AUDIT KEAMANAN SISTEM INFORMASI MANAJEMEN ASET BERDASARKAN STANDAR ISO 27002

(Studi Kasus: PT. Varia Usaha Beton)

TUGAS AKHIR

Nama : Hastin Istiqomah Ningtyas NIM : 08.41010.0148

Program : S1 (Strata Satu) Jurusan : Sistem Informasi

SEKOLAH TINGGI

MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER SURABAYA

DAFTAR ISI

Halaman

ABSTRAK ... vi

KATA PENGANTAR ... vii

DAFTAR ISI ... x

DAFTAR TABEL ... xiii

DAFTAR GAMBAR ... xv

DAFTAR LAMPIRAN ... xvii

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Perumusan Masalah ... 4

1.3 Batasan Masalah ... 4

1.4 Tujuan ... 9

1.5 Sistematika Penulisan ... 10

BAB II LANDASAN TEORI ... 12

2.1 Sistem Informasi ... 12

2.2 Sistem Informasi Manajemen ... 12

2.3 Manajemen Aset ... 13

2.4 Audit ... 15

2.5 Audit Sistem Informasi ... 15

2.6 Kemanan Sistem Informasi ... 17

2.7 ISO 27002 : 2005 ... 19

2.8 Cobit 4.1 ... 22

Halaman

2.10 Marturity Level ... 23

2.10.1 Marturity model 4.1 ... 25

2.11 Tahapan-Tahapan Dalam Audit Sistem Informasi ... 27

BAB III METODE PENELITIAN ... 34

3.1 Tahap Perencanaan Audit Sistem Informasi Manajemen Aset ... 34

3.1.1 Mengidentifikasi Proses Bisnis dan TI ... 34

3.1.2 Penentuan Ruang Lingkup Audit Sistem Informasi .. 35

3.1.3 Identification of core IT application and main IT relevant interfaces ... 35

3.2 Tahap Persiapan Audit Sistem Informasi ... 36

3.2.1 Penyusunan Audit Working Plan ... 36

3.2.2 Membuat Pernyataan... 37

3.2.3 Melakukan Pembobotan ... 38

3.2.4 Membuat Pertanyaan... 39

3.3 Tahap Pelaksanaan Audit Sistem Informasi ... 40

3.3.1 Pemeriksaan Data dan Bukti ... 41

3.3.2 Wawancara ... 42

3.3.3 Melakukan Uji Kematangan ... 43

3.3.4 Penentuan Temuan dan Rekomendasi ... 45

3.4 Tahap Pelaporan Audit Sistem Informasi ... 46

BAB IV HASIL DAN PEMBAHASAN ... 47

4.1 Hasil Perencanaan Audit Sistem Informasi ... 47

Halaman 4.1.2 Hasil Penentuan Ruang Lingkup dan Tujuan Audit

Sistem Informasi ... 50

4.1.3 Identification of core IT application and main IT relevant interfaces ... 51

4.2 Hasil Persiapan Audit Sistem Informasi ... 60

4.2.1 Hasil Penyusunan Audit Working Plan ... 60

4.2.2 Hasil Pembuatan Pernyataan ... 61

4.2.3 Hasil Pembuatan Pembobotan ... 62

4.2.4 Hasil Pembuatan Pertanyaan ... 63

4.3 Hasil Pelaksanaan Audit Sistem Informasi ... 64

4.3.1 Hasil Pemeriksaan Data dan Bukti... 64

4.3.2 Hasil Wawancara ... 66

4.3.3 Hasil Pelaksanaan Uji Kematangan ... 67

4.3.4 Hasil Penentuan Temuan dan Rekomendasi ... 86

4.4 Hasil Pelaporan Audit Sistem Informasi... 87

BAB V PENUTUP ... 89

5.1 Kesimpulan ... 89

5.2 Saran ... 90

DAFTAR PUSTAKA ... 91

DAFTAR TABEL

Halaman Tabel 2.1 Ringkasan jumlah Klausul Kontrol Keamanan, Objektif dan

Kontrol ... 23

Tabel 2.2 Pemetaan ISO 27002 dengan COBIT 4.1 ... 24

Tabel 2.3 Tingkat Kepentingan dalam Pembobotan Pernyataan ... 30

Tabel 3.1 Contoh Audit Working Plan... 36

Tabel 3.2 Contoh Pernyataan Pada ISO 27002 ... 37

Tabel 3.3 Contoh Pernyataan Pada COBIT 4.1 ... 37

Tabel 3.4 Contoh Pembobotan Pada ISO 27002 ... 38

Tabel 3.5 Contoh Pembobotan Pada COBIT 4.1 ... 39

Tabel 3.6 Tingkat Kepentingan dalam Pembobotan Pernyataan ... 39

Tabel 3.7 Contoh Pertanyaan pada ISO 27002 ... 40

Tabel 3.8 Contoh Pertanyaan pada COBIT 4.1 ... 40

Tabel 3.9 Contoh Hasil Pemeriksaan ISO 27002 ... 41

Tabel 3.10 Contoh Hasil Pemeriksaan COBIT 4.1 ... 41

Tabel 3.11 Contoh Hasil Dokumen Wawancara ISO 27002 ... 42

Tabel 3.12 Contoh Hasil Dokumen Wawancara COBIT 4.1 ... 42

Tabel 3.13 Contoh Tabel Penentuan Maturity Level pada COBIT 4.1... 44

Tabel 3.14 Contoh Tabel Penentuan Maturity Level pada ISO 27002 ... 44

Tabel 3.15 Contoh Laporan Hasil Audit Keamanan Sistem Informasi... 45

Tabel 4.1 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002:2005 yang Tidak Digunakan ... 53

Tabel 4.2 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002 yang Telah Dipetakan ... 59

Tabel 4.3 Audit Working Plan ... 60

Tabel 4.5 Pernyataan pada ISO 27002 ... 62

Tabel 4.6 Pembobotan pada ISO 27002 ... 62

Tabel 4.7 Pembobotan pada COBIT 4.1 ... 63

Tabel 4.8 Pertanyaan pada COBIT 4.1 ... 63

Tabel 4.9 Pertanyaan pada ISO 27002 ... 64

Tabel 4.10 Hasil Pemeriksaan COBIT 4.1 ... 64

Tabel 4.11 Hasil Pemeriksaan ISO 27002 ... 65

Tabel 4.12 Dokumen Wawancara pada COBIT 4.1 ... 66

Tabel 4.13 Dokumen Wawancara pada ISO 27002 ... 67

Tabel 4.14 Hasil Maturity Level Klausul 6 Organisasi Keaman Informasi . 68 Tabel 4.15 Hasil Maturity Level Klausul 7 Manajemen Aset ... 70

Tabel 4.16 Hasil Maturity Level Klausul 8 Keamanan Sumber daya Manusia ... 71

Tabel 4.17 Hasil Maturity Level Klausul 9 Wilayah Aman ... 73

Tabel 4.18 Hasil Maturity Level Klausul 10 Manajemen Komunikasi dan Operasi ... 76

Tabel 4.19 Hasil Maturity Level Klausul 11 Persyaratan Bisnis untuk Kontrol Akses ... 77

Tabel 4.20 Hasil Maturity Level Klausul 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan ... 78

Tabel 4.21 Hasil Maturity Level Klausul 13 Manajemen Kejadian Keamanan Informasi ... 81

Tabel 4.22 Hasil Maturity Level Klausul 14 Manajemen Kelangsungan ... 82

Tabel 4.23 Hasil Maturity Level Klausul 15 Kepatutan ... 84

Tabel 4.24 Hasil Maturity Level Seluruh Klausul ... 85

DAFTAR GAMBAR

Halaman

Gambar 2.1 Siklus Manajemen Aset... 14

Gambar 2.2 Aspek Keamanan Informasi ... 19

Gambar 2.3 ISO/IEC 27000 Family ... 20

Gambar 2.4 pemetaan ISO 27002 ... 21

Gambar 2.5 Kerangka Kerja COBIT ... 22

Gambar 2.6 Maturity Model ... 25

Gambar 2.7 Tahapan-tahapan dalam Audit Sistem Informasi ... 31

Gambar 3.1 Contoh Representasi Nilai Maturity Level Klausul 6 Organsiasi Keamanan Informasi ... 46

Gambar 4.1 Struktur Organisasi PT. Varia Usaha Beton ... 51

Gambar 4.2 Diagram Alir Manajemen Aset ... 52

Gambar 4.3 Daftar Induk Dokumen ... 65

Gambar 4.4 Representasi Nilai Maturity Level Klausul 6 Organisasi Keaman Informasi ... 69

Gambar 45 Representasi Nilai Maturity Level Klausul 7 Manajemen Aset.... 70

Gambar 4.6 Representasi Nilai Maturity Level Klausul 8 Keamanan Sumber daya Manusia ... 72

Gambar 4.7 Representasi Nilai Maturity Level Klausul 9 Wilayah Aman ... 73

Gambar 4.8 Representasi Nilai Maturity Level Klausul 10 Manajemen Komunikasi dan Operasi ... 75

Gambar 4.19 Representasi Nilai Maturity Level Klausul 11 Persyaratan Bisnis untuk Kontrol Akses ... 79

Gambar 4.10 Representasi Nilai Maturity Level Klausul 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan ... 80

Gambar 4.11 Representasi Nilai Maturity Level Klausul 13 Manajemen Kejadian Keamanan Informasi ... 81

Gambar 4.12 Representasi Nilai Maturity Level Klausul 14 Manajemen

Kelangsungan ... 83 Gambar 4.13 Representasi Nilai Maturity Level Klausul 15 Kepatutan ... 86 Gambar 4.14 Representasi Nilai Maturity Level Klausul Seluruh Klausul ... 87

DAFTAR LAMPIRAN

Halaman

Lampiran 1 Laporan Audit ... 93

Lampiran 2 Surat Perjanjian ... 112

Lampiran 3 Surat Pernyataan ... 119

Lampiran 4 Detail Struktur ISO 27002 ... 122

Lampiran 5 Pemetaan ISO 27002 dengan COBIT 4.1 ... 126

Lampiran 6 Hasil Pemeriksaan COBIT 4.1 ... 133

Lampiran 7 Hasil Pemeriksaan ISO 27002 ... 139

Lampiran 8 Dokumen Wawancara COBIT 4.1 ... 148

Lampiran 9 Dokumen Wawancara ISO 27002 ... 150

Lampiran 10 Bukti Audit ... 162

Lampiran 11 Maturity Level COBIT 4.1 ... 167

Lampiran 12 Maturity Level ISO 27002 ... 171

Lampiran 13 Temuan dan Rekomendasi ... 182

1

PENDAHULUAN

1.1 Latar Belakang

PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik (persero) Tbk. Sampai saat ini PT. Varia Uasaha Beton mempunyai cabang (plant) di daerah Jawa Timur, Jawa Tengah, Bali dan Makasar. PT. Varia Usaha Beton khususnya pada daerah Waru, Sidoarjo merupakan pusat dari seluruh plant yang memproduksi beton siap pakai (ready mix concrete), beton ringan (concrete masory), bahan galian (crushed stone, base coarse), dan beton pra cetak (precast concrete, prestressed).

