan lingkungan
Triwulan 1 ‐ 2014
Implementasi Rencana Kerja
Strategi Mitigasi
Rencana Kerja
No AsetPenanggung Jawab Aset
Kerawanan (Vulnerabilities
)
Ancaman (Threat)
Target Penyelesaia
nKontrol yang Ada
InherenDampak (Impact)
Residual
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
62
Universitas Indonesia
5.8. Pemilihan Kontrol dan Statement of Applicability (SOA)
Untuk menurunkan tingkat risiko ke tingkat yang dapat diterima oleh perusahaan,
maka beberapa kontrol dan kontrol objektif dari ISO 97001:2005
direkomendasikan kepada perusahaan untuk diterapkan. Kerangka kerja
keamanan informasi serta kebijakan dan prosedur untuk masing-masing kontrol
dan kontrol objektif tersebut akan dirancang sebagai acuan bagi perusahaan untuk
mengimplementasikan perbaikan manajamen keamanan sistem informasi.
Kontrol ISO 27001:2005 yang direkomendasikan sesuai dengan hasil gap analysis
dan evaluasi risiko adalah sebagai berikut:
Tabel 5.14 Rekomendasi Kontrol
No. Control Objectives
1 Responsibility for assets 2 Information classification 3 During employment 4 Secure areas 5 Equipment security 6 Operational procedures and responsibilities 7 System planning and acceptance 8 Protection against malicious and mobile code 9 Back-up
10 Media handling 11 Monitoring 12 User responsibilities 13 Security of system files
Untuk setiap kontrol di atas, direkomendasikan pula prosedur keamanan informasi
sehingga dapat langsung diterapkan pada pengelolaan keamanan informasi sistem
provisioning gateway Telkom Flexi. Prosedur-prosedur untuk kontrol tersebut
merupakan penambahan atau perbaikan dari kebijakan keamanan informasi
perusahaan yang telah ada dan masih berlaku, sehingga prosedur yang baru dapat
mengakomodir kebutuhan operasional dan relevan dengan kondisi sistem
Provisioning Gateway.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
63
Universitas Indonesia
Penjelasan dari 13 rekomendasi kontrol yang diberikan di atas adalah sebagai
berikut:
1. Responsibility for assets
Dari hasil assessment checklist yang dilakukan, diketahui bahwa
inventarisasi aset terkait sistem provisioning gateway Telkom Flexi belum
dilakukan dengan baik. Oleh karena itu perlu adanya prosedur dan
pembagian tanggung jawab yang jelas untuk pengelolaan aset.
2. Information Classification
Informasi terkait sistem provisioning gateway belum diklasifikasi sesuai
dengan nilai, persyaratan hukum, sensitivitas dan kritikalitasnya terhadap
organisasi. Selain itu pelabelan informasi juga belum sepenuhnya
dilakukan, kecuali pada informasi Nota Dinas yang pelabelannya
dilakukan secara otomatis lewat sistem. Oleh karena itu klasifikasi
informasi dan pelabelan informasi non Nota Dinas perlu dilakukan seseuai
kebijakan keamanan informasi yang ada.
3. During employment
Personil atau karyawan yang menangani operasional sistem provisioning
gateway belum dibekali dengan pelatihan security awareness, sehingga
kesadaran sumber daya manusia terkait keamanan informasi masih kurang.
Dibuktikan dengan masih seringnya pertukaran informasi dilakukan
melalui media email publik, serta tidak dijalankannya clear desk policy.
Untuk itu direkomendasikan diadakannya pelatihan keamanan informasi
untuk personil atau karyawan yang mengelola sistem provisioning
gateway.
4. Secure areas
Area kerja IS Center sudah dilengkapi dengan pengamanan akses berupa
access card, sehingga kemungkinan pihak-pihak luar memasuki area kerja
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
64
Universitas Indonesia
dapat dihindari. Penggunaan access card hanya perlu lebih ditertibkan,
pintu harus ditutup kembali setelah dibuka dan larangan untuk
meminjamkan access card ke pihak yang tidak berhak.
5. Equipment security
Rekomendasi untuk kontrol pengamanan perangkat adalah pengadaan
fasilitas pendukung yang dapat melindungi perangkat, misalnya berupa
backup catu daya, penempatan perangkat pada area yang aman yang tidak
dapat diakses oleh sembarang orang.
6. Operational procedures and responsibilities
Kontrol yang perlu diperbaiki untuk Operational procedures and
responsibilities adalah prosedur untuk pengelolaan perubahan terhadap
sistem, sehingga permintaan perubahan sistem dapat dilakukan melalui
prosedur dan approval berjenjang. Hal ini juga betujuan agar dokumentasi
perubahan tercatat dengan baik.
7. System planning and acceptance
Penggunaan sumber daya harus dimonitor, disesuaikan dan dilakukan
proyeksi kebutuhan kapasitas untuk memastikan performansi sistem.
Pengelolaan kapasitas yang paling penting dilakukan adalah pada server i-
Nefi dikarenakan untuk sistem provisioning gateway hanya menggunakan
dua buah server sehingga perlu direkomendasikan untuk menambahkan
memori pada server atau penambahan server baru.
8. Protection against malicious and mobile code
Penggunaan mobile code diijinkan, oleh karena itu harus ada prosedur
untuk memastikan bahwa mobile code yang sah beroperasi sesuai dengan
kebijakan keamanan yang ditetapkan secara jelas, dan penggunaan mobile
code yang tidak sah harus dicegah.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
65
Universitas Indonesia
9. Back-up
Informasi dari sistem harus dibackup secara berkala. Beberapa data
informasi sudah dilakukan back-up oleh mitra sebagai bagian dari
perjanjian kerja untuk maintenance. Namun direkomendasikan agar dapat
menggunakan media tape sebagai media backup dari media tape ke server
sehingga kualitas backup informasi lebih baik.
10. Media handling
Belum ada prosedur untuk manajemen removable media, contohnya USB,
disk, memory card, hard disk eksternal, dan lain-lain, sehingga perlu
disusun prosedur untuk penanganan media tersebut, termasuk prosedur
untuk pemusnahan media untuk menghindari penyalahgunaan media yang
sudah tidak digunakan lagi.
11. Monitoring
Prosedur untuk pemantauan penggunaan fasilitas pengolahan informasi
harus ditetapkan dan dijalankan, serta fasilitas pencatatan log dan
informasi harus dijaga dari akses yang tidak berhak.
12. User responsibilities
Harus ada arahan yang jelas kepada karyawan, pengguna, maupun mitra
mengenai kebijakan clear desk terhadap kertas dan removable media.
13. Security of system files
Akses ke source code harus dibatasi, termasuk akses ke sistem file.
Untuk kontrol-kontrol ISO 27001:2005 yang tidak dapat diimplementasikan
karena tidak relevan dengan ruang lingkup sistem provisioning gateway akan
dimasukan ke dalam dokumen Statement of Applicability (SOA), terlampir pada
Lampiran 2.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
66 Universitas Indonesia
BAB 6 KESIMPULAN DAN SARAN
6.1. Kesimpulan
Kesimpulan yang didapat dari penelitian ini, antara lain :
1. Dari hasil analisis kesenjangan yang dilakukan terhadap manajemen risiko
keamanan informasi, dapat disimpulkan bahwa tingkat kematangan
manajemen risiko keamanan informasi sistem provisioning gateway
Telkom Flexi adalah sebesar 75.23%. Domain pengelolaan aset (Asset
Management) saat ini masih lemah, yaitu dengan tingkat kematangan
sebesar 58.33%. Kebijakan dari perusahaan terkait pengelolaan aset sudah
tersedia, namun pelaksanaannya masih kurang atau tidak konsisten.
Sedangkan untuk domain ISO 27001:2005 yang sudah diimplementasikan
secara penuh adalah domain Security Policy. Saat ini kebijakan untuk
keamanan informasi sistem provisioning gateway Telkom Flexi mengacu
kepada kebijakan yang dikeluarkan perusahaan.
2. Setelah dilakukan risk assessment, disimpulkan bahwa terdapat 13 kontrol
objektif ISO 27001:2005 yang direkomendasikan untuk diterapkan
perusahaan guna perbaikan terhadap manajemen risiko keamanan sistem
provisioning gateway Telkom Flexi.
