Bank berisi tentang profil organisasi, visi organisasi, misi organisasi, tujuan, struktur organisasi, dan sasaran bisnis. Proses bisnis Bank berisi tentang proses kegiatan operasional yang terjadi di PT. Bank Rakyat Indonesia persero Tbk. Unit Sukomoro. Teknologi informasi Bank berisi tentang daftar peralatan teknologi informasi yang mendukung proses kegiatan operasional yang terjadi PT. Bank Rakyat Indonesia Unit Sukomoro. Tahap ini menghasilkan dokumen identifikasi proses bisnis dan teknologi informasi.

3.1.3 Identifikasi Ruang Lingkup dan Tujuan

Pada tahap ini penulis melakukan identifikasi terhadap ruang lingkup dan tujuan dari audit pada PT. Bank Rakyat Indonesia persero Tbk. Unit Sukomoro. Hasil dari identifikasi ini yaitu ruang lingkup dari audit dan tujuan dari audit. Ruang lingkup audit berisi tentang lingkup audit yang dilakukan. Tujuan berisi tentang tujuan dari audit yang dilakukan penulis. Tahap ini menghasilkan dokumen ruang lingkup dan tujuan.

3.1.4 Persetujuan Engagement Letter oleh perusahaan

Pada tahap ini penulis membuat engagement letter yang bertujuan mempertegas hubungan antara auditor dengan perusahaan. Engagement letter berisi tentang poin-poin yang akan diaudit, indenpendensi tanggung jawab dari auditor, bukti kesepakatan dengan hal-hal yang diaudit dan kondisinya kewenangan, menyetujui tanggal penyelesaian akuntabilitas, sehingga menghasilkan persetujuan dari auditee. 3.2 Tahap Persiapan Audit Pada tahap persiapan audit berisi tentang empat tahap persiapan yang dilakukan oleh penulis sebagai auditor. Tahap persiapan ini terdiri dari pembuatan audit working plan , membuat pernyataan, penilaian risiko dan membuat pertanyaan. Tahap perencanaan ini merupakan tahapan setelah tahap perencanaan dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia persero Tbk. Unit Sukomoro.

3.2.1 Pembuatan Audit Working Plan

Pada tahap ini penulis membuat rancangan kerja audit dimana berisi tentang waktu dalam setiap kegiatan yang dilakukan pada saat audit keamanan informasi. Hal ini dilakukan untuk membantu auditor tidak melampaui waktu yang ditentukan. Tahap ini menghasilkan Audit Working Plan seperti terlihat pada Tabel 3.1. Tabel 3.1 Contoh Audit Working Plan

3.2.2 Membuat Pernyataan

Pada tahap ini penulis membuat pernyataan. Pernyataan yang dibuat berdasarkan dari pemetaan antara Peraturan Bank Indonesia dengan ISO 27002:2013 seperti terlihat pada Tabel 3.2 dan 3.3. No Pekerjaan Audi tor Estimasi Waktu jam Reali sasi jam Hari 1 2 3 4 5 6 7 8 9 10 1. Perencanaan Audit Onky P. W 10 Identifikasi Proses Bisnis dan Teknologi Informasi 4 Identifikasi Ruang Lingkup dan Tujuan 4 Persetujuan Engagement Letter oleh Perusahaan 2 Tabel 3.2. Pemetaan PBI dan ISO 27002 PBI:2007 ISO 27002:2013 5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 5.3.3.3Prosedur Pengamanan Fisik dan lingkungan Klausul 11. Keamanan Fisik dan Lingkungan 5.3.3.5 Prosedur Pengamanan Operasional Teknologi Informasi 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi Klausul 16. Manajemen Insiden Keamanan Informasi Tabel 3.3. Pemetaan detil PBI dan ISO 27002 PBI:2007 ISO 27002:2013 5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset a. Terdapat identifikasi dan penanggung jawab setiap aset. 8.1.1 8.1.2 Inventaris aset Kepemilikan aset b. Terdapat Klasifikasi Aset. 8.2.1 Klasifikasi Informasi 5.3.3.3Prosedur Pengamanan Fisik dan lingkungan Klausul 11. Keamanan Fisik dan Lingkungan a. Terdapat pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi. 11.1.1 11.1.2 11.1.3 11.1.4 Perimeter keamanan fisik Kontrol masuk fisik Keamanan kantor, ruangan, dan fasilitas. Perlindungan pihak luar dan ancaman lingkungan c. Terdapat pemastian kapasitas dan ketersediaan fasilitas pendukung. 11.2.2 Perangkat pendukung d. Terdapat identifikasi dan perlindungan terhadap aset milik penyedia jasa. e. Terdapat pemeliharaan dan pemeriksaan berkala terhadap fasilitas pemrosesan informasi dan fasilitas pendukung informasi 11.2.4 Perawatan peralatan. 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi Klausul 16. Manajemen insiden keamanan informasi a. Terdapat identifikasi, pelaporan, tindaklanjut, dokumentasi dan evaluasi terhadap insiden yang terjadi. 16.1.2 Laporan kejadian keamanan informasi. b. Terdapat prosedur penanganan insiden 16.1.1 Tanggung jawab dan prosedur kontrol. c. Terdapat tim khusus yang menangani insiden pengamanan. d. Seluruh pegawai diminta melaporkan setiap menemukan indikasi atau potensi kelemahan Pernyataan yang dibuat berisi tentang apa yang akan diperiksa auditor ke auditee. Pernyataan ini diambil dari poin-poin dari prosedur yang tercantum pada Surat Edaran Bank Indonesia Nomor 930DPNP tanggal 12 Desember 2007 pada bagian keamanan informasi dan kontrol dari ISO 27002:2013. Contoh dari membuat pernyataan dari prosedur pengelolaan aset pada Peraturan Bank Indonesia yaitu “Terdapat identifikasi dan penanggung jawab setiap aset”. Dari prosedur tersebut diarahkan pada klausul 8. tentang manajemen aset yaitu “inventaris aset”. Pada inventaris aset ini menghasilkan beberapa pernyataan antara lain yaitu “terdapat identifikasi aset yang relevan terhadap dokumen penting, dan selanjutnya ”. Pernyataan tersebut disusun pada dokumen pernyataan seperti terlihat pada Tabel 3.4. Tabel 3.4 Contoh Pernyataan Audit PBI ISO 27002 Pernyataan 5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 1. Terdapat identifikasi dan penanggung jawab setiap aset. 8.1.1 Inventaris Aset 1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. 2. Terdapat dokumentasi untuk penciptaan aset. 3. Terdapat dokumentasi untuk pengolahan aset. 4. Terdapat dokumentasi untuk penyimpanan aset. 5. Terdapat dokumentasi untuk transmisi aset.

3.2.3 Penilaian Risiko