Sebagai perusahaan yang memiliki beberapa cabang, PT. Varia Usaha Beton memiliki banyak aset meliputi aset informasi, aset piranti lunak, aset fisik dan layanan. Keseluruhan aset tersebut dimanajemen oleh suatu aplikasi bernama VIS (Varia Usaha Beton Information Sistem). PT. Varia Usaha Beton memiliki kantor pusat di Jl. Letjend S. Parman No.38, Waru – Sidoarjo. Sebagai kantor pusat, PT. Varia Usaha Beton sangat berperan penting dalam memanajemen keamanan informasi, karena plant di seluruh Indonesia akan mengirimkan dan mengakses data-data kepada pusat dengan rentang waktu tertentu. Aplikasi VIS yang dimiliki oleh PT. Varia Usaha Beton sudah beroperasi secara online dengan menggunakan server yang berada di kantor pusat. PT. Varia Usaha Beton memiliki 4 (empat) server, yaitu 3 (tiga) server untuk data dan satu lagi untuk mail server. Dengan demikian, sebagai kantor pusat yang memilki seluruh informasi

perusahaan yang ada harus memiliki back up dan recovery yang berjalan dengan baik.

PT. Varia Usaha Beton melakukan kerjasama dengan beberapa perusahaan. Kerjasama tersebut antara lain memanfaatkan jasa outsourcing untuk recovery data, PT. Varia Usaha Beton tersebut juga menggunakan jasa seorang konsultan software untuk menjaga kualitas software yang di terapkan, dan PT. Varia Usaha Beton memiliki pelayanan perbaikan dari vendor internet yang digunakan. Oleh karena itu suatu kerangka kerja manajemen harus ditetapkan untuk memulai dan mengontrol penerapan Keamanan Informasi dalam organisasi (Sarno dan Iffano, 2009: 233).

Pada penerapan aplikasi VIS, ada beberapa kendala yang telah ditemui oleh perusahaan. Kendala tersebut antara lain:

1. Ditemukanya beberapa kasus penyalahgunaan password, sehingga dikuatirkan bisa mengganggu keamanan data perusahaan.

2. Terdapat beberapa prosedur yang belum dibakukan antara lain: prosedur pemeliharaan, prosedur penggantian password, prosedur pemberian password, prosedur pemusnahan data dan lain sebagainya, sehingga dikuatirkan karyawan belum memahami peran dan tanggung jawab dalam batas yang telah ditetapkan.

3. Belum adanya pencatatan mengenai insiden keamanan, yang dikuatirkan insiden keamanan tersebut dapat terulang kembali.

Selama ini PT. Varia Usaha Beton belum pernah melakukan analisa penyebab terjadinya permasalahan tersebut. Oleh karena itu PT. Varia Usaha Beton memerlukan audit sistem informasi manajemen aset untuk meminimalisasi

kerugian perusahaan dan untuk memastikan bahwa keamanan informasi diterapkan sesuai dengan prosedur yang ada. Audit sistem informasi adalah proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 1999).

Mengingat pentingnya aset yang dimiliki oleh PT. Varia Usaha Beton maka, audit yang diterapkan adalah audit keamanan sistem informasi manajemen aset. Audit Keamanan informasi manajemen aset ini bertujuan untuk menjaga aspek kerahasiaan (Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability) dari Informasi (Sarno dan Iffano, 2009: 46).

Standar yang digunakan untuk audit sistem informasi manajemen aset pada PT. Varia Usaha Beton adalah ISO 27002:2005. Beberapa hal penting yang patut dijadikan pertimbangan mengapa standar ISO 27002:2005 dipilih karena standar ini fleksibel dikembangkan tergantung dari kebutuhan organisasi, tujuan organisasi, persyaratan keamanan, proses bisnis yang ada, jumlah pegawai dan ukuran struktur organisasi serta ISO 27002:2005 menyediakan sertifikat implementasi Sistem Manajemen Keamanan Informasi SMKI yang diakui secara internasional yang disebut Information Security Management Sistem (ISMS) certification.

Dengan adanya audit keamanan sistem informasi pada PT. Varia Usaha Beton melalui penyusunan tugas akhir ini diharapkan dapat mengukur prosedur keamanan informasi yang ada. Selain itu dengan cara mengukur atau menentukan tingkat kedewasaan SMKI (Information Security Management Maturity Level =

ISM3), sehingga akan menentukan apakah SMKI yang diterapkan sesuai dengan hasil yang diharapkan. Hasil yang didapat diharapkan menjadi rekomendasi yang dapat digunakan untuk meningkatkan keamanan informasi pada perusahaan serta menjadi acuan untuk memperoleh ISMS certification dengan standar ISO 27002:2005, sehingga menambah nilai tambah akan kepercayaan custumer terhadap PT. Varia Usaha Beton.

1.2Perumusan Masalah

Berdasarkan latar belakang yang telah diuraikan, didapatkan perumusan permasalahan sebagai berikut.

1. Bagaimana melaksanakan audit keamanan sistem informasi manajemen aset pada PT. Varia Usaha Beton berdasarkan standar ISO 27002:2005 untuk mencari temuan penyebab terjadinya permasalahan: 1. penyalahgunaan password, 2. Prosedur pemeliharaan, prosedur penggantian password, prosedur pemberian password, prosedur pemusnahan data dan prosedur lainya yang belum baku dan 3. Belum ada pencatatan mengenai insiden keamanan yang dapat menimbulkan resiko keamanan sistem informasi manajemen aset.

1.3 Batasan Masalah

Batasan-batasan masalah yang digunakan dalam pengerjaan tugas akhir ini adalah sebagai berikut.

1. Semua klausul ISO 27002:2005 yang digunakan, telah disesuaikan dengan permasalahan pada PT. Varia Usaha Beton.

2. Klausul ISO 27002:2005 yang digunakan adalah: a. Klausul 6: Organisasi Keamanan Informasi b. Klausul 7: Manajemen Aset

c. Klausul 8: Manajemen SDM

d. Klausul 9: Keamanan Fisik dan Lingkungan e. Klausul 10:Manajemen Komunikasi dan Operasi f. Klausul 11: Kontrol Akses

g. Klausul 12: Akuisisi Sistem

h. Klausul 13: Manajemen Kejadian Keamanan Informasi i. Klausu 14: Manajemen Kelangsungan Bisnis

j. Klausul 15: Kepatutan

3. Objektif kontrol yang digunakan adalah:

 6.1.1 Komitmen manajemen terhadap keamanan informasi  6.1.3 Pembagian tangung jawab keamanan informasi  6.1.5Perjanjian kerahasiaan

 6.1.6 Berhubungan dengan vendor atau penyedia SMKI yang resmi  6.2.1 Identifikasi resiko terhadap hubunganya dengan pihak ketiga  6.2.2 Akses keamanan dalam hubunganya dengan pelanggan

 6.2.3 melibatkan persyaratan keamanan dalam perjanjian dengan pihak ketiga

 7.1.1 Inventarisasi terhadap aset  7.1.2 Kepemilikan aset

 7.1.3 Aturan penggunaan aset  7.2.1 Panduan klasifikasi

 7.2.2 Penanganan dan pelabelan informasi  8.1.1 Aturan dan tanggung jawab

 8.1.2 Seleksi

 8.1.3 Persyaratan dan kondisi yang harus dipenuhi oleh pegawai  8.2 Selama menjadi pegawai

 8.2.1Tanggung jawab manajemen

 8.2.2 Pendidikan dan pelatihan keamanan informasi  8.2.3 Proses kedisiplinan

 8.3 Pemberhentian atau pemindahan pegawai  8.3.1 Tanggung jawab pemberhentian

 8.3.2 Pengembalian aset  8.3.3 Penghapusan hak akses  9.1.1 Pembatas keamanan fisik  9.1.2 Kontrol masuk fisik

 9.1.3 Keamanan kantor, ruang dan fasilitasnya

 9.1.4 Perlindungan terhadap serangan dari luar dan ancaman lingkungan sekitar

 9.1.5 Bekerja diwilayah aman

 9.1.6 Akses publik area pengiriman dan penurunan barang  9.2.1 Penempatan peralatan dan perlindunganya

 9.2.2 Utilitas pendukung  9.2.4 Keamanan pengkabelan  9.2.5 Pemeliharaan peralatan

 9.2.7 Hak pemindahan peralatan  10.1.1 Dokumentasi prosedur operasi  10.1.3 Pemisahan tugas

 10.2.2 Pemantauan dan kajian ulang terhadap layanan pihak ketiga  10.2.3 Manajemen penggantian layanan pihak ketiga

 10.3.2 Penerimaan sistem  10.5.1 Back-up sistem informasi

 10.7.1 Manajemen media untuk media yang dapat dipindahkan  10.7.2 Pemusnahan atau pembuangan media

 10.7.3 Prosedur penanganan informasi  10.10.5 Catatan kesalahan

 10.10.6 Sinkronisasi waktu

 11.2.2 Manajemen hak istimewa atau khusus  11.2.3 Manajemen password

 11.2.4 Tinjauan terhadap hak akses user  11.3.1 Penggunaan password

 11.3.3 Kebijakan clear desk dan clear screen  11.5 Kontrol akses sistem operasi

 11.5.1 Prosedur log-on yang aman  11.5.2 Identifikasi dan otentifikasi user  11.5.5 Sesi time-out

 11.6.1 Pembatasan akses informasi  11.6.2 Isolasi sistem yang sensitif

 12.2 Pemrosesan yang benar dalam aplikasi  12.2.2 Kontrol untuk pemrosesan internal  12.2.4 Validasi data output

 12.6 Manajemen teknik kelemahan

 12.6.1 Kontrol terhadap kelemahan secara teknis  13.1.1 Pelaporan kejadian keamanan informasi  13.1.2 Pelaporan kelemahan keamanan

 13.2 Manajemen kejadian keamanan informasi dan pengembanganya  13.2.1 Tanggung jawab dan prosedur

 13.2.2 Belajar dari kejadian keamanan informasi  13.2.3 Pengumpulan bukti

 14.1.1 Memasukkan keamanan informasi dalam proses manajemen kelangsungan bisnis

 14.1.2 Kelangsungan bisnis dan penilaian resiko

 14.1 Aspek keamanan informasi dalam manajemen kelangsungan bisnis  14.1.3 Pembangunan dan implementasi rencana kelangsungan yang

didalamnya meliputi keamanan informasi

 14.1.4 Kerangka kerja rencana kelangsungan bisnis

 14.1.5 Pengujian, pemeliharaan dan pengkajian ulang rencana kelangsungan bisnis

 15.1.1 Identifikasi perundangan yang dapat diaplikasikan  15.1.2 Hak kekayaan intelektual

 15.1.3 Perlindungan dokumen organisasi

 15.1.5 Pencegahan penyalahgunaan fasilitas pemrosesan informasi  15.3.1Kontrol audit sistem informasi

 15.3.2Perlindungan terhadap perangkat audit sistem informasi

4. Sistem Informasi yang di audit adalah VIS (Varia Usaha Beton Information Sistem) PT. Varia Usaha Beton.

5. Audit hanya dilakukan pada kantor pusat PT. Varia Usaha Beton yang terletak Jl. Letjend S. Parman No.38, Waru – Sidoarjo.