3. Kontrol yang paling dahulu akan diterapkan dengan mempertimbangkan
tingkat risiko dan ketersediaan sumber daya adalah penyusunan dan
pengesahan seluruh prosedur, upgrade memori server, dan melakukan
update antivirus untuk seluruh perangkat yang antivirusnya tidak
menggunakan antivirus resmi perusahaan. Rencana kerja akan dijalankan
mulai dari Triwulan 3 2013 sampai dengan Triwulan 1 2014.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
67
Universitas Indonesia
6.2. Saran
Untuk penelitian selanjutnya, dapat dilakukan analisis terhadap manfaat dan biaya
dengan melakukan kuantifikasi terhadap dampak dari diimplementasikan atau
tidak diimplementasikannya kontrol, sehingga kontrol yang dipilih merupakan
kontrol yang paling memberikan manfaat terbesar dengan biaya yang terendah,
tanpa tidak mengabaikan tingkat risiko apabila kontrol tidak diterapkan.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
68
Universitas Indonesia
DAFTAR PUSTAKA C.Alberts, A.Dorofee. (2002). Managing Information Security Risks: The OCTAVESM Approach, Addison Wesley, USA.
Al’Rayid, Yuliansyah. (2009). Analisa dan Kajian Model Kerangka Kerja Manajemen Risiko Teknologi Informasi Studi Kasus Pada PT. Rajawali Nusantara Indonesia”.
Burch, John G., Felix R. Strater. (1974). Information System: Theory and Practice. Hamilton Publishing Company.
BSI-Standard 100-1. (2008). Information Security Management System (ISMS).
Davis, Gordon B. (1974). Management Information System: Conceptual Foundation, Structure, and Development, McGraw-Hill International Book Company.
ISACA. (2011). Certified Information Security Manager : Review Manual 2011. ISACA.
ISO/IEC 27001. (2005). Information Technology – Security Techniques – Information Security Management Systems – Requirements. 2005.
International Organization for Standardization. (2009). Guide 73 Risk Management – Vocabulary.
The IT Governance Institute. (2005). COBIT 4.0. USA.
Silitonga, Vinicio Vasquera. (2012). Perancangan Manajemen Risiko di PT. XYZ Menggunakan Metode NIST 800-30.
Stoneburner, Gary., Alice Gouguen & Alexis Feringa. (2012). Risk Management Guide for Information Technology System – Recomendatio of the National Institute of Standards and technology. NIST.
Syafrizal, M. (2007). ISO 17799 : Standar Sistem Manajemen Keamanan Informasi. Seminar Nasional Teknologi.
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
69 Universitas Indonesia
Vaughan, Emmet., Therese M Vaughan. (2008). Fundamentals of Risk and Insurance. John Wiley & Sons Ltd.
Vose, David. (2000). Risk Analysis – A Quantitative Guide. John Wiley & Sons Ltd.
Winarto, Arief Budi. (2012). Evaluasi Kinerja Manajemen Risiko Keamanan Informasi Charging System Studi Divisi PT. XYZ. 2012
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
70 Universitas Indonesia
LAMPIRAN
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
L-1
LAMPIRAN 1 ASSESSMENT CHECKLIST
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
1.1 5.1 Information security policy
1.1.1 5.1.1Information security policy
document
Apakah dokumen terkait kebijakan keamanan informasi telah
disahkan oleh manajemen, dan dipublikasikan serta dikomunikasikan
kepada seluruh karyawan dan pihak eksternal yang terkait ?100
1.1.2 5.1.2Review of the information
security policy
Apakah ada dilakukan peninjauan terhadap kebijakan keamanan
informasi tiap rentang waktu tertentu yang telah ditetapkan atau
ditinjau setiap terjadinya perubahan-perubahan yang signifikan, demi
memastikan kesesuaian, kecukupan, dan efektifitas keamanan
informasi yang berkelanjutan ?
100
Scoring System :
Assessment Checklist
Security Policy
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan
Checklist Standard
Hasil
Assessment
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
NilaiPertanyaan AssessmentArea
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
2.1 6.1 Internal organization
2.1.1 6.1.1
Management commitment
to
information security
Apakah manajemen secara aktif mendukung keamanan sistem melalui
arahan yang jelas, menunjukan komitmen, penugasan yang jelas dan
sadar akan tanggung jawabnya terhadap keamanan sistem ?
100
2.1.2 6.1.2Information security
coordination
Apakah aktivitas keamanan informasi sudah dikoordinasikan dengan
wakil-wakil dari unit lain sesuai dengan peran dan fungsi kerjanya
masing-masing?
75
2.1.3 6.1.3Allocation of information
security responsibilities
Apakah seluruh tanggung jawab terkait keamanan informasi sudah
ditetapkan dengan jelas?75
2.1.4 6.1.4
Authorization process for
information processing
facilities
Apakah proses otorisasi manajemen untuk fasilitas pengolahan
informasi baru di dalam organisasi sudah ditetapkan dan
diimplementasikan ?
50
2.1.5 6.1.5 Confidentiality agreements
Apakah persyaratan untuk kerahasiaan atau Non-Disclosure
Agreement (NDE) yang mencerminkan kebutuhan organisasi untuk
perlindungan informasi sudah diidentifikasi dan dikaji secara berkala ?
75
2.1.6 6.1.6 Contact with authoritiesApakah komunikasi dengan pihak yang terkait dengan keamanan
sistem dikelola dengan baik ?75
Organization of information security
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Assessment Checklist
Scoring System :
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan
Keterangan
Checklist Standard
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
NilaiArea Pertanyaan Assessment
Hasil Assessment
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan
Checklist Standard NilaiArea Pertanyaan Assessment
Hasil Assessment
2.1.7 6.1.7Contact with special interest
groups
Apakah komunikasi dengan special interest group atau forum security
specialist dan asosiasi profesi dikelola dengan baik ?NA
2.1.8 6.1.8Independent review of
information security
Apakah pendekatan organisasi untuk mengelola keamanan informasi /
keamanan sistem dan implementasinya (kontrol, kebijakan, proses,
dan prosedur) sudah ditinjau secara independen pada interval waktu
tertentu atau pada saat terjadi perubahan signifikan terhadap
implementasi keamanan sistem ?
50
2.2 6.2 External parties
2.2.1 6.2.1Identification of risks related
to external parties
Apakah resiko terhadap informasi organisasi dan fasilitas pengolahan
informasi dari proses bisnis yang melibatkan pihak-pihak eksternal
sudah diidentifikasi dan sudah diterapkan kontrol-kontrol yang sesuai
sebelum memberikan akses kepada pihak eksternal ?
50
2.2.2 6.2.2Addressing security when
dealing with customers
Apakah seluruh persyaratan keamanan yang diidentifikasi sudah
ditekankan sebelum memberikan akses kepada pelanggan / user ? 100
2.2.3 6.2.3Addressing security in third
party agreements
Apakah perjanjian dengan pihak ketiga meliputi pengaksesan,
pengolahan, pengkomunikasian atau pengelolaan informasi organisasi
atau fasilitas pengolahan informasi, atau penambahan produk atau
jasa ke dalam fasilitas pengolahan informasi sudah mencakup seluruh
persyaratan keamanan yang relevan ?
100
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
3.1 7.1 Responsibility for assets
3.1.1 7.1.1 Inventory of assetsApakah seluruh aset sudah diidentifikasi dengan jelas dan inventaris
dari seluruh aset penting sudah dicatat dan dipelihara ?50
3.1.2 7.1.2 Ownership of assets
Apakah manajemen secara resmi sudah menunjuk suatu unit atau
bagian organisasi untuk mengontrol produksi, pengembangan,
pemeliharaan, penggunaan, dan keamanan seluruh informasi dan aset
terkait fasilitas pengolahan informasi?
75
3.1.3 7.1.3 Acceptable use of assets
Apakah peraturan penggunaan informasi dan aset terkait dengan
fasilitas pengolahan informasi sudah diidentifikasi, didokumentasikan
dan diimplementasikan ?
75
3.2 7.2 Information classification
3.2.1 7.2.1 Classification guidelinesApakah informasi sudah diklasifikasi sesuai dengan nilai, persyaratan
hukum, sensitivitas dan kritikalitasnya terhadap organisasi?50
Assessment Checklist
Scoring System :
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Standard Area Pertanyaan Assessment NilaiChecklist
Asset management
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Standard Area Pertanyaan Assessment NilaiChecklist
3.2.2 7.2.2Information labelling and
handling
Apakah prosedur-prosedur untuk pelabelan dan penanganan informasi
sudah dikembangkan dan diimplementasikan sesuai dengan skema
klasifikasi yang diadopsi oleh organisasi ?
50
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
4.1 8.1 Prior to employment
4.1.1 8.1.1 Roles and responsibilities
Apakah peran dan tanggung jawab dari pegawai, kontraktor dan user
dari pihak ketiga terhadap keamanan sudah ditetapkan dan
didokumentasikan sesuai dengan kebijakan keamanan informasi
sistem ?
100
4.1.2 8.1.2 Screening
Apakah ada dilakukan verifikasi profil seluruh calon pegawai,
kontraktor, dan pengguna dari pihak ketiga berdasarkan hukum dan
undang-undang serta etika yang berlaku dan proporsional terhadap
persyaratan bisnis, klasifikasi informasi yang diakses dan risiko yang
ada ?
