Analisis Kebijakan Keamanan, Organisasi Keamanan Informasi, Pengelolaan Aset, dan Keamanan Sumber Daya Manusia Berdasarkan ISO 27001 pada Sistem TKK PT. Pos Indonesia.

(1)

ABSTRAK

Analisis dilakukan pada Sistem Tenaga Kerja Kontrak PT. Pos Indonesia, bertujuan untuk mengetahui apakah Kebijakan Keamanan Informasi, Organisasi Keamanan Informasi, Pengelolaan Aset, dan Keamanan Sumber Daya Manusia sudah diterapkan dengan baik dan sesuai dengan ISO 27001:2005. Teori yang digunakan dalam pembahasan adalah ISO 27001:2005 dan teori GAP Analisis ISO 27001:2005. Metode yang digunakan berdasarkan proses pada ISO 27001:2005 yaitu persiapan dokumen, memberikan kuesioner awareness, memberikan kuesioner compliant, menentukan action required, memberikan komentar, dan memberikan rekomendasi perbaikan dokumen. Teknik penelitian dilakukan dengan memberikan kuesioner dan melakukan wawancara secara langsung kepada pihak PT. Pos Indonesia. Hasil analisis adalah berupa kesesuain proses saat ini dengan proses di dalam ISO 27001:2005, rekomendasi pengendalian proses agar sesuai dengan proses yang diambil dalam kegiatan analisis yaitu Kebijakan Keamanan, Organisasi Keamanan Informasi, Pengelolaan Aset, dan Keamanan Sumber Daya Manusia, serta referensi penulisan dokumen ISO 27001:2005 yaitu Policy, Procedure, Work Instruction, dan record Schedule.

Kata Kunci: ISO 27001:2005, GAP Analisis, Kebijakan Keamanan, Organisasi Keamanan Informasi, Pengelolaan Aset, Keamanan Sumber Daya Manusia

(2)

ABSTRACT

Analysis was performed on Contracted Employee system at PT. Pos Indonesia, Aiming at determining if the Information Security Policy , Organization of Information Security , Asset Management , Human Resources and Security had been implemented properly and in accordance with ISO 27001:2005. Theories applied for the study were ISO 27001:2005 and ISO 27001:2005 GAP Analysis theory. The Implemented method was based on the ISO 27001:2005’s process; document preparation, delivering awareness questionnaire, delivering compliant questionnaire, determining action required , giving comment, and providing document improvement recommendation. Study methods were conducted by questionnaire delivering and directly conducted interviews to the party of PT. Pos Indonesia. The outcomes of the analysis were, compatibility process between ISO 27001:2005 with current process and process controlling recommendations to match the process studied in analysis activities; Security Policy, Information Security Organization , Asset Management , and Human Resources Security , as well as ISO 27001:2005 document writing reference; Policy , Procedure , Work Instruction , and Schedule record .

Keywords: ISO 27001:2005, GAP Analysis, Security Policy, Organization of Information Security, Asset Management, Human Resource Security

(3)

viii

DAFTAR ISI

PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... i

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii

PRAKATA ... iv

ABSTRAK ... vi

ABSTRACT ... vii

DAFTAR ISI ... viii

DAFTAR GAMBAR ... x

DAFTAR TABEL ... xi

DAFTAR LAMPIRAN ... xiii

DAFTAR SINGKATAN ... xv

BAB 1. PENDAHULUAN ... 1

1.1 Latar Belakang Masalah ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup Kajian ... 2

1.5 Sumber Data ... 3

1.6 Sistematika Penyajian ... 4

BAB 2. KAJIAN TEORI ... 5

2.1 Pengertian Sistem, Informasi, dan Manajemen ... 5

2.2 Manajemen Keamanan Informasi ... 7

2.3 Standar Sistem Manajemen Keamanan Informasi ... 9

2.3.1 ISO/IEC 27000:2009 – ISMS Overview and Vocabulary ... 9

2.3.2 SNI ISO/IEC 27001 – Persyaratan Sistem Manajemen Keamanan Informasi ... 10

2.3.3 ISO/IEC 27005 – Information Security Risk Management ... 12

2.3.4 ISO/IEC 27006 – Requirements for Bodies Providing Audit and Certification of Information Security Management Systems ... 12