1.4 Tujuan

Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah sebagai berikut.

1. Melakukan dan menghasilkan perancangan audit keamanan sistem informasi pada PT. Varia Usaha Beton berdasarkan standar ISO 27002:2005 yang terdiri dari dokumen wawancara dan kuesioner yang merupakan hasil dari pengumpulan data, untuk menemukan akar permasalahan keamanan informasi manajemen asset di PT. Varia Usaha Beton.

2. Melakukan pengukuran maturity level untuk mengetahui nilai kematangan, menganalisa hasil wawancara dan kuesioner sehingga didapatkan temuan-temuan audit.

3. Menyusun hasil audit keamanan sistem informasi pada PT. Varia Usaha Beton berdasarkan standar ISO 27002:2005 dengan melakukan evaluasi dari bukti-bukti yang ada, menentukan maturity level, mendokumentasikan temuan audit dan didapat laporan hasil audit yang berupa temuan, kesimpulan dan rekomendasi.

1.5 Sistematika Penulisan

Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam 5 (lima) bab, yaitu:

BAB I : PENDAHULUAN

Pada bab ini membahas tentang latar belakang masalah, rumusan masalah serta batasan terhadap masalah yang akan dibahas, tujuan dari pembahasan masalah yang diangkat, dan sistematika penulisan laporan tugas akhir ini.

BAB I : LANDASAN TEORI

Pada bab ini dibahas mengenai teori-teori yang berkaitan dengan audit sistem informasi, diantaranya yakni penjelasan tentang sistem informasi, sistem informasi manajemen, manajemen aset, audit, audit sistem informasi, keamanan informasi, ISO 27002:2005, COBIT 4.1 (Control Objective, for Information, and Related Technologies 4.1), Pemetaan ISO 27002 dengan COBIT 4.1, maturity level, maturity model cobit 4.1,tahapan-tahapan dalam audit sistem informasi.

BAB III : METODE PENELITIAN

Pada bab ini berisi uraian tentang PT. Varia Usaha Beton serta penjelasan mengenai langkah-langkah yang dilakukan dalam audit sistem informasi manajemen aset yang meliputi penentuan ruang lingkup dan tujuan audit, pengumpulan bukti, pelaksanaan uji kepatutan, penentuan tingkat kematangan, penentuan hasil audit serta penyusunan laporan akhir dari hasil audit sistem informasi manajemen aset.

BAB IV : HASIL DAN PEMBAHASAN

Pada bab ini dibahas tentang analisa dan evalusai hasil temuan serta rekomendasi dari kegiatan audit sistem informasi manajemen aset di PT. Varia Usaha Beton.

BAB V : PENUTUP

Pada bab ini berisikan kesimpulan penelitian yang telah dilakukan terkait dengan tujuan dan permasalahan yang ada, serta saran sehubungan dengan adanya kemungkinan pengembangan sistem pada masa yang akan datang.

BAB II

LANDASAN TEORI

2.1Sistem Informasi

Sistem informasi adalah kombinasi dari teknologi informasi dan aktivitas, yang menggunakan teknologi untuk mendukung kinerja, manajemen dan pembuatan keputusan (Beynon, 2004). Dalam hal ini, sistem informasi digunakan tidak hanya untuk menggambarkan komputer dan perangkatnya serta interaksinya dengan organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh komponen yang terlibat dalam proses bisnis organisasi tersebut.

Berdasarkan definisi sistem informasi tersebut, menurut Kristanto (2003: 15-16) peranan sistem informasi dalam bisnis, antara lain:

1. Mendukung operasi bisnis

2. Mendukung dalam pengambilan keputusan manajerial 3. Meraih keuntungan strategik

2.2Sistem Informasi Manajemen

Sistem Informasi memiliki beberapa kategori, salah satunya adalah sistem informasi manajemen. Menurut Davis (1991: 3), Sistem Informasi Manajemen (SIM) adalah sebuah sistem manusia atau mesin yang terpadu (integrated), untuk menyajikan informasi guna mendukung fungsi operasi, manajemen, dan pengambilan keputusan dalam sebuah organisasi. Karakteristik SIM menurut Herlambang dan Tanuwijaya (2005: 68) adalah:

1. Beroperasi pada kegiatan dan tugas terstruktur.

2. Dapat meningkatkan efisiensi dengan mengurangi biaya.

SIM dapat dianggap sebagai suatu subsistem yang didasarkan atas fungsi yang dilaksanakan dalam suatu organisasi. Subsistem fungsional tersebut harus dikelompokkan ke dalam suatu ragam yang logik, meskipun tidak ada standar dalam pengelompokkannya. Namun fungsi utama yang ditemukan dalam kebanyakan organisasi adalah pemasaran, produksi, logistik, personalia dan keuangan serta akuntansi. Untuk fungsi logistik biasanya meliputi kegiatan seperti pembelian, penerimaan, persediaan, dan distribusi.

2.3Manajemen Aset

Aset adalah sumber daya yang mempunyai manfaat ekonomik masa datang yang cukup pasti atau diperoleh atau dikuasai/dikendalikan oleh suatu entitas akibat transaksi atau kejadian masa lalu.

Aset mempunyai sifat sebagai manfaat ekonomik dan bukan sebagai sumber ekonomik karena manfaat ekonomik tidak membatasi bentuk atau jenis sumber ekonomik yang dapat dimasukkan sebagai aset. Aset pada umumnya terbagi dua yaitu aset tetap dan aset tidak berwujud.

Aset tetap adalah aset berwujud yang mempunyai masa manfaat lebih dari dua belas bulan untuk digunakan dalam kegiatan ekonomi perusahaan. Aset tetap diklasifikasikan berdasarkan kesamaan dalam sifat atau fungsinya dalam aktivitas operasi entitas tanah, peralatan, gedung bangunan, jalan dan sebagainya. Aset tidak

berwujud adalah jenis aset yang tidak memiliki wujud fisik. Contoh dari aset ini adalah hak cipta, paten, merek dagang, rahasia dagang.

Siklus manajemen aset mempertimbangkan semua pilihan dan strategi manajemen sebagai bagian dari aset masa pakai, dari perencanaan sampai penghapusan aset. Tujuan adalah untuk mencari biaya terendah dalam jangka panjang (bukan penghematan dalam jangka pendek) ketika membuat keputusan dalam aset manajemen. Siklus Manajemen Aset dapat diGambarkan seperti Gambar 2.1 di bawah ini :

Gambar 2.1 Siklus Manajemen Aset (Sumber: Suhairi, 2010: 5)

Perencanaan aset meliputi konfirmasi tentang pelayanan yang dibutuhkan oleh pelanggan dan memastikan bahwa aset yang diajukan merupakan solusi yang paling efektif untuk memenuhi kebutuhan pelanggan.

Asset

Planning

Asset

Creation

Asset

Utilization

Asset

Disposal

Pengadaan aset merupakan peningkatan dari aset dimana pembiayaan dapat menjadi alasan yang diharapkan untuk menyediakan keuntungan diluar tahun pembiayaan.

Pengoperasian aset mempunyai fungsi yang berhubungan dengan kerja, pengendalian aset dan biaya yang berhunbungan dengannya yang merupakan komponen penting dalam aset yang dinamis atau berumur pendek. Penghapusan aset adalah pilihan ketika sebuah aset tidak diperlukan lagi, menjadi tidak ekonomis untuk di rawat atau direhabilitasi (Suhairi, 2010).

2.4 Audit

Definisi secara umum tentang audit adalah bahwa “Auditing is an

independent investigation of some particular activity”. Sebetulnya kata Audit itu sendiri berasal dari Bahasa Latin Audire yang dalam Bahasa Inggris berarti to hear.

Makna yang dimaksud disini adalah “hearing about the account’s balances” oleh

para pihak terkait terhadap pihak ketiga yang netral (tidak ada vested interest) mengenai catatan keuangan perusahaan yang dikelola oleh orang-orang tertentu yang bukan sekaligus pemiliknya (Gondodiyoto, 2007).

2.5Audit Sistem Informasi

Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan

menggunakan sumber daya secara efektif (Weber, 1999). Beberapa elemen utama tinjauan penting dalam Audit Sistem Informasi yaitu dapat diklasifikasikan sebagai berikut.

1. Tinjauan terkait dengan fisik dan lingkungan, yakni: hal-hal yang terkait dengan keamanan fisik, suplai sumber daya, temperatur, kontrol kelembaban dan faktor lingkungan lain.

2. Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi, sistem manajemen database, seluruh prosedur administrasi sistem dan pelaksanaannya.

3. Tinjauan perangkat lunak. Perangkat lunak yang dimaksud merupakan aplikasi bisnis. Mencakup kontrol akses dan otorisasi ke dalam sistem, validasi dan penanganan kesalahan termasuk pengecualian dalam sistem serta aliran proses bisnis dalam perangkat lunak beserta kontrol secara manual dan prosedur penggunaannya. Sebagai tambahan, tinjauan juga perlu dilakukan terhadap siklus hidup pengembangan sistem.

4. Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan terhadap firewall, daftar kontrol akses router, port scanning serta pendeteksian akan gangguan maupun ancaman terhadap sistem.

5. Tinjauan kontinuitas bisnis dengan memastikan ketersediaan prosedur backup dan penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi pemulihan bencana/kontinuitas bisnis yang dimiliki.

6. Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak dari kurangnya kontrol yang ditetapkan.

2.6Keamanan Informasi

Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimalisasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (Sarno dan Iffano, 2009: 26). Contoh Keamanan Informasi menurut Sarno dan Iffano (2009: 27) adalah:

1. Physical Security adalah Keamanan Informasi yang memfokuskan pada strategi untuk mengamankan individu atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

2. Personal Security adalah Keamanan Informasi yang berhubungan dengan

keamanan personil. Biasanya saling berhubungan dengan ruang lingkup „physical

security’.

3. Operation Security adalah Keamanan Informasi yang membahas bagaimana strategi suatu organisasi untuk mengamankan kemampuan organisasi tersebut untuk beroperasi tanpa gangguan.

4. Communications Security adalah Keamanan Informasi bertujuan mengamankan media komunikasi, teknologi komunikasi, serta apa yang ada di dalamnya. Serta

kemampuan untuk memanfaatkan media dan teknologi komunikasi untu kemncapai tujuan organisasi.

