AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 2 Maret – 31 Juli 2015
Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password
P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang berkualitas?
J: Ada di dokumen KD 57 pasal 34 ayat 4f 7
Terdapat perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama
P: Apakah perubahan kata sandi dilakukan secara berkala? J: Iya
P: Berapa kali karyawan melakukan perubahan kata sandipassword? J: Setiap 3 bulan sekali
P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan? J: Tidak
P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali? J: Sandi yang lama sudah tidak bisa dipakai lagi
4.3.2 Hasil Pemeriksaan Data
Setiap langkah pemeriksaan yang ada dalam program audit dilaksanakan oleh auditor TI dengan menggunakan satu atau lebih teknik audit yang sesuai dan
disertai data bukti pendukung yang memadai mencukupi. Wawancara dan observasi dilakukan untuk mendapatkan bukti atau temuan mengenai fakta terkait
dengan masalah yang ada. Bukti-bukti tersebut berupa foto, dokumen, rekaman dan data. Beberapa contoh dokumen pemeriksaan pada klausul 8 Delapan
Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process, klausul 9 Sembilan Keamanan Fisik dan Lingkungan
dengan kontrol 9.1.1 Pembatasan Keamanan Fisik Physical security perimeter
dan klausul 11 Sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password dapat dilihat pada Tabel 4.21, Tabel 4.22 dan Tabel 4.23 untuk Tabel
bukti foto, dokumen dan rekaman selengkapnya dapat dilihat pada Lampiran 12, untuk dokumen pemeriksaan data audit di Lampiran 8.
Tabel 4.21 Hasil Pemeriksaan Data Pada Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 8 KEAMANAN
SUMBER DAYA MANUSIA
Pemeriksa : Bpk Erwin SutomoBpk Teguh
Sutanto Auditor
: Dian Ayu P Auditee
: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring
Tanggal : 9 Maret- 12 April 2015
Klausul 8.2 Selama Menjadi Pegawai 8.2.3 Proses kedisiplinan
No. Pemeriksaan Catatan Auditor
Catatan Review 1.
Identifikasi mengenai prosedur yang mengatur
kedisiplinan seluruh karyawan
Dengan cara
1. Wawancara
2. Dapatkan dokumentasi
yang mengatur kedisiplinan karyawan
Telah diperiksa bahwa terdapat prosedur yang
mengatur kedisiplinan para karyawan yaitu
antara lain, Disiplin Dasar mengenai
Karyawan. Namun dokumentasinya ada di
HRC kota Bandung. Ada dokumen yang
mengatur kedisiplinan para karyawan namun
keberadaan dokumennya di HRC Bandung.
2. Identifikasi mengenai
pertimbangan kedisiplinan formal dengan melihat
beberapa faktor Dengan cara
1. Wawancara
2. Dapatkan dokumentasi
mengenai pertimbangan yang dilakukan jika ada
pelanggaran pada pegawai
Telah diperiksa bahwa terdapat pertimbangan
faktor pendisiplinan mengenai pelanggaran
keamanan sistem informasi. Isi dari
pertimbangan tersebut adalah tentang
“Disiplin Dasar Pegawai”.
Untuk dokumentasi mengenai pertimbangan
yang dilakukan jika ada pelanggaran keamanan
sistem informasi pada pegawai terdapat di
HRC kota Bandung dan bersifat privat.
Dokumentasi yang bersangkutan terdapat di
HRC kota Bandung dan bersifat privat
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 8 KEAMANAN
SUMBER DAYA MANUSIA
Pemeriksa : Bpk Erwin SutomoBpk Teguh
Sutanto Auditor
: Dian Ayu P Auditee
: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring
Tanggal : 9 Maret- 12 April 2015
Klausul 8.2 Selama Menjadi Pegawai 8.2.3 Proses kedisiplinan
No. Pemeriksaan Catatan Auditor
Catatan Review 3.
Identifikasi mengenai sanksi bagi karyawan yang
cenderung mengabaikan prosedur keamanan sistem
informasi Dengan cara
1. Wawancara
2. Dokumentasi tentang
keamanan informasi khususnya mengenai
pentingnya untuk tidak menyebarluaskan
password Telah diperiksa bahwa
karyawan kurang mematuhi aturan dan
prosedur keamanan sistem informasi.
