AUDIT KEAMANAN SISTEM INFORMASI

MANAJEMEN RUMAH SAKIT BERDASARKAN ISO

27002:2005 PADA RUMAH SAKIT ISLAM

JEMURSARI

TUGAS AKHIR

Program Studi S1 Sistem Informasi

Oleh:

Alfian Noor Rahman 12410100018

FAKULTAS TEKNOLOGI DAN INFORMATIKA

INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA 2016

1 BAB I PENDAHULUAN

1.1. Latar Belakang

Rumah Sakit Islam (RSI) Jemursari adalah sebuah rumah sakit yang berada di jalan Jemursari nomor 51-57 dan berada di bawah Yayasan Rumah Sakit Islam Surabaya yang mengawali oprasionalnya pada 22 Mei 2002. Rumah Sakit Islam Jemursari merupakan salah satu perusahaan yang bergerak dibidang jasa pelayanan kesehatan terhadap masyarakat. Pada akhir tahun 2013 Rumah Sakit Islam Jemursari mendapatkan predikat rumah sakit bertipe B oleh Kementrian Kesehatan Republik Indonesia. Tujuan RSI Jemursari adalah terwujudnya pelayanan kesehatan yang prima dan islami menuju standar pelayanan mutu internasional.

Rumah Sakit Islam Jemursari mempunyai visi untuk menjadi rumah sakit dengan standar internasional, sehingga dalam mencapai visi tersebut, RSI Jemursari mempunyai salah satu misi yaitu menyediakan sarana dan prasarana rumah sakit untuk mewujudkan implementasi pelayanan berstandar internasional. Sarana dan prasarana yang dimaksud salah satunya penerapan teknologi informasi yang terintegritas oleh semua pelayanan yang ada di dalam RSI Jemursari.

Rumah Sakit Islam Jemursari telah menerapkan Sistem Informasi Manajemen Rumah Sakit (SIM-RS) pada tahun 2008 yang sudah terintegrasi oleh bagian-bagian rumah sakit mulai dari layanan penerimaan pasien, pelayanan rawat inap, pelayanan rawat jalan, pelayanan poli, rekam medik, apotek hingga pelayanan administrasi. Penerapan SIM-RS sempat vakum beberapa saat antara tahun

2008-2011 karena pegawai rumah sakit di beberapa bagian tidak mau menggunakan SIM-RS tersebut karena pegawai menganggap SIM-SIM-RS memperlambat mereka dalam melayani pasien. Pemerintah menetapkan melalui kementerian kesehatan, SIM-RS harus diterapkan pada setiap rumah sakit yang ada dalam naungan Kementerian Kesehatan Republik Indonesia. Dengan mengacu pada standar dari peraturan Kementrian Kesehatan nomor 84 tahun 2013 tentang Sistem Informasi Manajemen Rumah Sakit, penerapan SIM-RS mulai difungsikan kembali di RSI Jemursari. Hal ini dapat dilihat dari penambahan beberapa server untuk pasien Badan Penyelanggara Jaminan Sosial (BPJS).

Dalam praktik penerapan SIM-RS telah terjadi beberapa permasalahan antara lain sering terjadinya kebocoran informasi pada karyawan yang tidak berhak atas informasi tersebut. Selain itu masih banyak karyawan yang membiarkan unit komputernya menyala pada saat meninggalkan atau saat sedang jam istirahat. Masalah lain adalah masih banyak karyawan yang tidak mengubah password dan ada karyawan lain yang mengetahui password dari karyawan lainnya. Hal tersebut berisiko penyalahgunaan hak akses oleh karyawan yang tidak berkepentingan dan bisa merambat untuk penyalahgunaan informasi yang merugikan pihak RSI Jemursari.

Permasalahan yang lain adalah sering ditemukan kerusakan peralatan pendukung sistem informasi seperti perangkat jaringan misal kabel LAN (Local Area Network) dan Router karena dirusak oleh binatang. Selain itu ada kerusakan alat yang disebabkan oleh air, hal ini dikarenakan alat-alat tersebut tidak mempunyai perlindungan perangkat kemamanan yang ada ataupun belum ditempatkan pada tempat yang memenuhi standart keamanan SIM-RS dari

peraturan pemerintah. Hal tersebut bisa berakibat kegagalan dalam pemrosesan data, pencurian data yang bisa merambat kehilangan data. Selain itu, hal tersebut juga bertantangan dengan peraturan kementerian kesehatan nomor 82 tahun 2013 pasal 7 tentang keamanan SIM-RS, aspek yang harus dilindungi dalam SIM-RS ada tiga hal, yaitu: keamanan fisik, keamanan jaringan dan keamanan aplikasi.

Sampai sejauh ini, RSI Jemursari belum pernah melakukan audit terkait terjadinya permasalahan tersebut dan RSI Jemursari tidak mengetahui sampai dimana tingkat keamanan sistem informasinya. Untuk mengetahui permasalahan RSI Jemursari dibutuhkan untuk melakukan audit keamanan sistem informasi untuk mengetahui penyebab terjadinya permasalahan yang terjadi. Keamanan informasi yang ditujukan untuk menjaga aspek kerahasiaan (Confidentiality), keutuhan (Integrity), dan ketersediaan (Availability) dari informasi (ISO/IEC 27002, 2005). Menurut Tanuwijaya dan Sarno (2010) agar audit keamanan sistem informasi berjalan dengan baik, maka diperlukan suatu standar untuk melakukan audit keamanan sistem informasi. Standar audit yang digunakan mengacu pada Information Sistems Audit and Control Association (ISACA) dengan standar best practice International Standard Organization ISO 27002 (2005) yang diterbitkan oleh International Electhronical Commission. Standar ISO 27002 adalah standar keamanan informasi yang merupakan best practice atau panduan umum yang menjelaskan adanya contoh penerapan keamanan informasi dengan menggunakan bentuk kontrol sehingga dapat mencapai sasaran yang diterapkan. Selain itu pemilihan standar ISO telah disetujui oleh pihak RSI Jemursari sendiri. Salah satu alasan RSI Jemursari memilih standart ISO 27002 adalah karena RSI Jemursari sudah menggunakan dan menerapkan standar ISO 9001: 2008 tentang manajemen

mutu. Alasan yang lain menurut Sarno dan Iffanto (2009) adalah ISO 27002 menyediakan sertifikat implementasi Manajemen Keamanan Sistem Informasi (MKSI) yang diakui secara internasional yaitu Information Security Management Sistem (ISMS) certification.