75
4.1.3 8.1.3Terms and conditions of
employment
Sebagai bagian dari kontrak, apakah karyawan, pegawai dan
kontraktor menandatangani terms and conditions dalam kontrak kerja
mereka, dimana di dalamnya menyebutkan tanggung jawab mereka
terhadap keamanan informasi ?
75
4.2 8.2 During employment
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Human resources security
Checklist Standard Area Pertanyaan Assessment Nilai
Assessment Checklist
Scoring System :
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Checklist Standard Area Pertanyaan Assessment Nilai
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
4.2.1 8.2.1 Management responsibilitiesApakah manajemen sudah mensyaratkan pegawai, kontraktor dan
user dari pihak ketiga untuk menerapkan keamanan sesuai kebijakan
dan prosedur organisasi yang ditetapkan ?
75
4.2.2 8.2.2
Information security
awareness, education and
training
Apakah seluruh pegawai dan, jika relevan, kontraktor dan user dari
pihak ketiga, sudah menerima pelatihan kepedulian dan informasi
terkini secara reguler terkait kebijakan dan prosedur, sesuai dengan
fungsi kerjanya?
50
4.2.3 8.2.3 Disciplinary process
Apakah ada proses pendisiplinan yang resmi untuk pegawai yang
melakukan pelanggaran keamanan ? NA
4.3 8.3
4.3.1 8.3.1 Termination responsibilitiesApakah tanggung jawab untuk melaksanakan pengakhiran atau
perubahan pekerjaan sudah ditetapkan dengan jelas?75
4.3.2 8.3.2 Return of assets
Apakah seluruh pegawai, kontraktor dan user dari pihak ketiga harus
mengembalikan semua aset organisasi yang digunakannya apabila
kontrak atau perjanjian dengan mereka berakhir ?100
4.3.3 8.3.3 Removal of access rights
Apakah hak akses seluruh pegawai, kontraktor dan user dari pihak
ketiga terhadap informasi dan fasilitas pengolahan informasi ditarik
atau dihapus ketika pekerjaan, kontrak atau perjanjian berakhir ?
75
Termination or change of employment
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
5.1 9.1 Secure areas
5.1.1 9.1.1 Physical security perimeter
Apakah terdapat perlindungan secara fisik terhadap area yang
mengandung informasi dan fasilitas pengolahan informasi (contohnya
dinding, card controlled door, atau petugas keamanan)
75
5.1.2 9.1.2 Physical entry controls
Apakah area yang menyimpan informasi sudah dilindungi oleh entry
control untuk memastikan bahwa hanya pihak yang berwenang yang
dapat memasuki area tersebut75
5.1.3 9.1.3Securing offices, rooms and
facilities
Apakah sistem keamanan fisik untuk kantor, ruangan, dan fasilitas
lainnya sudah dirancang dan diterapkan ? 75
5.1.4 9.1.4Protecting against external
and environmental threats
Apakah perlindungan fisik terhadap kerusakan akibat dari kebakaran,
banjir, gempa bumi, ledakan, kerusuhan dan bentuk lain dari bencana
alam atau bencana buatan manusia sudah dirancang dan diterapkan?100
5.1.5 9.1.5 Working in secure areasApakah perlindungan fisik dan pedoman kerja dalam area yang aman
sudah dirancang dan diterapkan?75
5.2 9.2 Equipment security
Area
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Pertanyaan Assessment
Physical and environmental security
Checklist NilaiStandard
Assessment Checklist
Scoring System :
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Area Pertanyaan AssessmentChecklist NilaiStandard
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
5.2.1 9.2.1Equipment siting and
protection
Apakah peralatan/perangkat sudah ditempatkan atau dilindungi untuk
mengurangi risiko dari ancaman dan bahaya lingkungan serta peluang
untuk akses oleh pihak yang tidak berwenang?
75
Apakah peralatan/perangkat sudah dilindungi dari kegagalan catu daya
dan gangguan lain yang disebabkan oleh kegagalan sarana pendukung?100
Apakah cadangan power supply sudah dipergunakan (misal : beda
catuan gardu listrik, auto backup generator, UPS) ?100
5.2.3 9.2.3 Cabling security
Apakah kabel power dan kabel telekomunikasi yang membawa data
atau informasi pendukung sudah dilindungi dari intersepsi atau
kerusakan ?
100
Apakah pemeliharaan peralatan/perangkat dilakukan secara tepat
untuk memastikan ketersediaan dan integritas layanan ?75
Apakah pemeliharaan peralatan/perangkat dilakukan sesuai spesifikasi
dan interval yang direkomendasikan supplier ?75
Apakah pemeliharaan peralatan/perangkat dilakukan oleh personil
yang layak ?100
Apakah dilakukan pemeliharaan terhadap log system (suspected atau
actual faults) sebagai bagian dari tindakan preventif dan korektif ?75
Apakah kendali yang tepat sudah diterapkan pada saat pengiriman
peralatan atau bagian dari peralatan? Apakah peralatan sudah
dilindungi oleh asuransi atau jaminan dari supplier yang memadai ?
75
Equipment maintenance5.2.4 9.2.4
9.2.2 Supporting utilities5.2.2
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Area Pertanyaan AssessmentChecklist NilaiStandard
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
5.2.5 9.2.5Security of equipment off-
premises
Apakah sistem keamanan sudah diterapkan pada peralatan di luar
lokasi organisasi dengan mempertimbangkan risiko yang berbeda pada
saat bekerja di luar lokasi organisasi?
50
5.2.6 9.2.6Secure disposal or re-use of
equipment
Apakah seluruh item dari perangkat yang memuat media penyimpanan
sudah diperiksa untuk memastikan bahwa setiap data sensitif dan
perangkat lunak berlisensi telah dihapus atau ditimpa (overwritten)
secara aman sebelum dibuang ?75
5.2.7 9.2.7 Removal of property
Apakah terdapat suatu aturan untuk perangkat, informasi atau
perangkat lunak yang dibawa keluar lokasi organisasi tanpa melalui ijin
yang berwenang?
50
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
6.1 10.1
Apakah prosedur operasional sudah didokumentasikan, dikelola, dan
tersedia untuk seluruh user yang membutuhkannya ?100
Apakah dokumen prosedur tersebut sudah diformalkan sebagai
dokumen prosedur operasi resmi dan mendapat otorisasi dari pejabat
yang berwenang ?
75
6.1.2 10.1.2 Change managementApakah perubahan terhadap fasilitas dan sistem pengolahan informasi
sudah dikontrol ?50
6.1.3 10.1.3 Segregation of duties
Apakah tugas dan lingkup tanggung jawab sudah dipisahkan untuk
mengurangi peluang bagi modifikasi yang tidak sengaja atau tidak sah
atau penyalahgunaan terhadap aset organisasi?
75
6.1.4 10.1.4Separation of development,
test and operational facilities
Apakah fasilitas pengembangan, pengujian dan operasional sudah
dipisahkan untuk mengurangi risiko akses atau perubahan yang tidak
sah terhadap sistem operasional ?
50
6.2 10.2
Checklist Pertanyaan Assessment Nilai
Documented operating
procedures
Operational procedures and responsibilities
Third party service delivery management
Assessment Checklist
Scoring System :
6.1.1 10.1.1
Communications and operations management
Keterangan
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Standard Area
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Checklist Pertanyaan Assessment Nilai
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Standard Area
6.2.1 10.2.1 Service delivery
Apakah sudah dipastikan bahwa kontrol terhadap keamanan, definisi
dan level layanan yang dicakup dalam perjanjian dengan pihak
ketiga/mitra telah dijalankan, dioperasikan, dan dikelola oleh pihak
ketiga/mitra tersebut ?
75
6.2.2 10.2.2Monitoring and review of
third party services
Apakah layanan dan laporan yang diberikan oleh pihak ketiga/mitra
sudah dimonitor dan dikaji secara berkala?100
6.2.3 10.2.3Managing changes to third
party services
Apakah perubahan terhadap ketentuan layanan, termasuk
pemeliharaan dan peningkatan kebijakan prosedur dan pengendalian
keamanan informasi yang ada, sudah dikelola dengan baik?
75
6.3 10.3
6.3.1 10.3.1 Capacity management
Apakah penggunaan sumber daya sudah dimonitor, disesuaikan dan
dilakukan proyeksi kebutuhan kapasitas untuk memastikan
performansi sistem ? Contoh : Monitoring space hard disk, RAM dan
CPU pada server
50
6.3.2 10.3.2 System acceptance
Apakah acceptance criteria untuk sistem informasi baru, upgrade, dan
versi baru sudah ditentukan dan sudah dilakukan pengujian sistem
yang sesuai selama masa pengembangan dan sebelum diputuskan
untuk diterima ?