2.4 Dokumentasi Sistem Manajemen Keamanan Informasi ... 12

2.5 Detail Struktur Dokumen Kontrol Keamanan ISO 27001 ... 14

(4)

2.7 Perhitungan Skala Likert ... 28

2.7.1 Penentuan Skor Jawaban ... 28

2.7.2 Skor Ideal ... 29

2.7.3 Rating Scale ... 29

2.7.4 Persentase Persetujuan ... 30

BAB 3. ANALISIS DAN EVALUASI ... 31

3.1 Profil Perusahaan ... 31

3.2 Visi dan Misi ... 32

3.2.1 Visi ... 32

3.2.2 Misi ... 32

3.3 Struktur Organisasi ... 32

3.4 Fungsi dan Tujuan Aplikasi TKK ... 33

3.5 Tahapan Dalam Menganalisis SMKI ... 34

3.5.1 Dokumen yang dibutuhkan dalam SMKI ... 35

3.5.2 Analisis Kuesioner Awareness ... 36

3.5.3 Analisis Kuesioner Compliant ... 37

3.5.4 Analisis Action Required ... 39

3.5.5 Analisis Proses ISO 27001:2005 pada PT. Pos Indonesia ... 41

3.5.6 Evaluasi Hasil Analisis ... 72

3.5.7 Rekomendasi Pengendalian Proses ... 75

BAB 4. SIMPULAN DAN SARAN ... 79

4.1 Simpulan ... 79

4.2 Saran ... 80

(5)

DAFTAR GAMBAR

Gambar 2.1 Hubungan Antar Standar SMKI ... 9

Gambar 2.2 Struktur Dokumentasi SMKI ... 12

Gambar 2.3 Contoh GAP Analisis ... 27

Gambar 2.4 Rating Scale ... 29

Gambar 2.5 Rumus Persentase ... 30

(6)

DAFTAR TABEL

Tabel 2.1 Peta PDCA dalam SMKI ... 10

Tabel 2.2 Detail Dokumentasi ISO 27001 ... 14

Tabel 2.3 Skala Jawaban ... 28

Tabel 2.4 Rumus Skor Ideal ... 29

Tabel 2.5 Ketentuan Skala ... 30

Tabel 3.1 Kesimpulan Kuesioner Awareness ... 37

Tabel 3.2 Kesimpulan Kuesioner Compliant ... 37

Tabel 3.3 Kesimpulan Kuesioner Action Required ... 39

Tabel 3.4 Dokumentasi Kebijakan Keamanan Informasi ... 42

Tabel 3.5 Kajian Kebijakan Keamanan Informasi ... 43

Tabel 3.6 Komitmen Manajemen Terhadap Keamanan Informasi ... 45

Tabel 3.7 Koordinasi Keamanan Informasi ... 46

Tabel 3.8 Alokasi Tanggung Jawab Keamanan Informasi ... 47

Tabel 3.9 Proses Otorisasi Untuk Fasilitas Pengolahan Informasi ... 48

Tabel 3.10 Perjanjian Kerahasiaan ... 49

Tabel 3.11 Kontak Dengan Pihak Berwenang ... 50

Tabel 3.12 Kontak Dengan Kelompok Khusus ... 51

Tabel 3.13 Kajian Independen Terhadap Keamanan Informasi ... 52

Tabel 3.14 Identifikasi Resiko Terkait Pihak Eksternal ... 53

Tabel 3.15 Penekanan Keamanan Ketika Berhubungan Dengan Pelanggan55 Tabel 3.16 Penekanan Keamanan Perjanjian ... 56

