15 informasi dalam hal ini diharapkan bisa memberikan tuntunan terhadap nilai dampak dari kemanan sistem informasi, kemudian yang kedua terhadap kontrol keamanan yang sudah berjalan pada sistem informasi pengelolan keuangan daerah denpasar SIPKD dalam teknik kuisioner ini dilakukan dengan mencari nilai maturity level terhadap standar dan pedoman dari FISMA. Untuk bobot dari tingkat kematangan yang akan dinilai, karena dalam hal ini FISMA sebagai Framework utama dalam melakukan audit pada penelitian ini, belum mampu dalam memberikan nilai terhadap kematangan dari setiap jawaban dari korenponden, maka dilakukan proses pemetaan terhadap COBIT 5, karena dalam cobit 5 mampu menyediakan nilai kedewasaan dari setiap bobot jawaban dari koresponden, sehingga dalam hal ini bisa memperoleh maturity level dari setiap standar pertanyaan dari yang diinginkan FISMA. Berikut adalah fokus daerah audit mengenai kategori sistem informasi terhadap keamanan sistem informasi yang disediakan dalam aturan NIST SP 800-60 : Tabel 3.1 Tabel Level NIST SP 800-60 FIP Publication 199 Low Moderate High Confidentiality Kerahasiaan terhadap sistem informasi memiliki dampak yang rendah terhadap oprasi organisasi dan aset organisasi. Kerahasiaan terhadap sistem informasi memiliki dampak yang serius atau menengah terhadap oprasi organisasi dan aset organisasi. Kerahasiaan terhadap sistem informasi memiliki dampak yang berbahaya atau tinggi terhadap oprasi organisasi dan aset organisasi. 16 Integrity Hilangnya integritas memiliki dampak rendah terhadap operasi dan aset organisasi. Hilangnya ketersediaan memiliki dampak serius atau menengah terhadap operasi dan aset organisasi. Hilangnya ketersediaan memiliki dampak bebahaya dan tinggi terhadap operasi dan aset organisasi. Availability Hilangnya suatu ketersediaan memiliki dampak rendah terhadap oprasi dan aset organisasi Hilangnya suatu ketersediaan memiliki serius atau sedang rendah terhadap oprasi dan aset organisasi Hilangnya suatu ketersediaan memiliki dampak berbahasya atau tinggi terhadap oprasi dan aset organisasi Dalam hal menilai kontrol keamanan informasi sebagaimana telah diatur dalam NIST SP 800-53 terdapat beberapa obyek yang terkait, diantaranya : Tabel 3.2 Tabel Level NIST SP 800-53 Code Contol Management Control RA Risk Assessment PL System Security Plan SA System and Service Acquisition SA-7 User Installed Software CA Certification, Accreditation, and Security Assessments Operational Control PS Personnel Security 17 PE Physical and Environmental Protection CP Contingency Planning CM Configuration Management MA Maintenance MA-6 Timely Maintenance SI System and Information Integrity SI-8 Spam and Spyware Protection MP Media Protection MP-5 Media Transport IR Incident Response IR-6 Incident Reporting AT Awareness and Training AT-3 Security Training Technical Controls IA Identification and Authentication IA-6 Authentication Feedback AC Access Control AC-9 Previous Logon Notification AU Audit and Accountability AU-8 Time Stamps SC System and Communications Protection SC-14 Public Access Protections c. Observasi, dalam proses observasi dilakukan pengamatan terhadap aktivitas yang terjadi, dari segi aktivitas terhadap pengguna dalam hal ini oprator dari Sistem Informasi pengelolaan keuangan daerah denpasar, sampai kepada manajemen yang mengawasi dan mengembangkan sistem informasi. Disamping itu dilakukan dengan mengamati proses dan prilaku sistem dalam hal ini yang bekaitan dengan keamanan dalam proses transaksi data pada sistem informasi yang sudah disiapkan sebelumnya materi pengamatan dan instrument yang digunakan. Proses ini biasanya disebut juga dengan observasi secara sistematik dimana peneliti secara lebih leluasa dapat menentukan perilaku apa yang dapat diamati pada awal kegiatan pengamatan, agar permasalahan dapat dipecahkan. 18 d. Studi pustaka, dalam melakukan pemahaman dalam subyek dan obyek serta sarana untuk aktivitas melakukan audit atau penelitian, tentu tidak terlepas dari bebagai sumber yang relevan yang harus digunakan, selain itu dokumen – dokumen pendunkung yang berkaitan dengan Sistem Informasi Pengelolaan Keuangan Daerah Denpasar sangat penting dalam proses penelitian ini.

