TUGAS AKHIR

Oleh :

Nama : Danastri Rasmona Windriya NIM : 09.41010.0230

Program : S1 (Strata Satu) Jurusan : Sistem Informasi

SEKOLAH TINGGI

MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER SURABAYA

v

Rumah Sakit Umum Daerah Bangil merupakan rumah sakit pemerintah kabupaten Pasuruan. RSUD Bangil memiliki aset yang harus dikelola dengan baik keamanannya agar meminimalkan risiko.

Kendala saat ini adalah lambatnya penerimaan kebutuhan informasi kepada pihak manajemen, kurangnya keutuhan data yang diterima, dan kurangnya kesesuaian atau validasi hasil data. Permasalahan tersebut disebabkan kurangnya pengelolaan aset yang tepat dari Instalasi SIM-RS sehingga dapat menimbulkan risiko. Agar dapat diminimalkan maka RSUD Bangil memerlukan tindakan audit keamanan sistem informasi dengan menyediakan ISO 27002: 2005 sebagai standar best practice keamanan.

Audit dilakukan di Instalasi SIM-RS dengan tahapan yang sesuai dengan ISACA. Ruang Lingkup yang diperiksa disesuaikan dengan kesepakatan bersama yaitu manajemen aset, keamanan Sumber Daya Manusia, keamanan fisik dan lingkungan, kontrol akses dan akuisisi sistem informasi, pembangunan dan pemeliharaan.

Hasil dari pelaksanaan audit keamanan sistem informasi didapatkan nilai rata-rata tingkat kedewasaan 3,22 yang berarti ukuran keamanan informasi menurut SNI ISO/IEC 27001: 2009 berada pada level 3 yaitu pro aktif. Hasil pemeriksaan didapatkan temuan sehingga dapat memberikan rekomendasi yang sesuai dengan standar ISO 27002: 2005 kepada pihak RSUD Bangil.

Kata Kunci : Audit, ISO 27002, Keamanan Sistem Informasi, Tingkat

viii

DAFTAR ISI

Halaman

ABSTRAK ... v

KATA PENGANTAR ... vi

DAFTAR ISI ... ix

DAFTAR TABEL ... xii

DAFTAR GAMBAR ... xiv

DAFTAR LAMPIRAN ... xv

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Perumusan Masalah ... 4

1.3 Batasan Masalah ... 5

1.4 Tujuan ... 5

1.5 Sistematika Penulisan ... 6

BAB II LANDASAN TEORI ... 8

2.1 Keamanan Informasi ... 8

2.2 Aspek Keamanan Informasi ... 9

2.3 Alasan Dibutuhkan Audit Keamanan Informasi ... 11

2.4 Audit Keamanan Sistem Informasi ... 13

2.5 Langkah-Langkah Audit TI ... 18

2.6 Standar Sistem manajemen Keamanan Informasi ... 19

2.7 ISO/IEC 27002: 2005 ... 23

ix

Halaman

BAB III METODE PENELITIAN……….. 35

3.1 Tahap Perencanaan Audit ... 36

3.1.1 Pemahaman Proses Bisis dan TI ... 36

3.1.2 Penentuan ruang Lingkup, Resiko dan Objek Audit . 37 3.1.3 Menentukan klasusul, Obyektif Kontrol dan Kontrol 37 3.1.4 Membuat dan Menyampaikan Engagement Letter... 37

3.2 Tahap Persiapan Audit ... 38

3.2.1 Penyusunan Audit Working Plan ... 38

3.2.2 Penyampaian Kebutuhan Data ... 38

3.2.3 Membuat Pernyataan ... 39

3.2.4 Membuat Pertanyaan ... 40

3.3 Tahap Pelaksanaan Audit ... 40

3.3.1 Pertemuan Pendahuluan Audit ... 41

3.3.2 Proses Pemeriksaan Data dan Bukti ... 41

3.3.3 Melakukan Wawancara ... 42

3.3.4 Melakukan Uji Kematangan ... 43

3.3.5 Penyusunan Daftar Temuan Audit TI dan Rekomendasi ... 45

3.3.6 Konfirmasi Daftar Temuan dan Rekomendasi... 45

3.4 Tahap Pelaporan Audit ... 45

3.4.1 Permintaan Tanggapan Atas Temuan ... 46

3.4.2 Penyusunan Draft Laporan Audit ... 46

x

Halaman

3.4.4 Pertemuan Penutup atau Pelaporan Hasil Audit ... 48

BAB IV HASIL DAN PEMBAHASAN... 49

4.1 Tahap Perencanaan Audit Sistem Informasi ... 49

4.1.1 Hasil Pemahaman Proses Bisins dan Ti ... 49

4.1.2 Ruang Lingkup, Resiko dan Objek Audit ... 55

4.1.3 Menentukan Klausul, Obyektif Kontrol dan Kontrol... ... 55

4.1.4 Membuat Engagement Letter ..……….. 55

4.2Tahap Persiapan Audit Sistem Informasi ... 57

4.2.1 Hasil Penyusunan Audit Working Plan ... 57

4.2.2 Penyampaian Kebutuhan Data ... 58

4.2.3 Hasil Pembuatan Pernyataan ... 58

4.2.4 Hasil Membuat Pertanyaan ... 59

4.3Hasil Pelaksanaan Audit ... 60

4.3.1 Hasil Pertemuan Pendahuluan Audit ... 61

4.3.2 Hasil Pemeriksaan Data dan Bukti ... 61

4.3.3 Hasil Wawancara ... 62

4.3.4 Hasil Pelaksanaan Uji Kematangan ... 63

4.3.5 Hasil Temuan dan Rekomendasi ... 67

4.4Hasil Pelaporan Audit Sistem Informasi... 72

4.4.1 Hasil Permintaan Tanggapan Atas aftar Temuan ... 72

4.4.2 Hasil Penyusunan dan Persetujuan Draft Laporan Audit TI ... 72

xi

Halaman

BAB V PENUTUP ... 74

5.1 Kesimpulan ... 74

5.2 Saran ... 75

DAFTAR PUSTAKA ... 76

xii

DAFTAR TABEL

Halaman

Tabel 2.1 Contoh Lampiran Kebutuhan Data Audit ... 24

Tabel 2.2 Detail Struktur Kontrol Keamanan ISO/IEC 27002: 2005 ... 24

Tabel 3.1 Contoh Lampiran Kebutuhan Data Auit ... 39

Tabel 3.2 Contoh Pernyataan Audit ... 39

Tabel 3.3 Contoh Pertanyaan Audit ... 40

Tabel 3.4 Contoh Pemeriksaan Data dan Bukti dalam PKA... 41

Tabel 3.5 Contoh Kertas Kerja Audit ... 42

Tabel 3.6 Contoh Penilaian Uji Kematangan Pada Pertanyaan ... 43

Tabel 3.7 Contoh Salah Satu Hasil Uji Kematangan dari Pernyataan ... 44

Tabel 3.8 Salah Satu Hasil Penilaian Maturity Level Pada Klausul 7 ... 45

Tabel 3.9 Contoh Daftar Temuan Audit TI ... 47

Tabel 4.1 Job Description Instalasi SIM-RS RSUD Bangil ... 52

Tabel 4.2 Hasil Audit Working Plan ... 57

Tabel 4.3 Daftar kebutuhan Dokumen ... 58

Tabel 4.4 Pernyataan pada Klausul 7 ... 59

Tabel 4.5 Pertanyaan pada Klausul 7 ... 60

Tabel 4.6 Pemeriksaan Data dan Bukti menggunakan Program Kerja Audit ... 62

Tabel 4.7 Contoh Hasil Wawancara Klausul 7 Manajemen Aset ... 63

Tabel 4.8 Contoh Salah Satu Hasil Penilaian Uji Kematangan dari Pertanyaan ... 63

xiii

Halaman Tabel 4.9 Contoh Salah Satu Hasil Penilaian Maturity Level Pada

Klausul 7 dari Pertanyaan ... 64 Tabel 4.10 Salah Satu Hasil Penilaian Maturity Level Pada Klausul 7 ... 65 Tabel 4.11 Hasil Nilai Rata-Rata Seluruh Klausul ... 65 Tabel 4.12 Contoh Salah Satu Daftar temuan Audit pada Klausul 7

xiv

DAFTAR GAMBAR

Halaman

Gambar 2.1 Elemen-elemen Keamanan Informasi ... 11

Gambar 2.2 Grafik Persentase Ancaman Keamanan Informasi ISBS 2000 ... 12

Gambar 2.3 Grafik Persenase Ancaman Keamanan Informasi ISBS 2012 ... 12

Gambar 2.4 Gambaran Proses Audit Menurut Davis ... 13

Gambar 2.5 Langkah-Langkah Audit Teknologi Informasi ... 19

Gambar 2.6 Hubungan Antar Standar Keluarga SMKI ... 20

Gambar 3.1 Langkah Audit Keamanan Sistem Inormasi Instalasi SIM-RS ... 35

Gambar 3.2 Langkah Melakukan Uji Kematangan ... 43

Gambar 4.1 Struktur Organisasi Instlasi SIM-RS RSUD Bangil ... 51

Gambar 4.2 Proses Bisnis dan TI Instalasi SIM-RS RSUD Bangil ... 54

Gambar 4.3 Hasil Potongan Engagement Letter ... 56

Gambar 4.4 Notulen Hasil Pendahuluan Audit ... 61

Gambar 4.5 Gambaran Diagram Jaring Tingkat Kedewasaan Keseluruhan Klausul ... 66

xv

DAFTAR LAMPIRAN

Halaman

Lampiran 1 Surat perjanjian atau Engagement Letter ... 76

Lampiran 2 Daftar Kebutuhan Dokumen ... 83

Lampiran 3 Pernyataan Audit ... 98

Lampiran 4 Pertanyaan Audit ... 121

Lampiran 5 Program Kerja Audit ... 198

Lampiran 6 Kertas Kerja Audit ... 342

Lampiran 7 Penilaian Maturity Level ... 528

Lampiran 8 Temuan dan Rekomendasi ... 787

Lampiran 9 Persetujuan Draft Laporan Audit TI ... 938

Lampiran 10 Penutup Pelaporan Audit atau Exit Meeting ... 939

1

BAB I PENDAHULUAN

1.1 Latar Belakang

Rumah Sakit Umum Daerah (RSUD) Bangil Kabupaten Pasuruan smerupakan rumah sakit yang berdiri dan diresmikan pada tahun 1981. Tahun 1985 RSUD Bangil menjadi tipe D dan di tahun 1993 berdasarkan SK Menkes No. 20/Menkes/SK/II/1993 menjadi tipe C. Keberadaan RSUD Bangil lebih bersifat sosial ekonomi dan lebih menekankan pelayanan sosial kepada masyarakat tidak mampu dan sekaligus sebagai pusat tujuan Puskesmas dan unit-unit kesehatan yaitu di Wilayah Kabupaten Pasuruan. Tujuan RSUD Bangil adalah terwujudnya layanan kesehatan yang prima, merata, terjangkau masyarakat yang didukung dengan SDM yang professional dengan unit kerja yang mandiri.