75
6.4 10.4
6.4.1 10.4.1Controls against malicious
code
Apakah kontrol terkait deteksi, pencegahan, dan recovery untuk
perlindungan terhadap malicious code dan prosedur user awareness
yang sesuai sudah dijalankan ?
75
Protection against malicious and mobile code
System planning and acceptance
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Checklist Pertanyaan Assessment Nilai
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Standard Area
6.4.2 10.4.2Controls against mobile
code
Apakah apabila penggunaan mobile code diijinkan, konfigurasi
tersebut sudah memastikan bahwa mobile code yang sah beroperasi
sesuai dengan kebijakan keamanan yang ditetapkan secara jelas, dan
penggunaan mobile code yang tidak sah harus dicegah?
50
6.5 10.5
6.5.1 10.5.1 Information back-upApakah backup copy dari informasi dan perangkat lunak sudah diambil
dan diuji secara berkala sesuai dengan backup policy yang disetujui ?75
6.6 10.6
Apakah jaringan sudah dikelola dan dikontrol dengan baik agar
terlindung dari threat (ancaman) ?100
Apakah keamanan terhadap sistem dan aplikasi yang menggunakan
jaringan sudah dikelola dan dikontrol dengan baik, termasuk informasi
yang lewat didalamnya ?
100
6.6.2 10.6.2 Security of network services
Apakah fitur security, service level dan persyaratan manajemen untuk
semua layanan sudah diidentifikasi dan dimasukan kedalam seluruh
network service agreement, baik layanan tersebut disediakan secara in-
house maupun outsource ?
75
6.7 10.7
6.7.1 10.7.1Management of removable
media
Apakah sudah tersedia prosedur untuk manajemen removable media,
contohnya tape, disk, memory card, dll ?75
6.7.2 10.7.2 Disposal of mediaApakah media secara aman dimusnahkan menggunakan prosedur
formal apabila tidak lagi diperlukan ? 50
6.7.3 10.7.3Information handling
procedures
Apakah prosedur untuk penanganan dan penyimpanan informasi
sudah ditetapkan ?100
6.6.1 10.6.1 Network controls
Media handling
Network security management
Back-up
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Checklist Pertanyaan Assessment Nilai
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Standard Area
6.7.4 10.7.4Security of system
documentation
Apakah dokumentasi sistem sudah dilindungi terhadap akses yang
tidak berhak?75
6.8 10.8
6.8.3 10.8.3 Physical media in transit
Apakah media yang memuat informasi sudah dilindungi terhadap
akses yang tidak sah, penyalahgunaan atau kerusakan selama
transportasi diluar batasan fisik organisasi?
75
6.8.4 10.8.4 Electronic messagingApakah informasi dalam bentuk pesan elektronik sudah dilindungi
dengan benar?100
6.8.5 10.8.5 Business information systems
Apakah kebijakan dan prosedur sudah dikembangkan dan diterapkan
untuk melindungi informasi yang berkaitan dengan interkoneksi sistem
informasi bisnis?
75
6.9 10.9
6.9.1 10.9.1 Electronic commerce
Apakah informasi yang termasuk dalam layanan electronic commerce
yang melalui jaringan publik sudah dilindungi dari tindak kecurangan,
perselisihan kontrak dan disclosure serta modifikasi yang tidak sah?
NA
6.9.2 10.9.2 On-line transactions
Apakah informasi yang termasuk dalam transaksi online sudah
dilindungi untuk mencegah transmisi yang tidak lengkap, kesalahan
routing, perubahan pesan, disclosure, duplikasi atau pengulangan
pesan yang tidak sah?
NA
6.9.3 10.9.3 Publicly available information
Apakah integritas informasi yang tersedia pada sistem yang digunakan
untuk publik sudah dilindungi untuk mencegah modifikasi yang tidak
sah?
NA
6.8.1 10.8.1Information exchange
policies and procedures
Exchange of information
75
0
Apakah ada kebijakan, prosedur, dan kontrol untuk melindungi
pertukaran informasi melalui penggunaan semua jenis media
komunikasi ?
Apakah ada perjanjian tertulis antara organisasi dengan pihak luar
terkait pertukaran informasi ?
Electronic commerce services
6.8.2 10.8.2 Exchange agreements
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Checklist Pertanyaan Assessment Nilai
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Standard Area
6.10 10.10
6.10.1 10.10.1 Audit logging
Apakah log audit yang merekam kegiatan user, pengecualian dan
security events telah dibuat dan disimpan untuk periode waktu yang
telah untuk membantu dalam investigasi di masa yang akan datang
dan memantau access control ?
75
6.10.2 10.10.2 Monitoring system useApakah prosedur untuk pemantauan penggunaan fasilitas pengolahan
informasi sudah ditetapkan dan dijalankan?75
6.10.3 10.10.3 Protection of log informationApakah fasilitas pencatatan log dan informasi log sudah dilindungi dari
ganguan dan akses tidak sah?50
6.10.4 10.10.4Administrator and operator
log
Apakah aktivitas-aktivitas dari administrator dan operator sistem
sudah dicatat dalam log ?75
6.10.5 10.10.5 Fault loggingApakah fault yang terjadi sudah dicatat dalam log, kemudian dianalisa,
dan diambil langkah-langkah yang sesuai ?75
6.10.6 10.10.6 Clock synchronization
Apakah penunjuk waktu dari seluruh sistem pengolahan informasi
dalam organisasi atau domain keamanan sudah disinkronisasikan
dengan sumber penunjuk waktu yang akurat dan telah disepakati.
Misalnya time server harus disinkronisasikan untuk akurasi audit dan
log
100
Monitoring
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
7.1 11.1
7.1.1 11.1.1 Access control policy
Apakah kebijakan terkait pengendalian akses sudah ditetapkan,
didokumentasikan, dan ditinjau berdasarkan tuntutan bisnis dan
keamanan terhadap akses ?
75
7.2 11.2
7.2.1 11.2.1 User registration
Apakah terdapat prosedur pendaftaran dan penghapusan user secara
formal untuk pemberian dan pencabutan akses terhadap seluruh
layanan dan sistem informasi?
75
7.2.2 11.2.2 Privilege managementApakah alokasi dan penggunaan hak akses khusus sudah dibatasi dan
dikendalikan?100
7.2.3 11.2.3 User password managementApakah alokasi password sudah dikendalikan melaui proses
manajemen yang formal ?100
7.2.4 11.2.4 Review of user access rightsApakah secara formal manajemen melakukan tinjauan secara berkala
terhadap hak akses user?75
7.3 11.3
7.3.1 11.3.1 Password use
Apakah user sudah diminta untuk mengikuti praktek keamanan yang
baik dalam pemilihan dan penggunaan password?
Assessment Checklist
Scoring System :
Access Control
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
100
Area Pertanyaan Assessment
User responsibilities
Business requirement for access control
User access management
Standard
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Checklist Nilai
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Area Pertanyaan AssessmentStandard
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Checklist Nilai
7.3.2 11.3.2 Unattended user equipment
Apakah peralatan yang ditinggal oleh penggunanya (unattended)
sudah dipastikan terlindungi dengan tepat? Misal : Logoff saat
meninggalkan komputer, menutup sesi setelah menggunakan aplikasi,
dll.
75
Apakah kebijakan clear desk terhadap kertas dan media penyimpanan
yang dapat dipindahkan sudah ditetapkan?50
Apakah kebijakan clear screen untuk fasilitas pengolahan informasi
sudah ditetapkan?50
7.4 11.4
7.4.1 11.4.1Policy on use of network
services
Apakah user hanya diberikan akses terhadap layanan sesuai
kewenangan yang secara spesifik telah diberikan?100
7.4.2 11.4.2User authentication for
external connections
Apakah ada digunakan metode otentikasi yang tepat untuk
mengontrol akses oleh remote user ? 100
7.4.3 11.4.3Equipment identification in
networks
Apakah identifikasi perangkat secara otomatis sudah dipertimbangkan
sebagai cara untuk melakukan otentikasi koneksi dan peralatan yang
spesifik ?
75
7.4.4 11.4.4Remote diagnostic and
configuration port protection
Apakah akses secara fisik dan logik untuk mendiagnosa dan
mengkonfigurasi port sudah dikontrol dengan baik ? 100
7.4.5 11.4.5 Segregation in network
Apakah pengelompokan terhadap layanan informasi, pengguna dan
sistem informasi di dalam jaringan sudah disegregasikan? 75
7.4.6 11.4.6 Network connection control
Untuk jaringan yang digunakan bersama, terutama jaringan yang
diperluas sampai keluar dari jangkauan organisasi, apakah kemampuan
user untuk terhubung ke jaringan telah dibatasi, sejalan dengan
kebijakan access control dan kebutuhan dari aplikasi bisnis ?