Berdasarkan permasalahan yang terjadi di RSI Jemursari, maka dapat ditentukan ruang lingkup permasalahan dengan penentuan beberapa klausul. Klausul yang dipilih dalam audit keamanan sistem informasi ini adalah keamanan sumber daya manusia (klausul 8), keamanan fisik dan lingkungan (klausul 9), kontrol akses (klausul 11), akuisi sistem informasi, pengembangan dan pemeliharaan (klausul 12) yang telah sesuai dengan kesepakatan dengan RSI Jemursari.

Dengan dilakukannya audit keamanan informasi pada Rumah Sakit Islam Jemursari diharapkan dapat mengetahui dan menghitung tingkat keamanan sistem informasi yang ada dan memberikan rekomendasi tentang keamanan SIM-RS yang dimiliki RSI jemursari. Harapan dari hasil audit ini dapat menjadi rekomendasi yang dapat digunakan untuk meningkatkan keamanan sistem informasi yang ada pada Rumah Sakit Islam Jemursari serta menjadi acuan untuk mendapatkan ISMS certification dengan standar ISO 27002:2005.

1.2. Perumusan Masalah

Berdasarkan penjelasan pada latar belakang, maka perumusan masalah yang didapat sebagai berikut:

1. Bagaimana melakukan audit keamanan sistem informasi manajemen rumah sakit (SIM-RS) pada Rumah Sakit Islam Jemursari berdasarkan ISO 27002:2005.

2. Bagaimana menyusun hasil audit keamanan sistem informasi manajemen rumah sakit (SIM-RS) yang berisi temuan dan rekomendasi pada Rumah Sakit Islam Jemursari berdasarkan ISO 27002:2005.

1.3. Batasan Masalah

Berdasarkan perumusan masalah tersebut batasan masalah dalam pengerjaan tugas akhir ini adalah sebagai berikut:

1. Sistem informasi yang diaudit adalah Sistem Informasi Rumah Sakit (SIM-RS).

2. Audit hanya dilakukan pada Rumah Sakit Islam Jemursari yang berada di jalan Jemursari nomor 51-57 Surabaya.

3. Klausul ISO 27002:2005 yang digunakan sesuai kesepakatan dengan pimpinan Manajemen RSI Jemursari yaitu:

a. Klausul 8: Keamanan Sumber Daya Manusia. b. Klausul 9: Keamanan Fisik dan Lingkungan. c. Klausul 11: Kontrol Akses.

d. Klausul 12: Akusisi Sistem Informasi, Pembangunan, Pemeliharaan. 4. Tahapan audit yang digunakan adalah tahapan David Cannon yang mengacu

pada ISACA 2010.

1.4. Tujuan

Berdasarkan perumusan masalah yang ada, maka tujuan yang ingin dicapai dalam penelitian ini adalah sebagai berikut:

1. Melaksanakan Audit Keamanan Sistem Informasi Manajemen Rumah Sakit (SIM-RS) pada Rumah Sakit Islam Jemursari Berdasarkan Standar ISO 27002:2005 dengan menganalisa hasil wawancara berupa bukti, dan temuan-temuan audit sehingga dapat mengukur maturity level.

2. Menyusun hasil Audit Keamanan Sistem Informasi Manajemen Rumah Sakit pada Rumah Sakit Islam Jemursari berdasarkan standar ISO 27002:2005 dengan melakukan analisa dan evaluasi dari bukti-bukti dan temuan-temuan yang ada sehingga akan didapatkan laporan hasil audit berupa temuan-temuan dan rekomendasi.

1.5. Sistematika Penulisan

Dalam penyusunan Tugas Akhir ini secara sistematika diatur dan disusun dalam 5 (lima) bab, yaitu:

BAB I :PENDAHULUAN

Pada bab ini membahas tentang latar belakang, perumusan masalah, batasan masalah, dan tujuan dari pembuatan tugas akhir dengan sistematika penulisan buku laporan.

BAB II :LANDASAN TEORI

Pada bab ini membahas mengenai penjelasan tentang rumah sakit, sistem informasi, sistem informasi manajemen rumah sakit, audit,

audit sistem informasi, keamanan sistem informasi, audit kemanan sistem informasi, tahapan audit, standar sistem keamanan sistem informasi, dan tingkat kedewasaan (Maturity Level).

BAB III :METODE PENELITIAN

Pada bab ini berisi uraian tentang RSI Jemursari serta penjelasan mengenai langkah-langkah yang dilakukan dalam melaksanakan audit keamanan sistem informasi yang meliputi penentuan ruang lingkup, tujuan audit, pengumpulan bukti, penilaian maturity lavel hingga penyusunan rekomendasi untuk kemudian disusun menjadi laporan akhir dari hasil audit keamanan sistem informasi.

BAB IV :HASIL DAN PEMBAHASAN

Pada bab ini membahas tentang hasil pelaksanaan audit keamanan sistem informasi berdasarkan tahapan audit hingga hasil temuan dan rekomendasi dari kegiatan audit keamanan sistem informasi di RSI Jemursari.

BAB V :PENUTUP

Berisi kesimpulan dari tugas akhir, serta saran sehubungan dengan adanya kemungkinan pengembangan sistem pada masa yang akan datang.

8 BAB II

LANDASAN TEORI

2.1. Rumah Sakit

Rumah sakit merupakan sebuah institusi yang fungsi utamanya memberikan pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan upaya kesehatan secara berdaya guna dan berhasil guna dengan mengutamakan upaya penyembuhan dan pemulihan yang dilaksanakan secara serasi dan terpadu dengan peningkatan dan pencegahan serta melaksanakan rujukan. Untuk dapat menyelenggarakan upaya-upaya tersebut dan mengelola rumah sakit agar tetap dapat memenuhi kebutuhan pasien dan masyarakat yang dinamis, maka setiap komponen yang ada di rumah sakit harus terintegrasi dalam satu sistem (Soejitno, 2002)

Menurut Depkes RI (1992) berdasarkan pembedaan tingkatan menurut kemampuan unsur pelayanan kesehatan yang dapat disediakan, ketenagaan, fisik dan peralatan, maka rumah sakit umum pemerintah pusat dan daerah diklasifikasikan menjadi:

1. Rumah Sakit Umum Kelas A adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis spesialistik luas dan subspesialistik luas.