5. Network Security adalah Keamanan Informasi yang memfokuskan pada bagaimana pengamanan peralatan jaringan, data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Aspek Keamanan Informasi meliputi ketiga hal, yaitu: Confidentiality, Integrity, dan Availability (CIA). Aspek tersebut dapat dilihat pada Gambar 2.2 yang lebih lanjut akan dijelaskan sebagai berikut.

a) Confidentiality: Keamanan Informasi seharusnya menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses Informasi tertentu.

b) Integrity: Keamanan Informasi seharusnya menjamin kelengkapan Informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah Informasi dari aslinya.

c) Availability: Keamanan Informasi seharusnya menjamin pengguna dapat mengakses Informasi kapanpun tanpa adanya gangguan dan tidak dalam format yang bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses Informasi.

Gambar 2.2 Aspek Keamanan Informasi

(Sumber: Sarno dan Iffano, 2009: 37)

2.7 ISO 27002:2005

ISO IEC 17799 tahun 2005, resmi dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara resmi diubah menjadi ISO IEC 27002 tahun 2005. Konten tersebut masih persis sama. Standar ISO IEC 17799:2005 (sekarang dikenal sebagai ISO IEC 27002:2005) dikembangkan oleh IT Security Subcommittee (SC 27) dan Technical Committee on Information Technology (ISO/IEC JTC 1) (ISO 27002, 2005).

IS0 27002:2005 berisi panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam ISO/IEC 27001.

ISO 27002:2005 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang

Information

Security

Aspects

Confidentiality

tepat sesuai kebutuhanya, dengan mempertimbangkan hasil kajian resiko yang telah dilakukanya (Direktorat Keamanan Informasi, 2011).

Pada Gambar 2.3 dapat dilihat bahwa International Standards Organization (ISO) mengelompokkan semua standard keamanan informasi ke dalam satu struktur penomoran, yaitu pada serial ISO 27000 (Sarno, 2009:57). Penjelasan singkat mengenai masing-masing penomoran dalam Gambar 2.3 tersebut akan dipaparkan sebagaimana berikut.

27000 Fundamental & Vocabulary

27005

RISK

MANAGEMENT

27001: ISMS

27002: Code of Practice for ISMS 27003: Implementation Guidance 27004: Metric & Measurement

27006: Guidelines on ISMS Accreditation 27007: Guidelines on ISMS Auditing Gambar 2.3 ISO/IEC 27000 Family

(Sumber: Sarno dan Iffano, 2009: 56)

a. ISO 27000: dokumen definisi-definisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.

b. ISO 27001: berisi persyaratan standar yang harus dipenuhi untuk membangun SMKI.

c. ISO 27002: terkait dengan dokumen ISO 27001, namun dalam dokumen ini berisi panduan praktis (code of practice) teknik keamanan informasi.

d. ISO 27003: berisi matriks dan metode pengukuran keberhasilan implementasi SMKI.

e. ISO 27005: dokumen panduan pelaksanaan manajemen resiko. f. ISO 27006: dokumen panduan untuk sertifikasi SMKI perusahaan. g. ISO 27007: dokumen panduan audit SMKI perusahaan.

Pemetaan terhadap ISO 29002 dapat dilihat pada Gambar 2.4 di halaman 21. Untuk detail struktur dokumen kontrol keamanan dari ISO/IEC 27002 dapat dilihat pada Lampiran 4.

2.8 Cobit 4.1 (Control Objective for Information and Related Technologies 4.1)

COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information System Audit and Kontrol Association (ISACA). COBIT memberikan guidelines yang berorientasi pada bisnis, karena itu bussines process owners dan manajer, termasuk auditor dan pengguna, diharapkan dapat memanfaatkan guideline ini sebaik-baiknya.

COBIT merupakan good practices yang membantu pengoptimalan investasi TI serta menyediakan suatu ukuran yang dimana untuk menilai ketika terjadi berbagai hal yang menyeleweng (ITGI, 2007). Secara jelas, COBIT membagi kerangka kerja tersebut menjadi empat domain utama dengan total tiga puluh empat proses teknologi informasi seperti terlihat pada Gambar 2.5.

2.9 Pemetaan ISO 27002 dengan COBIT 4.1

Metode ISO 27002 digunakan untuk mengidentifikasi tingkat kematangan penerapan pengamanan dengan kategorisasi yang mengacu pada kerangka kerja COBIT atau CCMI ( Capability Marturity Model For Integration). Tingkat kematangan ini nantinya akan digunakan sebagai alat untuk melaporkan pemetaan dan pemeringkatan kesiapan keamanan informasi di PT. Varia Usaha Beton. Pemetaan ISO 27002:2005 dengan COBIT 4.1 dapat dilihat pada Tabel 2.2 di halaman 24 dan lanjutan dari Tabel 2.2 dapat dilihat pada lampiran 5.

2.10Maturity Level

ISO 17799 memberikan kontrol keamanan tetapi tidak bagaimana kontrol itu dikembangkan atau diatur. Ini disebabkan ISO bukan standar teknis juga bukan untuk teknologi tertentu. Oleh karena itu tidak ada mekanisme penilaian atau metoda evaluasi (Gunawan dan Suhono, 2006: 135).

Tabel 2.1 Ringkasan jumlah Klausul Kontrol Keamanan, Objektif Kontrol dan Kontrol

Klausul Jumlah

Objektif Kontrol Kontrol

5 1 2

6 2 11

7 2 5

8 3 9

9 2 13

Tabel 2.1 (Lanjutan)

Klausul Jumlah

Objektif Kontrol Kontrol

11 7 25

12 6 16

13 2 5

Tabel 2.2 Pemetaan ISO 27002 dengan COBIT 4.1 (Sumber: IT Goverenance Institute, 2008: 90)

2.10.1 Martuity Model Cobit 4.1

Model yang digunakan untuk mengendalikan proses teknologi informasi yang terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi dapat mengukur dirinya sendiri dari non-eksisten ke tingkat optimal (value 0 sampai dengan value 5).

ARTI SIMBOL ARTI RANGKING

Posisi Perusahaan Saat Ini Pedoman Standar Internasional Praktek Terbaik Industri Strategi Perusahaan

Gambar 2.6 Maturity Model (Sumber: Information Technology Governance Institute, 2007)

COBIT menyediakan kerangka identifikasi sejauh mana perusahaan telah memenuhi standar pengelolaan proses TI yang baik. Kerangka tersebut direpresentasikan dalam sebuah model kedewasaan yang memiliki level

0 Non-Existent : proses manajemen tidak ada.

1 Initial : proses bersifat adhoc & tidak terorganisir.

2 Repeatable : proses mengikuti pola yang teratur.

3 Defined : proses didokumentasikan &

dikomunikasikan proses didokumentasikan & dikomunikasikan

4 Managed : proses dimonitor dan diukur

5 Optimised : proses otomatis dan mengikuti standar

Non-Exsistent

0

pengelompokan kapabilitas perusahaan dalam pengelolaan proses TI dari level 0 atau non-existent (belum tersedia) hingga level 5 atau optimized (teroptimasi).

 Level 0 (non-existent).

Perusahaan tidak mengetahui sama sekali proses teknologi informasi di perusahaannya.

 Level 1 (initial level).

Pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk mengembangkan suatu produk baru.

 Level 2 (repaetable level).

Pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam mengimplementasikan kebijakan tersebut ditetapkan.

 Level 3 (defined level).

Pada level ini, proses standar dalam pengembangan suatu produk baru didokumentasikan, proses ini didasari pada proses pengembangan produk yang telah diintegrasikan. Proses-proses ini digunakan untuk membantu manajer, ketua tim, dan anggota tim pengembangan sehingga bekerja dengan lebih efektif.

 Level 4 (managed level).

Pada level ini, organisasi membuat suatu matrik untuk suatu produk, proses, dan pengukuran hasil. Proyek mempunyai kontrol terhadap produk dan proses untuk mengurangi variasi kinerja proses sehingga terdapat batasan yang dapat diterima.

 Level 5 (optimized level).

Pada level ini, seluruh organisasi difokuskan pada proses peningkatan secara terus menerus. Teknologi informasi sudah digunakan untuk otomatisasi proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan.

2.11 Tahapan-Tahapan dalam Audit Sistem Informasi

ISACA tahun 2010 menyatakan membagi tahapan audit sistem informasi menjadi 4 (empat) tahapan yaitu: 1. Tahap perencanaan audit, 2. Tahap persiapan audit, 3. Tahap pelaksanaan audit, 4. Tahap pelaporan audit (Hermawan, 2011). Selanjutnya tahapan tersebut dapat dilihat pada Gambar 2.7 di halaman 31. Keempat tahapan tersebut adalah:

1. Tahap Perencanaan Audit Sistem Informasi

Tahap perencanaan ini dilakukan oleh auditor untuk mengetahui tentang auditee (how your auditee) dan mempelajari tentang proses bisnis perusahaan yang diaudit. Langkah-langkah yang terdapat di tahap ini adalah sebagai berikut.

a. Mengidentifikasi proses bisnis dan TI

Dalam perencanaan proses audit, auditor harus melakukan pemahaman proses bisnis dan TI perusahaan yang diaudit (auditee). Pemahaman dilakukan dengan cara mempelajari dokumen-dokumen yang terkait dengan perusahaan. Dokumen tersebut bisa berupa profil perusahaan, rencana strategis, standard operating procedure, kebijakan, standar, prosedur, portopolio, arsitektur, infrastruktur, dan aplikasi sistem informasi. Auditor juga harus mengetahui apakah sebelumnya perusahaan telah

dilaksanakan proses audit. Apabila pernah melakukan audit maka, auditor perlu mrngrtahui dan memeriksa laporan audit periode sebelumnya.

Pengetahuan tentang auditee dapat dilakukan dengan cara melihat dokumen-dokumen yang terkait dengan proses audit dari media online bahkan auditor datang langsung ke perusahaan lalu melakukan wawancara manajemen dan staff, serta melakukan observasi kegiatan operasional dan teknologi sistem informasi yang digunakan.

b. Mengidentifikasi ruang lingkup dan tujuan audit sistem informasi

Langkah selanjutnya yang dilakukan dalam audit sistem informasi adalah mengidentifikasi ruang lingkup. Ruang lingkup audit harus mengacu pada tujuan audit.

c. Identification of core TI application and the main IT relevant interfaces

Pada tahap ini auditor harus memperoleh pemahaman tentang proses TI inti yang berkaitan dengan audit yang dilakukan. Proses ini dilakukan untuk membedakan proses TI inti yang memiliki skala prioritas lebih tinggi dan proses TI pendukung lain yang berkaitan. Pada tahap ini auditor menentukan klausul dan objective control serta kontrol yang akan digunakan.