100
11.3.3Clear desk and clear screen
policy
Network access control
7.3.3
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Area Pertanyaan AssessmentStandard
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Checklist Nilai
7.4.7 11.4.7 Network routing control
Apakah kontrol terhadap routing sudah diimplementasikan untuk
jaringan agar dapat dipastikan bahwa koneksi komputer dan alur
informasi tidak melanggar keijakan access control dari aplikasi bisnis ?
100
7.5 11.5
7.5.1 11.5.1 Secure log-on proceduresApakah akses ke Operating System sudah dikontrol menggnakan
prosedur log-on yang aman ?100
7.5.2 11.5.2User identification and
authentication
Apakah seluruh user memiliki satu pengenal yang unik (User ID) yang
hanya digunakan bagi keperluan masing-masing mereka saja ?100
7.5.3 11.5.3Password management
system
Apakah telah ada sistem untuk mengelola password yang bersifat
interaktif dan dapat memastikan kualitas password ? Misal : Meminta
user mengganti password secara berkala, ada ketentuan jumlah
minimum karakter dalam membuat password, password harus
mengandung huruf dan angka, dll
100
7.5.4 11.5.4 Use of system utilitiesApakah penggunaan utility program yag dapat mengganggu sistem dan
kontrol aplikasi sudah dibatasi dan dikontrol secara ketat ?50
7.5.5 11.5.5 Session time-outApakah ada mekanisme yang memastikan bahwa sesi yang tidak aktif
dalam jangka waktu tertentu harus dimatikan ?100
7.5.6 11.5.6 Limitation of connection time
Apakah ada pembatasan pada connection time sebagai keamanan
tambahan bagi aplikasi-aplikasi yang berisiko tinggi ? 100
7.6 11.6
Operating system access control
Application and information access control
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Area Pertanyaan AssessmentStandard
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Checklist Nilai
7.6.1 11.6.1 Information access restriction
Apakah akses ke informasi dan sistem aplikasi oleh user dan personel
support telah dibatasi sesuai dengan kebijakan access control yang
telah ditetapkan ?
75
7.6.2 11.6.2 Sensitive system isolationApakah sistem-sistem yang bersifat sensitif telah diisolasi dengan
computing environment yang dedicated ?100
7.7 11.7
7.7.1 11.7.1Mobile computing and
communications
Apakah kebijakan formal sudah tersedia dan tindakan pengamanan
yang tepat sudah dilakukan terkait penggunaan fasilitas mobile
computing and communication ? (Beberapa contoh fasilitas mobile
computing and communication meliputi notebook, tablet, laptop,
smartphone)
75
7.7.2 11.7.2 TeleworkingApakah ada kebijakan, prosedur, dan perencanaan operasional terkait
aktivitas teleworking ?100
Mobile computing & teleworking
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
8.1 12.1
8.1.1 12.1.1Security requirements
analysis and specification
Apakah pernyataan kebutuhan bisnis terhadap sistem informasi baru
atau perbaikan dari sistem informasi saat ini sudah mencantumkan
persyaratan untuk security control ?
75
8.2 12.2
8.2.1 12.2.1 Input data validationApakah data yang dimasukan ke dalam aplikasi telah divalidasi untuk
memastikan bahwa data tersebut benar dan tepat ?75
8.2.2 12.2.2Control of internal
processing
Apakah pengecekan validasi telah dimasukan ke dalam aplikasi untuk
mendeteksi adanya perusakan informasi melalui kesalahan
pemrosesan atau tindakan yang disengaja ?
50
8.2.3 12.2.3 Message integrity
Apakah persyaratan untuk memastikan keaslian dan perlindungan
integritas pesan dalam aplikasi sudah diidentifikasi, dan pengendalian
yang tepat sudah pula diidentifikasi dan diterapkan?
75
Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Checklist Standard Area Pertanyaan Assessment Nilai
Correct processing in applications
Security requirements of information systems
Assessment Checklist
Scoring System :
Keterangan
Information systems acquisition, development and maintenance
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Referensi ISO 27001
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Checklist Standard Area Pertanyaan Assessment Nilai
Referensi ISO 27001
8.2.4 12.2.4 Output data validation
Apakah dilakukan validasi terhadap data yang keluar dari aplikasi
untuk memastikan bahwa informasi yang disimpan adalah benar dan
tepat sesuai dengan keadaan?
50
8.3 12.3
8.3.1 12.3.1Policy on the use of
cryptographic controls
Apakah kebijakan terkait penggunaan kontrol kriptografi untuk
melindungi informasi sudah dikembangkan dan diimplementasikan ?100
8.3.2 12.3.2 Key management Apakah key management sudah diterapkan untuk mendukung
penggunaan teknik kriptografi oleh organisasi ?
75
8.4 12.4
8.4.1 12.4.1Control of operational
software
Apakah ada prosedur untuk mengontrol instalasi perangkat lunak pada
sistem operasional ?100
8.4.2 12.4.2Protection of system test
data
Apakah data yang digunakan untuk testing telah dipilih dengan
seksama, dan dilindungi dan dikontrol ?50
8.4.3 12.4.3Access control to program
source code
Apakah akses ke source code program sudah dibatasi ?75
8.5 12.5
8.5.1 12.5.1 Change control proceduresApakah penerapan perubahan-perubahan di sistem sudah dikontrol
melalui penggunaan prosedur change control yang formal ?50
8.5.2 12.5.2
Technical review of
applications after operating
system changes
Ketika ada perubahan pada sistem operasional, apakah aplikasi bisnis
yang kritikal telah ditinjau dan dites untuk memastikan bahwa tidak
ada dampak yang merugikan keamanan dan operasional organsasi ? 75
Security in development and support processes
Cryptographic controls
Security of system files
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Checklist Standard Area Pertanyaan Assessment Nilai
Referensi ISO 27001
8.5.3 12.5.3Restrictions on changes to
software packages
Apakah perubahan terhadap software package telah dibatasi hanya
untuk perubahan yang penting, dan apakah seluruh perubahan
tersebut sudah dikontrol dengan ketat ?
75
8.5.4 12.5.4 Information leakage Apakah peluang atas bocornya informasi telah dihindari ? 75
8.5.5 12.5.5Outsourced software
development
Apakah pengembangan perangkat lunak yang dikerjakan oleh pihak
ketiga (outsource ) diawasi dan dimonitor oleh organisasi ?NA
8.6 12.6
Apakah informasi tepat waktu tentang kerawanan teknis dari sistem
informasi yang digunakan sudah diperoleh?50
Apakah eksposur organisasi terhadap kerawanan tersebut dievaluasi,
dan diambil tindakan yang tepat untuk menangani resiko terkait?50
8.6.1 12.6.1Control of technical
vulnerabilities
Technical Vulnerability Management
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
9.1 13.1
9.1.1 13.1.1Reporting information
security events
Apakah event terkait keamanan informasi dilaporkan melalui jalur
manajemen yang tepat secepat mungkin?75
9.1.2 13.1.2Reporting security
weaknesses
Apakah seluruh karyawan, mitra dan pengguna sistem informasi dari
pihak ketiga diminta untukmencatat dan melaporkan setiap
kelemahan keamanan yang diamati ata dicurigai ada di sistem atau
layanan ?
100
9.2 13.2
9.2.1 13.2.1Responsibilities and
procedures
Apakah tersedia prosedur dan tanggung jawab manajemen untuk
memastikan respon yang cepat, efektif, dan sesuai terkait insiden
keamanan informasi?
100
9.2.2 13.2.2Learning from information
security incidents
Apakah tersedia mekanisme untuk memungkinkan jenis, besaran, dan
biaya atas insiden keamanan informasi dikuantifikasi dan dimonitor? 50
Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Management of information security incidents and improvements
Standard Area Pertanyaan Assessment
Reporting information security events and weaknesses
Nilai
Assessment Checklist
Scoring System :
Information security incident management
Referensi ISO 27001
Keterangan
Checklist
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Standard Area Pertanyaan Assessment Nilai
Referensi ISO 27001
Checklist
9.2.3 13.2.3 Collection of evidence
Apakah bukti-bukti terkait keamanan informasi disimpan dan
dikumpulkan? (dalam hal apabila terjadi insiden keamanan informasi
yang menyebabkan adanya tindakan hukum, bukti-bukti tersebut
digunakan untuk kebutuhan pengadilan ketika ingin melaporkan
seseorang atau organisasi).