Tabel 3.17 Inventaris Aset ... 57

Tabel 3.18 Kepemilikan Aset ... 58

Tabel 3.19 Penggunaan Aset Yang Dapat Diterima ... 59

Tabel 3.20 Pedoman Klasifikasi ... 60

Tabel 3.21 Pelabelan dan Penanganan Informasi ... 61

Tabel 3.22 Peran dan Tanggung Jawab ... 62

Tabel 3.23 Penyaringan (Screening) ... 64

Tabel 3.24 Syarat dan Aturan Kepegawaian ... 65

(7)

Tabel 3.26 Kepeduliaan, Pendidikan, dan Pelatihan Keamanan Informasi .. 67

Tabel 3.27 Prosedur Pendisiplinan ... 68

Tabel 3.28 Tanggung Jawab Pengakhiran Pekerjaan ... 69

Tabel 3.29 Pengembalian Aset ... 70

(8)

DAFTAR LAMPIRAN

LAMPIRAN A. SISTEM MANAJEMEN KEAMANAN INFORMASI ... 87

LAMPIRAN B. TATA CARA PENANGANAN PASSWORD ... 104

LAMPIRAN C. PENGENDALIAN HAK AKSES ... 107

LAMPIRAN D. PENERAPAN CLEAN DESK DAN CLEAR SCREEN ... 115

LAMPIRAN E. STRUKTUR ORGANISASI ... 117

LAMPIRAN F. PERJANJIAN KERAHASIAAN ... 127

LAMPIRAN G. MINUTES OF MEETING (MOM) DETAILING SALESFORCE ... 133

LAMPIRAN H. PELATIHAN PENYUSUNAN KEBIJAKAN DAN STRATEGY CYBER SECURITY NATIONAL ... 138

LAMPIRAN I. PROSEDUR, KLASIFIKASI, BACKUP, PELABELAN, DAN PENGHAPUSAN DATA ELEKTRONIK ... 144

LAMPIRAN J. SK PENGANGKATAN DAN PEMBEBASAN JABATAN .. 148

LAMPIRAN K. JUKLAK SIM ASET ... 151

LAMPIRAN L. KUESIONER AWARENESS ... 176

LAMPIRAN M. KUESIONER COMPLIANT ... 180

LAMPIRAN N. ISIAN KUESIONER AWARENESS ... 187

LAMPIRAN O. ISIAN KUESIONER COMPLIANT ... 190

LAMPIRAN P. PROFILE RESPONDEN ... 250

LAMPIRAN Q. KESIMPULAN KUESIONER ACTION REQUIRED ... 253

LAMPIRAN R. REKAPAN ISIAN KUESIONER COMPLIANT ... 255

LAMPIRAN S. WAWANCARA ... 261

LAMPIRAN T. HASIL WAWANCARA... 267

LAMPIRAN U. PENULISAN DOKUMEN POLICY ... 277

LAMPIRAN V. REFERENSI PENULISAN DOKUMEN PROCEDURE .... 282

LAMPIRAN W. REKOMENDASI PENULISAN DOKUMEN WORK INSTRUCTION ... 312

LAMPIRAN X. REFERENSI PENULISAN DOKUMEN RECORD SCHEDULE ... 322

(9)

xiv

(10)

DAFTAR SINGKATAN

CIA : Confidentially, Integrity, Availability Datakom : Data Komunikasi

EISP : Enterprise Information Security Policy

ISO : International Organization For Standarization ISMS : Information Security Management System ISSP : Issue-Spesific Security

Juklak : Petunjuk Pelaksana MOM : Minutes Of Meeting PN : Perusahaan Negara PT : Perseroan Terbatas

PTT : Post, Telegraph, and Telephone PKS : Perjanjian Kerjasama

PHL : Pekerja Harian Lepas PDCA : Plan, Do, Check, Act

PKWT : Perjanjian Kerja Untuk Waktu Tertentu Prantek : Perencana Teknologi

QY : Quality Yes SK : Surat Keputusan

SIM : Sistem Informasi Manajemen SNI : Standar Nasional Indonesia SPJ : Surat Pertanggungjawaban SSP : System-Spesific Policy

SMKI : Sistem Manajemen Keamanan Informasi TI : Teknologi Informasi

TIK : Teknologi Informasi dan Komunikasi TKK : Tenaga Kerja Kontrak

(11)

BAB 1.

