1. Home
  2. Lainnya

Hasil Penyusunan Audit Working Plan Hasil Penyampaian Kebutuhan Data

4.1.5 Engagement Letter

Engagement Letter merupakan surat perjanjian kedua belah pihak antara auditor dengan client sebagai bentuk kesepakatan. Pada gambar 4.4 merupakan hasil potongan Engagement Letter. Adapun surat perjanjian atau Engagement Letter ada pada lampiran 1 dan berisi poin sebagai berikut. a. Peran auditor b. Tujuan auditor c. Tugas dan tanggung jawab auditor d. Kewenangan dan kode etik auditor e. Ruang lingkup auditor f. Bentuk laporan g. Akses auditor h. Pengesahan dan waktu pelaksanaan

4.2 Hasil Persiapan Audit Keamanan Sistem Informasi

Hasil persiapan Audit Keamanan Sistem Informasi dilakukan dengan cara menyusun Audit Working Plan AWP, penyampaian kebutuhan data audit, membuat pernyataan, melakukan pembobotan, membuat pertanyaan. Pernyataan yang telah dibuat berdasarkan standar ISO 27002:2005 dan pertanyaan yang telah dibuat berdasarkan pernyataan.

4.2.1 Hasil Penyusunan Audit Working Plan

Ouput dari penyusunan Audit Working Plan AWP berupa jadwal kerja. Jadwal kerja dimulai dari awal kegiatan sampai akhir kegiatan dimana dapat dilihat pada gambar 4.5.