50
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
10.1 14.1
10.1.1 14.1.1
Including information
security in the business
continuity management
process
Apakah terdapat proses yang dikembangkan dan dipelihara untuk
keberlanjutan bisnis organisasi secara menyeluruh, yang menekankan
penggunaan persyaratan keamanan informasi yang dibutuhkan untuk
keberlanjutan bisnis organisasi?75
10.1.2 14.1.2Business continuity and risk
assessment
Apakah kejadian yang dapat menyebabkan gangguan terhadap proses
bisnis sudah diidentifikasi, bersamaan dengan kemungkinan dan
dampak dari gangguan tesebut serta konsekuensinya terhadap
keamanan informasi?
75
10.1.3 14.1.3
Developing and
implementing continuity
plans including information
security
Apakah perencanaan dalam mengelola dan mengembalikan
operasional sudah dikembangkan dan diterapkan untuk memastikan
ketersediaan informasi pada tingkat dan jangka waktu tertentu
setelah terjadinya gangguan atau kegagalan proses bisnis penting ?
75
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Area Pertanyaan Assessment Nilai
Information security aspects of business continuity management
Business continuity management
Checklist Standard
Assessment Checklist
Scoring System :
Referensi ISO 27001 Area Assessment, Tujuan dan PertanyaanHasil
Assessment
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Area Pertanyaan Assessment NilaiChecklist Standard
Referensi ISO 27001 Area Assessment, Tujuan dan PertanyaanHasil
Assessment
10.1.4 14.1.4Business continuity planning
framework
Apakah kerangka kerja BCP (Business Continuity Plan ) dikelola untuk
memastikan seluruh perencanaan terkait keberlangsungan bisnis
tetap konsisten dan secara konsisten pula memenuhi kebutuhan
keamanan informasi, dan untuk mengidentifikasi prioritas pengujian
dan pemeliharaan sistem ?
50
10.1.5 14.1.5
Testing, maintaining and
reassessing
business
continuity plans
Apakah BCP (Business Continuity Plan ) diuji dan diperbaharui secara
berkala untuk memastikan bahwa perencanaan tersebut up to date
dan efektif ?50
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Bobot (%)
0
25
50
75
100
11.1 15.1
11.1.1 15.1.1Identification of applicable
legislation
Apakah seluruh hukum, peraturan perundang-undangan dan
persyaratan kontrak serta pendekatan organisasi untuk memenuhi
persyaratan tersebut sudah ditetapkan secara eksplisit,
didokumentasikan, dan dijaga pemutakhirannya untuk setiap sistem
informasi dan untuk organisasi ?
100
11.1.2 15.1.2Intellectual property rights
(IPR)
Apakah prosedur yang sesuai sudah diterapkan untuk memastikan
kesesuaian dengan peraturan hukum, peraturan perundang-
undangan dan persyaratan kontrak terkait penggunaan material
dalam dimana mungkin terdapat hak kekayaan intelektual produk
perangkat lunak?
75
11.1.3 15.1.3Protection of organizational
records
Apakah rekaman penting sudah dilindungi dari kehilangan,
penghancuran dan pemalsuan sesuai dengan peraturan perundang-
undangan, persyaratan kontrak dan persyaratan bisnis?
75
Compliance with legal requirements
Compliance
Checklist
Referensi ISO 27001 Area Assessment, Tujuan dan PertanyaanHasil
Assessment
Area Pertanyaan Assessment
Assessment Checklist
Scoring System :
Keterangan
NilaiStandard
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Compliance
Checklist
Referensi ISO 27001 Area Assessment, Tujuan dan PertanyaanHasil
Assessment
Area Pertanyaan Assessment NilaiStandard
11.1.4 15.1.4Data protection and privacy
of personal information
Apakah perlindungan data dan kerahasiaan sudah dijamin seperti
dipersyaratkan dalam legislasi, regulasi yang relevan, dan klausul
kontrak, jika diperlukan?
100
11.1.5 15.1.5
Prevention of misuse of
information processing
facilities
Apakah penggunaan fasilitas pengolahan informasi untuk setiap
tujuan non-bisnis atau yang tidak layak atau tanpa persetujuan
manajemen, diperlakukan sebagai penyalahgunaan fasilitas?
50
11.1.6 15.1.6Regulation of cryptographic
controls
Apakah kontrol kriptografi sudah digunakan sesuai dengan seluruh
perjanjian undang-undang dan regulasi yang relevan?100
11.2 15.2
11.2.1 15.2.1Compliance with security
policies and standards
Apakah manajemen sudah memastikan bahwa seluruh prosedur
dalam lingkup tanggung jawabnya dilakukan secara benar untuk demi
tercapainya kesesuaian dengan standar dan kebijakan keamanan ?75
11.2.2 15.2.2Technical compliance
checking
Apakah sistem informasi secara berkala diperiksa agar selalu sesuai
dengan standar imlementasi keamanan ?75
11.3 15.3
11.3.1 15.3.1Information systems audit
controls
Apakah persyaratan audit dan kegiatan yang melibatkan pengecekan
pada sistem operasional sudah direncanakan secara hati-hati serta
telah disetujui untuk meminimalisasi risiko dari gangguan terhadap
proses bisnis?
75
11.3.2 15.3.2Protection of information
systems audit tools
Apakah akses terhadap alat audit sistem informasi sudah dilindungi
untuk mencegah setiap kemungkinan penyalahgunaan atau gangguan
(compromise)?
50
Information systems audit considerations
Compliance with security policies and standards, and technical compliance
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
L-2
LAMPIRAN 2 STATEMENT OF APPLICABILITY (SOA)
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
A.5.1
A.5.1.1 Information security policy document YaKebijakan keamanan informasi akan tetap menggunakan Kebijakan Sekuriti Keamanan Informasi yang masih berlaku karena masih relevan
A.5.1.2 Review of the information security policy YaManajemen ISC akan tetap diikutsertakan dalam pelaksanaan kajian Kebijakan Sekuriti Keamanan Informasi setiap tahunnya, bersama dengan Dirktorat ITSS
A.6.1
A.6.1.1Management commitment to information security
YaKomitmen manajemen ditunjukkan dengan pembagian fungsi dan tanggung jawab pengelolaan keamanan informasi yang bertugas mengawal berjalannya kontrol-kontrol keamanan informasi dengan baik.
A.6.1.2 Information security coordination YaMasalah keamanan informasi akan dikoordinasikan secara rutin setiap bulannya dengan unit-unit kerja terkait.
A.6.1.3Allocation of information security responsibilities
YaPembagian tanggung jawab keamanan informasi ditetapkan dan disosialisasikan
A.6.1.4Authorization process for information processing facilities
YaSetiap fasilitas pengolahan informasi yang terkait dengan sistem provisioning gateway harus mendapat persetujuan penanggungjawab.
A.6.1.5 Confidentiality agreements YaConfidentiality Agreement (NDA) diwajibkan bagi karyawan kontrak dan pihak ketiga. Untuk karyawan tetap, NDA menjadi kewenangan HR pusat.
A.6.1.6 Contact with authorities YaKomunikasi dengan pihak yang terkait dijaga untuk pelaporan masalah keamanan dan koordinasi untuk tindak lanjutnya.
A.6.1.7 Contact with special interest groups TidakPengelola sistem provisioning gateway tidak diharuskan untuk mengikuti forum dengan pihak luar terkait provisioning.
Implementasi (Ya /Tidak)
Justifikasi
Information security policy
Internal Organization
Klausul Control Objectives
A.5 Security policy
A.6 Organization of information security
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.6.1.8 Independent review of information security YaDilakukan minimum 1 (satu) tahun sekali melalui proses audit untuk menjamin efektivitas kontrol.
A.6.2
A.6.2.1Identification of risks related to external parties
Ya Dilakukan sebagai salah satu fungsi pengendalian risiko akibat pihak eksternal
A.6.2.2Addressing security when dealing with customers
YaKeamanan informasi menjadi isu penting dalam memberikan layanan ke pelanggan
A.6.2.3Addressing security in third party agreements
YaMasalah keamanan informasi diakomodasi dalam Confidentiality Agreement (NDA) yang diwajibkan bagi karyawan kontrak dan pihak ketiga.
A.7.1 A.7.1.1 Inventory of assets Ya Melakukan identifikasi dan inventarisasi aset sesuai prosedurA.7.1.2 Ownership of assets Ya Menetapkan pemilik aset sebagai pengelola dan penanggung jawab aset
A.7.1.3 Acceptable use of assets YaDitetapkan untuk melindungi aset TI agar dapat digunakan secara benar dan aman dari penyalahgunaan .
