1. Home
  2. Lainnya

Hasil Pemeriksaan Data Hasil Pelaksanaan Audit Keamanan Sistem Informasi

AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 2 Maret – 31 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang berkualitas? J: Ada di dokumen KD 57 pasal 34 ayat 4f 7 Terdapat perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama P: Apakah perubahan kata sandi dilakukan secara berkala? J: Iya P: Berapa kali karyawan melakukan perubahan kata sandipassword? J: Setiap 3 bulan sekali P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan? J: Tidak P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali? J: Sandi yang lama sudah tidak bisa dipakai lagi

4.3.2 Hasil Pemeriksaan Data

Setiap langkah pemeriksaan yang ada dalam program audit dilaksanakan oleh auditor TI dengan menggunakan satu atau lebih teknik audit yang sesuai dan disertai data bukti pendukung yang memadai mencukupi. Wawancara dan observasi dilakukan untuk mendapatkan bukti atau temuan mengenai fakta terkait dengan masalah yang ada. Bukti-bukti tersebut berupa foto, dokumen, rekaman dan data. Beberapa contoh dokumen pemeriksaan pada klausul 8 Delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process, klausul 9 Sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 Pembatasan Keamanan Fisik Physical security perimeter dan klausul 11 Sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password dapat dilihat pada Tabel 4.21, Tabel 4.22 dan Tabel 4.23 untuk Tabel bukti foto, dokumen dan rekaman selengkapnya dapat dilihat pada Lampiran 12, untuk dokumen pemeriksaan data audit di Lampiran 8. Tabel 4.21 Hasil Pemeriksaan Data Pada Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Pemeriksa : Bpk Erwin SutomoBpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 9 Maret- 12 April 2015 Klausul 8.2 Selama Menjadi Pegawai 8.2.3 Proses kedisiplinan No. Pemeriksaan Catatan Auditor Catatan Review 1. Identifikasi mengenai prosedur yang mengatur kedisiplinan seluruh karyawan Dengan cara 1. Wawancara 2. Dapatkan dokumentasi yang mengatur kedisiplinan karyawan Telah diperiksa bahwa terdapat prosedur yang mengatur kedisiplinan para karyawan yaitu antara lain, Disiplin Dasar mengenai Karyawan. Namun dokumentasinya ada di HRC kota Bandung. Ada dokumen yang mengatur kedisiplinan para karyawan namun keberadaan dokumennya di HRC Bandung. 2. Identifikasi mengenai pertimbangan kedisiplinan formal dengan melihat beberapa faktor Dengan cara 1. Wawancara 2. Dapatkan dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran pada pegawai Telah diperiksa bahwa terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi. Isi dari pertimbangan tersebut adalah tentang “Disiplin Dasar Pegawai”. Untuk dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai terdapat di HRC kota Bandung dan bersifat privat. Dokumentasi yang bersangkutan terdapat di HRC kota Bandung dan bersifat privat PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Pemeriksa : Bpk Erwin SutomoBpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 9 Maret- 12 April 2015 Klausul 8.2 Selama Menjadi Pegawai 8.2.3 Proses kedisiplinan No. Pemeriksaan Catatan Auditor Catatan Review 3. Identifikasi mengenai sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi Dengan cara 1. Wawancara 2. Dokumentasi tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password Telah diperiksa bahwa karyawan kurang mematuhi aturan dan prosedur keamanan sistem informasi. Meskipun tidak diijinkan menyebar atau memberikan informasi yang bersifat internal seperti password contohnya, tetapi terdapat beberapa karyawan yang mengabaikan prosedur tersebut yaitu dengan menitipkan password kepada rekan lain. Terdapat dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password yaitu di dokumen KD 57 Bab VIII pasal 34 ayat 4d, namun hanya teguran lisan saja dan tidak ada dokumen yang mengatur apabila karyawan mengabaikan prosedur tersebut. Terdapat temuan bahwa masih terdapat karyawan yang tidak mematuhi prosedur yang sudah ada di perusahaan, yaitu saling menitipkan password kepada rekan lain meskipun mereka tau hal tersebut dilarang dan sudah disebutkan jelas dalam dokumen KD 57 Bab VIII pasal 34 ayat 4d . Tabel 4.22 Hasil Pemeriksaan Data Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik Physical security perimeter PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Pemeriksa : Bpk Erwin SutomoBpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 13 April – 18 Mei 2015 Klausul 9.1 Wilayah Aman Secure Area 9.1.1 Pembatasan keamanan fisik No. Pemeriksaan Catatan Auditor Catatan Review 1. Identifikasi batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik Dengan cara 1. Wawancara 2. Dapatkan dokumen atau prosedur keamanan yang mengatur tentang batas fisik tersebut 3. Survey Telah diperiksa bahwa ada batas fisik yang terdapat di dalam ruangan Desktop Management yaitu berupa sekat yang terbuat dari playwood . Namun dalam tiap bagian belum terdapat pintu khusus untuk menuju masing masing ruangan. Terdapat kaca yang memiliki pandangan keluar gedung, dan terdapat pintu akses sebelum menuju ruang ISSSM yang di mana di dalamnya terdapat ruang Desktop Management. Adapun dokumen yang mengatur batas keamanan fisik yaitu di dokumen KD 57 Bab VI pasal 16 ayat 1. Terdapat batas fisik di dalam ruangan kerja desktop management yang terbuat dari bahan playwood dan ada dokumen yang mengatur tentang standar batas fisik tersebut yaitu di dokumen KD 57. 2. Identifikasi akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi Dengan cara 1. Wawancara 2. Dapatkan dokumen yang mengatur bahwa untuk akses menuju tempat Telah diperiksa bahwa setiap karyawan memiliki kartu akses untuk dapat masuk ke beberapa ruangan yang hanya bisa dimasuki oleh orang orang tertentu saja jadi tidak sembarang orang dapat Untuk menuju ke tempat tempat tertentu yang hanya dimasuki orang yang memiliki otorisasi, karyawan telah diberi kartu akses. PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Pemeriksa : Bpk Erwin SutomoBpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 13 April – 18 Mei 2015 Klausul 9.1 Wilayah Aman Secure Area 9.1.1 Pembatasan keamanan fisik No. Pemeriksaan Catatan Auditor Catatan Review kerja dibatasi hanya untuk personil dengan otorisasi memasuki ruang Desktop Management. Yang menempati ruang Desktop Management ini adalah GM Genderal Manager dan staff. Terdapat dokumen yang mengatur untuk akses menuju tempat kerja yaitu di dokumen KD 57 Bab VI pasal 16 ayat 2. Tidak terdapat cctv close circuit tele vision khusus di ruang kerja Desktop Management ini. 3. Identifikasi pintu darurat dalam batas parimeter keamanan harus