3.5 Menentukan Maturity Level

Untuk mendapatkan nilai kematangan atas jawaban dari responden berdasarkan pertanyaan yang ada maka perlu ditentukan dengan maturity level, berikut adalah tabel tingkat maturity level yang terdapat 6 pilihan jawaban untuk responden dari 0 – 5, selanjutnya akan diambil rata – rata dari bobot nilai yang diberikan oleh jawaban responden. Tabel 3.3 Tabel Maturity Level Aktivitas Tingkat Kematangan Jumlah Tingkat Kematangan 1 2 3 4 5 Rata-rata Tabel 3.4 Tabel Kriteria Penilaian Nilai Maturity Level FISMA Level – 0.50 Level 0 Low 0.51 – 1.50 Level 1 Low 1.51 – 2.50 Level 2 Moderate 2.50 – 3.50 Level 3 Moderate 3.51 – 4.50 Level 4 High 4.51 – 5.00 Level 5 High 19

BAB IV PEMBAHASAN DAN HASIL

Setelah melakukan proses audit, melalui metode wawancara, observasi, kuisioner yang didasari sumber dan literature yang relevan terhadap audit, maka di dapat hasil sebagai berikut :

4.1 NIST SP 800-60 kategori keamanan sistem informasi

Tingkat dampak keamanan sistem informasi sangat tergantung pada proses berjalannya sistem dan prilaku individu di dalamnya, terlebih lagi sistem yang berbasis informasi umum dan menyakut dalam hal keuangan akan sangat sensitif terhadap dampak untuk kesinambungan proses dari sistem informasi dan organisasi. Dalam NIST SP 800-60 dikatakan indentifikasi dari dampak buruk dalam sistem informasi harusnya dilakukan sedini mungkin. Pihak organisasi harus menunjau tingkat dampak sistem informasi dalam kontek lingkungannya sendiri. Pada umumnya setiap informasi memililki tingkat dampak yang berbeda tidak semua sistem informasi memiliki dampak yang sama. Dari proses wawancara dan kuisioner yang didasari aturan NIST SP 800- 60 sudah terlihat bahwa Sistem informasi pengelolaan keuangan daerah denpasar SIPKD dalam segi kerahasiaan berdampak sangat tinggi karena sistem berkaitan dengan pengeloaan keuangan, apabila proses data mengelami kebocoran maka akan sangat berbahaya terhadap sistem informasi, kemudian apabila terjadi perubahan sarana data dan sistem informasi secara illegal berdampak sangat serius terhadap berjalannya sistem, hal ini sesuai dengan yang diatur dalam integritas pada NIST SP 800-60, kemudian dari segi aviability atau ketersediaan dinilai berdampak menengah dan bisa dikategorikan serius apabila terjadi gangguan dalam proses transaksi, namun masih tedapat waktu toleransi dalam masa penyelesaian transaksi pada sistem informasi pengelolaan keuangan daerah denpasar SIPKD. Dalam proses kuisioner dengan 4 orang koresponden, dari Kerahasiaan sistem ke empat koresponden memberikat penilain 5 terhadap kerahasiaan sistem informasi, dari segi integritas sistem 1 koresponden memberikan nilai 4 dan 3