2. Rumah Sakit Umum Kelas B adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis sekurang-kurangnya 11 spesialistik luas dan subspesialistik terbatas.

3. Rumah Sakit Umum Kelas C adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis spesialistik dasar.

4. Rumah Sakit Umum Kelas D adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis dasar.

2.2. Sistem Informasi

Menurut Al-Bahra Bin Ladjamudin dalam bukunya yang berjudul Analisis & Desain Sistem Informasi (2005: 13), menyebutkan sistem informasi dapat didefinisikan sebagai berikut:

a. Suatu sistem yang dibuat oleh manusia yang terdiri dari komponen-komponen dalam organisasi untuk mencapai suatu tujuan yaitu menyajikan informasi.

b. Sekumpulan prosedur organisasi yang pada saat dilaksanakan akan memberikan informasi bagi pengambil keputusan dan/atau untuk mengendalikan organisasi.

Berdasarkan definisi sistem informasi tersebut, menurut Kristanto (2003:15-16) peranan sistem informasi dalam bisnis, antara lain:

1. Mendukung operasi bisnis.

2. Mendukung dalam pengambilan keputusan manajerial. 3. Meraih keuntungan strategik.

Sistem informasi memberikan nilai tambah terhadap proses produksi, kualitas, manajemen, pengambilan keputusan, dan pemecahan masalah serta keunggulan kompetitif yang tentu saja sangat berguna bagi kegiatan bisnis (Kroenke dalam Kadir, 2003:5).

2.3. Sistem Informasi Manajemen Rumah Sakit (SIM-RS)

Menurut peraturan menteri kesehatan nomor 82 Tahun 2013 sistem informasi manajemen rumah sakit yang selanjutnya disingkat SIM-RS adalah suatu sistem teknologi informasi komunikasi yang memproses dan mengintegrasikan seluruh alur proses pelayanan rumah sakit dalam bentuk jaringan koordinasi, pelaporan dan prosedur administrasi untuk memperoleh informasi secara tepat dan akurat, dan merupakan bagian dari sistem informasi kesehatan. Pelaksanaan pengelolaan dan pengembangan SIM-RS harus mampu meningkatkan dan mendukung proses pelayanan kesehatan di rumah sakit yang meliputi:

a. Kecepatan, akurasi, integrasi, peningkatan pelayanan, peningkatan efisiensi, kemudahan pelaporan dalam pelaksanaan operasional.

b. Kecepatan mengambil keputusan, akurasi dan kecepatan identifikasi masalah dan kemudahan dalam penyusunan strategi dalam pelaksanaan manajerial.

c. Budaya kerja, transparansi, koordinasi antar unit, pemahaman sistem dan pengurangan biaya administrasi dalam pelaksanaan organisasi.

2.4. Audit

Menurut Canon (2011) audit merupakan suatu proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara objektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang diterapkan. Sedangkan tujuan audit adalah untuk memberikan suatu Gambaran kondisi tertentu yang terjadi di

organisasi dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi.

2.5. Audit Sistem Informasi

Audit Sistem Informasi adalah suatu proses untuk mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan apakah sistem teknologi informasi yang digunakan mampu melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu tercapainya tujuan organisasi secara efektif, serta dapet menggunakan sumber daya yang dimiliki secara efisien (Weber, 1999).

Beberapa elemen utama (Weber, 1999) tinjauan penting dalam audit sistem informasi dapat diklasifikasikan sebagai berikut:

1. Tinjauan terkait fisik dan lingkungan, yaitu: suatu hal yang terkait dengan keamanan fisik, suplai sumber daya, temperature, kontrol kelembaban ruanganan, kualitas gedung, risiko bencana alam dan faktor lingkungan lain. 2. Tinjauan administrasi sistem, yaitu: mencakup tinjauan keamanan sistem

operasi, sistem manajemen database, seluruh prosedur administrasi sistem serta prosedur pelaksanaanya.

3. Tinjauan perangkat lunak, yaitu: perangkat lunak yang dimaksud adalah perangkat lunak untuk tujuan bisnis. Mencakup kontrol akses dan otorisasi ke dalam sistem, validasi dan penanganan kesalahan termasuk pengecualian dalam sistem serta aliran proses bisnis dalam perangkat lunak beserta kontrol secara manual dan prosedur penggunaannya. Sebagai tambahan, tinjauan juga perlu dilakukan terhadap siklus hidup pengembangan sistem.

4. Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan eksternal yang terhubung ke dalam sistem dalam suatu organisasi, batasan tingkat keamanan, tinjuan terhadap firewall, daftar kontrol akses router, port scanning serta pendeteksian akan gangguan maupun ancaman terhadap sistem dalam suatu organisasi.

5. Tinjauan kontinuitas bisnis dengan memastikan ketersediaan prosedur backup dan penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi pemulihan bencana atau kontinuitas bisnis yang dimiliki.

6. Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol serta dampak dari kurangnya kontrol yang diterapkan.

2.6. Keamanan Informasi

Menurut Sarno dan Iffano (2009) keamanan informasi adalah suatu penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya memastikan atau menjamin keberlangsungan bisnis (business continuity), meminimasi risiko bisnis (reduce business risk), dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis. Contoh kemanan informasi menurut (Sarno dan Iffano, 2009) adalah:

1. Physical Security adalah keamanan informasi yang memfokuskan pada strategi untuk mengamankan individu atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

2. adalah keamanan informasi yang berhubungan dengan keamanan personil. Biasanya saling berhubungan dengan ruang lingkup ‘Physical Security’.

3. Operation Security adalah keamanan informasi yang membahas bagaimana strategi suatu organisasi untuk mengamankan kemampuan organisasi tersebut agar beroperasi tanpa gangguan.

4. Communications Security adalah keamanan informasi yang bertujuan mengamankan media komunikasi, teknologi komunikasi, serta apa yang ada di dalamnya. Serta kemampuan untuk memanfaatkan media dan teknologi komunikasi untuk mencapai tujuan organisasi.