4.2.2 Hasil Penyampaian Kebutuhan Data

Pada tahap persiapan audit, setelah membuat AWP maka proses selanjutnya adalah menyampaikan kebutuhan data yang diperlukan kepada auditee untuk penunjang pemeriksaan auditor. Fungsinya dalam menyampaikan kebutuhan data sebelumnya agar auditor lebih mudah dan lebih cepat dalam memeriksa pada tahap pelaksanaannya sehingga penyampaian kebutuhan data bisa dipersiapkan sebelumnya. Selain data penunjang yang terdapat pada gambar 4.6 mengenai lampiran kebutuhan audit, ada beberapa data yang telah dikumpulkan dan selengkapnya berada pada Lampiran 2, diantaranya yaitu : a. Data penunjang yang diperlukan dalam pelaksanaan audit b. Data yang bersangkutan dengan alur proses bisnis c. Data berdasarkan klausul 8 d. Data berdasarkan klausul 9 Data berdasarkan klausul 11 Gambar 4.4 Hasil potongan Engagement Letter Gambar 4.5 Hasil Audit Working Plan Gambar 4.6 Lampiran Kebutuhan Data Penunjang yang Diperlukan Dalam Pelaksanaan Audit 4.2.3 Hasil Pernyataan Pada proses selanjutnya pada tahapan persiapan audit dilakukan dengan membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah ditetapkan berdasarkan standar ISO 27002. Pada setiap kontrol keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut. Beberapa contoh pernyataan yaitu pada klausul 8 delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan Disciplinary Process, klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik Physical security perimeter dan klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password Password Use dapat dilihat pada Tabel 4.5, Tabel 4.6, Tabel 4.7 dan untuk selengkapnya dapat dilihat pada Lampiran 3. Dalam memenuhi kontrol audit pada klausul 8 delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan Disciplinary Process yaitu berupa proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga keamanan informasi, maka dibutuhkan beberapa pernyataan yang sesuai. Untuk itu auditor harus mengetahui beberapa hal tentang proses kedisiplinan karyawan diantaranya yaitu : a. Harus mengetahui bagaimana prosedur kedisiplinan seluruh karyawan khususnya untuk bagian Desktop Management b. Harus mengetahui beberapa faktor dalam pertimbangan kedisiplinan formal c. Harus mengetahui konsekuensi untuk karyawan yang kurang memperhatikan prosedur keamanan informasi dalam perusahaan. Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 8 delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan Disciplinary Process di atas, maka didapatkan pernyataan seperti yang ada pada Tabel 4.5. Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan Disciplinary Process Kontrol: Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi. No. PERNYATAAN 1. Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan Lanjutan PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan Disciplinary Process Kontrol: Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi. No. PERNYATAAN 2. Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor 3. Terdapat konsekuensi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi Dalam memenuhi kontrol audit pada klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik Physical security perimeter yaitu pembatasan keamanan dinding pembatas, kontrol kartu akses, atau penjaga harus disediakan untuk melindungi wilayah atau ruang penyimpanan informasi dan perangkat pemrosesan informasi. Untuk itu auditor harus mengetahui banyak hal tentang pembatas keamanan tersebut diantaranya : a. Harus mengetahui batas perimeter yang jelas dan aman khususnya pada tempat fasilitas pemrosesan informasi b. Harus mengetahui bahwa pada akses menuju tempat kerja harus dibatasi hanya untuk personil dengan otorisasi c. Harus mengetahui bahwa pada pintu darurat harus terpasang tanda bahaya dan benar benar tertutup rapat d. Harus mengetahui bahwa setiap pengunjung atau orang yang menuju wilayah aman harus diawasi Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik Physical security perimeter di atas, maka akan didapatkan pernyataan seperti yang ada pada Tabel 4.6. Tabel 4.6 Pernyataan Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik Physical security perimeter PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Klausul 9.1 Wilayah Aman 9.1.1 Pembatasan keamanan fisik Kontrol : Pembatasan keamanan dinding pembatas, kontrol kartu akses, atau penjaga harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi. No. PERNYATAAN 1. Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik 2. Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. 3. Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. 4. Pengunjung ke wilayah aman harus diawasi Dalam memenuhi kontrol audit pada klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password Password Use yaitu pengguna harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password, maka dibutuhkan beberapa pernyataan yang sesuai. Untuk itu auditor harus mengetahui banyak hal tentang penggunaan password tersebut diantaranya : a. Harus mengetahui seberapa besar kesadaran para karyawan untuk menjaga password yang telah dimiliki b. Harus mengetahui sikap karyawan apabila setiap ada kemungkinan sistem dalam bahaya, diharuskan untuk mengganti password c. Harus mengetahui bahwa karyawan telah mematuhi larangan dalam pembuatan catatan password d. Harus mengetahui kedisiplinan karyawan dalam menjaga password yang dimiliki agar tidak membagikan kepada yang tidak berhak e. Harus mengetahui bahwa karyawan telah melakukan pergantian password sementara pada saat pertama kali log-on f. Harus mengetahui bahwa karyawan telah memilih password yang berkualitas dan mudah untuk diingat g. Harus mengetahui bahwa karyawan telah melakukan perubahan password secara berkala dan larangan menggunakan password yang lama Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password Password Use di atas, maka akan didapatkan pernyataan seperti yang ada pada Tabel 4.7. Tabel 4.7 Pernyataan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password Password Use PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Klausul 11.3 Tanggung Jawab Pengguna User Respon sibilities 11.3.1 Penggunaan Password Password Use Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. No. PERNYATAAN 1. Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password 2. Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya 3. Terdapat larangan dalam pembuatan catatan password 4. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain 5. Terdapat pergantian password sementara pada saat pertama kali log-on 6. Terdapat pemilihan password secara berkualitas yang mudah diingat 7. Terdapat perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama Pernyataan berdasarkan standar ISO 27002:2005 digunakan untuk memudahkan auditor sebagai acuan membuat pertanyaan untuk wawancara audit keamanan sistem informasi dari beberapa contoh klausul yaitu klausul 8 Delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan Disciplinary Process membahas proses kedisiplinan sehingga bila semua aspek kedisiplinan terdapat pada bagian Desktop Management maka dapat menjadi standar kedisiplinan sumber daya manusia pada Desktop Management, klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik Physical security perimeter membahas tentang pembatas keamanan fisik sehingga bila semua aspek pembatas keamanan fisik terdapat pada bagian Desktop Management maka dapat menjadi standar pembatas keamanan fisik pada Desktop Management, klausul 11 Sebelas Kontrol Akses dengan kontrol 11.3.1 Penggunaan Password Password Use membahas tentang penggunaan password sehingga bila semua aspek penggunaan password terdapat pada bagian Desktop Management maka dapat menjadi standar kontrol akses pada Desktop Management.

4.2.4 Hasil Pembobotan Pernyataan

Dokumen yang terkait

TA : Audit Keamanan Informasi Pada Bagian Pengembangan Multimedia Baru Berdasarkan Standar ISO 27002:2005 di Radio Republik Indonesia Surabaya.

0 8 116

TA : Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 Pada PT. Aneka Jaya Baut Sejahtera (PT. AJBS).

9 41 90

TA : Audit Keamanan Sistem Informasi Manajemen Aset Berdasarkan Standar ISO 27002 (Studi Kasus: PT. Varia Usaha Beton).

1 10 101

58 ISO 17799 Standar Sistem Manajemen Keamanan Informasi

0 14 10

ISO 17799 Standar Sistem Manajemen Keama

0 1 1

SURVEY STANDAR MANAJEMEN KEAMANAN SISTEM

0 0 10

Audit Keamanan Sistem Informasi Berdasarkan Standar Iso 27001 Pada PT. BPR JATIM

1 1 8

Audit Keamanan Sistem Informasi Pada Instalasi Sistem Informasi Management (Sim-Rs) Berdasarkan Standar ISO 27002 (Studi Kasus: Rumah Sakit Umum Haji Surabaya)

0 1 8

Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 (Studi Kasus: PT. Aneka Jaya Baut Sejahtera)

0 0 9

Audit Keamanan Sistem Informasi Pada Bagian Desktop Management Berdasarkan Standar ISO 27002:2005 Di PT. Telkom Divre V Jatim

0 0 8