PENDAHULUAN

1.1 Latar Belakang Masalah

PT. Pos Indonesia Bandung Cihapit yang terletak di Gedung Wahana Bakti Pos Jl. Banda 30 kota Bandung ini merupakan kantor pusat dari PT. Pos Indonesia untuk wilayah Bandung. PT. Pos Indonesia telah beberapa kali mengalami perubahan status mulai dari jawatan PTT (Post, Telegraph

dan Telephone), Perusahaan Negara Pos dan Telekomunikasi (PN Postel),

Perusahaan Negara Pos dan Giro (PN Pos dan Giro), Perum dan Giro, dan yang terakhir pada Juni 1995 berubah menjadi Perseroan Terbatas dengan nama PT Pos Indonesia (Persero).

Sistem yang dimiliki oleh PT. Pos Indonesia sangat banyak, salah satunya adalah Sistem TKK (Tenaga Kerja Kontrak) yang digunakan untuk mengelola data dimulai dari permintaan karyawan TKK pada masing-masing bagian di PT. Pos Indonesia, validasi surat pemerintahan, mengelola data PKS, data karyawan TKK, absensi, lembur, spj, dan gaji karyawan TKK. Sistem ini juga ditujukan agar dapat mengetahui berapa anggaran yang dikeluarkan PT. Pos Indonesia untuk membayar gaji karyawan TKK. Tenaga kerja kontrak pada PT. Pos Indonesia terdiri dari PKWT, PHL, TKPP, dan

Outsourcing. Untuk menjaga keamanan informasi dari sistem TKK yang

dimiliki oleh PT. Pos Indonesia, maka dilakukan standarisasi keamanan internasional.

Pengelolaan keamanan sistem informasi merupakan hal yang penting karena berfungsi untuk memenuhi kriteria CIA (Confidentially, Integrity, Availability). Confidentially adalah kemampuan perusahaan untuk menjaga kerahasian data perusahaan, Integrity adalah kemampuan perusahaan untuk menjaga integritas data perusahaan, dan Availabilty adalah ketersediaan

softwarer dan hardware untuk memenuhi kebutuhan sistem TKK.

Untuk menjaga keamanan sistem informasi dan memenuhi kriteria CIA , maka dengan ini akan dilakukan analisis keamanan sistem informasi berbasis ISO 27001: 2005 dengan fokus penelitian yaitu kebijakan

(12)

keamanan, organisasi keamanan informasi, pengelolaan aset dan keamanan sumberdaya manusia. ISO 27001:2005 adalah metodologi sistem keamanan informasi yang diakui secara internasional.

1.2 Rumusan Masalah

Berdasarkan data latar belakang yang telah dibahas diatas, maka rumusan masalah dalam Tugas Akhir ini adalah sebagai berikut :

1. Apakah penerapan kebijakan keamanan informasi sudah dikelola dengan baik oleh Sistem TKK PT. Pos Indonesia ?

2. Apakah keamanan informasi baik didalam maupun diluar organisasi sudah dikelola dengan baik oleh Sistem TKK PT. Pos Indonesia?

3. Apakah pengelolaan aset sudah dikelola dengan baik oleh Sistem TKK PT. Pos Indonesia?

4. Apakah keamanan sumberdaya manusia sudah dikelola dengan baik oleh Sistem TKK PT. Pos Indonesia?

1.3 Tujuan Pembahasan

Berdasarkan rumusan masalah pada bagian 1.2, maka tujuan dari Tugas Akhir ini adalah sebagai berikut :

1. Untuk mengetahui dan memahami proses dari kebijakan keamanan informasi pada Sistem TKK PT. Pos Indonesia.

2. Untuk mengetahui dan memahami pengelolaan keamanan informasi di dalam maupun diluar organisasi pada Sistem TKK PT. Pos Indonesia. 3. Untuk mengetahui dan memahami kamanan, pemeliharaan dan

perlindungan terhadap aset pada Sistem TKK PT. Pos Indonesia.