5. Network Security adalah keamanan informasi yang memfokuskan pada bagaimana pengamanan peralatan jaringan, data organisasi, jaringannya, dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Aspek keamanan informasi meliputi tiga hal, yaitu: Confidentiality, Integrity, dan Availability (CIA). Aspek tersebut dapat dilihat pada Gambar 2.1 yang lebih lanjut akan dijelaskan sebagai berikut:

Gambar 2.1 Aspek Keamanan Informasi (Sumber: Sarno dan Iffano, 2009)

a. : keamanan informasi seharusnya menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu.

b. Integrity: keamanan informasi seharusnya menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkan perubahan informasi dari aslinya.

c. Availability: keamanan informasi seharusnya menjamin pengguna dapat mengakses informasi kapanpun tanpa adanya gangguan dan tidak dalam format yang bisa digunakan. Pengguna dalam hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses suatu informasi.

2.7. Audit Keamanan Sistem Informasi

Menurut Ahmad (2012) audit keamanan sistem informasi adalah suatu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua keadaan dari perlindungan yang ada dan untuk melakukan verifikasi apakah perlindungan yang ada berjalan dengan baik dan benar.

Adapun tujuan utama audit keamanan sistem informasi adalah memberikan perlindungan sesuai dengan suatu kebijakan dan standar keamanan yang ada serta melakukan verifikasi apakah perlindungan sudah berjalan dengan baik. Oleh karena itu, suatu hal yang penting untuk memahami dan mengimplementasikan audit keamanan pada sistem informasi yang digunakan. Penerapan audit keamanan sistem informasi dimaksudkan untuk mengatasi segala masalah dan kendala baik secara teknis maupun non teknis dalam suatu sistem teknologi informasi dalam sebuah organisasi.

2.8. Tahapan Audit

Sebelum mengetahui tahapan dari audit maka terlebih dahulu harus mengenal mengenai auditor dan auditee. Menurut Haryono (2001) auditor adalah orang yang melakukan audit untuk mendapatkan bukti yang akurat sesuai dengan yang telah ditetapkan dan melaporkan hasilnya kepada para pihak yang berkepentingan. Sedangkan auditee adalah seseorang yang diaudit atau diperiksa oleh auditor untuk mendapatkan informasi yang dibutuhkan dalam upaya untuk mencapai tujuan yang diinginkan.

Dalam melaksanakan audit, ada banyak berbagai macam versi dalam menjalankan tahapan audit, salah satunya tahapan dari David Cannon yang mengacu ISACA. Menurut Cannon (2010) terdapat sepuluh tahapan yang harus dilakukan dalam proses audit, yaitu: 1. Membuat dan mendapatkan surat persetujuan audit, 2. Perencanaan audit, 3. Analisis risiko, 4. Persiapan audit, 5. Pelaksanaan audit, 6. Pengumpulan bukti dan temuan, 7. Tes audit, 8. Pemeriksaaan hasil audit, 9. Pelaporan audit, 10. Pertemuan penutup, lebih jelasnya dapat dilihat pada Gambar 2.2.

Gambar 2.2 Tahapan-tahapan Audit Teknologi Informasi (Sumber: Cannon, 2011)

2.9. Standar Sistem Keamanan Manajemen Informasi

Sejak tahun 2005 International Organization Standardization (ISO) atau organisasi internasional untuk standarisasi telah mengembangkan sejumlah standar tentang Information Security Management System (ISMS). Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:

a. ISO/IEC 27000: 2009 – ISMS Overview and Vocabulary

Dokumen definisi-definisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.

b. ISO/IEC 27001: 2005 – ISMS Requirement

Berisi persyaratan standar yang harus dipenuhi untuk membangun SMKI. c. ISO/IEC 27002: 2005 – Code of Practice for ISMS

Terkait dengan dokumen ISO 27001, namun dalam dokumen ini berisi panduan praktis (code of practice)teknik keamanan informasi.

Berisi matriks dan metode pengukuran keberhasilan implementasi SMKI. e. ISO/IEC 27004: 2009 – ISMS Measuements

Berisi matriks dan metode pengukuran keberhasilan implementasi SMKI. f. ISO/IEC 27005: 2008 – Information Security Risk Management

Dokumen panduan pelaksanaan manajemen risiko.

g. ISO/IEC 27006: 2007 – ISMS Certification Body Requiements Dokumen panduan untuk sertifikasi SMKI perusahaan. h. ISO/IEC 27007 – Guidelines for ISMS Auditing

Dokumen panduan audit SMKI perusahaan.

Adapun penjelasan dari standar ISMS tersebut dijelaskan sebagai berikut: a. ISO/IEC 27000:2009 – ISMS Overview and Vocabulary

Standar ini dirilis tahun 2009, memuat prinsip-prinsip dasar Information Security Management Sistem, definisi sejumlah istilah penting dan hubungan antar standar dalam keluarga SMKI, baik yang telah diterbitkan maupun sedang tahap pengembangan. Hubungan antar standar keluarga ISO 27000 dapat dilihat pada Gambar 2.3

(Sumber: Direktorat Keamanan Informasi, 2011)

Dari standar seri ISO 27000 hingga September 2011 baru ISO/IEC 27001: 2005 yang telah diadopsi Badan Standardisasi Nasional (BSN) sebagai Standar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI ISO/IEC 27001: 2009.

b. ISO/IEC 27001:2005 – ISMS Requirement

ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi masyarakat penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.

Standar ini dikembangkan dengan pendekatan proses sebagai suatu model bagi penetapan, penerapan, pengoperasian, pemantauan, tinjau ulang (review), pemeliharaan dan peningkatan suatu SMKI. Model PLAN–DO–CHECK–ACT (PDCA) diterapkan terhadap struktur keseluruhan proses SMKI. Dalam model PDCA (ISO/IEC 27002, 2005) – Code of Practice for ISMS).

c. ISO/IEC 27002: 2005 – Code of Practice for ISMS

ISO IEC 17799 tahun 2005, resmi dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara resmi diubah menjadi ISO IEC 27002 tahun 2005. Konten tersebut masih persis sama. Standar ISO IEC

17799:2005 (sekarang dikenal sebagai ISO IEC 27002:2005) dikembangkan oleh IT Security Subcommittee (SC 27) dan Technical Committee on Information Technology (ISO/IEC JTC 1) (ISO 27002, 2005).

