Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi yang harus diterapkan oleh Bank untuk memitigasi risiko yang berhubungan dengan penyelenggaraan teknologi informasi.

2.4.1. Pedoman Penerapan Manajemen Risiko dalam Penggunaan

Teknologi Informasi oleh Bank Umum. Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi. Dalam pedoman ini terdapat sepuluh bab yang dibahas yaitu tentang manajemen, pengembangan dan pengadaan, aktivitas operasional teknologi informasi, jaringan komunikasi, pengamanan informasi, bussiness continuity plan , end user computing, electronic banking, audit intern teknologi informasi dan penggunaan penyedia jasa teknologi informasi. Penelitian ini menggunakan bagian dari bab V yaitu tentang pengamanan informasi. Bab V tentang pengamanan informasi berisi tentang pendahuluan, tugas dan tanggung jawab, prinsip, kebijakan dan prosedur pengamanan informasi, proses manajemen risiko dan pengendalian intern dan audit intern. Pada pendahuluan berisi tentang penjelasan pentingnya pengamanan informasi. Tugas dan tanggung jawab berisi tentang tugas dan tanggung jawab dari dewan komisaris, komite pengarahan teknologi informasi, direksi dan pejabat tertinggi pengamanan informasi. Prinsip, kebijakan dan prosedur pengamanan informasi berisi prinsip dari pengamanan informasi, kebijakan dari pengamanan informasi dan prosedur-prosedur dari pengamanan informasi. Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Pengendalian intern dan audit intern berisi kegiatan yang harus dilakukan oleh audit intern. Penelitian audit ini menggunakan prosedur pengamanan informasi dan proses manajemen risiko. Prosedur pengamanan informasi terdiri dari enam sub bab yaitu prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logic, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi. Prosedur pengamanan informasi terlihat seperti pada Tabel 2.1. Tabel 2.1 Prosedur Pengamanan Informasi PBI:2007 5.3.3.1 Prosedur Pengelolaan Aset 5.3.3.2 Prosedur Pengelolaan Sumber Daya Manusia 5.3.3.3 Prosedur Pengamanan Fisik dan lingkungan 5.3.3.4 Prosedur Pengamanan logic 5.3.3.5 Prosedur Pengamanan Operasional Teknologi Informasi 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Penilaian risiko akan dibahas lebih jelas pada sub bab 2.7. Pengendalian dilakukan dua kali dalam manajemen risiko yaitu saat penilaian risiko dimana Bank mengidentifikasi pengendalian yang telah ada sebelumnya dan kedua setelah mendapat Nilai Risiko Akhir. Terdapat tiga prosedur yang digunakan dalam audit. Prosedur Pengelolaan Aset mengaudit tentang identifikasi aset, penentuan penanggung jawaban dan pengklasifikasian aset. Prosedur Pengamanan Fisik dan Lingkungan mengaudit tentang pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi, ketersediaan fasilitas pendukung,identifikasi aset milik penyedia jasa, dan prosedur pemeliharaan dan pemerksaan secara berkala. Prosedur Penanganan Insiden dalam Pengamanan Informasi mengaudit tentang penanganan insiden yang terjadi, penetapan prosedur penanganan insiden, pembentukan tim khusus dalam menangani insiden dan pelaporan indikasi kelemahan sistem.

2.5 ISO 27002