RSUD Bangil memiliki banyak aset diantaranya aset informasi, aset perangkat lunak dan aset fisik. Mengacu pada ISO/IEC 27002:2005 berbagai fasilitas dan aset perusahaan yang perlu dilindungi mencakup banyak karakteristik yang sangat perlu dipahami oleh praktisi keamanan informasi yaitu pada dasarnya fasilitas dan aset perusahaan yang ingin dijaga adalah berkaitan dengan lima komponen dasar sistem informasi yaitu perangkat keras, perangkat lunak, pengguna, data, dan prosedur. Salah satu institusi pemerintahan yang membutuhkan perlindungan aset adalah rumah sakit sebagai sebuah institusi pelayanan kesehatan. Salah satu aset rumah sakit RSUD Bangil adalah Avesina Health System yang merupakan aset piranti lunak yang dimiliki oleh Instalasi Sistem Informasi Manajemen Rumah Sakit (RS) sejak 2011. Instalasi

SIM-RS atau Pengelola Data Elektronik (PDE) memiliki tugas dalam proses pemeliharaan data dan jaringan seperti, menjaga keamanan data SIM-RS, memberikan hak akses (otoritas), maintenance software yaitu backup data dan

backup system, bertanggung jawab memastikan seluruh jaringan dan hardware di

RSUD Bangil tidak bermasalah.

Pihak manajemen RSUD Bangil memiliki permasalahan terhadap lambatnya penerimaan kebutuhan informasi kepada pihak manajemen, kurangnya keutuhan data yang diterima, dan kurangnya kesesuaian atau validasi hasil data. Permasalahan tersebut disebabkan kurangnya pengelolaan aset yang tepat dari Instalasi SIM-RS. Pengelolaan Instalasi SIM-RS yang kurang tepat diantaranya permintaan informasi yang kurang terlayani dengan cepat oleh Instalasi SIM-RS sehingga pencapaian tujuan organisasi tidak maksimal, beberapa data-data Instalasi SIM-RS yang disimpan tiba-tiba hilang atau rusak sehingga data yang akan disampaikan tidak lengkap atau tidak utuh, dan data Instalasi SIM-RS yang disampaikan tidak sesuai dengan kenyataan yang ada atau tidak valid sehingga membuat pihak Instalasi SIM-RS kerja dua kali untuk mendapatkan kesesuaian laporan data yang ada. Untuk memperbaiki pengelolaan aset yang ada di Instalasi SIM-RS maka pihak manajemen RSUD Bangil membutuhkan audit.

Adapun risiko yang bisa ditimbulkan jika pengelolaan aset tidak dilindungi yaitu dari aset informasi ketika data dan dokumen penting mampu diakses dan dilihat langsung oleh orang yang tidak berhak memperoleh informasi yang berharga sehingga mampu memperoleh keuntungan dari pencurian informasi yang dapat menimbulkan kerugian bagi perusahaan. Dari segi aset layanan, risiko dapat berasal dari penyadapan yang dilakukan oleh saluran komunikasi secara

tidak sah sehingga mampu memperoleh informasi yang berharga kepada pihak yang bukan wewenangnya. Perlindungan terhadap perangkat keras juga dibutuhkan agar terhindar dari risiko kerusakan fisik yang disebabkan oleh penjahat komputer yang dapat masuk kedalam jaringan komputer yang berada jauh dari lokasi. Perlindungan aset perangkat lunak dilakukan untuk memperkecil risiko modifikasi perangkat lunak yang bisa menyebabkan pengguna yang ada di

ouput system menerima informasi yang salah dan membuat keputusan yang salah

sehingga dapat merugikan perusahaan. Aset-aset pada Instalasi SIM-RS diidentifikasi risikonya sehingga diharapkan mampu mengurangi risiko yang ada dengan sejumlah kendali keamanan informasi yang ada.

Untuk memperbaiki permasalahan keamanan informasi yang ada di bagian Instalasi SIM-RS maka pihak manajemen RSUD Bangil membutuhkan audit keamanan Sistem Informasi. Pedoman audit yang digunakan mengacu pada

Information Systems Audit and Control Association (ISACA) dengan standar best practice International Standard Organization ISO 27002 (2005) yang diterbitkan oleh International Electhronical Commission. Standar ini merupakan standard keamanan informasi yang merupakan best practice atau panduan umum yang menjelaskan adanya contoh penerapan keamanan informasi dengan menggunakan bentuk kontrol sehingga dapat mencapai sasaran yang diterapkan. ISO 27002 menyediakan rekomendasi best practice terhadap manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk proses inisiasi, implementasi, dan pemeliharaan Information Security Management Systems (ISMS) pada suatu organisasi.

Mengacu pada hasil review, survei dan wawancara yang telah dilakukan, maka klausul yang ditetapkan sebanyak 5 klausul yaitu manajemen aset (klausul 7), keamanan Sumber Daya Manusia (klausul 8), keamanan fisik dan lingkungan (klausul 9), kontrol akses (klausul 11), akuisisi sistem informasi pembangunan dan pemeliharaan (klausul 12). Kelima klausul yang ditetapkan ini telah memperoleh persetujuan dan kesepakatan bersama oleh Ketua Instalasi SIM-RS yang akan tertuang dalam dokumen engagement letter.

Dengan adanya audit keamanan Sistem Informasi pada Instalasi Sistem Informasi Manajemen RSUD Bangil berdasarkan ISO 27002 melalui penyusun Tugas Akhir maka diharapkan dapat menghasilkan temuan audit yang berupa daftar temuan, hasil pengukuran untuk mengetahui tingkat kedewasaan berdasarkan SNI ISO/IEC 27001:2009 dan rekomendasi perbaikan. Diharapkan hasil audit dapat dijadikan acuan untuk meningkatkan keamanan informasi pada Instalasi SIM-RS RSUD Bangil serta sebagai acuan dalam upaya memperoleh ISMS cetification dengan standar ISO 27002: 2005.

1.2 Perumusan Masalah

Berdasarkan penjelasan pada latar belakang, maka perumusan masalah yang didapat yaitu:

1. Bagaimana melakukan audit keamanan sistem informasi pada Instalasi SIM-RS yang sesuai dengan tahapan ISACA yang akan dilaksanakan oleh auditor. 2. Bagaimanan cara mendapatkan temuan audit dengan cara melakukan pemeriksaan audit dan mengukur tingkat kedewasaan berdasarkan SNI ISO/IEC 27001:2009 sehingga dapat diterapkan sesuai dengan hasil pemeriksaan audit yang ada.

3. Bagaimana memberikan hasil yang berupa laporan rekomendasi atas temuan audit yang dilakukan di RSUD Bangil berdasarkan standar ISACA dengan menggunakan best practise ISO 27002:2005.

1.3 Batasan Masalah

Berdasarkan perumusan masalah di atas, maka batasan-batasan permasalahan sebagai berikut:

1. Audit dilakukan pada Instalasi SIM-RS RSUD Bangil kabupaten Pasuruan. 2. Perencanaan sampai dengan tahap pelaporan audit keamanan Sistem

Informasi mulai dari bulan September 2012 sampai dengan Juni 2013.

3. Periode data yang digunakan untuk audit keamanan Sistem Informasi adalah Oktober 2011 sampai dengan Oktober 2012.

4. Klausul yang digunakan telah disesuaikan dengan kesepakatan Koordinator SIM-RS dan Ketua Instalasi SIM-RS yang akan terlampir pada dokumen

Engagement Letter.

1.4 Tujuan

Berdasarkan masalah yang ada, maka tujuan yang ingin dicapai adalah sebagai berikut:

1. Melakukan dan menghasilkan rancangan audit keamanan Sistem Informasi sesuai dengan Audit Working Plan (AWP) yang dibuat mulai dari tahapan perencanaan, persiapan, pelaksanaan dan pelaporan pada Instalasi SIM-RS RSUD Bangil berdasarkan ISACA dengan best practise ISO 27002:2005. 2. Dengan melakukan pemeriksaan audit sehingga didapatkan temuan-temuan

sehingga dapat mengetahui temuan audit dan dapat mengukur maturity level yang berdasarkan SNI ISO/IEC 27001:2009.

3. Menyusun hasil audit keamanan Sistem Informasi pada Instalasi SIM-RS RSUD Bangil berdasarkan standar ISO 27002 dari mengevaluasi bukti-bukti yang ada, mendokumentasikan temuan-temuan audit serta menyusun laporan hasil audit yang berupa permintaan tanggapan atas daftar temuan Audit TI, rekomendasi yang dibutuhkan pada RSUD Bangil.

1.5 Sistematika Penulisan

Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam 5 (lima) bab sebagai berikut:

BAB I : PENDAHULUAN

Pada bab ini membahas tentang latar belakang masalah, rumusan masalah serta batasan terhadap masalah yang akan dibahas, tujuan dari pembahasan masalah yang diangkat, dan sistematika penulisan laporan tugas akhir ini.

BAB II : LANDASAN TEORI

Pada bab ini membahas mengenai teori Keamanan Informasi, Aspek Keamanan Informasi, Alasan dibutuhkan Keamanan Informasi, Audit Keamanan Informasi, Langkah-langkah Audit TI, Standar Sistem Manajemen Keamanan Informasi, ISO/IEC 27002: 2005, dan Maturiy

BAB III : METODE PENELITIAN

Pada bab ini berisi penjelasan mengenai langkah-langkah yang dilakukan dalam audit keamanan Sistem Informasi yang meliputi tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit dan tahap pelaporan audit.

BAB IV : HASIL DAN PEMBAHASAN

Pada bab ini membahas mengenai proses melakukan audit sehingga dihasilkan maturity level dengan SNI ISO/IEC 27001: 2009 beserta temuan dan rekomendasi dari kegiatan audit keamanan Sistem Informasi RSUD Bangil.

BAB V : PENUTUP

Pada bab ini membahas mengenai kesimpulan terakhir yang didapatkan yang terkait mengenai pencapai tujuan dan permasalahan yang ada sebelumnya serta saran yang ada sehingga memungkinkan mampu menjadikan lebih baik lagi kedepan.

8

BAB II

LANDASAN TEORI

2.1 Keamanan Informasi

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan

secara umum diartikan sebagai „quality or state of being secure-to be free from danger„. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Contoh tinjauan keamanan informasi dari Whitman dan Mattord (2011) sebagai berikut.

a. Physical Security yang memfokuskan strategi untuk mengamankan pekerja

atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

b. Personal Security yang overlap dengan „phisycal security’ dalam melindungi orang-orang dalam organisasi

c. Operation Security yang memfokuskan strategi untuk mengamankan

kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.

d. Communications Security yang bertujuan mengamankan media komunikasi,

teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.

e. Network Security yang memfokuskan pada pengamanan peralatan jaringan

data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Masing-masing komponen diatas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah perlindungan informasi, termasuk system dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investassi dan peluang usaha.

2.2Aspek Keamanan Informasi

Perlindungan pada Informasi tersebut dilakukan untuk memenuhi aspek keamanan informasi. Aspek-aspek tersebut seharusnya diperhatikan atau dikontrol dan semestinya dipahami untuk diterapkan Whitman dan Mattord (2009) menyebutkan beberapa aspek yang terkait dengan keamanan informasi yang akan dijelaskan sebagai berikut:

a. Privacy

Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari orang lain.

b. Identification

Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali penggunaannya. Identifikasi adalah langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi umumnya dilakukan dengan penggunaan user name dan user ID.

c. Authentication

Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna

memang benar-benar orang yang memiliki identitas yang di klaim.

d. Authorization

Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia dan komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari informasi.

e. Accountability

Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktivitas terhadap informasi yang telah dilakukan, dan siapa yang melakukan aktivitas itu.

Keamanan informasi terdiri dari perlindungan terhadap aspek

Confidentiality, Integrity dan Avalability yang terdapat pada Gambar 2.1.

a. Confidentiality (kerahasiaan)

Aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.

b. Integrity (integritas)

Aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini. c. Availability (ketersediaan)

memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait.