d. ISO/IEC 27003: 2010 – ISMS Implementation Guidance

Tujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagi perancangandan penerapan SMKI agar memenuhi persyaratan ISO 27001. Standar ini menjelaskan proses pembangunan SMKI meliputi pengarsipan, perancangan dan penyusunan atau pengembangan SMKI yang diGambarkan sebagai suatu kegiatan proyek.

e. ISO/IEC 27004: 2009 – ISMS Measuements

Standar ini menyediakan penyusunan dan penggunaan teknik pengukuran untuk mengkaji efektivitas penerapan SMKI dan kontrol sebagaimana disyaratkan ISO/IEC 27001. Standar ini juga membantu organisasi dalam mengukur ketercapaian sasaran keamanan yang ditetapkan.

f. ISO/IEC 27005: 2008 – Information Security Risk Management

Standar ini menyediakan panduan bagi kegiatan manajemen risiko keamanan informasi dalam suatu organisasi, khususnya dalam rangka mendukung persyaratan-persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001. Standar ini diterbitkan pada bulan Juni 2008.

g. ISO/IEC 27006: 2007 – ISMS Certification Body Requiements

Standar ini menetapkan persyaratan dan memberikan panduan bagi organisasi yang memiliki kewenangan untuk melakukan audit dan sertifikasi SMKI. Standar ini utamanya dimaksudkan untuk mendukung porses akreditasi

badan sertifikasi ISO/IEC 27001 oleh komite akreditasi dari negara masing-masing.

h. ISO/IEC 27007 – Guidelines for ISMS Auditing

Standar ini memaparkan panduan bagaimana melakukan audit SMKI perusahaan.

2.10. ISO/IEC 27002:2005

ISO 27002:2005 berisi panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan seluruhnya mencakup 12 kontrol area, 41 kontrol objektif, dan 133 kontrol sebagaimana ditetapkan dalam ISO/IEC 27001, dapat dilihat pada Tabel 2.1.

ISO 27002:2005 tidak mengharuskan bentuk-bentuk kontrol tertentu menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang tepat sesuai kebutuhannya, dengan mempertimbangkan hasil kajian risiko yang telah dilakukannya (Direktorat Keamanan Informasi, 2011).

Tabel 2. 1 Ringkasan Jumlah Klausul Kontrol Keamanan, Obyektif Kontrol dan Kontrol Pada ISO 27002:2005

Klausul Jumlah

Objektif Kontrol Kontrol

4 2 -

5 1 2

6 2 11

7 2 5

Klausul Jumlah

Objektif Kontrol Kontrol

9 2 13

10 10 32

11 7 25

12 6 16

13 2 5

14 1 5

15 3 10

Jumlah: 12 Jumlah: 41 Jumlah: 133

Dalam penelitian ini, audit keamanan sistem informasi akan difokuskan pada 4 klausul, yaitu klausul 7 tentang manajemen aset, klausul 8 tentang keamanan sumber daya manusia, klausul 9 tentang keamanan fisik dan lingkungan, klausul 11 tentang kontrol akses yang sudah disesuaikan dengan kesepakatan audit dan PDC dalam engagement letter untuk detail struktur dokumen kontrol keamanan yang digunakan sebagai acuan audit dari ISO/IEC 27002:2005 dapat dilihat pada Tabel 2.2.

Tabel 2. 2 Detail Struktur Kontrol Acuan Audit Keamanan SIstem Informasi ISO/IEC 27002:2005

Klausul: 10 Manajemen Komunikasi dan Operasi

Kategori Keamanan Utama: 10.1 Tanggung Jawab dan Prosedur Operasional Objektif Kontrol

Untuk memastikan keamanan operasi dan tidak terjadi kesalahan dalam mengoperasikan fasilitas-fasilitas pemrosesan informasi.

Kontrol : 10.1.1 Pendokumentasian prosedur operasi Kontrol : 10.1.2 Manajemen pertukaran

Kontrol : 10.1.3 Pemisahan tugas

Kontrol : 10.1.4 Pemisahan pengembangan, pengujian dan operasional Informasi Kategori Keamanan Utama: 10.2 Manajemen Pengiriman Oleh Pihak Ketiga

Objektif Kontrol

Untuk mengimplementasikan dan memelihara tingkat keamanan informasi yang sesuai dalam hal layanan pengiriman yang berhubungan dengan perjanjian layanan pengiriman dengan pihak ketiga.

Kontrol : 10.2.1 Layanan pengiriman

Kontrol : 10.2.2 Pemantauan dan pengkajian ulang layanan pihak ketiga Kontrol : 10.2.3 Manajemen penggantian layanan pihak ketiga

Kategrori Keamanan Utama : 10.3 Perencanaan Sistem dan Penerimaan Objektif Kontrol

Untuk meminimalisasi kegagalan sistem. Kontrol : 10.3.1 Manajemen kapasitas Kontrol : 10.3.2 Penerimaan sistem

Kategori Kemanan Utama : 10.4 Perlindungan Terhadap Malicious dan Mobile Code

Objektif Kontrol

Untuk melindungi integrasi perangkat lunak (software) dan informasi.

Kontrol : 10.4.1 Kontrol terhadap kode berbahaya (malicious code)

Kontrol : 10.4.2 Kontrol terhadap mobile code

Kategori Keamanan Utama : 10.5 Backup Objektif Kontrol

Untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesan informasi.

Kontrol : 10.5.1 Back up informasi

Kategori Keamanan Utama : 10.6 Manajemen Kemanan Jaringan Objektif Kontrol

Untuk memastikan keamanan pengiriman informasi di jaringan dan serta melindungi infrastruktur pendukungnya.

Kontrol : 10.6.1 Kontrol jaringan

Kontrol : 10.6.2 Kemanan dalam layanan jaringan Kategori Keamanan Utama : 10.7 Penanganan Waktu Objektif Kontrol

Untuk mencegah pengaksesan, modifikasi, penghapusan atau pengrusakan aset secara ilegal serta gangguan aktifitas bisnis.

Kontrol : 10.7.1 Manajemen pemindahan media Kontrol : 10.7.2 Pemusnahan atau pembuangan medua

Kontrol : 10.7.3 Prosedur penanganan Informasi Kategori Keamanan Utama : 10.8 Pertukaran Informasi Objektif Kontrol

Untuk memelihara keamanan pertukaran informasi dan perangkat lunak di dalam organisasi dan dengan pihak luar.