2. Tahap Persiapan Audit Sistem Informasi

Pada tahap persiapan, auditor merencanakan dan memantau pelaksanaan audit sistem informasi secara terperinci, kemudian mempersiapkan kertas kerja audit sistem informasi yang akan dipakai. Langkah-langkah yang terdapat di tahap ini adalah sebagai berikut.

a. Penyusunan audit working plan

Audit Working Plan merupakan dokumen yang digunakan untuk merencanakan dan memantau pelaksanaan Audit TI secara terperinci. Dimulai dari proses awal hingga proses pelaporan audit.

b. Membuat peryataan

Tahap persiapan kedua audit keamanan sistem informasi ini dilakukan dengan membuat pernyataan. Pernyataan dibuat berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah dipilih. Kontrol keamanan tersebut dapat dilihat pada panduan ISO 27002. Pada setiap kontrol keamanan dapat ditemukan pernyataan yang telah mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut.

c. Melakukan pembobotan

Setelah membuat pernyataan, maka selanjutnya auditor melakukan pengukuran pembobotan pada tiap pernyataan. Menurut Niekerk dan Labuschagne (2006: 7), tingkat pembobotan dalam manajemen, dibagi menjadi 3 (tiga), yaitu: sangat penting, cukup penting dan kurang penting, seperti terlihat pada Tabel 2.3 di halaman 30.

d. Membuat pertanyaan

Setelah dilakukan pembobotan pernyataan pada tiap proses TI, maka selanjutnya auditor membuat pertanyaan berdasarkan pernyataan tersebut. Pertanyaan tersebut akan dijadikan acuan dalam melakukan wawancara kepada pihak yang telah ditentukan sebelumnya.

Tabel 2.3 Tingkat Kepentingan dalam Pembobotan Pernyataan No Nilai

Kualitatif

Skala Keterangan

1 Tinggi 0,70 – 1,00 Pernyataan tersebut mempunyai peranan yang sangat penting dalam proses sistem informasi

2 Cukup 0,40 – 0,69 Pernyataan tersebut cukup mempunyai peran dalam proses sistem informasi 3 Rendah 0,00 – 0,39 Pernyataan tersebut dalam melengkapi

peran dalam sistem informasi Sumber: Niekerk dan Labuschagne (2006: 7)

3. Tahap Pelaksanaan Audit Sistem Informasi

Pada tahap pelaksanaan, auditor melakukan pengumpulan dan evaluasi bukti dan data audit sistem informasi yang dilakukan, serta melakukan uji kepatutan (complience test), yakni dengan menyesuaikan keadaan ada dengan standar pengelolaan proses TI yang didefinisikan dalam kerangka kerja COBIT. Selanjutnya dilakukan penyusunan temuan serta rekomendasi guna diberikan kepada auditee. Langkah-langkah yang terdapat di tahap ini adalah sebagai berikut.

a. Pemeriksaan data dan bukti

Pemeriksaan data dilakukan dengan cara observasi dan melakukan wawancara kepada auditee sesuai dengan ruang lingkup serta klausul yang telah disetujui perusahaan. Wawancara dan observasi dilakukan untuk mendapatkan bukti atau temuan mengenai fakta terkait dengan masalah yang ada. Bukti-bukti tersebut dapat berupa foto, rekaman, data atau video. Bukti tersebut akhirnya dikumpulkan dan dievaluasi untuk memungkinkan auditor membentuk opini mengenai kecukupan dan

keefektifan kontrol internal sehingga dapat merekomendasikan tindakan perbaikan dan korektif (Sarno, 2009).

Gambar 2.7 Tahapan-Tahapan dalam Audit Sistem Informasi

b. Interview (wawancara)

Pertanyaan dibuat sebagai acuan untuk melakukan wawancara. Pertanyaan telah dibuat berdasarkan pernyataan yang terlebih dahulu dibuat sebelumnya. Pada satu pernyataan bisa memiliki lebih dari satu pertanyaan, hal tersebut dikarenakan setiap pertanyaan harus mewakili pernyataan pada saat dilakukan wawancara.

Wawancara dilakukan terhadap pihak-pihak yang terlibat dalam eksekusi. Proses TI yang dapat terbagi menjadi 4 kelompok, yaitu: pihak yang bertanggung jawab terhadap kesuksesan aktivitas (responsible), pihak yang bertanggung jawab (accountable), pihak yang mengerti aktivitas (consulted), dan pihak yang senantiasa diinformasikan perihal perkembangan aktivitas (informed).

c. Melakukan uji kematangan

Uji kematangan dilakukan dengan menggunakan perhitungan dari COBIT dengan mengacu pada pernyataan dari ISO 27002. Uji kematangan ini dilakukan untuk mengukur tingkat keamanan yang ada pada perusahaan.

d. Temuan dan rekomendasi

Selama proses audit, pengaudit akan memeriksa banyak catatan, mempelajari banyak jenis informasi, melihat banyak laporan, mengobservasi prosedur kerja dan melakukan wawancara dengan berbagai pihak. Seluruh aktivitas tersebut menghasilkan bukti (evidence) yang berarti terkait dengan sistem yang berlangsung diperusahaan. Bukti tersebut akhirnya dikumpulkan dan dievaluasi untuk memungkinkan auditor membentuk opini mengenai kecukupan dan keefektifan kontrol internal sehingga dapat merekomendasikan tindakan perbaikan dan korektif (Riyanarto Sarno, 2009).

4. Tahap Pelaporan Audit Sistem Informasi

Berdasarkan seluruh kertas kerja audit, temuan, dan tanggapan auditee, maka audite harus menyusun draft laporan audit SI sebagai pertanggungjawaban atas penugasan audit SI yang telah dilaksanakan. Laporan audit harus ditunjukan kepada pihak yang berhak saja karena laporan audit SI merupakan dokumen yang bersifat rahasia. Tahap pelaporan audit sistem informasi yang dilakukan dimulai dengan penyusunan draft laporan hasil audit, persetujuan draft laporan hasil audit, dan pelaporan hasil audit.

34

Pada Bab III akan dilakukan pembahasan dimulai dengan profil perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapan-tahapan audit yang akan dilaksanakan sesuai dengan Gambar 2.7 di halaman 31.

3.1 Tahap Perencanaan Audit Sistem Informasi Manajemen Aset

Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. melakukan identifikasi proses bisnis, 2. Melakukan penentuan ruang lingkup dan tujuan audit dan 4. Melakukan identification of core TI application and the main IT relevant interfaces. Tahap ini akan menghasilkan pengetahuan tentang proses bisnis TI perusahaan, ruang lingkup dan tujuan yang telah ditentukan serta klausul yang telah ditentukan.

3.1.1 Mengidentifikasi Proses Bisnis dan TI

Pada tahapan perencanaan audit, proses pertama yang dilakukan adalah melakukan pemahaman proses bisnis dan TI perusahaan yang diaudit (auditee) dengan mempelajari dokumen-dokumen yang terkait dengan perusahaan. Dokumen tersebut berupa profil perusahaan, standard operating procedure, kebijakan, standar, prosedur, portopolio, arsitektur, infrastruktur, dan aplikasi sistem informasi. Langkah selanjutnya adalah mencari informasi apakah sebelumnya perusahaan telah melaksanakan proses audit. Apabila pernah

dilakukan audit, maka auditor perlu mengetahui dan memeriksa laporan audit sebelumnya.

Untuk menggali pengetahuan tentang auditee langkah yang dilakukan adalah dengan cara mengetahui dan memeriksa dokumen-dokumen yang terkait dengan proses audit, wawancara manajemen dan staff, serta melakukan observasi kegiatan operasional dan teknologi sistem informasi yang digunakan. Output yang dihasilkan pada proses ini adalah profil perusahaan, visi, misi, dan Principle & Management, struktur organisasi, document flow serta bukti dan pernyataan bahwa auditor telah melihat serta mempelajari dokumen yang terkait dengan perusahaan.

3.1.2 Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi

Proses kedua pada tahapan perencanaan ini adalah mengidentifikasi ruang lingkup dan tujuan yang akan dibahas dalam audit kali ini. Penentuan ruang lingkup dilakukan dengan cara melakukan observasi pada PT. Varia Usaha Beton. Ruang lingkup yang telah ditentukan akan dipaparkan pada bab IV.

Pada peoses ini, langkah yang selanjutnya dilakukan adalah mengidentifikasi tujuan yang berhubungan akan kebutuhan audit sistem informasi ini. Tujuan dari audit sistem informasi manajemen aset ini selanjutnya akan dipaparkan pada bab IV.

3.1.3 Identification of core TI application and the main IT relevant interfaces

Pada proses ini langkah yang dilakukan adalah menentukan klausul, obyektif kontrol dan kontrol yang sesuai dengan permasalahan dan kebutuhan

PT. Varia Usaha Beton. Klausul, obyektif kontrol dan kontrol yang ditentukan harus berdasarkan kesepakatan antara auditor dengan auditee. Proses ini akan menghasilkan klausul, obyektif kontrol serta kontrol yang telah ditentukan dan disepakati oleh auditor dengan auditee.

3.2 Tahap Persiapan Audit Sistem Informasi

Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. Melakukan proses penyusunan audit working plan, 2. Membuat pernyataan, 3. Melakukan pembobotan dan 4. Membuat pertanyaan. Tahap ini akan menghasilkan tabel working plan, pernyataan yang telah dibuat berdasarkan standar ISO 27002, nilai pembobotan pada masing-masing pernyataan serta nilai marturity level dan pertanyaan yang telah dibuat berdasarkan pernyataan.

3.2.1 Penyusunan Audit Working Plan

Pada proses membuat audit working plan langkah yang dilakukan adalah membuat daftar semua kegiatan yang akan dilakukan dalam melakukan proses audit, kemudian memasukkan daftar kegiatan tersebut didalam tabel. Contoh audit working plan dapat dilihat pada Tabel 3.1 di halaman 36.

Tabel 3.1 Contoh Audit Working Plan No Kegiatan

Bulan

September Oktober November Desember 1 2 3 1 1 1 1 4 1 2 3 4 1 2 3 4 1

Studi Literatur 2 Penentuan ruang

3.2.2 Membuat Pernyataan

Proses selanjutnya pada tahapan persiapan audit ini dilakukan dengan membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah ditetapkan berdasarkan standar COBIT 4.1 dan ISO 27002. Pada setiap kontrol keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut. Salah satu contoh pernyataan pada ISO 27002 dapat dilihat pada Tabel 3.2 di halaman 37, sedangkan salah satu contoh untuk pernyataan COBIT 4.1 dapat dilihat pada Tabel 3.3 di halaman 37 .