Gambar 2.1 Elemen-elemen Keamanan Informasi (Sumber: Sarno dan Iffano, 2009)

2.3Alasan Dibutuhkan Keamanan Informasi

Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil kerugian perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar. Hasil survey ISBS tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak cukup terpelihara atau terlindungi sehingga menimbulkan kerawanan. Hasil survei yang terkait dengan hal ini dapat dilihat pada Gambar 2.2.

Survei pada Gambar 2.2 menunjukkan bahwa 60% organisasi mengalami serangan atau kerusakan data karena kelemahan dalam sistem keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini diantaranya kesalahan dalam pengoperasian sistem (40%) dan diskontinuitas power supply (32%).

Informasi

Kerahasiaan

Ketersediaan Integritas

Gambar 2.2 Grafik Persentase Ancaman Keamanan Informasi ISBS 2000

Survei ISBS (2012) pada Gambar 2.3 menunjukkan bahwa ancaman keamanan informasi yang masih banyak ditemukan adalah mengenai SDM, proses dan teknologi itu sendiri. Setiap tahun jumlah pelanggaran terhadap keamanan informasi akan semakin meningkat karena diikuti juga mengenai perkembangan teknologi yang semakin maju. Untuk itulah maka haruslah ada mengenai suatu pengontrolan keamanan informasi.

Gambar 2.3 Grafik Persentase Ancaman Keamanan Informasi ISBS 2012

0 10 20 30 40 50 60 70

Infringement of various Acts Disasters and public disorder

Unauthorised access

Theft use for unauthorised purposes All premeditated

Virus & disruptive software

Power supply issues Operator user error Breach into one of the categories below

Persentage Graphic Information Security

Persentage Information Security

0 20 40 60 80 100

Confidentiality breach Computer fraud Physical theft of computer …

Unauthorised acces by … Infringement of laws or … Staff misuse of informastion … Systems failure of data … Virus infection or disruptive …

Contingency plan in place and was effective

Contingency plan in place but was not effective

Menurut Lin, dkk (2011) bahwa dengan mengetahui ilmu dan pengetahuan mengenai pengontrolan keamanan informasi yang saat ini sedang diimplementasikan dalam organisasi, seseorang dapat menetapkan pedoman organisasi untuk perusahaan sehingga dapat efektif dalam pengelolaan keamananan informasi. Dalam meningkatkan sistem pengendalian internal dan keamanan informasi pada organisasi dapat membantu organisasi dalam meningkatkan keamanan informasi.

2.4Audit Keamanan Sistem Informasi

Audit adalah proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan ISACA dalam Sarno (2009). Keamanan informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis, meminimasi risiko dan memaksimalkan atau mempercepat pengambilan invenstasi dan peluang bisnis (ISO/IEC 27001, 2005).

Gambar 2.4 Gambaran Proses Audit menurut Davis (Davis dkk, 2011:43)

Menurut Davis, dkk (2011) tahapan audit seperti yang terlihat pada Gambar 2.4 yang setiap tahapan-tahapan akan dijelaskan sebagai berikut.

Planning Fieldwor&

Document ation

Issues Discovery & Validation

Solution Developm ent

Report Dralling & issuance

Issue Tracking

1. Planning

Sebelum melakukan audit terlebih dahulu harus menentukan rencana meninjau bagaimana audit dilakukan. Jika proses perencaaan dilakukan secara efektif, maka dapat membentuk tim audit yang dapat berjalan dengan baik. Sebaliknya, jika itu dilakukan dengan buruk serta pekerjaan dimulai tanpa rencana yang jelas tanpa arah, upaya tim audit dapa mengakibatkan kegagalan tujuan dari proses perencaaan adalah menentukan tujuan dan ruang lingkup audit, yaitu harus menentukan apa yang akan dicapai.

2. Fieldwork and Documentation

Sebagian besar audit terjadi selama fase ini, ada saat pemeriksaan langkah-langkah yang dibuat selama tahap sebelumnya dijalankan oleh tim audit. Saat ini tim audit teleh memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisis potensi risiko dan menentukan risiko belum dikurangi dengan tepat. Auditor juga harus melakukan pekerjaan yang dapat mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuan mendokumentasikan pekerjaan harus cukup detail sehingga cukup informasi bagi orang untuk dapat memahami apa yang dilakukan dan tersampainya kesimpulan yang sama seperti auditor.

3. Issues Discovery and Validation

Pada tahap ini auditor harus menentukan dan melakukan perbaikan pada daftar isu-isu yang potensial untuk memastikan isu-isu yang valid pada relevan. Auditor harus mendiskusikan isu-isu potensial dengan pelanggan secepat mungkin. Selain memvalidasi bahwa fakta-fakta telah benar, maka

perlu memvalidasi bahwa risiko yang disajikan oleh masalah ini cukup signifikan memiliki nilai untuk pelaporan dan pengalamatan.

4. Solution Development

Setelah mengidentifikasikan isu-isu potensial di wilayah yang sedang dilakukan audit dan telah memvalidasi fakta dan risiko, maka dapat dilakukan rencanan untuk mengatasi setiap masalah. Tentu, hanya mengangkat isu-isu yang tidak baik bagi perusahaan dan isu isu yang benar benar harus ditangani. Tiga pendekatan umum yang digunakan untuk mengembangkan tindakan dalam menangani masalah audit adalah sebagai berikut.

a. Pendekatan rekomendasi b. Pendekatan respon manajemen c. Pendekatan solusi

5. Report Drafting and Issuance

Setelah ditemukan masalah dalam lingkungan yang diaudit, memvalidasi, dan mendapatkan solusi yang dikembangkan untuk mengatasi masalah, maka dapat membuat draf untuk laporan audit. Laporan audit adalah sebagai dokumen hasil audit. Fungsi utama laporan audit adalah sebagai berikut. a. Untuk auditor dan perusahaan yang diaudit, berfungsi sebagai catatan

audit, hasilnya, dan rencana rekomendasi yang dihasilkan.

b. Untuk manajemen senior dan komite audit, berfungsi sebagai “kartu

laporan” pada daerah yang telah diaudit.

6. Issue Tracking

Audit belum benar-benar lengkap sampai isu yang diangkat dalam audit tersebut diselesaikan. Departemen harus mengembangkan suatu proses

dimana anggotanya dapat melacak dan mengikuti sampai isu terselesaikan. Auditor yang melakukan atau memimpin audit bertanggung jawab untuk menindak lanjuti poin dari audit seperti tanggal jatuh tempo untuk setiap pendekatan dari audit yang dihasilkan.

Contoh dari Keamanan Informasi yakni:

a. Physical Security adalah keamanan informasi yang memfokuskan pada

strategi untuk mengamankan individu atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

b. Personal Security adalah keamanan informasi yang berhubungan dengan

keamanan personil. Biasanya saling berhubungan dengan ruang lingkup

„physical security’.

c. Operation Security adalah keamanan informasi yang membahas

bagaimana strategi suatu organisasi untuk mengamankan kemampuan organisasi tersebut untuk beroperasi tanpa gangguan.

d. Communications Security adalah keamanan informasi bertujuan

mengamankan media komunikasi, teknologi komunikasi, serta apa yang ada di dalamnya. Serta kemampuan untuk memanfaatkan media dan teknologi komunikasi untuk mencapai tujuan organisasi.

e. Network Security adalah keamanan informasi yang memfokuskan pada

bagaimana pengamanan peralatan jaringan, data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Audit Sistem Informasi adalah prosess mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 1999).

Beberapa elemen utama tinjauan penting dalam Audit Sistem Informasi yaitu dapat diklasifikasikan sebagai berikut:

1. Tinjauan terkait dengan fisik dan lingkungan, yaitu: hal-hal yang terkait dengan keamanan fisik, suplai sumber daya, temperatur, kontrol kelembaban dan faktor lingkungan lain.

2. Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi, sistem manajemen database, seluruh prosedur administrasi sistem dan pelaksanaannya.

3. Tinjauan perangkat lunak. Perangkat lunak yang dimaksud merupakan aplikasi bisnis. Mencakup kontrol akses dan otorisasi ke dalam sistem, validasi dan penanganan kesalahan termasuk pengecualian dalam sistem serta aliran proses bisnis dalam perangkat lunak beserta kontrol secara manual dan prosedur penggunaannya. Sebagai tambahan, tinjauan juga perlu dilakukan terhadap siklus hidup pengembangan sistem.

4. Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan terhadap firewall, daftar kontrol akses router, port scanning serta pendeteksian akan gangguan maupun ancaman terhadap sistem.

5. Tinjauan kontinuitas bisnis dengan memastikan ketersediaan prosedur backup dan penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi pemulihan bencana/kontinuitas bisnis yang dimiliki.

6. Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak dari kurangnya kontrol yang ditetapkan.

2.5 Langkah-Langkah Audit TI

Sebelum mengetahui langkah-langkah dari audit maka harus mengenal terlebih dahulu mengenai auditor dan auditti. Auditor adalah orang yang melakukan audit untuk mendapatkan bukti yang akurat sesuai dengan yang telah ditetapkan dan melaporkan hasilnya kepada para pihak yang berkepentingan. Auditee adalah seseorang yang diaudit atau diperiksa oleh auditor untuk mendapatkan informasi yang dibutuhkan dalam upaya untuk mencapai tujuan yang diinginkan (Haryono, 2001).

Banyak berbagai macam versi dan jenis dalam menjalankan tahapan audit. Terdapat 10 tahapan yang dilakukan dalam proses audit, yaitu: 1. Membuat dan Mendapatkan Surat Persetujuan Audit, 2. Perencanaan Audit, 3.Analisis Risiko, 4. Persiapan Audit, 5. Pelaksanaan Audit, 6. Pemeriksaaan Data dan Bukti, 7. Tes Audit, 8. Pemeriksaaan Hasil Audit, 9. Pelaporan Audit, 10. Pertemuan Penutup. Tahapan tersebut dapat dilihat pada Gambar 2.4.

Gambar 2.5 Langkah-Langkah Audit Teknologi Informasi (Sumber: CISA, 2011)

2.6 Standar Sistem Manajemen Keamanan Informasi

Sejak tahun 2005, International Organization for Standardization (ISO) atau organisasi Internasional untuk standarisasi telah mengembangkan sejumlah standar tentang Information Security Management System (ISMS). Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:

a. ISO/IEC 27000: 2009 – ISMS Overview and Vocabulary b. ISO/IEC 27001: 2005 – ISMS Requirement

c. ISO/IEC 27002: 2005 – Code of Practice for ISMS d. ISO/IEC 27003: 2010 – ISMS Implementation Guidance e. ISO/IEC 27004: 2009 – ISMS Measuements

f. ISO/IEC 27005: 2008 – Information Security Risk Management

. • 1. Audit Charter . • 2. Pre Planning . • 3. Risk Assesment

• 4. Auidit Possible

• 5. Perform Audit

• 6. Gather Evidence

• 7. Audit Test

• 8. Analysis Result

• 9. Report findings

g. ISO/IEC 27006: 2007 – ISMS Certification Body Requiements h. ISO/IEC 27007 – Guidelines for ISMS Auditing

Adapun penjelasan dari standar ISMS tersebut dijelaskan sebagai berikut.

a. ISO/IEC 27000:2009 – ISMS Overview and Vocabulary

Standar ini dirilis tahun 2009, memuat prinsip-prinsip dasar Information

Security Management System, definisi sejumlah istilah penting dan hubungan

antar standar dalam keluarga SMKI, baik yang telah diterbitkan maupun sedang tahap pengembangan. Hubungan antar standar keluarga ISO 27000 dapat dilihat pada Gambar 2.6.