Kontrol : 10.8.1 Kebijkan dan prosedur penukaran informasi Kontrol : 10.8.2 Perjanjian pertukaran

Kontrol : 10.8.3 Transportasi media fisik Kontrol : 10.8.4 Pesan elektronik Kontrol : 10.8.5 Sistem informasi bisnis

Kategori Keamanan Utama : 10.9 Layanan E-Commerce

Objektif Kontrol

Untuk memastikan keamanan dalam layanan dan penggunaan E-Commerce.

Kontrol : 10.9.1 E-Commerce

Kontrol : 10.9.2 Transaksi On-Line

Kontrol : 10.9.3 Informasi untuk publik Kategori Keamanan Utama : 10.10 Monitoring Objektif Kontrol

Untuk mendeteksi aktifitas pemrosesan informasi secara ilegal. Kontrol : 10.10.1 Rekaman audit

Kontrol : 10.10.2 Monitoring penggunaan sistem Kontrol : 10.10.3 Proteksi catatan informasi

Kontrol : 10.10.4 Catatan administrator dan operator Kontrol : 10.10.5 Catatan kesalahan

Kontrol : 10.10.6 Sinkronisasi waktu

Klausul : 12 Akuisi Sistem Informasi, Pengembangan dan Pemeliharaan

Kategori Kemanan Utama: 12.1 Persyaratan Keamanan untuk Sistem Informasi

Objektif Kontrol

Untuk memastikan bahwa keamanan adalah bagian dari sistem informasi. Kontrol : 12.1.1 Analisa dan spesifikasi persyaratan keamanan Kategori Kemanan Utama: 12.2 Pemrosesan yang Benar dalam Aplikasi Objektif Kontrol

Untuk mencegah kesalahan, kehilangan, modifikasi tanpa hak atau kesalahan penggunaan informasi dalam aplikasi.

Kontrol : 12.2.2 Kontrol untuk pemrosean internal Kontrol : 12.2.3 Integritas pesan

Kontrol : 12.2.4 Validasi data output

Kategori Keamanan Utama : 12.3 Kontrol Kriptografi Objektif Utama

Untuk melindungi kerahasiaan, autentifikasi dan keutuhan Informasi dengan menggunakan sistem kriptografi.

Kontrol : 12.3.1 Kebijakan dalam penggunaan kontrol kriptografi Kontrol : 12.3.2 Manajemen kunci

Kategori Keamanan Utama : 12.4 Keamanan File Sistem Objektif Kontrol

Untuk memastikan keamanan file sistem.

Kontrol : 12.4.1 Kontrol operasional software

Kontrol : 12.4.2 Perlindungan data pengujian sistem Kontrol : 12.4.3 Kontrol akses ke source program

Kategori Keamanan Utama : 12.5 Keamanan dalam Pembangunan dan Proses-proses Pendukung

Objektif Kontrol

Untuk memelihara keamanan informasi dan aplikasi sistem software.

Kontrol : 12.5.1 Prosedur tambahan control

Kontrol : 12.5.2 Tinjauan teknis aplikasi setelah dilakukan perubahan sistem operasi Kontrol : 12.5.3 Pembatasan perubahan paker software

Kontrol : 12.5.4 Kelemahan informasi

Kontrol : 12.5.5 Pembangunan software yang di outsource kan

Kategori Keamanan Utama : 12.6 Manajemen Teknik Kelemahan Objektif Kontrol

Untuk mengurangi risiko yang disebabkan oleh terpublikasinya teknik-teknik kelemahan yang dimiliki.

Kontrol : 12.6.1 Kontrol terhadap kelemahan secara teknis

Klausul : 13 Manajemen kejadian Keamanan Informasi

Kategori Keamanan Utama: 13.1 Pelaporan Kejadian dan Kelemahan Keamanan Informasi

Objektif Kontrol

Untuk memastikan kejadian dan kelemahan keamanan sistem informasi dikonversikan dan ditangani tepat waktu.

Kontrol : 13.1.2 Pelaporan kelemahan keamanan

Kategori Keamanan Utama : 13.2 Manajemen Kejadian Keamanan Informasi dan Pengembangannya

Objektif Kontrol

Untuk memastikan konsistensi dan keefektifitasan pendekatan yang diaplikasikan ke dalam manajemen kejadian keamanan informasi.

Kontrol : 13.2.1 Tanggung jawab dan prosedur

Kontrol : 13.2.2 Belajar dari kejadian keamanan informasi Kontrol : 13.2.3 Pengumpulan bukti

Klausul : 14 Manajemen Kelangsungan Bisnis

Kategori Kemanan Utama: 14.1 Aspek Keamanan dalam Manajemen Kelangsungan Bisnis

Objektif Kontrol

Untuk menghindari gangguan terhadap aktivitas bisnis serta untuk menjaga proses-proses bisnis yang kritis dari kegagalan dan banyak yang lebih besar atau bencana terhadap sistem informasi.

Kontrol : 14.1.1 Memasukan keamanan Informasi dalam proses manajemen kelangsungan bisnis Kontrol : 14.1.2 Kelangsungan bisnis dan penilaian risiko

Kontrol : 14.1.3 Pembangunan dan rencana kelangsungan yang di dalamnya meliputi keamanan informasi Kontrol : 14.1.4 Kerangka kerja rencana kelangsungan bisnis

Kontrol : 14.1.5 Pengujian pemeliharaan dan penilaian ulang

Klausul : 15 Kepatuhan

Kategori Kemanan Utama: 15.1 Kepatuhan Terhadap Persyaratan Legal Objektif Kontrol

Untuk mencegah pelanggan terhadap hukum, perundangan peratuaran atau kewajiban kontrak dan suatu persyaratan keamaanan.

Kontrol : 15.1.1 Identifikasi perundangan yang dapat diaplikasikan Kontrol : 15.1.2 Hak kelayakan intelektual

Kontrol : 15.1.3 Perlindungan dokumen organisasi

Kontrol : 15.1.4 Perlindungan penyalahgunaan fasilitas pemrosesan informasi Kontrol : 15.1.5 Pencegahan penyalahgunaan fasilitas pemrosesan informasi Kontrol : 15.1.6 Peratutan kontrol kriptografi

Kategori Keamanan Utama : 15.2 Kepatuhan dengan Kebijakan Keamanan, Standar dan Kepatuhan Teknik

Untuk memastikan kepatuhan terhadap sistem di dalam kebijakan keamanan organisasi dan standar.

