4.1.5 Engagement Letter
Engagement Letter merupakan surat perjanjian kedua belah pihak antara auditor dengan client sebagai bentuk kesepakatan. Pada gambar 4.4 merupakan
hasil potongan Engagement Letter. Adapun surat perjanjian atau Engagement Letter ada pada lampiran 1 dan berisi poin sebagai berikut.
a. Peran auditor
b. Tujuan auditor
c. Tugas dan tanggung jawab auditor
d. Kewenangan dan kode etik auditor
e. Ruang lingkup auditor
f. Bentuk laporan
g. Akses auditor
h. Pengesahan dan waktu pelaksanaan
4.2 Hasil Persiapan Audit Keamanan Sistem Informasi
Hasil persiapan Audit Keamanan Sistem Informasi dilakukan dengan cara menyusun Audit Working Plan AWP, penyampaian kebutuhan data audit,
membuat pernyataan, melakukan pembobotan, membuat pertanyaan. Pernyataan yang telah dibuat berdasarkan standar ISO 27002:2005 dan pertanyaan yang telah
dibuat berdasarkan pernyataan.
4.2.1 Hasil Penyusunan Audit Working Plan
Ouput dari penyusunan Audit Working Plan AWP berupa jadwal kerja. Jadwal kerja dimulai dari awal kegiatan sampai akhir kegiatan dimana dapat
dilihat pada gambar 4.5.
4.2.2 Hasil Penyampaian Kebutuhan Data
Pada tahap persiapan audit, setelah membuat AWP maka proses selanjutnya adalah menyampaikan kebutuhan data yang diperlukan kepada
auditee untuk penunjang pemeriksaan auditor. Fungsinya dalam menyampaikan kebutuhan data sebelumnya agar auditor lebih mudah dan lebih cepat dalam
memeriksa pada tahap pelaksanaannya sehingga penyampaian kebutuhan data bisa dipersiapkan sebelumnya. Selain data penunjang yang terdapat pada gambar
4.6 mengenai lampiran kebutuhan audit, ada beberapa data yang telah dikumpulkan dan selengkapnya berada pada Lampiran 2, diantaranya yaitu :
a. Data penunjang yang diperlukan dalam pelaksanaan audit
b. Data yang bersangkutan dengan alur proses bisnis
c. Data berdasarkan klausul 8
d. Data berdasarkan klausul 9
Data berdasarkan klausul 11
Gambar 4.4 Hasil potongan Engagement Letter
Gambar 4.5 Hasil Audit Working Plan
Gambar 4.6 Lampiran Kebutuhan Data Penunjang yang Diperlukan Dalam
Pelaksanaan Audit
4.2.3
Hasil Pernyataan
Pada proses selanjutnya pada tahapan persiapan audit dilakukan dengan membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap
klausul yang telah ditetapkan berdasarkan standar ISO 27002. Pada setiap kontrol keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan
pemeliharaan kontrol keamanan tersebut. Beberapa
contoh pernyataan yaitu pada klausul 8 delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan Disciplinary
Process, klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik Physical security perimeter dan klausul 11
sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password Password Use dapat dilihat pada Tabel 4.5, Tabel 4.6, Tabel 4.7 dan untuk selengkapnya
dapat dilihat pada Lampiran 3. Dalam memenuhi kontrol audit pada klausul 8 delapan Keamanan
Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan Disciplinary Process yaitu berupa proses kedisiplinan secara formal bagi seluruh pegawai
organisasi serta memiliki komitmen dalam menjaga keamanan informasi, maka dibutuhkan beberapa pernyataan yang sesuai. Untuk itu auditor harus mengetahui
beberapa hal tentang proses kedisiplinan karyawan diantaranya yaitu : a.
Harus mengetahui bagaimana prosedur kedisiplinan seluruh karyawan khususnya untuk bagian Desktop Management
b. Harus mengetahui beberapa faktor dalam pertimbangan kedisiplinan formal
c. Harus mengetahui konsekuensi untuk karyawan yang kurang memperhatikan
prosedur keamanan informasi dalam perusahaan. Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit
pada klausul 8 delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan Disciplinary Process di atas, maka didapatkan pernyataan
seperti yang ada pada Tabel 4.5. Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan
PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA
Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan Disciplinary Process
Kontrol: Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki
komitmen dalam menjaga Keamanan Informasi.
No. PERNYATAAN
1. Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan
Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan Lanjutan
PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA
Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan Disciplinary Process
Kontrol: Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki
komitmen dalam menjaga Keamanan Informasi.