4. Untuk mengetahui dan memahami pengelolaan terhadap keamanan sumberdaya manusia pada Sistem TKK PT. Pos Indonesia.

1.4 Ruang Lingkup Kajian

Adapun ruang lingkup laporan Tugas Akhir ini adalah sebagai berikut : 1. Analisis dilakukan pada Sistem TKK PT. Pos Indonesia Cihapit Bandung.

(13)

2. Penggunaan ISO 27001: 2005 untuk memberikan kontrol keamanan informasi, yang dapat digunakan oleh perusahaan untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis perusahaan dan menjadi rekomendasi untuk perusahaan dalam melakukan perbaikan yang akan datang.

3. Menggunakan 4 kontrol yang terdapat di dalam ISO 27001:2005 a. Kebijakan Keamanan

Sasaran dalam proses ini adalah untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan kebutuhan bisnis, hukum dan peraturan.

b. Organisasi Keamanan Informasi

Sasaran dalam proses ini adalah untuk mengelola keamanan informasi dari dalam maupun luar organisasi.

c. Pengelolaan Aset

Sasaran dalam proses ini adalah untuk mencapai dan mempertahankan serta melakukan perlindungan yang tepat bagi aset organisasi.

d. Keamanan Sumberdaya Manusia

Sasaran dalam proses ini adalah untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga memahami tanggung jawab sesuai dengan perannya, dan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas.

1.5 Sumber Data

Metode penelitian yang digunakan dalam penyelesaian Tugas Akhir ini adalah :

1. Observasi

Melakukan pengamatan langsung terhadap objek yang dituju mengenai mekanisme evaulasi dan perbaikan secara berkesinambungan pada organisasi.

(14)

2. Wawancara

Berkomunikasi langsung dengan orang/pegawai di orgnaisasi yang diteliti untuk mendapatkan data dan informasi yang diperlukan dalam penelitian ini.

3. Studi Literature

Menggunakan referensi dan metode penelitian dari buku, textbook, dan e-book, serta artikel yang berkaitan dengan peneltian.

1.6 Sistematika Penyajian

Secara umum, sistematika penyajian diuraikan sebagai berikut : 1. BAB I PENDAHULUAN

Bab ini membahas mengenai latar belakang permasalahan, rumusan masalah, tujuan yang hendak dicapai, metode penelitian, dan sistematika penyajian.

2. BAB II KAJIAN TEORI

Bab ini membahas mengenai dasar atau kajian teori yang digunakan dalam penyusunan Tugas Akhir.

3. BAB III ANALISIS DAN EVALUASI

Bab ini membahas mengenai profil perusahaan, proses bisnis, dan Gap Analisis Manajemen Keamanan Informasi pada Sistem TKK di PT. Pos Indonesia Cihapit Bandung berdasarkan ISO 27001:2005.

4. BAB IV SIMPULAN DAN SARAN

Bab ini membahas mengenai kesimpulan dan saran pengembangan berdasarkan analisis dan evaluasi yang telah dibahas pada BAB III.

(15)

BAB 4.

SIMPULAN DAN SARAN

4.1 Simpulan

Simpulan yang dapat diambil dari hasil analisis berdasarkan kontrol area yang diambil dari ISO 27001:2005 yaitu kebijakan keamanan, organisasi keamanan informasi, pengelolaan aset dan keamanan sumber daya manusia yang ada pada analisis BAB III adalah sebagai berikut:

1. Divisi TI pada PT. Pos Indonesia telah memahami proses-proses dalam mengelola dokumentasi kebijakan keamanan informasi, namun belum dikaji secara utuh dalam satu dokumentasi dan belum adanya pengkajian secara regular dalam interval waktu yang terencana, pengkajian dilakukan masih secara ad-hoc atau pada waktu yang dibutuhkan saja. Dokumentasi kebijakan keamanan sudah disetujui oleh dewan direksi dan dapat memastikan kesesuaian, kecakupan, dan keefektifan tetapi belum secara efektif berjalan pada bagian divisi IT pada PT.Pos Indonesia. Hal tersebut sesuai dengan visi dan misi perusahaan untuk menyediakan layanan yang handal dan terpercaya kepada pelanggan dan seluruh pemagku kepentingan. Dengan hasil analisis diatas dapat disimpulkan bahwa GAP kesesuaian antara proses pada PT. Pos Indonesia dan proses dalam ISO 27001:2005 menyangkut Kebijakan Keamanan cukup kecil.

2. Divisi TI pada PT. Pos Indonesia telah memahami pengelolaan keamanan informasi baik di dalam maupun diluar organisasi, namun masih kurangnya perhatian terhadap identifikasi resiko terhadap perjanjian kerahasiaan dengan pihak luar. Hal tersebut sesuai dengan visi dan misi perusahaan untuk menyediakan layanan yang handal dan terpercaya kepada pelanggan dan seluruh pemagku kepentingan. Dengan hasil analisis diatas dapat disimpulkan bahwa GAP kesesuaian antara proses pada PT. Pos Indonesia dan proses dalam ISO 27001:2005 menyangkut Organisasi Keamanan Informasi cukup kecil.

(16)

3. Divisi TI pada PT. Pos Indonesia telah memahami pengelolaan dan pemeliharaan aset serta memberikan perlindungan yang tepat terhadap aset di dalam organisasi, namun penerapannya masih kurang efektif karena belum adanya penilaian terhadap aset-aset organisasi. Hal tersebut sesuai dengan visi dan misi perusahaan untuk menyediakan layanan yang handal dan terpercaya kepada pelanggan dan seluruh pemagku kepentingan. Dengan hasil analisis diatas dapat disimpulkan bahwa GAP kesesuaian antara proses pada PT. Pos Indonesia dan proses dalam ISO 27001:2005 menyangkut Pengelolaan Aset Informasi sangat kecil sehingga perbaikan atau perubahan pada proses ini bisa dilakukan paling akhir.

4. Divisi TI pada PT. Pos Indonesia telah memahami pengelolaan sumber daya manusia baik sebelum dipekerjakan, selama bekerja maupun telah berakhir atau terjadi perubahan pekerjaan di dalam organisasi, namun kurang efektif karena kurangnya kepedulian terhadap keamanan informasi. Hal tersebut sesuai dengan visi dan misi perusahaan untuk menyediakan layanan yang handal dan terpercaya kepada pelanggan dan seluruh pemagku kepentingan. Dengan hasil analisis diatas dapat disimpulkan bahwa GAP kesesuaian antara proses pada PT. Pos Indonesia dan proses dalam ISO 27001:2005 menyangkut Keamanan Sumber Daya Manusia cukup besar sehingga kepentingan untuk melakukan perbaikan atau perubahan perlu dilakukan terlebih dahulu pada proses ini.

4.2 Saran

Penerapan SMKI (Sistem Manajemen Keamanan Informasi) pada PT. Pos Indonesia dapat mengacu pada persyaratan standarisasi sesuai dengan ketentuan pada SMKI ISO 27001:2005 sebagai implementasinya. Untuk itu aspek keamanan harus memenuhi kriteria CIA (confidentially, integrity,

availability). Untuk mencapai aspek tersebut maka perlu diperhatikan

(17)

pemahaman tentang dampak, ancaman dan vulnerabilitas pada PT. Pos Indonesia. Kontrol pada pada pokok masalah yang diambil adalah kebijakan keamanan, organisasi keamanan informasi, pengelolaan aset dan keamanan sumber daya manusia. Berikut ini adalah saran dari hasil analisis yang dilakukan pada BAB 3. Referensi penulisan dokumen ISO 27001:2005 dapat dilihat pada lampiran U untuk Policy, lampiran V untuk Procedure, lampiran W untuk Work Instruction, dan lampiran X untuk Record Schedule.