A.7.2A.7.2.1 Classification guidelines Ya Membuat prosedur klasifikasi informasi
A.7.2.2 Information labeling and handling YaPelabelan dan penanganan informasi dilakukan berdasarkan klasifikasi masing-masing informasi
A.8.1
A.8.1.1 Roles and responsibilities YaSetiap karyawan dan mitra perlu memahami peran dan tanggung jawabnya terhadap keamanan informasi
Responsibility for assets
Information classification
Prior to employmentA.8 Human resources security
A.7 Asset management
External parties
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.8.1.2 Screening YaScreening hanya akan dilakukan kepada calon mitra kerja atau pihak ketiga, karena screening untuk karyawan tetap hanya dilakukan oleh HR pusat
A.8.1.3Terms and conditions ofemployment
YaDi dalam perjanjian kerja, karyawan dan mitra perlu menandatangani terms and condition
A.8.2
A.8.2.1 Management responsibilities YaDiperlukan sebagai pengarah dan pengawas bagi penerapan keamanan informasi.
A.8.2.2Information security awareness, education and training
YaSosialisasi keamanan informasi dilakukan minimal sekali setiap bulannya, diberikan kepada seluruh pihak terkait. Pelatihan dan pendidikan hanya diberikan bagi karyawanan tetap
A.8.2.3 Disciplinary process Tidak Proses pendisiplinan secara formal hanya berhak dilakukan oleh HR pusat
A.8.3A.8.3.1 Termination responsibilities Ya Membuat prosedur pengakhiran tanggung jawab dalam penugasan
A.8.3.2 Return of assets YaDiperlukan agar dapat dipastikan bawah aset dan informasi penting perusahaan tidak keluar dari kontrol perusahaan
A.8.3.3 Removal of access rights YaDiperlukan agar dapat dipastikan bawah aset dan informasi penting perusahaan tidak keluar dari kontrol perusahaan
A.9.1A.9.1.1 Physical security perimeter Ya Untuk memasuki ruang server, sudah menggunakan access card
A.9.1.2 Physical entry controls Ya Akses masuk ke ruang server dibatasi hanya untuk orang-orang yang berhak
A.9.1.3 Securing offices, rooms and facilities YaUntuk ruang kerja akan ditempatkan satpam di depan pintu masuk agar tidak sembarang orang dapat masuk ke ruang kerja
During employment
Termination or change of employment
A.9 Physical and environmental securitySecure areas
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.9.1.4Protecting against external and environmental threats
YaRuang server dan ruang kerja dilindungi dari kebakaran, gangguan petir atau pencurian
A.9.1.5 Working in secure areas YaMenetapkan aturan bekerja di ruang server dan ruang kerja untuk melindungi karyawan dan perangkat.
A.9.1.6 Public access, delivery and loading areas Tidak Loading area tidak digunakan
A.9.2
A.9.2.1 Equipment sitting and protection YaMembuat prosedur dan aturan penempatan perangkat agar terlindungi dari bahaya lingkungan dan akses oleh pihak yang tidak berhak
A.9.2.2 Supporting utilities YaPerangkat yang ada di ruang server dan ruang kerja sudah dilengkapi dengan fasilitas pendukung seperti UPS dan genset listrik, apabila terjadi pemutusan listrik
A.9.2.3 Cabling security YaKabel daya dan kabel telekomunikasi akan dipisahkan jalurnya agar terhindar dari kerusakan dan intersepsi.
A.9.2.4 Equipment maintenance YaPerawatan berkala dilakukan untuk setiap perangkat, baik yang dilakukan oleh internal maupun yang dilakukan oleh mitra
A.9.2.5 Security of equipment off-premises YaPersyaratan keamanan informasi juga diterapkan untuk perangkat TI (PC, laptop atau removable media ) yang digunakan di luar lokasi ruang lingkup
A.9.2.6 Secure disposal or re-use of equipment YaPerangkat dan media penyimpan informasi harus dihancurkan bila sudah tidak digunakan.
A.9.2.7 Removal of property YaPemindahan perangkat keluar lokasi perusahaan harus dilakukan atas persetujuan personil yang bertanggungjawab.
A.10.1A.10 Communications and operations management
Equipment security
Operational procedures and responsibilities
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.10.1.1 Documented operating procedures YaSOP sudah didokumentasikan, dikelola, dan tersedia untuk seluruh pengguna yang membutuhkan
A.10.1.2 Change management YaMembuat prosedur pengelolaan perubahan agar perubahan terhadap sistem atau aplikasi dapt terkontrol.
A.10.1.3 Segregation of duties Ya Administrator dipisahkan dari operator.
A.10.1.4Separation of development, test and operational facilities
YaProses pengembangan dan pegujian aplikasi akan menggunakan fasilitas yang berbeda dengan fasilitas operasional
A.10.2A.10.2.1 Service delivery Ya Terdapat layanan pihak ketiga dalam maintenance aplikasi
A.10.2.2Monitoring and review of third party services
Ya Secara rutin pihak ketiga mengirimkan laporan kepada IS PO Service
A.10.2.3 Managing changes to third party services YaSetiap perubahan layanan pihak ketiga harus dilakukan atas persetujuan IS PO Service .
A.10.3
A.10.3.1 Capacity management YaMembuat prosedur pengelolaan kapasitas untuk memastikan sistem tetap dapa berjalan optimal meskipun pada saat traffic sedang tinggi
A.10.3.2 System acceptance YaMembuat prosedur yang berisi kriteria penerimaan untuk sistem informasi baru, atau sistem informasi hasil upgrade
A.10.4
A.10.4.1 Controls against malicious code YaDiperlukan agar serangan virus dapat dicegah dari seluruh perangkat, baik milik perusahaan maupun milik personal yang digunakan untuk pengolahan informasi perusahaan
A.10.4.2 Controls against mobile code Ya Mobile code digunakan dalam browser A.10.5
A.10.5.1 Information back-up YaMembuat prosedur backup informasi secara berkala dan mengadakan perangkat atau media untuk backup
Third party service delivery management
System planning and acceptance
Protection against malicious and mobile code
Back-up
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.10.6A.10.6.1 Network controls Ya Jaringan internal sudah dikelola dengan baik agar terhindar dari ancamanA.10.6.2 Security of network services Ya Membuat prosedur untuk network service aggrementA.10.7A.10.7.1 Management of removable media Ya Membuat prosedur untuk pengelolaan removable media
A.10.7.2 Disposal of media YaDiperlukan untuk memastikan tidak ada informasi yang bocor dari media yang sudah tidak dipakai lagi.
A.10.7.3 Information handling procedures Ya Diperlukan untuk mencegah kebocoran informasi.A.10.7.4 Security of system documentation Ya Diterapkan baik untuk dokumen hardcopy maupun softcopy.A.10.8
A.10.8.1Information exchange policies and procedures
Ya Pertukaran informasi seringkali diperlukan dengan pihak ketiga
A.10.8.2 Exchange agreements YaMembuat perjanjian tertulis antara ISC dengan pihak luar terkait pertukaran informasi
A.10.8.3 Physical media in transit YaMedia yang memuat informasi harus dilindungi pada saat dibawa keluar dari lokasi ISC
A.10.8.4 Electronic messaging Ya Seluruh karyawan diwajibkan menggunakan email perusahaan.A.10.8.5 Business information systems Ya Informasi penting tentang perusahaan dibatasi aksesnya.A.10.9
A.10.9.1 Electronic commerce Tidak Sistem provisioning gateway tidak terkait dengan layanan e-commerce
A.10.9.2 On-line transactions Tidak Sistem provisioning gateway tidak terkait dengan layanan e-commerce
A.10.9.3 Publicly available information TidakTidak ada informasi terkait sistem provisioning gateway yang tersedia untuk publik
A.10.10 Monitoring
Network security management
Media handling
Exchange of information
Electronic commerce services
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.10.10.1 Audit logging YaAktivitas seluruh user dicatat dan disimpan selama periode tertentu untuk proses monitoring hak akses
A.10.10.2 Monitoring system use Ya Membuat prosedur pemantauan penggunaan fasilitas pengolahan informasi
A.10.10.3 Protection of log information YaMembuat prosedur pencatatan log untuk melindungi informasi log dari penyalahgunaan
A.10.10.4 Administrator and operator logs Ya Aktivitas administrator dan operator dicatat dalam log
A.10.10.5 Fault logging YaFault pada proses pengolahan informasi di sistem harus dicatat untuk keperluan analisa dan pengambilan langkah-langkah yang sesuai
A.10.10.6 Clock synchronization YaPenunjuk waktu sistem pengolahan informasi disinkronisasikan dengan penunjuk waktu server NEFI
A.11.1
A.11.1.1 Access control policy YaKebijakan pengendalian akses akan ditinjau berkala berdasarkan tuntutan bisnis dan keamanan terhadap akses
A.11.2A.11.2.1 User registration Ya Pendaftaran dan penghapusan user sudah dilakukan secara formal
A.11.2.2 Privilege management Ya Alokasi dan penggunaan hak akses khusus sudah dibatasi dan dikendalikan
A.11.2.3 User password management Ya Alokasi password sudah dikendalikan melalui Nota DinasA.11.2.4 Review of user access rights Ya Hak akses user akan ditinjau secara berkalaA.11.3
A.11.3.1 Password use YaUser sudah diminta untuk mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password
A.11.3.2 Unattended user equipment Ya Untuk melindungi perangkat dari kehilangan saat tidak diawasi.