Tabel 3.2 Contoh Pernyataan Pada ISO 27002 Klausul 6 Organisasi Keamanan Informasi

Tujuan diperlukanya organisasi keamanan informasi yaitu: Memudahkan Pengelolaan SMKI pada PT. Varia Usaha Beton

Kontrol Keamanan: 6.1.3

Pembagian Tanggung Jawab Keamanan Informasi

No Pernyataan

1 Terdapat pembagian tanggung jawab keamanan informasi yang telah ditetapkan dengan jelas.

2 Kebijakan keamanan informasi telah menyertakan panduan umum dalam pengalokasian peran keamanan di dalam organisasi.

Tabel 3.3 Contoh Pernyataan Pada COBIT 4.1 Nama

Proses

Mengidentifikasi Solusi Otomatis Nomor

Proses AI1

No. Pernyataan

1 Organisasi mengidentifikasi kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak, dan data

2 Organisasi mengidentifikasi kebutuhan operasional untuk penerapan seperti sistem, jasa, infrastruktur, perangkat lunak, dan data

3.2.3 Melakukan Pembobotan

Setelah membuat pernyataan, maka langkah selanjutnya adalah melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan dilakukan berdasarkan perhitungan yang dilakukan oleh Niekerk dan Labuschagne (2006: 7), dengan membagi tingkat pembobotan dalam manajemen menjadi 3 (tiga), yaitu: sangat penting, cukup penting dan kurang penting, seperti terlihat pada Tabel 3.6 dihalaman 39. Didalam Tugas Akhir ini dilakukan dua kali proses pembobotan yaitu pembobotan ISO 27002 dan COBIT 4.1. Hal tersebut dilakukan karena hasilnya pembobotan dan penilaian maturity level tersebut akan di setarakan. Salah satu contoh pembobotan pada ISO 27002 dan beberapa pembobotanya dapat dilihat pada Tabel 3.4 dihalaman 38 sedangkan salah satu pembobotan pada COBIT 4.1 dan beberapa pembobotanya dapat dilihat pada Tabel 3.5 dihalaman 39.

Tabel 3.4 Contoh Pembobotan Pada ISO 27002 Kontrol Keamanan: 6.1.1

Komitmen manajemen terhadap keamanan informasi

No Pernyataan Hasil Pemeriksaan bobot

1 Terdapat

kepemimpinan yang kondusif untuk menyetujui kebijakan

keamanan informasi di seluruh tataran organisasi.

Kepemimpinan sudah ditetapkan secara kondusif dan telah ditingkatkan terus-menerus melalui pemantauan secara berkala.

Bukti:

Terdapat struktur organisasi resmi beserta kebijakan perusahaan yang tercantum pada dokumen audit yaitu:

Dokumen: Quality manual ISO : 9001:2008

November 2011

Tabel 3.5 Contoh Pembobotan Pada COBIT 4.1 Nama Proses Mendefinisikan Arsitektur Informasi

Nomor

Proses PO2 Level Kedewasaan

0

No. Pernyataan Bobot

1 Tedapat pengetahuan tentang bagaimana mengembangkan

arsitektur informasi 0.80

2 Terdapat keahlian mengembangkan arsitektur informasi 0.80 3 Terdapat pertanggung jawaban dalam mengembangkan

arsitektur informasi 0.80

Total Bobot = 2.40

Tabel 3.6 Tingkat Kepentingan dalam Pembobotan Pernyataan No Nilai Kualitatif Skala Keterangan

1 Tinggi 0,70 – 1,00 Pernyataan tersebut mempunyai peranan yang sangat penting dalam proses sistem informasi 2 Cukup 0,40 – 0,69 Pernyataan tersebut cukup mempunyai peran

dalam proses sistem informasi

3 Rendah 0,00 – 0,39 Pernyataan tersebut dalam melengkapi peran dalam sistem informasi

Sumber: Niekerk dan Labuschagne (2006: 7)

3.2.4 Membuat Pertanyaan

Pada proses ini langkah yang dilakukan adalah membuat pertanyaan dari pernyataan yang telah ditentukan sebelumnya. Pada satu pernyataan bisa memiliki lebih dari satu pertanyaan, hal tersebut dikarenakan setiap pertanyaan harus mewakili pernyataan pada saat dilakukan wawancara. Contoh beberapa pertanyaan pada ISO 27002 dapat dilihat pada Tabel 3.7 di halaman 40 sedangkan contoh beberapa pertanyaan pada COBIT 4.1 dapat dilihat pada Tabel 3.8 di halaman 40.

Tabel 3.7 Contoh Pertanyaan Pada ISO 27002

Tabel 3.8 Contoh Pertanyaan Pada COBIT 4.1 Nama

Proses

Mengidentifikasi Solusi Otomatis

AI1 No. Pertanyaan

1 Apakah kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?

2 Apakah kebutuhan operasional untuk penerapan seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?

3.3 Tahap Pelaksanaan Audit Sistem Informasi

Pada tahap ini langkah-langkah yang dilakukan yaitu: 1.Melakukan proses pemeriksaan data dan bukti, 2. Melakukan wawancara, 3. Melakukan uji kematangan dan 4. Melakukan penentuan temuan dan rekomendasi. Tahap ini akan menghasilkan temuan dan bukti, dokumen wawancara, nilai kematangan dan rekomendasi.

Klausul 6 Organisasi Keamanan Informasi

Tujuan diperlukanya organisasi keamanan informasi yaitu: Memudahkan Pengelolaan SMKI pada PT. Varia Usaha Beton

Kontrol Keamanan: 6.1.1

Komitmen manajemen terhadap keamanan informasi

No Pertanyaan

1 Apakah kepemimpinan untuk menyetujui kebijakan keamanan informasi di seluruh tataran organisasi telah kondusif?

2 - Apakah kepemimpinan untuk menetapkan peran keamanan di seluruh tataran organisasi telah kondusif?

- Siapakah yang bertangung jawab terhadap keamanan system informasi di seluruh tataran organisasi.

3.3.1 Pemeriksaan Data dan Bukti

Pemeriksaan data dilakukan dengan cara melakukan observasi dan melakukan wawancara kepada auditee sesuai dengan ruang lingkup serta klausul yang telah disepakati oleh PT. Varia Usaha Beton. Wawancara dan observasi dilakukan untuk mendapatkan bukti atau temuan mengenai fakta terkait dengan masalah yang ada. Bukti-bukti tersebut berupa foto dan data. Contoh hasil pemeriksaan ISO 27002 dapat dilihat pada Tabel 3.9 di halaman 41, sedangkan contoh hasil pemeriksaan COBIT 4.1 dapat dilihat pada Tabel 3.10 di halaman 41.

Tabel 3.9 Contoh Hasil Pemeriksaan ISO 27002 Kontrol Keamanan: 6.1.1

Komitmen manajemen terhadap keamanan informasi

No Pernyataan Hasil Pemeriksaan

1 Terdapat kepemimpin an yang kondusif untuk menyetujui kebijakan keamanan informasi di seluruh tataran organisasi.

Kepemimpinan sudah ditetapkan secara kondusif dan telah ditingkatkan terus-menerus melalui pemantauan secara berkala. Bukti:

Terdapat struktur organisasi resmi beserta kebijakan perusahaan yang tercantum pada dokumen audit yaitu:

Dokumen: Quality manual ISO : 9001:2008

November 2011

Tabel 3.10 Contoh Hasil Pemeriksaan COBIT 4.1 Nama

Proses

Mengidentifikasi Solusi Otomatis Hasil Pemeriksaan Nomor

Proses AI1

No. Pernyataan

1 Organisasi mengidentifikasi kebutuhan fungsional untuk

penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak, dan data

Kebutuhan fungsional telah teridentifikasi dan telah didokumentasikan didalam dokumen pencatatan aset.

Bukti:

3.3.2 Wawancara

Pada proses ini langkah yang dilakukan adalah melakukan wawancara berdasarkan pertanyaan yang telah dibuat. Wawancara dilakukan terhadap pihak-pihak yang terlibat dalam eksekusi. Penentuan auditee untuk audit sistem keamanan informasi dilakukan berdasarkan struktur organisasi. Contoh dokumen wawancara ISO 27002 dapat dilihat pada Tabel 3.11 di halaman 42 sedangkan contoh dokumen wawancara COBIT 4.1 dapat dilihat pada Tabel 3.12 di halaman 42.

Tabel 3.11 Contoh Dokumen Wawancara pada ISO 27002

Tabel 3.12 Contoh Dokumen Wawancara pada COBIT 4.1 Nama

Proses

Mengidentifikasi Solusi Otomatis

Jawaban AI1

No. Pertanyaan

1 Apakah kebutuhan fungsional untuk penerapan solusi seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?

Kebutuhan fungsional telah teridentifikasi dan telah didokumentasikan didalam dokumen pencatatan aset. 2

Apakah kebutuhan operasional untuk penerapan seperti sistem, jasa, infrastruktur, perangkat lunak dan data telah diidentifikasi?

Seluruh kebutuhan operasional telah diidentifikasi dan

didokumentasikan didalam SOP perusahaan.

Klausul 6 Organisasi Keamanan Informasi

Tujuan diperlukanya organisasi keamanan informasi yaitu: Memudahkan Pengelolaan SMKI pada PT. Varia Usaha Beton

Kontrol Keamanan: 6.1.3

Pembagian Tanggung Jawab Keamanan Informasi

No Pernyataan Pertanyaan Jawaban

1 Terdapat pembagian tanggung jawab keamanan informasi yang telah ditetapkan dengan jelas.

- Apakah terdapat pembagian tanggung jawab keamanan informasi yang telah ditetapkan dengan jelas?

- Apakah pembagian tanggung jawab tersebut telah dirinci dandidokumentasikan dengan jelas?

Ya

Ya , untuk database sendiri, anti virus sendiri, keamanan jaringan sendiri, keamanan hardware dan software sendiri.

3.3.3 Melakukan Uji Kematangan

Proses berikutnya yaitu melakukan uji kematangan berdasarkan metode yang ada pada standar COBIT 4.1. Contoh penilaian kematangan tersebut dapat dilihat pada Tabel 3.13 di halaman 44.

Setelah seluruh penentuan nilai telah ditetapkan, maka dapat langkah berikutnya yaitu melakukan perhitungan marturity level pada COBIT 4.1. Contoh kerangka kerja perhitungan marturity level pada COBIT 4.1 dapat dilihat pada Tabel 3.13 di halaman 44. Perhitungan tersebut dilakukan secara bertahap, berikut tahapan yang harus dilakukan adalah:

a. Setiap pernyataan pada kontrol keamanan diberikan nilai bobot yang sesuai. b. Dari hasil wawancara didapatkan nilai tingkat kemampuan pada setiap

pernyataan.

c. Pada setiap pernyataan bobot dikalikan dengan tingkat kemampuan masing-masing.

d. Jumlah dari perkalian bobot dan tingkat kemampuan dibagi dengan jumlah bobot yang ada pada seluruh pernyataan dalam satu kontrol keamanan.

e. Hasil dari tahapan sebelumnya merupakan nilai tingkat kemampuan pada kontrol keamanan tersebut.