Gambar 2.6 Hubungan Antar Standar Keluarga SMKI (Sumber: Direktorat Keamanan Informasi, 2011)

Dari standar seri ISO 27000 hingga September 2011 baru ISO/IEC 27001: 2005 yang telah diadopsi Badan Standardisasi Nasional (BSN) sebagai Standar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI ISO/IEC 27001:2009.

b. ISO/IEC 27001:2005 – ISMS Requirement

ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi masyarakat penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.

Standar ini dikembangkan dengan pendekatan proses sebagai suatu model bagi penetapan, penerapan, pengoperasian, pemantauan, tinjau ulang

(review), pemeliharaan dan peningkatan suatu SMKI. Model PLAN – DO – CHECK–ACT (PDCA) diterapkan terhadap struktur keseluruhan proses SMKI. Dalam model PDCA (ISO/IEC 27002, 2005) – Code of Practice for

ISMS)

c. ISO/IEC 27002: 2005 – Code of Practice for ISMS

ISO IEC 17799 tahun 2005, resmi dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara resmi diubah menjadi ISO IEC 27002 tahun 2005. Konten tersebut masih persis sama. Standar ISO IEC 17799:2005 (sekarang dikenal sebagai ISO IEC 27002:2005) dikembangkan oleh IT Security Subcommittee (SC 27) dan Technical Committee on

c. ISO/IEC 27003:2010 – ISMS Implementation Guidance

Tujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagi perancangan dan penerapan SMKI agar memenuhi persyaratan ISO 27001. Standar ini menjelaskan proses pembangunan SMKI meliputi pengarsipan, perancangan dan penyusunan atau pengembangan SMKI yang digambarkan sebagai suatu kegiatan proyek.

d. ISO/IEC 27004:2009 – ISMS Measuements

Standar ini menyediakan penyusunan dan penggunaan teknik pengukuran untuk mengkaji efektivitas penerapan SMKI dan kontrol sebagaimana disyaratkan ISO/IEC 27001. Standar ini juga membantu organisasi dalam mengukur ketercapaian sasaran keamanan yang ditetapkan.

e. ISO/IEC 27005:2008 – Information Security Risk Management

Standar ini menyediakan panduan bagi kegiatan manajemen risiko keamanan informasi dalam suatu organisasi, khususnya dalam rangka mendukung persyaratan- persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001. Standar ini diterbitkan pada bulan Juni 2008.

f. ISO/IEC 27006:2007–ISMS Certification Body Requiements

Standar ini menetapkan persyaratan dan memberikan panduan bagi organisasi yang memiliki kewenangan untuk melakukan audit dan sertifikasi SMKI. Standar ini utamanya dimaksudkan untuk mendukung porses akreditasi Badan Sertifikasi ISO/IEC 27001 oleh Komite Akreditasi dari negara masing-masing.

g. ISO/IEC 27007–Guidelines for ISMS Auditing

Standar ini memaparkan penduan bagaimana melakukan audit SMKI perusahaan.

2.7 ISO/IEC 27002: 2005

ISO 27002: 2005 adalah standar keamanan informasi sebagai best practice atau panduan umum yang menjelaskan adanya contoh penerapan keamanan informasi dengan menggunakan bentuk kontrol sehingga dapat mencapai sasaran yang diterapkan. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi.

Hubungan ISO/IEC 27001 dengan ISO/IEC 27002: 2005 secara resmi mendefinisikan persyaratan wajib untuk Sistem Manajemen Keamanan Informasi (SMKI). ISO / IEC 27002: 2005 menunjukkan kontrol keamanan informasi yang sesuai dalam ISMS yang digunakan sebagai kode praktek atau pedoman pelaksanaan kontrol keamanan informasi. ISO / IEC 27001 mencakup ringkasan dari kontrol dari ISO / IEC 27002: 2005.

ISO 27002: 2005 menyediakan rekomendasi best practice terhadap manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk proses inisiasi, implementasi, dan pemeliharaan Information Security

Management Systems (ISMS) pada suatu organisasi. ISO 27002: 2005

menerapkan kontrol keamanan dimana pengontrolannya tersaji dalam bentuk 12 kontrol area, 41 kontrol objektif, dan 133 kontrol yang dapat dilihat pada Tabel 2.1.

Tabel 2.1 Ringkasan Jumlah Klausul Kontrol Keamanan, Objektif Kontrol dan Kontrol pada ISO 27002:2005.

Klausul

Jumlah

Objektif Kontrol Kontrol

4 2 -

5 1 2

6 2 11

7 2 5

8 3 9

9 2 13

10 10 32

11 7 25

12 6 16

13 2 5

14 1 5

15 3 10

Jumlah: 12 Jumlah: 41 Jumlah:133

Sedangkan untuk detail struktur kontrol keamanan dari ISO/IEC 27002:2005 dapat dilihat pada Tabel 2.2.

Tabel 2.2. Detail Struktur Kontrol Keamanan ISO/IEC 27002: 2005 Klausul : 4 Dugaan Risiko dan Perawatannya

Kategori Keamanan Utama: 4.1 Perkiraan Risiko Keamanan Kategori Keamanan Utama : 4.2 Perawatan Risiko Keamanan

Klausul : 5 Kebijakan Keamanan

Kategori Keamanan Utama: 5.1 Kebijakan Keamanan Informasi

Objektif Kontrol: Memberikan arahan kepada manajemen organisasi dan dukungan untuk Keamanan Informasi dalam hubungannya dengan persyaratan bisnis organisasi dan aturan yang sedang berlaku.

Kontrol: 5.1.1 Dokumen Kebijakan Keamanan Informasi Kontrol : 5.1.2 Tinjauan Ulang Kebijakan Keamanan Informasi Klausul: 6 Organisasi Keamanan Informasi

Kategori Keamanan Utama: 6.1 Organisasi Internal

Objektif Kontrol: Bagaimana mengelola Keamanan Informasi di dalam organisasi Kontrol: 6.1.1 Komitmen Pihak Manajemen Terhadap Keamanan Informasi Kontrol: 6.1.2 Koordinasi Keamanan Informasi

Kontrol: 6.1.3 Pembagian Tanggung Jawab Keamanan Informasi

Kontrol: 6.1.4 Proses Otorisasi Untuk Akses Ke Fasilitas Pemrosesan Informasi Kontrol: 6.1.5 Perjanjian Kerahasiaan

Kontrol: 6.1.6 Hubungan Dengan Pihak-Pihak (Vendor) Legal

Kontrol: 6.1.7 Hubungan Dengan Lembaga-Lembaga atau Organisasi Tertentu Kontrol: 6.1.8 Kaji Ulang Secara Independen Keamanan Informasi

Tabel 2.2. Detail Struktur Kontrol Keamanan ISO/IEC 27002: 2005 (Lanjutan) Klausul: 6 Organisasi Keamanan Informasi

Kategori Keamanan Utama: 6.2 Pihak Internal Objektif Kontrol:

Untuk menjaga Keamanan Informasi dan fasilitas pemrosesan informasi organisasi yang diakses, diproses, dikomunikasikan atau dikelola oleh pihak ketiga

Kontrol: 6.2.1 Identifikasi Risiko Terhadap Hubungannya Dengan Pihak Ketiga Kontrol: 6.2.2 Akses Keamanan Dalam Hubungan Dengan Pelanggan

Kontrol: 6.2.3 Melibatkan Persyaratan Keamanan Dalam Perjanjian Dengan Pihak Ketiga

Klausul: 7 Manajemen Aset

Kategori Keamanan Utama: 7.1 Tanggung Jawab Aset Objektif Kontrol:

Untuk memenuhi perlindungan dan pemeliharaan terhadap aset organisasi Kontrol: 7.1.1 Inventarisasi Aset

Kontrol: 7.1.2 Kepemilikan Aset

Kontrol: 7.1.3 Penggunaan Aset yang Diterima Kategori Keamanan Utama: Klasifkasi Informasi Objektif Kontrol:

Untuk memastikan bahwa setiap Informasi dalam organisasi mendapatkan keamanan yang memadai.

Kontrol: 7.2.1 Pedoman Klasifikasi

Kontrol: 7.2.2 Informasi Pelabelan dan Penanganan Klausul: 8 Keamanan Sumber Daya Manusia

Kategori Keamanan Utama: 8.1 Sebelum Menjadi Pegawai Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimalkan risiko pencurian atau kesalahan dalam penggunaan fasilitas informasi.

Kontrol: 8.1.1 Peran dan tanggung Jawab Kontrol: 8.1.2 Penyaringan

Kontrol: 8.1.3 Syarat dan Kondisi Kerja

Kategor i Keamanan Utama: 8.2 Selama Menjadi pegawai Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami Keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan kerja (human error) dan risiko yang dihadapi oleh organisasi.

Kontrol: 8.2.1 Tanggung Jawab Manajemen

Kontrol: 8.2.2 Kesadaran Keamaan Informasi, Pendidikan dan Pelatihan Kontrol: 8.2.3 Pemberhentian Tanggung Jawab

Tabel 2.2 Detail Struktur Kontrol Keamanan ISO/IEC 27002: 2005 (Lanjutan) Kategori Keamanan Utama: 8.3 Pemberhentian dan Pemindahan Pegawai. Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan dipindah dilakukan sesuai dengan prosedur yang benar. Kontrol: 8.3.1 Pemberhentian Taggung Jawab

Kontrol: 8.3.2 Pengembalian Aset Kontrol: 8.3.3 Penghapusan Hak Akses Klausul: 9 Keamanan Fisik dan Lingkungan Kategori Keamanan Utama: 9.1 Daerah Aman Objektif Kontrol:

Untuk mencegah akses fisik tanpa hak, kerusakan dan gangguan terhadap Informasi dan perangkatnya dalam organisasi.

Kontrol: 9.1.1 Keamanan Perimeter Kontrol: 9.1.2 Kontrol Entri Fisik

Kontrol: 9.1.3 Keamanan Kantor, Ruang dan Fasilitasnya

Kontrol: 9.1.4 Perlidungan Terhadap Ancaman Dari Luar dan Lingkungan Sekitar Kontrol; 9.1.5 Bekerja di Wilayah Aman

Kontrol: 9.1.6 Akses Publik, Tempat Pengiriman dan Penurunan Barang Kategori Keamanan Utama: 9.2. Peralatan Keamanan.

Objektif Kontrol:

Untuk mencegah kehilangan, kerusakan, pencurian atau ketidaberesan aset dan gangguan tehadap aktivitas organisasi.

Kontrol: 9.2.1 Penempatan dan Perlindungan Peralatan Kontrol: 9.2.2 Peralatan Pendukung

Kontrol: 9.2.3 Keamanan Kabel Kontrol: 9.2.4 Pemeliharaan Peralatan

Kontrol: 9.2.5 Keamanan Peralatan Diluar Area Kontrol: 9.2.6 Penggunaan Ulang Peralatan Kontrol: 9.2.7 Pemindahan Peralatan

Klausul: 10 Manajemen Komunikasi dan Operasi

Kategori Keamanan Utama: 10.1 Tanggung Jawab dan Prosedur Operasional Objektif Kontrol:

Untuk memastikan keamanan operasi dan tidak terjadi kesalahan dalam mengoperasikan fasilitas-faslitas pemrosesan Informasi

Kontrol: 10.l.1 Pendokumentasian Prosedur Operasi Kontrol 10.1.2 Manajemen Pertukaran

Kontrol 10.1.3 Pemisahan Tugas

Kontrol: 10.1.4 Pemisahan Pengembangan, Pengujian dan Operasional Informasi Kategori Keamanan Utama: 10.2 Manajemen Pengiriman Oleh Pihak Ketiga Objektif Kontrol:

Untuk mengimplementasikan dan memelihara Keamanan Informasi yang sesuai dalam hal layanan pengiriman yang berhubungan dengan perjanjain layanan pengiriman dengan pihak ketiga.