dipasang sesuai standar Dengan cara 1. Wawancara 2. Survey Telah diperiksa bahwa terdapat pintu darurat yang dipasang sesuai standar keamanan yang terbuat dari besi dan tertutup rapat. Semua karyawan telah mengetahui lokasi pintu darurat tersebut. Pintu darurat terkadang rusak karena pernah digunakan untuk keluar masuknya barang ke ruang Desktop atau ke ruang lainnya di ISSSM. Untuk kontrol pengawasan fisik apabila terjadi bencana Terdapat temuan bahwa ada pintu darurat namun terkadang rusak dikarenakan pernah digunakan untuk akses keluar masuknya barang. PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Pemeriksa : Bpk Erwin SutomoBpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 13 April – 18 Mei 2015 Klausul 9.1 Wilayah Aman Secure Area 9.1.1 Pembatasan keamanan fisik No. Pemeriksaan Catatan Auditor Catatan Review mendadak dilakukan secara manual, yaitu langsung menyelamatkan fasilitas kantor yang bisa diselamatkan dengan cara diangkat langsung dan membawa ke tempat yang lebih aman. 4. Identifikasi orang yang akan masuk ke wilayah aman harus diawasi Dengan cara 1. Wawancara 2. Survey Telah diperiksa bahwa terdapat persyaratan khusus dan pencatatan bagi orang lain yang akan masuk ke wilayah aman seperti ruang pemrosesan informasi, yaitu harus melalui resepsionist terlebih dahulu untuk ditanyai keperluannya. Namun di ruang resepsionist dan ruang menuju wilayah aman tidak ada cctv. Bagi orang lain yang akan masuk ke wilayah aman, biasanya harus melalui resepsionist terlebih dahulu. Terdapat temuan bahwa di sepanjang arah menuju wilayah aman pemrosesan informasi tidak terdapat cctv. Tabel 4.23 Hasil Pemeriksaan Data Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan password Password Use PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 11 KONTROL AKSES Pemeriksa : Bpk Erwin SutomoBpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 1 Juni – 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan Password No. Pemeriksaan Catatan Auditor Catatan Review PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 11 KONTROL AKSES Pemeriksa : Bpk Erwin SutomoBpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 1 Juni – 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan Password No. Pemeriksaan Catatan Auditor Catatan Review 1. Identifikasi kesadaran dari diri sendiri untuk menjaga kerahasiaan password Dengan cara 1. Wawancara 2. Dapatkan dokumen yang memberitahukan larangan untuk menyebarluaskan password dan menjaga kerahasiaannya Telah diperiksa bahwa terdapat kesadaran dari para karyawan akan pentingnya untuk menjaga password dan telah sesuai dengan dokumen yang ada di perusahaan yaitu di dokumen KD 57 bab VIII pasal 34 ayat 4d. Terdapat kesadaran dari para karyawan untuk menjaga passwordnya masing masing sesuai dengan prosedur yang sudah ada. 2. Identifikasi penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya Dengan cara 1. Wawancara 2. Survey Telah diperiksa bahwa sampai saat ini masih belum ada sistem yang berbahaya, sehingga masih belum dilakukan pergantian password atau sandi oleh karyawan, apabila ada perintah pergantian sandi biasanya dilakukan secara lisan. Sampai saat ini masih belum ada sistem yang berbahaya, jadi belum perlu dilakukan pergantian password kecuali pada jangka waktu 3 bulan sekali selalu melakukan penggantian password. 3. Identifikasi mengenai larangan dalam pembuatan catatan password Dengan cara 1. Wawancara 2. Dapatkan dokumen yang memberitahukan larangan untuk membuat catatan password tanpa perlindungan khusus Telah dilakukan pemeriksaan bahwa ada larangan untuk membuat catatan password tanpa perlindungan khusus sesuai dengan dokumen KD 57 bab VIII pasal 34 ayat 4 k. Karyawan menyimpan melalui perangkat pribadi masing masing. Ada larangan untuk membuat catatan password tanpa perlindungan khusus, biasanya apabila karyawan hendak mencatat password di perangkat mobile pribadi. 4. Identifikasi mengenai larangan untuk tidak membagi satu password kepada pengguna lain Dengan Telah diperiksa bahwa terdapat larangan untuk tidak membagi satu password kepada Terdapat temuan bahwa tingkat kedisiplinan karyawan untuk menjaga password yang dimiliki PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 11 KONTROL AKSES Pemeriksa : Bpk Erwin SutomoBpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 1 Juni – 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan Password No. Pemeriksaan Catatan Auditor Catatan Review cara 1. Wawancara 2. Survey pengguna lain namun karena tingkat kedisiplinan yang kurang, ada saja karyawan yang melanggar aturan tersebut, yaitu dengan cara saling menitipkan password ke sesama rekan kerja. Sampai saat ini konsekuensinya hanyalah berupa teguran lisan belum ada konsekuensi yang lebih khusus. masih kurang karena saling menitipkan password. Konsekuensi pada karyawan hanya berupa teguran lisan. 5. Identifikasi mengenai pergantian password sementara pada saat pertama kali log-on Dengan cara 1. Wawancara 2. Survey Telah diperiksa bahwa terdapat pergantian password sementara setelah pertama kali log-on agar terjaga keamanan informasinya. Seperti aplikasi cnemas, absensi, poin serta portal menggunakan pergantian password sementara dan wajib diterapkan Terdapat pergantian password sementara pada saat pertama kali log-on 6. Identifikasi mengenai pemilihan password secara berkualitas yang mudah diingat Dengan cara 3. Wawancara 4. Dapatkan dokumen yang mengatur cara pemilihan kata sandi yang berkualitas Telah dilakukan pemeriksaan bahwa terdapat pemilihan password yang mudah diingat namun tidak berdasarkan tanggal lahir ataupun nama karena telah teracak dengan baik antara nomor dan huruf. Karyawan memilih password yang mudah diingat dirinya sendiri namun sulit ditebak oleh orang lain karena tidak menggunakan tanggal lahir, nama atau hal hal yang mudah diketahui orang lain. PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 11 KONTROL AKSES Pemeriksa : Bpk Erwin SutomoBpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 1 Juni – 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan Password No. Pemeriksaan Catatan Auditor Catatan Review Dokumen yang mengatur tentang pemilihan password yaitu di dokumen KD 57 bab VIII pasal 34 ayat 4 f. 7. Identifikasi perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama Dengan cara 1. Wawancara 2. Survey Telah diperiksa bahwa terdapat perubahan sandi secara berkala yaitu setiap 3 bulan sekali dan perubahan sandi tidak berdasarkan jumlah akses yang dilakukan. Sandi yang lama tidak dapat digunakan kembali. Dilakukan perubahan password setiap 3 bulan sekali, tidak berdasarkan jumlah akses yang dilakukan.