Setelah didapatkan perhitungan maturity level pada COBIT 4.1 kemudian dilakukan perhitungan maturity level pada ISO 27002 dengan cara menyetarakan kontrol keamanan antara COBIT 4.1 dengan ISO 27002. Perhitungan maturity level pada ISO 27002 dapat dilihat pada Tabel 3.14 di halaman 44

Tabel 3.13 Contoh Tabel Penentuan Maturity Level Pada COBIT 4.1 Nama Proses Mendefinisikan Arsitektur Informasi Apakah sepakat? T ida k Sa ma Seka li Sedik it Da la m T ing ka ta n T er tent u Seluru hn y a NIL A I Nomor

Proses PO2

Level Kedewasaa

n

0

No. Pernyataan Bobot 0.00 0.33 0.66 1.00

1 Tedapat pengetahuan tentang bagaimana mengembangkan arsitektur informasi

0.80

√ 0.80

2 Terdapat keahlian mengembangkan arsitektur informasi

0.80

√ 0.53

3 Terdapat pertanggung jawaban dalam mengembangkan arsitektur informasi

0.80

√ 0.80

Total Bobot = 2.40 Tingkat Kepatutan

0.89 Total Nilai

2.13

Tabel 3.14 Contoh Tabel Penentuan Maturity Level Pada ISO 27002 ISO/IEC 27002 Classification Key ISO/IEC 27002 Areas Cobit 4.1 IT Processes Tingkat kemampu an Cobit 4.1 Tingkat Kemampu

an ISO 27002 6.1 Internal Organisation 6.0 Organisation of information security 6.1.1 Manajement commitment to information security

PO3 Determine technological direction.

3.37 3.09 PO4 Define the IT processes,

organization and relationship. 3.52 PO6 Communicate

management aims and direction.

3.44 DS5 Ensure systems security. 2.3

Setelah dihasilkan nilai maturity level ISO 27002 yang didapat dari seluruh penyetaraan rata-rata maturity level pada COBIT 4.1, selanjutnya nilai-nilai tersebut akan direpresentasikan kedalam diagram jaring yang ada pada Gambar 3.1 di halaman 46.

3.3.4 Penentuan Temuan dan Rekomendasi

Pada proses penentuan temuan dan rekomendasi langkah yang dilakukan adalah memeriksa data profil perusahaan, kebijakan, standar, prosedur dan portopolio serta mengobservasi standard operating procedure dan melakukan wawancara kepada auditee. Seluruh aktivitas tersebut menghasilkan bukti (evidence) yang berarti terkait dengan sistem yang berlangsung diperusahaan. Contoh format dari laporan hasil audit keamanan sistem informasi dapat dilihat pada Tabel 3.15 di halaman 45.

Tabel 3.15 Contoh Laporan Hasil Audit Keamanan Sistem Informasi Klausul Objektif

Kontrol

Kontrol Keamanan

Temuan Rekomendasi

6

Organisasi keamanan informasi.

6.1 Organisasi internal keamanan informasi.

6.1.1 Komitmen manajemen terhadap keamanan informasi.

Belum ada pakar keamanan informasi.

- Melakukan observasi

terhadap kejadian keamanan informasi.

2.6 2.8 3 3.2 3.4 3.6

6.1.1 Komitmen manajemen terhadap keamanan

informasi

6.1.3 Pembagian tangung jawab keamanan informasi

6.1.5 Perjanjian kerahasiaan

6.1.6 Berhubungan dengan vendor atau penyedia SMKI yang

resmi

6.2.1 Identifikasi resiko terhadap ubunganya dengan

pihak ketiga 6.2.2 Akses

keamanan dalam hubunganya dengan 6.2.3 Melibatkan

persyaratan keamanan dalam perjanjian dengan

pihak ketiga Marturity Level

Gambar 3.1 Contoh Representasi Nilai Marturity level Klausul 6

3.4 Tahap Pelaporan Audit Sistem Informasi

Berdasarkan seluruh kertas kerja audit, temuan, dan tanggapan auditee, maka langkah selanjutnya adalah menyusun draft laporan audit sistem informasi manajemen aset sebagai pertanggungjawaban atas penugasan audit sistem informasi manajemen aset yang telah dilaksanakan. Selanjutnya laporan audit ditunjukan kepada pihak yang berhak saja karena laporan audit sistem informasi manajemen aset merupakan dokumen yang bersifat rahasia. Tahap pelaporan audit sistem informasi yang dilakukan dimulai dengan penyusunan draft laporan hasil audit, persetujuan draft laporan hasil audit, dan pelaporan hasil audit.

47

HASIL DAN PEMBAHASAN

Pada bab ini akan diuraikan tentang analisis hasil dan pembahasan dari tahap perencanaan audit sistem informasi, tahap persiapan audit sistem informasi, tahap pelaksanaan audit sistem informasi, serta tahap pelaporan audit sistem informasi.

4.1 Hasil Perencanaan Audit Sistem Informasi 4.1.1 Hasil Mengidentifikasi Proses Bisnis dan TI

1) Profil Perusahaan

Audit dilakukan di PT. Varia Usaha Beton. PT. Semen Gersik (persero) Tbk secara resmi menyerahkan unit usaha sampinganya kepada anak usaha nya yaitu PT. Varia Usaha pada tahun 1989. Varia Usaha memisahkan unit beton siap pakai dan unit tegel menjadi perusahaan yang berdiri sendiri yaitu PT. Varia Usaha Beton pada tahun 1991. Kemudian, pada tahun 1992 PT. Varia Usaha menyerahkan pengelolaan unit usaha pemecah batu Pandaan untuk dikelola oleh PT. Varia Usaha Beton. Kemudian dilakukan perluasan usaha pertama pabrik beton ringan yaitu di Ujung Pandang pada tahun 1994 dan mulai mengadakan perluasan pabrik beton siap pakai di Semarang pada tahun yang sama. Pada tahun 1995 telah dioperasikan pergudangan Semen Gersik dan produksi tiang pancang beton di Semarang. Pada tahun 1997 perusahaan membuka unit usaha baru yaitu unit usaha beton pracetak yang meliputi tiang pancang, grider, beam, slab dan lain-lain di Gersik, serta mengadakan perluasan pabrik beton ringan di Semarang

dan mendirikan anak perusahaan di wilayah Jabodetabek yaitu PT. Varia Beton Kencana di tahun yang sama. Pada tahun 2001 PT. Varia Usaha Beton mengembangkan beton siap pakai di Bali dan pada tahun 2007 PT. Varia Usaha Beton bekerja sama dengan PT. Unggul investment mendirikan unit usaha pemecah batu di Ungaran, Jawa Tengah. Pada tahun 2007 juga telah dilakukan pengembangan usaha beton siap pakai di Mataram, Nusa Tenggar Barat.

Seiring dengan pertumbuhan ekonomi yang cukup tinggi dan pesatnya perkembangan sektor konstruksi, khususnya pembangunan infrastruktur dan properti, PT Varia Usaha Beton ikut berpartisipasi melalui usaha penyediaan produk-produk Beton Siap Pakai, Beton Masonry dan Batu Pecah Mesin/base Coarse, serta bahan bangunan lainnya yang berbahan baku semen.

Dengan didukung staf karyawan yang berpengalaman di bidang beton, peralatan-peralatan yang tepat serta fasilitas sumber daya, perusahaan senantiasa mengutamakan kepuasan dan kepercayaan pelanggan, dengan menjamin bahwa produk yanh dihasilkan dapat memenuhi mutu yang dipersyaratkan, penyerahan produk tepat waktu serta harga yang bersaing.

2) Visi, Misi, dan Principle & Management PT. Varia Usaha Beton

Dengan didukung staf karyawan yang berpengalaman di bidang beton, peralatan-peralatan yang tepat serta fasilitas group, perusahaan senantiasa mengutamakan kepuasan dan kepercayaan pelanggan, dengan menjamin bahwa produk yang dihasilkan dapat memenuhi mutu yang dipersyaratkan, penyerahan produk tepat waktu serta harga yang bersaing maka ditetapkan visi, misi dan principle & management perusahaan sebagai berikut:

VISI

Menjadi produsen beton & aggregat yang bercitra baik, selalu berkembang dan unggul di daerah pasar yang terpilih.

MISI

Menghasilkan laba yang wajar untuk pertumbuhan dan perkembangan perusahaan, memberikan deviden yang pantas bagi pemegang saham, memenuhi persyaratan pelanggan, mengembangkan kompetensi SDM dan kepuasan karyawan, serta memenuhi perundangan dan peraturan yang berlaku.

PRINCIPLE & MANAGEMENT

Penerapan manajemen PT. Varia Usaha Beton didasarkan pada kepercayaan bahwa karyawan mempunyai komitmen untuk bekerja sebaik mungkin dan mampu membuat keputusan yang tepat. Hal ini merupakan keyakinan dari karyawan, bahwa apabila PT. Varia Usaha Beton menjanjikan produk/jasa yang tepat, berarti mereka telah melakukan hal yang terbaik. Hal ini merupakan integritas dalam melakukan bisnis.

Kejujuran dan keterbukaan PT. Varia Usaha Beton memberikan kontribusi dalam menciptakan rasa memiliki pada karyawan. Semua karyawan ikut berperan dalam pencapaian sukses perusahaan.

Struktur perusahaan cukup sederhana dan mudah melakukan akses untuk semua anggota/karyawan perusahaan. Untuk relasi dan rekanan berarti terjamin komunikasi yang cepat dan bisa bertemu langsung dengan pembuat keputusan di semua level dengan respon yang lebih cepat.

3) Struktur Organisasi

PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik (persero) Tbk. Sampai saat ini PT. Varia Uasaha Beton mempunyai cabang (plant) di daerah Jawa Timur, Jawa Tengah, Bali dan Makasar. Secara fungsional maka struktur organisasi PT. Varia Usaha Beton dapat dilihat pada Gambar 4.1 di halaman 51.

4) Gambaran PT. Varia Usaha Beton

PT. Varia Usaha Beton memiliki kantor pusat di Jl. Letjend S. Parman No.38, Waru – Sidoarjo. Sebagai kantor pusat, PT. Varia Usaha Beton sangat berperan penting dalam memanajemen keamanan informasi, karena plant di seluruh Indonesia akan mengirimkan dan mengakses data-data kepada pusat dengan rentang waktu tertentu. Aplikasi VIS yang dimiliki oleh PT. Varia Usaha Beton sudah beroperasi secara online dengan menggunakan server yang berada di kantor pusat. PT. Varia Usaha Beton memiliki empat server, yaitu tiga server untuk data dan satu lagi untuk mail server.

4.1.2 Hasil Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi

Setelah dilakukan observasi maka hasil yag diperoleh adalah penetapan ruang lingkup sistem informasi Personal Security dan Physical Security dan ruang lingkup audit yaitu mengenai sistem informasi manajemen aset serta standar yang digunakan adalah ISO 27002.

4.1.3 Identification of core TI application and the main IT relevant interfaces

Hasil dari tahap identification of core TI application and the main IT relevant interfaces adalah pemetaan klausul, objective control dan control keamanan. Klausul, objektif kontrol dan kontrol keamanan yang tidak digunakan dapat dilihat pada Tabel 4.1 di halaman 53 sedangkan klausul, objektif kontrol dan kontrol keamanan yang telah ditetapkan dapat dilihat pada Tabel 4.2 di halaman 56.