Kontrol: 10.2.1 Layanan Pengiriman

Kontrol: 10.2.2 Pemantauan dan Pengkajian Ulang Layanan Pihak Ketiga Kontrol: 10.2.3 Manajemen Penggantian Layanan Pihak Ketiga

Tabel 2.2 Detail Struktur Kontrol Keamanan ISO/IEC 27002: 2005 (Lanjutan) Kategori Keamanan Utama: 10.3 Perencanaan Sistem dan Penerimaan

Objektif Kontrol:

Untuk meminimalisasi kegagalan sistem. Kontrol: 10.3.1 Manajemen Kapasitas Kontrol: 10.3.2 Penerimaan Sistem

Kategori Keamanan Utama: 10.4 Perlindungan Terhadap Malicious dan Mobile

Code

Objektif Kontrol:

Untuk melindungi integritas perangkat lunak (software) dan Informasi. Kontrol: 10.4.1 Kontrol Terhadap Kode Berbahaya (Maliciious Code) Kontrol: 10.4.2 Koontrol Terhadap Mobile Code

Katagori Keamanan Utama: 10.5 Backup Objektif Kontrol:

Untuk memelihara integritas dan ketersediaan Informasi dan faslitas pemrosesan Informasi.

Kontrol: 10.5.1 Back-up Informasi

Katagori Keamanan Utama: 10.6 Manajemen Keamanan Jaringan Objektif Kontrol:

Untuk memelihara keamanan pengiriman Informasi di jaringan serta melindungi infrastruktur pendukungnya

Kontrol: 10.6.1 Kontrol Jaringan

Kontrol: 10.6.2 Keamanan Dalam Layanan Jaringan Kategori keamanan Utama: 10.7 Penanganan Media Objektif Kontrol:

Untuk mencegah pengaksesan, modifikasi, penghapusan atau pengrusakan aset secara ilegal serta gangguan aktifitas bisnis

Kontrol: 10.7.1 Manajemen Pemindahan Media Kontrol: 10.7.2 Pemusnahan atau Pembuangan Media Kontrol: 10.7.3 Prosedur Penanganan Informasi Kontrol: 10.7.4 Keamanan Dokumentasi Sistem Katagori Keamanan Utama: 10.8 Pertukaran Informasi Objektif Kontrol:

Untuk memelihara keamanan pertukaran informasi dan perangkat lunak didalam organisasi dengan pihak luar.

Kontrol: 10.8.1 Kebijakan dan Prosedur Pertukaran informasi Kontrol: 10.8.2 Perjanjian Pertukaran

Kontrol: 10.8.3 Transportasi Media Fisik Kontrol: 10.8.4 Pesan Elektronik

Kontrol: 10.8.5 Sistem Informasi Bisnis

Kategori keamanan Utamal 10.9 Layanan E-Commerce Objektif Kontrol:

Untuk memastikan keamanan dalam layanan dan penggunaan E-Commerce Kontrol: 10.9.1 E-commerce

Kontrol: 10.9.2 Transaksi On-Line Kontrol: 10.9.3 Informasi Untuk Publik

Tabel 2.2 Detail Struktur Kontrol Keamanan ISO/IEC 27002: 2005 (Lanjutan) Kategori Keamanan Utama: 10.10 Monitoring

Objektif Kontrol:

Untu mendeteksi aktifitas pemrosesan informasi. Kontrol: 10.10.1 Rekaman Audit

Kontrol: 10.10.2 Monitoritng Penggunaan Sistem Kontrol: 10.10.3 Proteksi Catatan informasi

Kontrol: 10.10.4 Catatan Administratir dan Operator Kontrol: 10.10.5 Catatan Kesalahan

Kontrol: 10.10.6 Sinkronisasi Waktu Klausul: 11 Kontrol Akses

Kategori Keamanan Utama: 11.1 Kebijakan Kontrol Akses Objektif Kontrol:

Untuk megontrol akses informasi.

Kontrol: 11.1.1 Kebijakan Kontrol Akses

Kategori Keamanan Utama: 11.2 Manajemen Akses Uset Objektif Kontrol:

Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak.

Kontrol: 11.2.1 Registrasi Pengguna Kontrol: 11.2.2 Manajemen Hak Istimewa Kontrol: 11.2.3 Manajemen Password User

Kategori Keamanan Utama: 11.2 Manajemen Akses user Objektif Kontrol:

Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak

Kontrol: 11.2.4 Ulasan Hak Akses Pengguna

Kategori Keamanan Utama: 11.3 Tanggung Jawab Pengguna Objektif Kontrol:

Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi

Kontrol: 11.3.1 Penggunaan Password

Kontrol: 11.3.2 Peralatan Pengguna Yang Tidak Dijaga Kontrol: 11.3.3 Kebijakan Kerapian Meja dan Penyaringan

Kategori Keamanan Utama: 11.4 Kebijakan Penggunaan Layanan Jaringan Objektif Kontrol:

Untuk mencegah akses tanpa hak kedalam layanan jaringan. Kontrol: 11.4.1 Kebijakan Penggunaan Layanan jaringan Kontrol : 11.4.2 Otentikasi Pengguna Koneksi eksternal. Kontrol: 11.4.3 Indikasi Peralatan Didalam Jaringan

Kontrol: 11.4.4 Diagnostik Jarak Jauh dan Perlindungan Port Konfigurasi Kontrol: 11.4.5 Pemisahan jaringan

Kontrol: 11.4.6 Kontrol terhadap koneksi Jaringan Kontrol: 11.4.7 Kontrol Terhadap Routing Jaringan

Tabel 2.2 Detail Struktur Kontrol Keamanan ISO/IEC 27002: 2005 (Lanjutan) Kategori Keamanan Utama: 11.5 Kontrol Akses Sistem Operasi

Objektif Kontrol:

Untuk mencegah akses tanpa hak ke sistem operasi Kontrol: 11.5.1 Prosedur log-on yang aman

Kontrol: 11.5.2 Identifkasi dan Otentikasi User Kontrol: 11.5.3 Manajemen Password

Kontrol: 11.5.4 Sistem Peralatan Pengguna Kontrol: 11.5.5 Sesi Time-Out

Kontrol: 11.5.6 Batasan Waktu Koneksi

Kategori Keamanan Utama: 11.6 Kontrol Akses Aplikasi Objektif Kontrol:

Untuk mencegah akses tanpa hak terhadap Informasi didalam aplikasi. Kontrol: 11.6.1 Pembatasan Akses Informasi

Kontrol: 11.6.2 Isolasi Sistem Yang Sensitif

Kategori Keamanan Utama: 11.7 Komputasi Bergerak dan Komunikasi Mobile Objektif Kontrol:

Untuk memastikan Keamanan Informasi saat menggunakan fasilitas komputer bergerak atau bekerja dari lain tempat

Kontrol: 11.7.1 Komunikasi dan Terkomputerisasai yang bergerak Kontrol: 11.7.2 Teleworking

Klausul: 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan Kategori Keamanan Utama: 12.1.1 Analisis dan Spesifikasi Persyaratan Keamanan.

Objektif Kontrol:

Untuk memastikan bahwa keamanan adalah bagian dari Sistem Informasi Kontrol: 12.1.1Analisa dan Spesifikasi Persyaratan Keamanan

Kategori Keamanan Utama: 12.2 Pemrosesan Yang Benar Dalam Aplikasi Objektif Kontrol:

Untuk mencegah kesalahan, kehilangan, modifikasi tanpa hak atau kesalahan penanganan informasi dalam aplikasi.

Kontrol: 12.2.1 Validasi Data Input

Kontrol: 12.2.2 Kontrol Untuk Pemrosesan Internal Kontrol: 12.2.3 Integritas Pesan

Kontrol: 12.2.4 Validasi Data Output

Kategori Keamanan Utama: 11.2.3 Kontrol Kriptografi Objektif Kontrol:

Untuk melindungi Kerahasiaan, Autentikasi dan Keutuhan Informasi dengan menggunakan sistem kriptografi

Kontrol: 12.3.1 Kebijakan Dalam Penggunaan Kriptografi Kontrol: 12.3.2 Manajemen Kunci

Kategori Keamanan Utama: 12.4 Keamanan File Sistem Objektif Kontrol:

Untuk memastikan keamanan file sistem Kontrol: 12.4.1 Kontrol Operasional Software

Kontrol : 12.4.2 Perlindungan Data Pengujian Sistem Kontrol: 12.4.3 Kontrol Akses ke Sumber Program

Tabel 2.2 Detail Struktur Kontrol Keamanan ISO/IEC 27002: 2005 (Lanjutan) Kategori Keamanan Utama: 12.5 Keamanan dalam Pengembangan Proses Pendukunng

Objektif Kontrol:

Untuk memelihara keamanan Informasi dan Aplikasi Sistem Software Kontrol: 12.5.1 Prosedur Perubahan Kontrol

Kontrol: 12.5.2 Tinjauan Teknis Aplikasi Setelah Dilakukan Perubahan Sistem Operasi

Kontrol: 12.5.3 Pembatasan Perubahan Paket Software Kontrol: 12.5.4 Kelemahan Informasi

Kontrol: 12.5.5 Pengembangan perangkat Lunak Outsourcing Kategori Keamanan Utama: 12.6 Manajemen Teknis Kelemahan Objektif Kontrol:

Untuk mengurangi resiko yang disebabkan oleh terpublikasinya teknik-teknik kelemahan yang dimiliki.

Kontrol: 12.6.1 Kontrol Terhadap Kelemahan Secara Teknis Klausul: 13 Manajemen Kejadian Keamanan Informasi

Kategori Keamanan Utama: 13.1 Pelaporan Kejadian dan Kelemahan Keamanan Informasi

Objektif Kontrol:

Untuk memastikan kejadian dan kelemahan keamanan Sistem Informasi dikomunikasikan dan ditangani tepat waktu.

Kontrol: 13.1.1 Pelaporan Keajadian Keamanan Informasi Kontrol: 13.1.2 Pelaporan Kelemahan Keamanan

Klausul: 13 Manajemen Kejadian Keamanan Informasi

Kategori Keamanan Utama: 13.2 Manajemen Kejadian Keamanan Informasi dan Pengembangannya

Objektif Kontrol:

Untuk memastikan konsistensi dan keefektifitasan pendekatan yang diaplikasikan kedalam manajemen kejadian Keamanan Informasi.

Kontrol: 13.2.1 Tanggung jawab dan Prosedur

Kontrol: 13.2.2 Belajar Dari Kejadian Keamanan informasi Kontrol: 13.2.3 Pengumpulan Bukti

Klausul: 14 Manajemen Kelangsungan Bisnis

Kategori Keamanan Utama: 14.1 Aspek Keamanan Dalam Manajemen Kelangsungan Bisnis.

Objektif Kontrol:

Untuk menghindari gangguan terhadap aktifitas bisnis serta untuk menjaga proses-proses bisnis yang kritis dari kegagalan dan dampak yang lebih besar atau bencana terhadap Sistem Informasi.

Kontrol: 14.1.1 Memasukkan Keamanan Informasi Dalam proses Manajemen Kelangsungan Bisnis

Kontrol: 14.1.2 Kelangsungan Bisnis dan Penilaian resiko

Kontrol: 14.1.3 Pembangunan dan Rencana Kelangsungan yang di dalamnya Meliputi Keamanan informasi

Kontrol: 14.1.4 Kerangka Kerja Rencana Kelangsungan Bisnis

Tabel 2.2 Detail Struktur Kontrol Keamanan ISO/IEC 27002: 2005 (Lanjutan) Klausul: 15 Kepatuhan

Kategori Keamanan Utama: 15.1 Kepatuhan Terhadap Persyaratan Legal Objektif Kontrol:

Untuk mencegah pelanggaran terhadap hukum, perundangan, peraturan atau kewajiban kontrak dan suatu persyaratan keamanan.