User access management
User responsibilities
Business requirement for access controlA.11 Access control
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.11.3.3 Clear desk and clear screen policy Ya Membuat kebijakan clear desk dan clear screenA.11.4
A.11.4.1 Policy on use of network services YaUser hanya diberikan akses terhadap layanan sesuai kewenangan yang secara spesifik telah diberikan
A.11.4.2User authentication for external connections
Ya Sudah digunakan metode otentikasi untuk mengontrol akses oleh remote user
A.11.4.3 Equipment identification in networks Ya Perangkat yang tersambung di LAN internal dapat diidentifikasi dengan IP
A.11.4.4Remote diagnostic and configuration port protection
Ya Diterapkan antara lain terhadap akses VPN melalui proses otentikasi
A.11.4.5 Segregation in networks Ya Jaringan internal dipisahkan dari jaringan publik.
A.11.4.6 Network connection control YaKemampuan user untuk terhubung ke jaringan telah dibatasi, sejalan dengan kebutuhan dari aplikasi bisnis
A.11.4.7 Network routing control Ya Kontrol terhadap routing sudah diimplementasikanA.11.5A.11.5.1 Secure log-on procedures Ya Diperlukan untuk mengelola dan mengendalikan akses ke OSA.11.5.2 User identification and authentication Ya Seluruh user sudah memiliki satu pengenal yang unik (User ID )
A.11.5.3 Password management system YaUser sudah diminta untuk setiap tiga bulan mengganti password , ada ketentuan jumlah minimum karakter dalam membuat password
A.11.5.4 Use of system utilities Ya Penggunaan utility program di komputer dikendalikan oleh Administrator.
A.11.5.5 Session time-out YaSudah diterapkan session time-out untuk memastikan bahwa sesi yang tidak aktif dalam jangka waktu tertentu dimatikan
A.11.5.6 Limitation of connection time Ya Sudah diterapkan pembatasan pada connection time A.11.6
Network access control
Operating system access control
Application and information access control
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.11.6.1 Information access restriction YaDiterapkan untuk membatasi akses informasi rahasia oleh user dan personil support
A.11.6.2 Sensitive system isolation Ya Sistem provisioning gateway sudah dijalankan di lingkungan yang dedicated
A.11.7
A.11.7.1 Mobile computing and communications YaMembuat prosedur untuk komunikasi dan pengolahan informasi melalui notebook, tablet, atau smartphone
A.11.7.2 Teleworking YaPenggunaan teleworking diperbolehkan oleh perusahaan dan sudah dijaga keamanannya menggunakan jaringan VPN
A.12.1
A.12.1.1Security requirements analysis and specification
YaDiperlukan untuk menjamin agar sistem aplikasi yang digunakan memenuhi syarat keamanan
A.12.2A.12.2.1 Input data validation Ya Membuat prosedur validasi data masukanA.12.2.2 Control of internal processing Ya Pengecekan validasi akan dimasukan ke dalam aplikasi
A.12.2.3 Message integrity YaPersyaratan untuk memastikan keaslian dan perlindungan terhadap integritas dalam aplikasi harus diidentifikasi dan dikendalikan
A.12.2.4 Output data validation Ya Membuat prosedur validasi data keluaranA.12.3
A.12.3.1 Policy on the use of cryptographic controls YaKebijakan terkait penggunaan kontrol kriptografi untuk melindungi informasi sudah diimplementasikan
A.12.3.2 Key management YaKey management sudah diterapkan untuk mendukung penggunaan teknik kriptografi
A.12.4 Security of system files
Cryptographic controls
Mobile computing and Teleworking
Security requirements of information systems
Correct processing in applications
A.12 Information systems acquisition, development and maintenance
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.12.4.1 Control of operational software YaSuda ada prosedur untuk mengontrol instalasi perangkat lunak pada sistem operasional
A.12.4.2 Protection of system test data Ya Membuat prosedur perlindungan terhadap data system test
A.12.4.3 Access control to program source code Ya Membuat prosedur pengelolaan akses ke source code aplikasi
A.12.5A.12.5.1 Change control procedures Ya Diperlukan untuk mengendalikan perubahan aset dan layanan TI
A.12.5.2Technical review of applications after operating system changes
Ya Untuk mencegah agar perubahan sistem operasi tidak mengganggu operasional
A.12.5.3Restrictions on changes to software packages
YaUntuk mencegah agar perubahan paket perangkat lunak tidak mengganggu operasional
A.12.5.4 Information leakage Ya Untuk mencegah peluang terjadinya kebocoran informasi rahasia.
A.12.5.5 Outsourced software development TidakSeluruh pengembangan perangkat lunak dikerjakan sendiri (insource). Penggunaan layanan pihak ketiga hanya untuk maintenance
A.12.6A.12.6.1 Control of technical vulnerabilities Ya Membuat prosedur pengeolaan kerawanan teknis
A.13.1
A.13.1.1 Reporting information security events YaSeluruh insiden harus dilaporkan ke Sub Unit Planning & Controlling untuk ditindaklanjuti dengan tepat
A.13.1.2 Reporting security weaknesses YaSeluruh insiden harus dilaporkan ke Sub Unit Planning & Controlling untuk ditindaklanjuti dengan tepat
A.13.2
A.13.2.1 Responsibilities and procedures Ya Tugas masing-masing pihak yang terlibat dijelaskan dalam prosedur terkait
Security in development and support processes
Technical Vulnerability Management
Management of information security incidents and improvements
Management of information security incidents and improvements
A.13 Information security incident management
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.13.2.2Learning from information security incidents
YaMembuat mekanisme yang memungkinkan jenis, besaran, dan biaya atas insiden keamanan informasi dikuantifikasi dan dimonitor
A.13.2.3 Collection of evidence YaBukti-bukti terkait pelanggaran keamanan informasi akan dikumpulkan disimpan
A.14.1
A.14.1.1Including information security in the business continuity management process
YaDiperlukan untuk mengatasi gangguan yang mempengaruhi keberlangsungan layanan
A.14.1.2 Business continuity and risk assessment Ya BCP disusun dengan memperhatikan risk assessment
A.14.1.3Developing and implementing continuity plans including information security
YaStrategi BCP dirancang dengan memperhatikan gangguan/insiden keamanan informasi yang mungkin terjadi.
A.14.1.4 Business continuity planning framework Ya Disusun sebagai acuan dalam menjamin keberlangsungan layanan
A.14.1.5Testing, maintaining and reassessing business continuity plans
YaUntuk memastikan agar BCP yang dibangun dapat diterapkan secara tepat dan efektif
A.15.1
A.15.1.1 Identification of applicable legislation YaSeluruh hukum, peraturan perundang-undangan dan persyaratan kontrak serta pendekatan organisasi untuk memenuhi persyaratan keamanan informasi sudah ditetapkan
A.15.1.2 Intellectual property rights (IPR) Ya Kecuali freeware, hanya perangkat lunak berlisensi yang boleh digunakan.
Information security aspects of business continuity management
Compliance with legal requirements
A.14 Business continuity management
A.15 Compliance
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.
Implementasi (Ya /Tidak)
JustifikasiKlausul Control Objectives
A.15.1.3 Protection of organizational records YaMembuat dokumen perlindungan terhadap rekaman penting perusahaan dari kehilangan, penghancuran, atau pemalsuan
A.15.1.4Data protection and privacy of personal information
Ya Data pribadi karyawan termasuk data rahasia yang harus dilindungi.
A.15.1.5Prevention of misuse of information processing facilities
YaAkan dilakukan pengawasan terhadap penggunaan fasilitas pengolahan informasi untuk mencegah terjadinya penyalahgunaan.
A.15.1.6 Regulation of cryptographic controls YaISC mengikuti kontrol kriptografi perusahaan yang sudah sesuai dengan regulasi yang relevan
A.15.2
A.15.2.1Compliance with security policies and standards
YaDilakukan pamantauan berkala untuk menjamin kepatuhan terhadap standar dan kebijakan keamanan informasi
A.15.2.2 Technical compliance checking YaSistem informasi secara berkala akan diperiksa agar selalu sesuai dengan standar implementasi keamanan
A.15.3
A.15.3.1 Information systems audit controls YaAkan dilakukan audit internal untuk menjamin kepatuhan terhadap kebijakan dan standar keamanan informasi
A.15.3.2Protection of information systems audit tools
YaMembuat prosedur perlindungan terhadap system audit tools untuk mencegah setiap kemungkinan penyalahgunaan atau gangguan
Compliance with security policies and standards, and technical compliance
Information system audit considerations
Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.