Kontrol : 15.2.1 Kepatuhan dengan kebijakan keamanan dan standar Kontrol : 15.2.2 Pemeriksaan kepatuhan teknik

Kategori Keamanan Utama : 15.3 Audit Sistem Informasi dan Pertimbangan Objektif Kontrol

Untuk memaksimalkan keefektifitasan dan meminimalisir interfensi dari atau ke dalam proses audit sistem informasi.

Kontrol : 15.3.1 Kontrol audit sistem informasi

Kontrol : 15.3.2 Perlindungan terhadap perangkat audit sistem informasi 2.11. Tingkat Kedewasaan (Maturity Level)

IT Governance Institute (2007: 17) menjelaskan model kedewasaan (maturity level) merupakan model yang digunakan untuk mengendalikan suatu proses TI yang terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi dapat mengukur dirinya sendiri. Menurut DISC Infosec (2009) salah satu cara untuk dapat mencapai kontrol keamanan informasi yang optimal adalah menilai keamanan informasi organisasi berdasarkan ISO 27002 dan pemetaan setiap kontrol keamanan menggunakan Capability Maturity Model Integration (CMMI). CMMI memiliki lima tingkat kematangan proses yang dapat dilihat di halaman selanjutnya pada Gambar 2.4.

Gambar 2.4 Tingkat Kematangan CMMI (Sumber: DISC Infosec, 2009)

Dalam penilaian dilakukan dengan menggunakan lima tingkatan proses rangkaian kesatuan kedewasaan berdasarkan metodologi CMMI. Metode CMMI digunakan sebagai acuan untuk perbandingan serta memiliki peran sebagai alat bantu untuk memahami tingkah laku, praktek, dan proses-proses dalam organisasi. Lima tingkatan kerangka kesatuan CMMI adalah sebagai berikut.

a. Level 0 (non-existent): tidak ada kontrol sama sekali.

b. Level 1 (initial): pada level ini, organisasi memiliki pendekatan yang tidak konsisten, kontrol keamanan dilakukan secara informal. Informal berarti tidak ada dokumentasi, tidak ada standar.

c. Level 2 (limited/repeatable): pada level ini, kontrol keamanan masih dalam pengembangan dan/atau ada dokumentasi terbatas untuk mendukung kebutuhan.

d. Level 3 (defined): pada level ini, kontrol keamanan telah didokumentasikan rinci dan dikomunikasikan melalui pelatihan, tetapi tidak ada pengukuran kepatuhan.

e. Level 4 (managed): pada level ini, terdapat pengukuran efektivitas kontrol keamanan, tetapi tidak ada bukti dari setiap ulasan kepatuhan dan/atau kontrol memerlukan perbaikan lebih lanjut untuk mencapai tingkat kepatuhan yang diperlukan.

f. Level 5 (optimized): pada level ini, kontrol keamanan telah disempurnakan hingga sesuai dengan ISO 27002 berdasarkan pada kepemimpinan yang efektif, manajemen perubahan, perbaikan berkelanjutan, dan komunikasi internal.

28

BAB III

METODE PENELITIAN

Pada bab ini akan dibahas tahapan-tahapan melakukan audit keamanan sistem informasi manajemen rumah sakit berdasar ISO 27002:2005 di RSI Jemursari yang terdapat pada Gambar 3.1.

Perencanaan Audit   Ide tifikasi Proses Bis is   Pe e tua  Tujua , Rua g 

Li gkup, da  Risiko  Me uat E gage e t Letter  Me e tuk Klausul, O jektif 

Ko trol, da  Ko trol

Pelaksanaan Audit  Wa a ara da  O ser asi  Pe eriksaa  Data da  Bukti  Melakuka  Uji Ke ata ga  Pe usu a  Te ua  da  

Reko e dasi Audit   Ko fir asi Te ua  da  

Reko e dasi

Pelaporan Audit

 Pe usu a  Draf Lapora  Audit  Persetujua  Draf Lapora  Audit  Pelapora  Draf Audit  E it Meeti g

OUTPUT

 Profil perusahaa , Visi, Misi,  da  Struktur Orga isasi   Rua g Li gkup, O jek Audit, 

da  Tujua  Audit  Surat Perja jia

 Pe iliha  Klausul  a g Sudah  Disepakati

Output

 Doku e  hasil  a a ara   Bukti te ua   foto da  data  Hasil Uji Ke ata ga  Daftar te ua  da  

reko e dasi

 Ta ggapa  te ta g te ua   da  reko dasi

Output

 Doku e : Profil perusahaa ,  Struktur orga isasi  a g  diperluka  auditor, audit 

orki g pla, per ataa  da   peta aa  sesuai klausul,  sali a  hasil  a a ara , hasil  perhitu ga   aturity la el, 

apture  ukti, daftar te ua   da  reko e dasi  Prese tasi hasil lapora  Pe a data ga  Lapora  hasil 

audit kepada auditee Persiapan Audit 

 Pe usu a  Audit Worki g Pla  Pe a pia  Ke utuha  Data  Me uat Per ataa  Melakuka  pe o ota  Me uat Perta aa

OUTPUT

 Daftar susu a  jad al kerja  List ke utuha  data se agai 

aha  audit

 Daftar per ataa  sesuai  de ga  klausul

 Bo ot dari tiap‐tiap per ataa  List perta aa  u tuk 

a a ara . Pere a aa  Audit

. Me uat E gage e t Letter . A alisa Resiko

. Persiapa  Audit

. Pelaksa aa  Audit

. Pe gu pula   ukti da  te ua . Tes audit

. Pe eriksaa  Hasil Audit

. Pelapora

. Perte ua  Pe utup

Gambar 3.1 Langkah Audit Keamanan Sistem Informasi (Sumber: Canon, 2011)

3.1. Tahap Perencanaan Audit

Pada tahap perencanaan audit langkah-langkah yang akan dilakukan adalah memahami proses bisnis yang ada dalam perusahaan, penentuan ruang lingkup objek audit dan tujuan audit keamanan sistem informasi, penentuan objek audit TI, dan membuat engagement letter. Dari semua tahapan di atas akan menghasilkan

pengetahuan atau informasi tentang proses bisnis TI perusahaan, ruang lingkup perusahaan dan tujuan yang telah ditentukan, serta klausul-klausul yang telah ditentukan oleh kedua belah pihak sebagai acuan dari proses audit.