Kontrol: 15.1.1 Identifkasi Perundangan yang Dapat Diaplikasikan Kontrol: 15.1.2 Hak Kekayaan Inteektual

Kontrol: 15.1.3 Perlindungan Dokument Organisasi

Kontrol: 15.1.4 Perlindungan Data dan Kerahaisaan Informasi

Kontrol: 15.1.5 Pencegahan Penyalahgunaan Faslitas Pemrosesan Informasi Kontrol: 15.1.6 Peraturan Kontrol Kriptografi

Kategori Keamanan Utama: 15.2 Kepatuhan Dengan Kebijakan Keamanan, Standar dan Kepatuhan Teknik.

Objektif Kontrol:

Untuk memastikan kepatuhan terhadap sistem didalam kebijakan keamanan organisasi dan standar.

Kontrol: 15.2.1 Kepatuhan Dengan Kebijakan Keamanan dan Standar Kontrol: 15.2.2 Pemeriksaan Kepatuhan Teknik

Kategori Keamanan Utama: 15.2 Audit Sistem Informasi dan Pertimbangan Objektif Kontrol:

Untuk memaksimalkan keefektifitasan dan meminimasi interfensi dari atau kedalam proses audit Sistem Informasi

Kontrol: 15.3.1 Kontrol Audit Sistem Informasi

Kontrol: 15.3.2 Perlindungan terhadap Perangkat Audit Sistem Informasi Kontrol: 14.1.5 Pengujian, Pemeliharaan dan Penilaian Ulang Rencana Bisnis

2.8 Maturity Level

Maturity level atau tingkat kedewasaan menjelaskan hasil analisa gap

atau kesenjangan keamanan informasi yang dinilai sesuai dengan kejadian saat ini dalam peringkat kematangan proses pengelolaan pengamanan informasi. Peringkat dalam penilaian tersebut dilakukan dengan menggunakan 6 tingkatan proses berdasarkan metode penilaian indeks keamanan informasi. Indeks keamanan informasi adalah alat evaluasi untuk menganalisis tingkat kesiapan pengamanan informasi di instansi pemerintah. Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang

didefinisikan oleh standar SNI ISO 27001:2009. Hasil evaluasi indeks Keamanan Informasi menggambarkan tingkat kematangan, tingkat kelengkapan penerapan SNI ISO/IEC 27001:2009. (Direktorat Keamanan Informasi, 2011).

Menurut Kemenkominfo (2011) tingkat kematangan proses pengelolaan keamanan informasi dapat diketahui dengan menggunakan maturity level.

Maturity level digunakan karena merupakan model yang mewujudkan pemikiran

dasar manajemen proses sehingga tepat untuk mengukur ISO/IEC 27001 sebagai salah satu standar yang dibuat berdasarkan manajemen proses.

SNI ISO/IEC 27001: 2009 adalah standar SMKI atau Information Security

Management System (ISMS) yang memberikan gambaran secara umum mengenai

apa saja yang seharusnya dilakukan dalam usaha mengimplementasikan konsep keamanan informasi organisasi.

Berikut adalah indeks alat ukur tingkatan proses keamanan informasi untuk menilai kesiapan keamanan informasi di instansi pemerintahan berdasarkan SNI ISO/IEC 27001: 2009 sebagai berikut:

1. Tingkat 0 - Tidak Diketahui (Pasif)

a. Status kesiapan keamanan informasi tidak diketahui.

b. Pihak yang terlibat tidak mengikuti atau tidak melaporkan pemeringkatan Indeks KAMI.

2. Tingkat 1 - Kondisi Awal (Reaktif)

a. Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan informasi.

b. Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan.

c. Kelemahan teknis dan non teknis tidak terdefinisi dengan baik. d. Pihak yang terlibat menyadari tanggung jawab mereka.

3. Tingkat 2 - Penerapan Kerangka Dasar (Aktif)

a. Pengamanan diterapkan walaupun sebagian besar masih di area teknis dan belum adanya keterkaitan langkah pengamanan untuk mendapatkan strategi yang efektif.

b. Proses pengamanan informasi berjalan tanpa dokumentasi atau rekaman resmi.

c. Langkah pengamanan operasional yang diterapkan bergantung kepada pengetahuan dan motivasi individu pelaksana.

d. Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan secara konsisten.

4. Tingkat 3 - Terdefinisi dan Konsisten (Pro Aktif)

a. Bentuk pengamanan yang berlaku sudah diterapkan secara konsisten dan terdokumentasi secara resmi.

b. Efektivitas pengamanan dievaluasi secara berkala, walaupun belum melalui proses yang terstruktur.

c. Kerangka kerja pengamanan sudah mematuhi ambang batas minimum standar atau persyaratan hukum terkait.

d. Secara umum semua pihakyang terlibat menyadari tanggung jawab mereka dalam pengamanan informasi.

5. Tingkat 4 - Terkelola dan Terukur (Terkendali)

a. Pengamanan diterapkan secara efektif sesuai dengan strategi manajemen risiko.

b. Evaluasi (pengukuran) pencapaian sasaran pengamanan dilakukan secara rutin, formal dan terdokumentasi.

c. Penerapan pengamanan teknis secara konsisten dievaluasi efektivitasnya. d. Kelemahan manajemen pengamanan informasi terdefinisi dengan baik dan

secara konsisten ditindak lanjuti pembenahannya.

e. Karyawan merupakan bagian yang tidak terpisahkan dari pelaksana pengamanan informasi.

6. Tingkat 5 - Optimal

a. Pengamanan menyeluruh diterapkan secara berkelanjutan dan efektif melalui program pengelolaan risiko yang terstruktur.

b. Pengamanan informasi dan manajemen risiko sudah terintegrasi dengan tugas pokok instansi.

c. Kinerja pengamanan dievaluasi secara kontinyu, dengan analis parameter efektivitas kontrol, kajian akar permasalahan dan penerapan langkah untuk optimasi peningkatan kinerja.

d. Target pencapaian program pengamanan informasi selalu dipantau, dievaluasi dan diperbaiki.

e. Karyawan secara proaktif terlibat dalam peningkatan efektivitas pengamanan informasi.

7. Tingkat 6 - Di Luar Jangkauan

35

BAB III

METODE PENELITIAN

Pada Bab ini akan dilakukan pembahasan dimulai dengan profil perusahaan, gambaran struktur organisasi dan dilanjutkan dengan tahapan-tahapan audit yang terdapat pada Gambar 3.1.

Gambar 3.1 Langkah Audit Keamanan Sistem Informasi Instalasi SIM-RS

Perencanaan Audit

1. Pemahaman Proses Bisnis dan TI

2. Menentukan ruang lingkup objek audit & Tujuan audit 3. Penentuan pemilihan klausul, obyektif kontrol & kontrol\ 4. Membuat dan menyampaiakn engagement letter

Persiapan Audit

1. Melakukan proses penyusunan Audit Working Plan (AWP) 2. Menentukan ruang lingkup objek audit & Tujuan audit 3. Penentuan pemilihan klausul, obyektif kontrol & kontrol 4. Membuat dan menyampaiakn Engagement letter

Pelaksanaan Audit

1. Melakukan proses pemeriksaan data dan bukti 2. Melakukan Wawancara

3. Melakukan Uji Kematangan

4. Penyususnan daftar temuan Audit dan rekomendasi

5. Konfirmasi Temuan audit TI

Pelaporan Audit

1. Permintaan tanggapan atas daftar temuan Audit TI 2. Penyusunan draft laporan Audit TI

3. Persetujuan draft laporan Audit TI 4. Pertemuan Penutup/ Pelaporan Audit TI Studi Literatur

- ISO 2702 - Review Awal - Survei Awal - Wawancara Awal

Studi Literatur

- Panduan ISO 27002: 2005

Studi Literatur

- _{Best pracice ISO} 2702: 2005

- SNI ISO/IEC 27001: 2009

- Review - Observasi - Survei

3.1 Tahap Perencanaan Audit

Pada tahap perencanaan langkah-langkah yang dilakukan yakni pemahaman proses bisnis dan TI, menentukan ruang lingkup objek audit dan tujuan audit keamanan sistem informasi, penentuan objek audit TI. Dari tahapan tersebut akan menghasilkan pengetahuan tentang proses bisnis TI perusahaan, ruang ingkup dan tujuan yang telah ditentukan serta klausul yang telah ditentukan sebelumnya dari kedua belah pihak.

3.1.1 Pemahaman Proses Bisnis dan TI

Tahap yang dilakukan saat perencanaan audit adalah mempelajari proses bisnis dan TI perusahaan yang diaudit (auditee) dengan mempelajari dokumen-dokumen perusahaan yang dibutuhkan. Dokumen tersebut berupa profil perusahaan, visi dan misi perusahaan, struktur organisasi perusahaan, profil Instalasi SIM-RS RSUD Bangil, Proses bisnis Instlasi SIM-RS RSUD Bangil, Job

description pegawai IT SIM-RS RSUD Bangil. Langkah selanjutnya adalah

mencari informasi apakah sebelumnya perusahaan telah melaksanakan proses audit. Apabila pernah dilakukan audit, maka auditor perlu mengetahui dan memeriksa laporan audit sebelumnya.

Untuk menggali pengetahuan tentang audit, langkah yang dilakukan adalah dengan cara mengetahui dan memeriksa dokumen-dokumen organisasi yang terkait dengan proses audit. Output yang dihasilkan dari pemahaman proses binsis adalah profile perusahaan, visi misi dan motto RSUD Bangil, profil Instalasi RS RSUD Bangil, Struktur Organisasi Fungsional Instalasi SIM-RS SIM-RSUD Bangil, deskripsi pekerjaan Instalasi SIM-SIM-RS dan proses bisnis TI di Instalasi SIM-RS RSUD Bangil.

3.1.2Penentuan Ruang Lingkup, Objek dan Tujuan Audit

Proses kedua pada tahapan perencanaan ini adalah mengidentifikasi ruang lingkup, objek audit dan tujuannya yang akan dibahas dalam audit kali ini. Penentuan ruang lingkup dilakukan dengan cara melakukan observasi dan wawancara pada Instalasi SIM-RS RSUD Bangil. Pada proses ini, langkah yang selanjutnya dilakukan adalah mengidentifikasi tujuan yang berhubungan akan kebutuhan audit keamanan sistem informasi. Output yang dihasilkan adalah hasil ruang lingkup, objek dan tujuan audit.

3.1.3Menentukan Klausul, Obyektif Kontrol dan Kontrol

Tahap selanjutnya adalah menentukan klausul, obyektif kontrol dan kontrol. Tahap ini ditentukan setelah tahap sebelumnya dilakukan. Pemilihan klausul, objektif kontrol dan kontrol disesuaikan dengan kesepakatan bersama kedua belah pihak dimana pemilihan klausul disesuaikan dengan standar ISO 27002: 2005. Dalam menentukan klausul sebaiknya harus ada bukti tertulis oleh pihak pihak yang bersangkutan. Output yang dihasilkan adalah hasil pemilihan klasul yang akan diperiksa, obyektif kontrol dan kontrol sesuai ISO 27002: 2005.