Meskipun tidak diijinkan menyebar
atau memberikan informasi yang bersifat
internal seperti password contohnya,
tetapi terdapat beberapa karyawan yang
mengabaikan prosedur tersebut yaitu dengan
menitipkan password kepada rekan lain.
Terdapat dokumen yang mengatur tentang
keamanan informasi khususnya mengenai
pentingnya untuk tidak menyebarluaskan
password yaitu di dokumen KD 57 Bab
VIII pasal 34 ayat 4d, namun hanya teguran
lisan saja dan tidak ada dokumen yang
mengatur apabila karyawan mengabaikan
prosedur tersebut. Terdapat temuan bahwa
masih terdapat karyawan yang tidak mematuhi
prosedur yang sudah ada di perusahaan, yaitu
saling menitipkan password kepada rekan
lain meskipun mereka tau hal tersebut dilarang
dan sudah disebutkan jelas dalam dokumen KD
57 Bab VIII pasal 34 ayat 4d .
Tabel 4.22 Hasil Pemeriksaan Data Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik Physical security perimeter
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 9 KEAMANAN
FISIK LINGKUNGAN
Pemeriksa : Bpk Erwin SutomoBpk Teguh
Sutanto Auditor
: Dian Ayu P Auditee
: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring
Tanggal : 13 April
– 18 Mei 2015 Klausul 9.1 Wilayah Aman Secure Area
9.1.1 Pembatasan keamanan fisik No. Pemeriksaan
Catatan Auditor Catatan Review
1. Identifikasi batas perimeter
yang jelas pada tempat fasilitas informasi yang aman
secara fisik Dengan cara
1. Wawancara
2. Dapatkan dokumen atau
prosedur keamanan yang mengatur tentang batas
fisik tersebut
3. Survey
Telah diperiksa bahwa ada batas fisik yang
terdapat di dalam ruangan Desktop
Management yaitu berupa sekat yang
terbuat dari playwood
. Namun dalam tiap
bagian belum terdapat pintu khusus untuk
menuju masing masing ruangan.
Terdapat kaca yang memiliki pandangan
keluar gedung, dan terdapat pintu akses
sebelum menuju ruang ISSSM yang di mana di
dalamnya terdapat ruang Desktop
Management. Adapun dokumen yang
mengatur batas keamanan fisik yaitu di
dokumen KD 57 Bab VI pasal 16 ayat 1.
Terdapat batas fisik di dalam ruangan kerja
desktop management yang terbuat dari bahan
playwood dan ada dokumen yang mengatur
tentang standar batas fisik tersebut yaitu di
dokumen KD 57.
2. Identifikasi akses menuju
tempat kerja harus dibatasi hanya untuk pesonil dengan
otorisasi Dengan cara
1. Wawancara
2. Dapatkan dokumen yang
mengatur bahwa untuk akses menuju tempat
Telah diperiksa bahwa setiap karyawan
memiliki kartu akses untuk dapat masuk ke
beberapa ruangan yang hanya bisa dimasuki
oleh orang orang tertentu saja jadi tidak
sembarang orang dapat Untuk menuju ke tempat
tempat tertentu yang hanya dimasuki orang
yang memiliki otorisasi, karyawan telah diberi
kartu akses.
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 9 KEAMANAN
FISIK LINGKUNGAN
Pemeriksa : Bpk Erwin SutomoBpk Teguh
Sutanto Auditor
: Dian Ayu P Auditee
: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring
Tanggal : 13 April
– 18 Mei 2015 Klausul 9.1 Wilayah Aman Secure Area
9.1.1 Pembatasan keamanan fisik No. Pemeriksaan
Catatan Auditor Catatan Review
kerja dibatasi hanya untuk personil dengan
otorisasi memasuki ruang
Desktop Management. Yang menempati ruang
Desktop Management ini adalah GM
Genderal Manager dan staff. Terdapat
dokumen yang mengatur untuk akses
menuju tempat kerja yaitu di dokumen KD
57 Bab VI pasal 16 ayat 2.
Tidak terdapat cctv close circuit tele
vision khusus di ruang kerja Desktop
Management ini.