1. Pembuatan dokumen SMKI ini bersifat strategis yang memuat komitmen yang dituangkan dalam bentuk kebijakan, standar, sasaran dan rencana terkait pengembangan (development), penerapan (implementation), dan peningkatan (improvement) sistem manajemen keamanan informasi. Berikut ini adalah dokumen yang sesuai dengan kontrol yang diambil:

A. Security Policy (Doc 5.1)

B. Internet Acceptable Usage Policy (Doc 7.2)

2. Pembuatan prosedur dan panduan ini dikembangkan secara internal oleh PT. Pos Indonesia sebagai penyelenggara publik dan memuat cara menerapkan kebijakan yang telah ditetapkan serta menjelaskan penanggung jawab kegiatan. Dokumen ini bersifat operasional. Berikut ini adalah dokumen yang sesuai dengan kontrol yang diambil :

A. Management Review Of The Information Security Policy (Doc 5.2)

B. Information Security Committee (Doc 6.1) C. Information Security Co-Ordination (Doc 6.2)

D. Authorizing New Information Processing Facilities (Doc

6.4)

E. Confidentiality Agreements (Doc 6.5)

F. Internal Independent Review Procedure (Doc 6.7) G. External Parties (Doc 6.8)

H. Inventory And Ownership Of Assets (Doc 7.1) I. Rules For Use Of E-Mail (Doc 7.3)

(18)

J. Information Security Classification Guideliness (Doc 7.6) K. Telecommunications Procedure (Doc 7.11)

L. Personel Screening Procedure (Doc 8.1)

3. Pembuatan dokumen petunjuk teknis, instruksi kerja dan formulir yang digunakan untuk mendukung pelaksanaan prosedur tertentu sampai ke tingkatan teknis.

4. Dokumen Record Schedule berisi bukti objektif yang menunjukan seberapa baik kegiatan yang dilakukan atau apa hasil benar-benar tercapai.

(19)

DAFTAR PUSTAKA

[1] A. Susanto, dalam Sistem Informasi Manajemen Konsep dan

Pengembangannya, Bandung, Lingga Jaya, 2000, p. 19.

[2] J. Hartono, dalam Pengenalan Komputer, Yogyakarta, Andi Offset, 2000, p. 683.

[3] E. Sutanta, dalam Sistem Informasi Manajemen, Yogyakarta, Graha Ilmu, 2003, p. 4.

[4] E. Sutanta, dalam Sistem Informasi Manajemen, Yogyakarta, Graha Ilmu, 2003, p. 10.

[5] J. Hartono, dalam Pengenalan Komputer, Yogyakarta, Andi Offset, 2000, p. 692.

[6] E. Sutanta, dalam Sistem Informasi Manajemen, Yogyakarta, Graha Ilmu, 2003, p. 17.

[7] A. Susanto, dalam Sistem Informasi Manajemen Konsep dan

Pengembangannya, Bandung, Lingga Jaya, 2000, p. 18.

[8] B. Rahardjo, Keamanan Sistem Informasi Berbasis Internet, Bandung: PT. Insan Infonesia, 2006.

[9] B. S. Nasional, Teknologi Informasi - Teknik Keamanan - Sistem Manajemen Keamanan Informasi- Persyaratan, 2009.

[10] 27001, ISO/IEC, ISO27002 Gap Analysis & Audit Tool, Geneva: Governance Ltd, 2005.

[11] Sugiono, dalam Metode Penelitian Kuantitaif, Kualitatif, dan R&D, Bandung, Alfabeta, 2012, p. 93.

[12] Sugiono, dalam Metode Penelitian Kuantitatif, Kualitatif, dan R&D, Bandung, Alfabeta, 2012, p. 94.

[13] Sugiono, Metode Penelitian Kuantitatif, Kualitatif, dan R&D, Bandung: Alfabeta, 2012.