3.1.4 Membuat dan Menyampaikan Engagement Letter

Pada tahap ini adalah membuat dan menyampaikan engagement letter atau surat perjanjian audit. Surat perjanjian audit adalah surat persetujuan antara auditor dengan kliennya tentang syarat-syarat pekerjaan audit yang akan dilaksanakan oleh auditor. Adapun isi dari engagement letter yakni berisi tanggung jawab komite manajemen dan auditor, lingkup audit dan ketentuan perjanjian audit. Output yang dihasilkan dalam membuat dan menyampaikan

Engagement Letter ada berupa dokumen Engagement Letter yang disepakati

kedua belah pihak.

3.2Tahap Persiapan Audit

Pada tahap ini langkah-langkah yang dilakukan yakni melakukan proses penyusunan audit working plan, penyampaian kebutuhan data, membuat pernyataan dan membuat pertanyaan. Tahap persiapan akan menghasilkan tabel

working plan, surat penyampaian kebutuhan data, pernyataan yang telah dibuat

berdasarkan standar ISO 27002, daftar pertanyaan, dan daftar pertanyaan yang telah dibuat sesuai dengan pernyataan.

3.2.1Penyusunan Audit Working Plan (AWP)

Audit Working Plan (AWP) merupakan dokumen yang dibuat oleh Ketua

Tim Auditor TI dan digunakan untuk merencanakan dan memantau pelaksanaan audit TI secara terperinci. Output yang dihasilkan adalah daftar susunan AWP.

3.2.2Penyampaian Kebutuhan Data

Penyampain kebutuhan data diperlukan auditor TI dapat disampaikan terlebih dahulu kepada auditte agar dapat dipersiapkan terlebih dahulu. Field work dilaksanakan auditor TI setelah auditte menginformasikan ketersediaan semua data yang diperlukan auditor TI sehingga field work dapat dilaksanakan oleh auditor TI secara efektif dan efisien. Output yang dihasilkan adalah daftar penyampain kebutuhan data perusahaan pada tampilan Tabel 3.1.

Tabel 3.1 Contoh Lampiran Kebutuhan Data Audit

No Data Penunjang Status Data Tanda Tangan Ket

Ada Tidak

Berdasarkan acuan Data ISO 27002 Klausul 7 Manajemen Aset

1 Dokumen mengenai

inventarisasi aset organisasi

√ 2 Dokumen mengenai

pencatatan hasil pemeliharaan aset

√ 3 Dokumen mengenai

perlindungan terhadap aset

√ 4 Dokumen mengenai

pertanggung jawaban atas kepemilikan aset

√ 5 Dokumen mengenai aturan

penggunaan aset

√ 6 Dokumen pencatatan dalam

melakukan pengontrolan klasifikasi informasi

√

3.2.3Membuat Pernyataan

Pada tahap selanjutnya adalah membuat pernyataan yang telah dibuat berdasarkan standar ISO 27002: 2005. Pada setiap kontrol keamanan dapat ditentukan pernyataan yang menjelaskan implementasi dan pengontrolan yang dilakukan. Output yang dihasilkan adalah melakukann pembuatan pernyataan pada Tabel 3.2.

Tabel 3.2 Contoh Pernyataan Audit Klausul: 7 Pengelolaan Aset

Objektif Kontrol: 7.1 Tanggung Jawab Aset Kontrol: 7.1 Inventarisasi Aset

No Pernyataan

1 Terdapat Inventarisasi aset organisasi organisasi

2 Terdapat pemeliharaan terhadap aset organisasi--men mengenai lian aset

3.2.4Membuat Pertanyaan

Pertanyaan dibuat setelah menentukan pernyataan yang dibuat sebelumnya. Satu pernyataan bisa memiliki lebih dari satu pertanyaan karena setiap pertanyaan harus mewakili pernyataan pada saat dilakukan wawancara, observasi, survei dan identifikasi dokumen. Output yang dihasilkan dalam membuat pertanyaan adalah daftar pertanyaan dari pernyataan yang ada pada Tabel 3.3.

Tabel 3.3 Contoh Pertanyaan Audit Klausul: 7 Pengelolaan Aset

Objektif Kontrol: 7.1 Tanggung Jawab Aset Kontrol: 7.1 Inventarisasi Aset

No Pernyataan Pertanyaan

1 Terdapat Inventarisasi aset organisasi.

1. Apakah organisasi sudah melakukan iventarisasi terhadap aset ? 2. Berapa kali organisasi melakukan inventarisasi aset ?

3. Adakah dokumetasi mengenai inventarisasi aset ?

4. Apakah pencatatan inventarisasi aset sudah menjelaskan status kondisi riil aset?

5. Apakah pencatatan inventariasai aset sudah mengandung nilai bisnis untuk organisasi?

2 Terdapat pemeliharaan terhadap aset organisasi

1. Apakah terdapat pemeliharaan aset? 2. Apa saja aset yang dilakukan pemeliharaan?

3. Berapa kali asset dilakukan pemantauan pemeliharaan? 4. Siapa saja yang m melakukan pemeliharaan tersebut? 5. Apa buktinya bahwa sudah terdapat pemeliharaan aset? 3 Terdapat

perlindungan aset organisasi

1. Apakah terdapat perlindungan terhdap aset? 2. Apakah terdapat tingkatan perlindungan aset?

3. Apakah terdapat pencatatan perlindungan aset yang dilakukan secara berkala?

3.3Tahap Pelaksanaan Audit

Langkah-langkah yang dilakukan dalam pelaksanaan audit yaitu melakukan pertemuan pendahuluan Audit TI, proses pemeriksaan data dan bukti, melakukan wawancara, melakukan uji kematangan, penyusunan daftar temuan audit TI dan rekomendasi, dan konfirmasi temuan audit TI. Tahap ini akan menghasilkan hasil pertemuan pendahuluan audit TI, hasil temuan atau bukti,

hasil uji kematangan, hasil daftar temuan dan konfirmasi serta hasil konfirmasi temuan audit.

3.3.1 Pertemuan Pendahuluan Audit

Pertemuan pendahuluan audit digunakan untuk mendapatkan pemahaman yang sama antara auditte dengan auditor. Pertemuan pendahuluan audit dilakukan untuk mendapatkan kesepakatan bersama dan mendapatkan pemahaman yang sama sebelum proses pelaksanaan audit dimulai.

3.3.2 Proses Pemeriksaan Data dan Bukti

Pemeriksaan data dan bukti dilakukan dengan cara melakukan observasi dan wawancara kepada auditte sesuai dengan ruang lingkup serta klausul yang telah disepakati oleh Ketua Instalasi SIM-RS untuk mendapatkan bukti atau temuan yang berupa foto ataupun data. Pemeriksaan data dan bukti dituangkan dalam bentuk Program Kerja Audit. Berikut adalah contoh program kerja audit pada Tabel 3.4.

Tabel 3.4 Contoh Pemeriksaan Data dan Bukti dalam Program Kerja Audit (PKA)

Program Kerja Audit Teknologi Informasi

Pemeriksa: Danastri _{Tanggal: 5 Januari 2013}

Penyelia:

Auditti: Aqib / Bag IT

Aspek: Klausul 7 Manajemen Aset TTD:

No Pemeriksaan Ref. KKA

Catatan Pemeriksaan Catatan Review

7.1 Tanggung Jawab Aset

7.1.1 Inventarisasi Aset

1 Identifikasi inventarisasi aset organisasi

Dengan cara:

1. Identifikasi dokument pencatatan inventarisasi aset 2. Wawancara

3. Survei

A.3.a

Telah dilakukan pemeriksaan adanya pencatatan inventarisasi aset sesuai dengan kondisi riil aset, namun inventarisasi tersebut belum ada pencatatan mengenai cara pemulihan terhadap bencana dan pencatatan letak lokasi aset.

3.3.3 Melakukan Wawancara

Wawancara dilaksanakan setelah membuat pertanyaan yang sudah dibuat sebelumnya. Wawancara dilakukan terhadap pihak yang berkepentingan sesuai dengan pertanyaan yang ada. Hasil Wawancara dilakukan pada Kertas Kerja Audit (KKA).

Output yang dihasilkan adalah hasil wawancara yang tertuang pada Kertas Kerja Audit (KKA) yang berisi catatan informasi yang diperoleh dan analisis yang dilakukan selama proses audit. KKA bisa mencakup perencanaan dokumen dan program audit, catatan wawancara, dan lain-lain. Berikut adalah salah satu hasil wawancara pada KKA pada Tabel 3.5.

Tabel 3.5 Contoh Kertas Kerja Audit

Klausul 7 : Manajemen Aset Objektif Kontrol : 7.1 Tanggung Jawab

Aset

Nama dan Jabatan :

Aqib S.Kom- Admin Instalasi SIM-RS Kontrol : 7.1.1 Inventarisasi Aset Tanggal :

Ref KKA : A.3.a inventarisasi aset organisasi

TTD :

No. Pertanyaan Jawaban

1 Apakah organisasi sudah melakukan iventarisasi terhadap aset ?

Sudah dilakukan pencatatan inventarisasi aset yang dilakukan oleh bagian gudang. Pencatatan inventarisasi aset dilakukan oleh bagian kepala gudang.

2 Berapa kali organisasi melakukan inventarisasi aset ?

1 tahun sekali 3 Adakah dokumentasi mengenai

pemilik aset?

Kepemilikan atas aset ada dimana tercatat pada pencatatan inventarisasi aset.

4 Apakah pencatatan inventarisasi aset sudah menjelaskan status kondisi riil aset, pemulihan terhadap bencana dan lokasi aset ?

Pencatatan inventarisasi telah sesuai dengan kondisi riil aset. Namun pemulihan terhadap bencana dan Lokasi aset pada pencatatan inventarisasi aset tidak ada. 5 Apakah pencatatan inventarisasi

aset sudah mengandung nilai bisnis untuk organisasi?

Pencatatan inventarisasi aset telah sesuai dengan kebutuhan bisnis rumah sakit dalam mendukung aktivitas proses bisnis di rumah sakit tersebut.

3.3.4 Melakukan Uji Kematangan

Langkah selanjutnya dilakukan uji kematangan untuk mengetahui tingkat kedewasaan atau maturity level yang berdasarkan SNI ISO/IEC 27001 :2009. Ouput yang dihasilkan adalah tingkat kedewasaan sesuai dengan SNI ISO/IEC 27001:2009. Adapun gambaran langkah dalam melakukan uji kematangan sebagai berikut.

Gambar 3.2 Langkah Melakukan Uji Kematangan

Berikut adalah contoh hasil penilaian tingkat kedewasaan pada pertanyaan dimana penilaian menggunakan SNI ISO/IEC 27001: 2009 yang terdapat pada Tabel 3.6.

Tabel 3.6 Contoh Penilaian Uji Kematangan Pada Pertanyaan

Klausul : 7 Pengelolaan Aset

Objektif Kontrol : 7.1 Tanggung Jawab Aset Kontrol : 7.1.1 Inventarisasi Aset

Pernyataan: Terdapat inventarisasi aset organisasi

No Pertanyaan 0 1 2 3 4 5 Nila

i Keterangan

1 Apakah sudah dilakukan

pendokumentasian inventarisasi aset organisasi?

√ 5 Sudah dilakukan pendokumentasian iventarisasi aset organisasi.

Pendokumentasian dilakukan oleh pihak Gudang.

2 Apakah pencatatan inventarisasi aset telah dilakukan secara berkala?

√ 5 Pencatatan inventarisasi aset telah dilakukan secara berkala setiap setahun sekali.

3 Apakah pencatatan inventarisasi aset sudah menjelaskan status kondisi riil aset?

√ 5 Pencatatan inventarisasi aset sudah menjelaskan kondisi real aset. Kondisi rill aset sesuai dengan kenyataan yang ada.