3. Identifikasi pintu darurat
dalam batas parimeter keamanan harus dipasang
sesuai standar Dengan cara
1. Wawancara
2. Survey
Telah diperiksa bahwa terdapat pintu darurat
yang dipasang sesuai standar keamanan yang
terbuat dari besi dan tertutup rapat. Semua
karyawan telah mengetahui lokasi pintu
darurat tersebut. Pintu darurat terkadang
rusak karena pernah digunakan untuk keluar
masuknya barang ke ruang Desktop atau ke
ruang lainnya di ISSSM.
Untuk kontrol pengawasan fisik
apabila terjadi bencana Terdapat temuan bahwa
ada pintu darurat namun terkadang rusak
dikarenakan pernah digunakan untuk akses
keluar masuknya barang.
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 9 KEAMANAN
FISIK LINGKUNGAN
Pemeriksa : Bpk Erwin SutomoBpk Teguh
Sutanto Auditor
: Dian Ayu P Auditee
: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring
Tanggal : 13 April
– 18 Mei 2015 Klausul 9.1 Wilayah Aman Secure Area
9.1.1 Pembatasan keamanan fisik No. Pemeriksaan
Catatan Auditor Catatan Review
mendadak dilakukan secara manual, yaitu
langsung menyelamatkan
fasilitas kantor yang bisa diselamatkan
dengan cara diangkat langsung dan
membawa ke tempat yang lebih aman.
4. Identifikasi orang yang akan
masuk ke wilayah aman harus diawasi
Dengan cara
1. Wawancara
2. Survey
Telah diperiksa bahwa terdapat persyaratan
khusus dan pencatatan bagi orang lain yang
akan masuk ke wilayah aman seperti ruang
pemrosesan informasi, yaitu harus melalui
resepsionist terlebih dahulu untuk ditanyai
keperluannya. Namun di ruang
resepsionist dan ruang menuju wilayah aman
tidak ada cctv. Bagi orang lain yang
akan masuk ke wilayah aman, biasanya harus
melalui resepsionist terlebih dahulu. Terdapat
temuan bahwa di sepanjang arah menuju
wilayah aman pemrosesan informasi
tidak terdapat cctv.
Tabel 4.23 Hasil Pemeriksaan Data Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan password Password Use
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 11 KONTROL
AKSES
Pemeriksa : Bpk Erwin SutomoBpk Teguh
Sutanto Auditor
: Dian Ayu P Auditee
: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring
Tanggal : 1 Juni
– 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities
11.3.1 Penggunaan Password No. Pemeriksaan
Catatan Auditor Catatan Review
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 11 KONTROL
AKSES
Pemeriksa : Bpk Erwin SutomoBpk Teguh
Sutanto Auditor
: Dian Ayu P Auditee
: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring
Tanggal : 1 Juni
– 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities
11.3.1 Penggunaan Password No. Pemeriksaan
Catatan Auditor Catatan Review
1. Identifikasi kesadaran dari
diri sendiri untuk menjaga kerahasiaan password
Dengan cara
1. Wawancara
2. Dapatkan dokumen
yang memberitahukan larangan untuk
menyebarluaskan password dan menjaga
kerahasiaannya Telah diperiksa bahwa
terdapat kesadaran dari para karyawan akan
pentingnya untuk menjaga password dan
telah sesuai dengan dokumen yang ada di
perusahaan yaitu di dokumen KD 57 bab
VIII pasal 34 ayat 4d. Terdapat kesadaran dari
para karyawan untuk menjaga passwordnya
masing masing sesuai dengan prosedur yang
sudah ada.
2. Identifikasi penggantian kata
password setiap kali ada kemungkinan sistem atau
password dalam keadaan bahaya
Dengan cara
1. Wawancara
2. Survey
Telah diperiksa bahwa sampai saat ini masih
belum ada sistem yang berbahaya, sehingga
masih belum dilakukan pergantian password
atau sandi oleh karyawan, apabila ada
perintah pergantian sandi biasanya
dilakukan secara lisan. Sampai saat ini masih
belum ada sistem yang berbahaya, jadi belum
perlu dilakukan pergantian password
kecuali pada jangka waktu 3 bulan sekali
selalu melakukan penggantian password.