No. PERNYATAAN
2. Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor
3. Terdapat konsekuensi bagi karyawan yang cenderung mengabaikan prosedur
keamanan sistem informasi
Dalam memenuhi kontrol audit pada klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik Physical
security perimeter yaitu pembatasan keamanan dinding pembatas, kontrol kartu akses, atau penjaga harus disediakan untuk melindungi wilayah atau ruang
penyimpanan informasi dan perangkat pemrosesan informasi. Untuk itu auditor harus mengetahui banyak hal tentang pembatas keamanan tersebut diantaranya :
a. Harus mengetahui batas perimeter yang jelas dan aman khususnya pada
tempat fasilitas pemrosesan informasi b.
Harus mengetahui bahwa pada akses menuju tempat kerja harus dibatasi hanya untuk personil dengan otorisasi
c. Harus mengetahui bahwa pada pintu darurat harus terpasang tanda bahaya dan
benar benar tertutup rapat d.
Harus mengetahui bahwa setiap pengunjung atau orang yang menuju wilayah aman harus diawasi
Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1
pembatas keamanan fisik Physical security perimeter di atas, maka akan didapatkan pernyataan seperti yang ada pada Tabel 4.6.
Tabel 4.6 Pernyataan Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik Physical security perimeter
PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN
Klausul 9.1 Wilayah Aman 9.1.1 Pembatasan keamanan fisik
Kontrol : Pembatasan keamanan dinding pembatas, kontrol kartu akses, atau penjaga harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan
perangkat pemrosesan Informasi.
No. PERNYATAAN
1. Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman
secara fisik 2.
Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. 3.
Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat.
4. Pengunjung ke wilayah aman harus diawasi
Dalam memenuhi kontrol audit pada klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password Password Use yaitu pengguna
harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password, maka dibutuhkan beberapa pernyataan yang sesuai. Untuk itu auditor
harus mengetahui banyak hal tentang penggunaan password tersebut diantaranya : a.
Harus mengetahui seberapa besar kesadaran para karyawan untuk menjaga password yang telah dimiliki
b. Harus mengetahui sikap karyawan apabila setiap ada kemungkinan sistem
dalam bahaya, diharuskan untuk mengganti password c.
Harus mengetahui bahwa karyawan telah mematuhi larangan dalam pembuatan catatan password
d. Harus mengetahui kedisiplinan karyawan dalam menjaga password yang
dimiliki agar tidak membagikan kepada yang tidak berhak e.
Harus mengetahui bahwa karyawan telah melakukan pergantian password sementara pada saat pertama kali log-on
f. Harus mengetahui bahwa karyawan telah memilih password yang berkualitas
dan mudah untuk diingat g.
Harus mengetahui bahwa karyawan telah melakukan perubahan password secara berkala dan larangan menggunakan password yang lama
Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan
password Password Use di atas, maka akan didapatkan pernyataan seperti yang ada pada Tabel 4.7.
Tabel 4.7 Pernyataan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password Password Use
PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES
Klausul 11.3 Tanggung Jawab Pengguna User Respon sibilities 11.3.1 Penggunaan Password Password Use
Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password.
No.
PERNYATAAN 1.
Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password 2.
Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya
3. Terdapat larangan dalam pembuatan catatan password
4. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain
5. Terdapat pergantian password sementara pada saat pertama kali log-on
6. Terdapat pemilihan password secara berkualitas yang mudah diingat
7. Terdapat perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan
larangan menggunakan password yang lama
Pernyataan berdasarkan standar ISO 27002:2005 digunakan untuk memudahkan auditor sebagai acuan membuat pertanyaan untuk wawancara audit
keamanan sistem informasi dari beberapa contoh klausul yaitu klausul 8 Delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses
kedisiplinan Disciplinary Process membahas proses kedisiplinan sehingga bila semua aspek kedisiplinan terdapat pada bagian Desktop Management maka dapat
menjadi standar kedisiplinan sumber daya manusia pada Desktop Management, klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1
pembatas keamanan fisik Physical security perimeter membahas tentang pembatas keamanan fisik sehingga bila semua aspek pembatas keamanan fisik
terdapat pada bagian Desktop Management maka dapat menjadi standar pembatas keamanan fisik pada Desktop Management, klausul 11 Sebelas Kontrol Akses
dengan kontrol 11.3.1 Penggunaan Password Password Use membahas tentang penggunaan password sehingga bila semua aspek penggunaan password
terdapat pada bagian Desktop Management maka dapat menjadi standar kontrol akses pada Desktop Management.
4.2.4 Hasil Pembobotan Pernyataan