4.3.3 Hasil Temuan dan Rekomendasi

Dokumen yang terkait

TA : Audit Keamanan Informasi Pada Bagian Pengembangan Multimedia Baru Berdasarkan Standar ISO 27002:2005 di Radio Republik Indonesia Surabaya.

0 8 116

TA : Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 Pada PT. Aneka Jaya Baut Sejahtera (PT. AJBS).

9 41 90

TA : Audit Keamanan Sistem Informasi Manajemen Aset Berdasarkan Standar ISO 27002 (Studi Kasus: PT. Varia Usaha Beton).

1 10 101

58 ISO 17799 Standar Sistem Manajemen Keamanan Informasi

0 14 10

ISO 17799 Standar Sistem Manajemen Keama

0 1 1

SURVEY STANDAR MANAJEMEN KEAMANAN SISTEM

0 0 10

Audit Keamanan Sistem Informasi Berdasarkan Standar Iso 27001 Pada PT. BPR JATIM

1 1 8

Audit Keamanan Sistem Informasi Pada Instalasi Sistem Informasi Management (Sim-Rs) Berdasarkan Standar ISO 27002 (Studi Kasus: Rumah Sakit Umum Haji Surabaya)

0 1 8

Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 (Studi Kasus: PT. Aneka Jaya Baut Sejahtera)

0 0 9

Audit Keamanan Sistem Informasi Pada Bagian Desktop Management Berdasarkan Standar ISO 27002:2005 Di PT. Telkom Divre V Jatim

0 0 8