(20)

[14] Sugiono, dalam Metode Penelitian Kuantitatif, Kualitatif, dan R&D, Bandung, Alfabeta, 2012, p. 95.

[15] [Online]. Available: http://www.posindonesia.co.id/index.php/profil-perusahaan/sejarah-pos. [Diakses 15 March 2013].

[16] [Online]. Available: http://www.posindonesia.co.id/index.php/profil-perusahaan/visi-misi-dan-moto. [Diakses 15 March 2013].

[17] 27001, ISO/IEC, Checklist Template 2005 - Rec 8.2a - Termination HR v1.2, Geneva: Governance Ltd, 2005.

[18] 27001, ISO/IEC, ISMS Documentation Toolkit - Contents and Change History v6, Geneva: Governance Ltd, 2005.

[19] 27001, ISO/IEC, Policy Template - Doc 5.1 v1.2, Geneva: Governance Ltd, 2005.

[20] 27001, ISO/IEC, Policy Template 2005 - Doc 7.2 - IAUP v1.1, Geneva: Governance Ltd, 2005.

[21] 27001, ISO/IEC, Procedure Template 2005 - Doc 5.1 - Management Reviews v1.2, Geneva: Governance Ltd, 2005.

[22] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.1 - Informations Security Committee v1.1, Geneva: Governance Ltd, 2005.

[23] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.2 - Informations Security Cordination v1.1, Geneva: Governance Ltd, 2005.

[24] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.4 - Authorization Of Facilities v1.1, Geneva: Governance Ltd, 2005.

[25] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.5 - Confidentiality v2.1, Geneva: Governance Ltd, 2005.

[26] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.7 - Independent Review v1.1, Geneva: Governance Ltd, 2005.

[27] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.8 - External Parties v1.1, Geneva: Governance Ltd, 2005.

(21)

v1.1, Geneva: Governance Ltd, 2005.

[29] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.11 - Telecommunications v1.1, Geneva: Governance.Ltd, 2005.

[30] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.3 - E-mail Rules v1.1, Geneva: Governance Ltd, 2005.

[31] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.6 - Classifications v1.1, Geneva: Governance Ltd, 2005.

[32] 27001, ISO/IEC, Procedure Template 2005 - Doc 8.1 - Screening v1.1, Geneva: Governance Ltd, 2005.

[33] 27001, ISO/IEC, Schdule Template 2005 - Rec 7.1B - Software Log, Geneva: Governance Ltd, 2005.

[34] 27001, ISO/IEC, Schedule Template 2005 - Rec 6.6A - Authorities and Key Suplliers, Geneva: Governance Ltd, 2005.

[35] 27001, ISO/IEC, Schedule Template 2005 - Rec 7.1A - Hardware Assets, Geneva: Governance Ltd, 2005.

[36] 27001, ISO/IEC, Schedule Template 2005 - Rec 7.1C - Information Asset Database v1.2, Geneva: Governance Ltd, 2005.

[37] 27001, ISO/IEC, Schedule Template 2005 - Rec 7.1D - Intangible Assets Database v1.2, Geneva: Governance Ltd, 2005.

[38] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 6.6 - Contact with Authorities v1.1, Geneva: Governance Ltd, 2005.

[39] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.10 - Photocopiers v1.1, Geneva: Governance Ltd, 2005.

[40] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.4 - Surf Control v1.1, Geneva: Governance Ltd, 2005.

[41] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.5 - Mailbox Size Limits v1.1, Geneva: Governance Ltd, 2005.

[42] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.7 - Mail Authorities v1.1, Geneva: Governance Ltd, 2005.

(22)

[43] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.8 - Voice Mail v1.1, Geneva: Governance Ltd, 2005.

[44] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.9 - Fax Machines v1.2, Geneva: Governance Ltd, 2005.

[45] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 8.3 - Employee Termination v1.1, Geneva: Governance Ltd, 2005.

[46] 27001, ISO/IEC, Policies and procedures diagram v2, Geneva: Governance Ltd, 2005.

(1)