3. Identifikasi mengenai
larangan dalam pembuatan catatan password
Dengan cara
1. Wawancara
2. Dapatkan dokumen
yang memberitahukan larangan untuk membuat
catatan password tanpa perlindungan khusus
Telah dilakukan pemeriksaan bahwa ada
larangan untuk membuat catatan
password tanpa perlindungan khusus
sesuai dengan dokumen KD 57 bab VIII pasal
34 ayat 4 k. Karyawan menyimpan
melalui perangkat pribadi masing masing.
Ada larangan untuk membuat catatan
password tanpa perlindungan khusus,
biasanya apabila karyawan hendak
mencatat password di perangkat mobile
pribadi.
4. Identifikasi mengenai
larangan untuk tidak membagi satu password
kepada pengguna lain Dengan Telah diperiksa bahwa
terdapat larangan untuk tidak membagi satu
password kepada Terdapat temuan bahwa
tingkat kedisiplinan karyawan untuk menjaga
password yang dimiliki
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 11 KONTROL
AKSES
Pemeriksa : Bpk Erwin SutomoBpk Teguh
Sutanto Auditor
: Dian Ayu P Auditee
: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring
Tanggal : 1 Juni
– 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities
11.3.1 Penggunaan Password No. Pemeriksaan
Catatan Auditor Catatan Review
cara 1.
Wawancara 2.
Survey pengguna lain namun
karena tingkat kedisiplinan yang
kurang, ada saja karyawan yang
melanggar aturan tersebut, yaitu dengan
cara saling menitipkan password ke sesama
rekan kerja. Sampai saat ini konsekuensinya
hanyalah berupa teguran lisan belum ada
konsekuensi yang lebih khusus.
masih kurang karena saling menitipkan
password. Konsekuensi pada karyawan hanya
berupa teguran lisan.
5. Identifikasi mengenai
pergantian password sementara pada saat pertama
kali log-on Dengan cara
1. Wawancara
2. Survey
Telah diperiksa bahwa terdapat pergantian
password sementara setelah pertama kali
log-on agar terjaga keamanan
informasinya. Seperti aplikasi cnemas,
absensi, poin serta portal menggunakan
pergantian password sementara dan wajib
diterapkan Terdapat pergantian
password sementara pada saat pertama kali log-on
6. Identifikasi mengenai
pemilihan password secara berkualitas yang mudah
diingat Dengan cara
3. Wawancara
4. Dapatkan dokumen
yang mengatur cara pemilihan kata sandi
yang berkualitas Telah dilakukan
pemeriksaan bahwa terdapat pemilihan
password yang mudah diingat namun tidak
berdasarkan tanggal lahir ataupun nama
karena telah teracak dengan baik antara
nomor dan huruf. Karyawan memilih
password yang mudah diingat dirinya sendiri
namun sulit ditebak oleh orang lain karena tidak
menggunakan tanggal lahir, nama atau hal hal
yang mudah diketahui orang lain.
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 11 KONTROL
AKSES
Pemeriksa : Bpk Erwin SutomoBpk Teguh
Sutanto Auditor
: Dian Ayu P Auditee
: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring
Tanggal : 1 Juni
– 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities
11.3.1 Penggunaan Password No. Pemeriksaan
Catatan Auditor Catatan Review
Dokumen yang mengatur tentang
pemilihan password yaitu di dokumen KD
57 bab VIII pasal 34 ayat 4 f.
7. Identifikasi perubahan kata
sandipassword berkala atau berdasarkan jumlah akses dan
larangan menggunakan password yang lama
Dengan cara
1. Wawancara
2. Survey
Telah diperiksa bahwa terdapat perubahan
sandi secara berkala yaitu setiap 3 bulan
sekali dan perubahan sandi tidak berdasarkan
jumlah akses yang dilakukan. Sandi yang
lama tidak dapat digunakan kembali.
Dilakukan perubahan password setiap 3 bulan
sekali, tidak berdasarkan jumlah akses yang
dilakukan.
4.3.3 Hasil Temuan dan Rekomendasi