Penilaian uji kematangan dari hasil pertanyaan

Perhitungan rata-rata dari hasil pertanyaan ke pernyataan

Perhitungan rata-rata dari hasil pernyataan sehingga ditemukan rata-rata

Tabel 3.6 Contoh Penilaian Uji Kematangan Pada Pertanyaan (Lanjutan)

Klausul : 7 Pengelolaan Aset

Objektif Kontrol : 7.1 Tanggung Jawab Aset Kontrol : 7.1.1 Inventarisasi Aset

Pernyataan: Terdapat inventarisasi aset organisasi

No Pertanyaan 0 1 2 3 4 5 Nilai Keterangan

4 Apakah pencatatan inventarisasi aset sudah menjelaskan pemulihan terhadap bencana? √

2 Pencatatan inventarisasi aset belum menjelaskan cara pemulihan terhadap bencana.

5 Apakah pencatatan inventarisasi aset sudah menjelaskan lokasi aset?

√ 3 Pencatatan inventarisasi aset sebagian belum menjelaskan lokasi aset. Aset yang belum dijelaskan lokasinya berupa aset layanan komunikasi dan aset peralatan komputer (seperti pc, printer, scanner).

Rata-Rata 4

Setelah dilakukan perhitungan pada seluruh pertanyaan di setiap kontrol klausul maka dilakukan perhitungan rata-rata dari hasil pertanyaan ke dalam pernyataan. Berikut adalah salah satu contoh perhitungan dari hasil pertanyaan pada Tabel 3.7 sebagai berikut.

Tabel 3.7 Contoh Salah Satu Hasil Penilaian Uji Kematangan dari Pertanyaan

Klausul : 7 Pengelolaan Aset

Objektif Kontrol : 7.1 Tanggung Jawab Aset

Kontrol : 7.1.1 Inventarisasi Aset

No Pernyataan 0 1 2 3 4 5 6 Nilai

1 Terdapat inventarisasi aset organisasi

√ 4

2 Terdapat pemeliharaan aset organisasi

√ 4

3 Terdapat perlindungan aset organisasi

√ 4

Setelah dilakukan perhitungan pada setiap pertanyaan maka dilakukan representatif dari hasil setiap pertanyaan di tiap kontrolnya sehingga didapatkan rata-rata dari objektif kontrol seperti yang terlihat pada Tabel 3.8 sebagai berikut.

Tabel 3.8 Salah Satu Hasil Penilaian Maturity Level Pada Klausul 7

Klausul Objektif

Kontrol Kontrol Keamanan

Tingkat Kemampuan

Rata-Rata Objektif Kontrol 7.

Manajemen Aset

7.1 Tanggung Jawab Aset

7.1.1 Inventarisasi Aset 4 4,17 7.1.2 Kepemilikan Aset 4

7.1.3 Penggunaan Aset yang diterima

4,5 7.2

Klasifikasi Informasi

7.2.1 Pedoman Klasifikasi 2 2,75 7.2.2 Informasi Pelabelan

dan Penanganan

3

Maturity Level Klausul 7 3,46

3.3.5 Penyusunan Daftar Temuan Audit TI dan Rekomendasi

Pada proses penentuan temuan dan rekomendasi langkah yang dilakukan adalah memeriksa data profil perusahaan, kebijakan, standar, prosedur dan melakukan wawancara, review dan observasi kepada auditee. Seluruh aktivitas tersebut menghasilkan bukti (evidence) yang berarti terkait dengan sistem yang berlangsung di perusahaan. Output yang dihasilkan adalah daftar temuan dan rekomendasi seperti pada Tabel 3.9.

3.3.6 Konfirmasi Daftar Temuan dan Rekomendasi

Temuan harus dikonfirmasikan terlebih dahulu kepada auditee sebelum dilaporkan secara formal. Output dari konfirmasi temuan adalah dokumentasi dalam bentuk risalah atau notulen konfirmasi temuan.

72

mencari alat pemadam kebakaran tersebut demi terjaganya kondisi lingkungan yang aman dan terhindar dari risiko yang terjadi.

4.4Hasil Pelaporan Audit Sistem Informasi

Tahap pelaporan adalah tahap untuk melaporkan secara resmi sebagai suatu bentuk penyelesaian proses audit yang dilakukan. Hasil pelaporan audit diserahkan kepada pihak yang berwenang saja dikarenakan bersifat tertutup untuk kalangan umum atau rahasia.

4.4.1 Hasil Permintaan Tanggapan Atas Daftar temuan Audit

Permintaan tanggapan atas daftar temuan audit dilakukan oleh auditor kepada auditee dengan memberikan tanggapan atas apa yang telah ditemukan auditor dan memberikan komitmen penyelesaiannya. Hasil permintaan tanggapan atas daftar temuan audit telah dilaksanakan dan dapat dilihat pada Lampiran 8.

4.4.2Penyusunan dan Persetujuan Draft Laporan Audit TI

Setelah dilakukan penyusunan draft laporan audit TI berupa Kertas Kerja Audit, temuan dan tanggapan auditee sebagai bentuk tanggung jawab atas penugasan Audit TI yang telah selesai dilaksanakan maka dilakukan persetujuan audit. Hasil persetujuan draft laporan audit dapat dilihat pada Lampiran 9.

4.4.3Pertemuan Penutup atau Pelaporan Audit TI

Pertemuan penutup memberikan penjelasan mengenai kondisi yang telah diaudit. Pertemuan penutup dihasilkan berupa exit meeing yang dapat dilihat pada Lampiran 10.

DAFTAR TEMUAN AUDIT TEKNOLOGI

INFORMASI

Pemeriksa : Danastri Rasmona W Penyelia : Bpk. Haryanto / Bpk.Erwin

Aspek : Klausul 7 Manajemen Aset

(Ref A.4.a)

Auditee : Aqib Halim

Tanggal : 21 Maret 2013

No Pernyataan Temuan atau Bukti Referensi, Risiko dan Rekomendasi Tanggapan dan Komitmen Penyelesaian 1 Terdapat

pemeliharaan terhadap aset

Pemeliharaan aset hanya dilakukan pada aset perangkat keras (PC, komputer, Switch Hub, Printer) dan aset perangkat lunak (Sistem operasi, SIM-RS). Sedangkan aset informasi (file data, manual pengguna) dan aset pendukung (meja komputer, lemari arsip, rak server), aset

layanana komunikasi dan UPS masih belum dilakukan

pemeliharaan.

Referensi :

Lampiran klausul 7 A.4.a

Ref : ISO 270002 7.1.1 Inventarisasi Aset Resiko :

Usia aset tidak lama sehingga cepat terjadi kerusakan jika tidak dipelihara.

Rekomendasi :

a) Segera merencanakan pemeliharaan dengan personil lainya yaitu menggerakkan bagian personil di Instalasi SIM-RS dan IPS secepatnya. b) Segera melaksanakan pemeliharaan secara berkala

pada aset informasi (file data dan manual pengguna), aset pendukung (meja komputer, lemari arsip dan rak server) , aset layanan komunikasi dan peralatan UPS.

Tanggapan :

Memang suatu pemeliharaan masih kurang karena sebagian masih fokus dalam hal perbaikan jika ada kondisi kerusakan.

Komitmen Penyelesaian : Kami akan menyimpan sebagai suatu masukan dan meninjau ulang untuk diimplementasikan lagi apakah hal ini bisa

dilaksanakan secepatnya atau tidaknya.

Tabel 4.12 Contoh Salah Satu Daftar Temuan Audit pada klausul 9 kontrol 9.1.2 (Kontrol Entri Fisik).

74 BAB V PENUTUP

5.1 Kesimpulan

Berdasarkan hasil audit keamanan sistem informasi yang telah dilakukan maka dapat disimpulan sebagai berikut.

1. Audit keamanan sistem informasi manajemen pada Instalasi SIM-RS RSUD Bangil telah berhasil dilakukan sesuai dengan Audit Working Plan (AWP) dengan berdasarkan tahapan ISACA dengan best practice ISO 27002: 2005 yang dilakukan dengan klausul yang telah disepakati bersama yaitu manajemen aset, keamanan Sumber Daya Manusia, keamanan fisik dan lingkungan, kontrol akses dan akusisi sistem informasi, pembangunan dan pemeliharaan.

2. Secara keseluruhan, tingkat kontrol keamanan yang diukur mendapatkan nilai sebesar 3,22 yang berarti bahwa ukuran keamanan informasi menurut SNI ISO/IEC 27001: 2009 berada pada level 3 yaitu pro aktif. Hasil ini menunjukkan bahwa sebagai besar proses keamanan informasi telah diterapkan secara konsisten dan terdokumentasi. Efektivitas pengamanan dievaluasi secara berkala walaupun belum melalui proses yang terstruktur. Kerangka kerja pengamanan sudah mematuhi ambang batas minimum standar atau persyaratan hukum yang terkait. Secara umum semua pihak yang terlibat telah menyadari tanggungjawab mereka dalam pengamanan informasi.

75

3. Telah disusun hasil audit keamanan sistem informasi pada Instalasi SIM-RS RSUD Bangil dimana harus segera menerapkan kebijakan dan prosedur untuk mengatasi insiden kelemahan sistem informasi yang ada.

5.2 Saran

Beberapa saran yang dapat diberikan untuk pengembangan lebih lanjut adalah sebagai berikut.

1. Dalam kegiatan untuk melindungi keamanan sistem informasi di RSUD Bangil diperlukan adanya personil tambahan yaitu pegawai Instalasi SIM-RS untuk membantu kegiatan pengamanan operasional agar hasil rekomendasi audit yang telah diterima ini bisa direalisasikan secara cepat.

2. RSUD Bangil harus melakukan audit keamanan sistem informasi secara berkala agar dapat menurunkan risiko keamanan informasi pada Instalasi SIM-RS setidaknya setahun sekali.

3. Audit keamanan sistem informasi Instalasi SIM-RS di RSUD Bangil dapat dikembangkan dengan keamanan kontrol yang lain pada standar ISO 27002: 2005.

DAFTAR PUSTAKA

CISA. 2011. Certified Information Systems Auditor. Wiley Publishing: Canada. Davis, C., Mike, S dan Wheller, K. 2011. IT Auditting: Using Controls To

Protect Information Assets Second Edition. United State: The

McGraw-Hill Companise

Direktorat Keamanan Informasi. 2011. Panduan Penerapan Tata Kelola

Keamanan Informasi Bagi Penyelenggara Pelayanan Publik. Jakarta:

Kementrian Keamanan Informasi dan Informatika RI

Haryono, Jusup. 2001. Auditing (Pengauditan). Yogyakarta: STIE YKPN. ISBS. 2012. Information Security Breaches Survey: Technical Report. United

Kingdom: Pwc

ISO/IEC 17799 (27001). 2005. Information Technology Security Techniques –

Information Security Management. Switzerland.

ISO/IEC 17799 (27002). 2005. Information Technology – Security Techniques – Information Security Management. Switzerland

Kemenkominfo. 2011. Panduan Penerapan Tata Kelola Keamanan Informasi

bagi Penyelenggara Pelayanan Publik. Jakarta: Kemenkominfo

.

Lin, H., Cefaratti, M.A. dan Wallace, L. 2011. ISACA Journal Online-The

Prevalence of Information Security Controls: Perspectives From IT Auditors.

Sarno, R. dan Iffano, I. 2009. Sistem Manajemen Keamanan Informasi. Surabaya: ITS Press.

Weber, R. 1999. Information System Control and Audit, The University of Queensland: Prentice Hall.

Whitman, M.E dan Mattord, H.J. 2009. Management of Information Security. USA: Course Technology.