5) Gambaran Proses Bisnis Manajemen Aset Pada PT. Varia Usaha Beton Iventarisasi Aset Vendor Akuntansi Gudang Direksi Pengadaan Koord.Angga ran User Membu at nota Membu at MPI Print penawaran harga terendah Tanda tangan MPI Tanda tangan MPI Membuat surat pengadaan barang mulai Iventarisasi aset Membu at RR Mencari penawaran harga terendah 1 RR Daftar harga terendah MPI yang telah ditanda tangani koord. Anggaran, direksi & akuntansi

Tanda tangan MPI selesai Surat Pengadaan Barang Nota Surat Pengadaan Barang Membuat PO Laporan iventarisasi aset RR

Input data aset 1

MPI

MPI yang telah ditanda tangani koord. anggaran

2

3

2

MPI yang telah ditanda tangani koord. Anggaran

& direksi

3

3

MPI yang telah ditanda tangani koord. anggaran

MPI yang telah ditanda tangani koord. Anggaran

& direksi

MPI yang telah ditanda tangani koord. Anggaran, direksi & akuntansi

MPI yang telah ditanda tangani koord. Anggaran, direksi & akuntansi

4 4 PO 5 5 PO 9 8 7 10 Nota 6 6 9 RR 10 RR RR 7 8

Tabel 4.1 Klausul, Objektif Kontrol dan Kontrol Keamanan ISO 27002:2005 yang Tidak Digunakan

Klausul Kontrol Keamanan Alasan

5

Kebijakan keamanan

5.1.1

Dokumen kebijakan keamanan informasi

Tidak ada penyetaraan pada COBIT 4.1

5.1.2

Tinjauan ulang kebijakan keamanan informasi

Tidak ada penyetaraan pada COBIT 4.1

6

Organisasi Keamanan Informasi

6.1.2

Koordinasi keamanan informasi

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 6.1.4

Proses otorisasi terhadap fasilitas-fasilitas pemrosesan informasi yang ada didalam organisasi.

Otorisasi terhadap fasilitas

pemrosesan informasi belum detail dan terdokumentasi

6.1.7

Berhubungan dengan lembaga-lembaga khusus tertentu.

Perusahaan tidak memiliki berhubungan dengan lembaga khusus atau tertentu

6.1.8

Pengkajian secara independen terhadap keamanan informasi.

Belum dilakukan pengkajian ulang secara independen

9

Wilayah aman

9.1.6

Akses public, area pengiriman dan penurunan barang

Tidak melakukan surve secara langsung ke area penurunan barang 9.2.3

Keamanan pengkabelan

Objektif kontrol 9.2.3 tidak digunakan karena auditor tidak mendapatkan ijin untuk mengaudit bagian jaringan dan pengkabelan.

10 Manajemen Komunikasi dan Operasi 10.1.2 Manajemen pertukaran

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 10.1.4

Pemisahan pengembangan, pengujian dan operasional fasilitas

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 10.2.1

Layanan pengiriman

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 10.3.1

Manajemen kapasitas

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

Tabel 4.1 (Lanjutan)

Klausul Kontrol Keamanan Alasan

10.4.1

Kontrol terhadap kode bahaya

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 10.4.2

Kontrol terhadap mobile code

Perusahaan tidak menggunakan

mobile code.

10.7.4

Keamanan dokumentasi sistem

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 10.8

Pertukaran informasi

Keseluruhan objektif kontrol 10.8 tidak digunakan karena prosedur standar pertukana informasi belum ditetapkan.

10.9

Layanan e-commerce

Keseluruhan objektif kontrol 10.9 tidak digunakan karena perusahaan tidak menggunakan layanan e-commerce.

10.6

Manajemen Keamanan Jaringan

Keseluruhan objektif kontrol 10.6 tidak digunakan karena auditor tindak mendapatkan ijin untuk mengaudit bagian jaringan dan pengkabelan.

10.10.1 Rekaman audit

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 10.10.2

Monitoring penggunaan sistem

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 10.10.3

Proteksi catatan administrator dan operator

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 10.10.4

Catatan kesalahan

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

mendapatkan temuan dan bukti. 11

Persyaratan bisnis untuk kontrol akses

11.1.1

Kebijakan kontrol akses

Auditor tidak mendapatkan ijin untuk mengaudit bagian tersebut secara menyeluruh sehingga auditor kesulitan untuk

0 0,5 1 1,5 2 2,5 3 3,5 Klausul 6: Organisasi Keamanan Informasi Klausul 7: Manajemen Aset Klausul 8: Manajemen SDM Klausul 9: Keamanan Fisik dan Lingkungan Klausul 10:Manajeme n Komunikasi dan Operasi Klausul 11: Kontrol Akses Klausul 12: Akuisisi Sistem Klausul 13: Manajemen Kejadian Keamanan Informasi Klausu 14: Manajemen Kelangsungan Bisnis Klausul 15: Kepatutan Marturity Level

Tabel 4.25 Temuan dan Rekomen

Gambar 4.14 Representasi Nilai Maturity Level Seluruh Klausul Klausul Objektif

Kontrol

Kontrol Keamanan

Temuan Rekomendasi 6 Organisasi keamanan informasi. 6.1 Organisasi internal keamanan informasi. 6.1.1 Komitmen manajemen terhadap keamanan informasi.

Belum ada pakar keamanan informasi.

- Melakukan observasi

terhadap kejadian keamanan informasi.

88

4.4 Tahap Pelaporan Audit Sistem Informasi

Tahap pelaporan yaitu: memberikan laporan audit (audit report) sebagai pertanggung jawaban atas penugasan proses audit keamanan sistem informasi manajemen aset yang dilaksanakan. Laporan audit ditunjukkan kepada pihak yang berhak saja karena laporan audit keamanan sistem informasi manajemen aset merupakan dokumen yang bersifat rahasia. Hasil laporan audit dapat dilihat pada Lampiran 1.

89

5.1 Kesimpulan

Berdasarkan hasil audit sistem informasi yang telah dilakukan maka didapat kesimpulan berupa:

1. Penyalahgunaan password disebabkan oleh belum ada pernyataan tertulis yang ditandatangani untuk menjaga password dan kurangnya kesadaran karyawan terhadap pentingnya merahasiakan password.

2. Terdapat beberapa prosedur yang belum dibakukan antara lain: prosedur pemeliharaan, prosedur penggantian password, prosedur pemberian password, prosedur pemusnahan data dan lain sebagainya karena dianggap cukup dengan adanya pencatatan dan tindakan penjagaan keamanan informasi secara informal.

3. Belum adanya pencatatan mengenai insiden keamanan yang disebabkan oleh belum adanya kebijakan manajemen untuk mencatat insiden keamanan.

4. Nilai maturity level yang dihasilkan oleh PT. Varia Usaha Beton yaitu 3.123 yang masuk pada kategori level 3 yaitu defined. Hal tersebut menandakan proses keamanan sistem informasi anajemen aset pada PT. Varia Usaha Beton telah dilakukan secara rutin sesuai dengan standar prosedur yang ada.

90

5.2 Saran

Saran yang dapat diberikan untuk mpengembangan lebih lanjut adalah sebagai brikut:

1. Audit keamanan sistem informasi ini masih belum menerapkan seluruh kontrol keamanan yang telah dipetakan. Untuk itu diharapkan setelah seluruh sistem perusahaan telah berjalan sesuai dengam proses bisnis yang ada atau bahkan telah membuat porosedur sistem manajemen keamanan informasi maka perlu dilakukan audit keamanan sistem informasi kembali untuk menentukan

91

Milik Pemerintah Kota Surabaya : STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya.

Davis dkk. 2011. IT Auditing: Using Control To Protect Information Assets Second Edition. United State. The McGraw-Hill Companies.

Davis, Gordon. 1991. Kerangka Dasar Sistem Informasi Manajemen Bagian I. Jakarta: PT. Gramedia Pustaka Utama.

Dewi, Eva Rosdiana. 2011. Audit Sistem Informasi Manajemen Aset Berdasarkan Perspektif Proses Bisnis Internal Balanced Scored dan Standart Cobit 4.1 (Studi Kasus : PT. Pertamina (persero)) : STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya.

Ermana, Fine. 2011. Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 20071 Pada PT. BPR JATIM : STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya.

Gondodiyoto, S. 2007. Audit Sistem Informasi Pendekatan COBIT. Jakarta: Mitra Wacana Media.

Gunawan, H dan Suhondo, R D. 2006. Studi ISO 17799:2005 Dan Systems Security Engineering Capability Maturity Model (SEE-CMM) Untuk Keamanan Aplikasi Web. Bandung: Institut Teknologi Bandung.

Hermawan, Budi. 2011. Dasar-Dasar Audit dan Pengendalian TI. http://www.auditti.com/stikom. Diakses pada tanggal 1 Desember 2011. Information Technology Governance Institute. 2003. IT Governance

Implementation Guide: “How do I use COBIT to implement IT

governance?”.

Information Technology Governance Institute. 2007. COBIT 4.10: Control Objective, Management Guidelines, Maturity Models. United States of America: IT Governance Institute.

ISACA. 2010. Guide to the Audit of IT Application. Switzerland : Felice Lutz. Herlambang, S. dan Tanuwijaya, H. 2005. Sistem Informasi: Konsep, Teknologi

dan Manajemen. Jakarta: PT. Gramedia Pustaka Utama.

IT governance Institute. (2008), "IT Governance in Financial Services And Manufacturing", IT Governance Institute.

92

Kristanto, A. 2003. Perancangan Sistem Informasi dan Aplikasinya. Yogyakarta : Gava Media.

O'Brien, J A. 2003. Introduction to information systems: essentials for the e-business enterprise. McGraw-Hill, Boston, MA

Pederiva, A. 2003. The COBIT Maturity Model in a Vendor Evaluation Case. Information Systems Audit and Control Association.

Pederiva, A. 2003. The CobIT Maturity Model in a Vendor Evaluation Case, Journal of Information System Audit.

Sarno, Riyanarto. 2009. Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.

Sarno, R. dan Iffano, I. 2009. Sistem Manajemen Keamanan Informasi. Surabaya: ITS Press.

Suhairi. 2010. Perancangan Sistem Informasi Manajemen Aset (Studi Kasus Pada PT. Ciptakridatama) : Universitas Gunadarma Jakarta. Laporan Tugas Akhir Universitas Gunadarma Jakarta.

Siagian, P. Sondang. 2001. Audit Manajemen. Jakarta: Bumi Aksara.

Tanuwijaya, H. dan Sarno, R. “Comparation of COBIT Maturity Model and Structural Equation Model for Measuring the Alignment between University Academic Regulation and Information Technology Goals”.

IJCSNS International Journal of Computer Science an Network Security, Vol.10, No.6, pp.80-91, June 2010.

Yuwono, S., Sukarno, E., dan Ichsan, M. 2006. Petunjuk Praktis Penyusunan Balanced Scorecard. Jakarta: Gramedia Pustaka Utama

Weber, R. 1999. Information System Control and Audit, The University of Queensland, Prentice Hall*