3.1.1 Identifikasi proses bisnis

Dalam tahap ini auditor harus mempelajari dan memahami proses bisnis yang ada pada perusahaan yang akan diaudit dengan cara melakukan observasi dan wawancara. Observasi dilakukan dengan cara mempelajari dokumen-dokumen perusahaan seperti profil perusahaan, visi dan misi perusahaan, struktur organisasi perusahaan, profil instalasi sistem informasi manajemen rumah sakit, alur sistem informasi manajemen rumah sakit, job description karyawan bagian TI RSI

Jemursari. Sedangkan wawancara dilakukan untuk memastikan dari observasi yang telah dilakukan sebelumnya. Contoh proses identifikasi proses bisnis dengan melakukan wawancara manajemen dan staf dapat dilihat pada Tabel 3.1.

Output yang dihasilkan pada proses ini adalah profil perusahaan, visi, misi

struktur organisasi, proses bisnis bagian teknologi dan sistem informasi serta tugas dan tanggungjawab di bagian teknologi dan sistem informasi.

Tabel 3.1 Contoh Proses Identifikasi Proses Bisnis dengan Melakukan Wawancara

Wawancara Permasalahan PadaBagian Teknologi dan Sistem Informasi RSI

Jemursari

Auditor : Alfian N Rahman Auditee : Andik Jatmiko, ST Tanggal : 11 Februari 2016

Pertanyaan Jawaban

1. Apakah ada sistem untuk membantu pengelolaan rumah sakit di RSI Jemursari?

Ada, kita memiliki sistem SIM-RS yang sudah terintegrasi ke semua bagian di RSI Jemursari.

2. Bagaimana Awal Penerapan

SIM-RS di SIM-RSI Jemursari? Penerapan dilakukan pada tahun 2009, tetapi belum di semua bagian rumah sakit. Penerapan SIM-RS sempat tidak berjalan karena ada sebagian pegawai tidak mau menerapkan SIM-RS.

dst.. dst..

3.1.2. Penentuan Ruang Lingkup, Objek, dan Tujuan Audit

Dalam penentuan ruang lingkup dilakukan dengan cara observasi dan wawancara pada bagian TI RSI Jemursari. Langkah selanjutnya ialah mengidentifikasi dari tujuan yang berhubungan dengan kebutuhan audit keamanan sistem informasi. Hasil dari tahap ini berupa ruang lingkup, objek, dan tujuan audit. Salah satu contoh proses penentuan ruang lingkup dengan melakukan wawancara dapat dilihat pada Tabel 3.2.

Tabel 3.2 Contoh Proses Penentuan Ruang Lingkup dengan Melakukan Wawancara

Wawancara Permasalahan PadaBagian Teknologi dan Sistem Informasi RSI

Jemursari

Auditor : Alfian N Rahman Auditee : Andik Jatmiko, ST Tanggal : 11 Februari 2016

Pertanyaan Jawaban

1. Apakah dalam penerapan SIM-RS

mengalami kendala? Kendala dalam penerapannya banyak, misalnya masalah user

tidak mematuhi prosedur

Wawancara Permasalahan PadaBagian Teknologi dan Sistem Informasi RSI

Jemursari

Auditor : Alfian N Rahman Auditee : Andik Jatmiko, ST Tanggal : 11 Februari 2016

Pertanyaan Jawaban

menjaga passwordnya. Selain itu

kita pernah mengalami kejadian perangkat jaringan dirusak oleh hewan liar (tikus).

dst.. dst..

3.1.3. Membuat Engagement Letter

Pembuatan engagement letter atau surat perjanjian audit dilakukan oleh

auditor kepada auditee. Dalam pembuatan engagement letter bertujuan untuk bukti

persetujuan antara auditor dengan auditee tentang pelaksanaan audit yang akan

dilaksanakan oleh auditor. Di dalam engagement letter berisi tentang role, tanggung

jawab, lingkup audit dan ketentuan perjanjian audit. Pada proses ini akan menghasilkan perjanjian penetapan klausul, kontrol objektif serta kontrol yang telah disepakati oleh auditor dan auditee. Berikut contoh surat kesepakatan dengan auditee dapat dilihat pada Gambar 3.2.

Gambar 3.2 Contoh Surat Kesepakatan dengan Auditee 3.1.4. Penentuan Klausul, Objektif Kontrol, dan Kontrol

Dalam pemilihan klausul, objektif kontrol, kontrol disesuaikan dengan permintaan dari pihak instalasi SIM-RS dan disepakati oleh kedua belah pihak (auditor dan auditee). Selain itu yang juga menjadi pertimbangan dalam penentuan

klausul, objektif kontrol dan kontrol adalah permasalahan yang terjadi pada proses STI di RSI Jemursari. Output yang dihasilkan dari pemilihan klausul adalah klausul

3.2. Tahap Persiapan Audit Sistem Informasi

Pada tahap perisapan audit langkah-langkah yang akan dilakukan adalah melakukan penyusunan audit working plan (AWP), penyampaian kebutuhan data,

membuat pernyataan berdasarkan standar ISO 27002: 2005, melakukan pembobotan, dan membuat pertanyaan.

3.2.1. Penyusunan Audit Working Plan (AWP)

Audit Working Plan (AWP) merupakan dokumen yang dibuat oleh auditor

dan digunakan untuk merencanakan dan memantau pelaksanaan audit TI secara terperinci. Output yang dihasilkan adalah daftar susunan AWP. Berikut contoh

jadwal kerja audit dapat dilihat pada Tabel 3.3.

3.2.2. Penyampaian Kebutuhan Data

Penyampaian kebutuhan data auditor dapat disampaikan terlebih dahulu kepada auditee agar dapat dipersiapkan terlebih dahulu. Hal tersebut berguna

untuk memastikan data-data yang dibutuhkan tersedia. Field work dilaksanakan

auditor setelah auditee menginformasikan ketersediaan semua data yang

diperlukan auditor sehingga field work dapat dilaksanakan oleh auditor secara

efektif dan efisien. Output yang dihasilkan adalah daftar penyampain kebutuhan

data perusahaan. Contoh pada tampilan Tabel 3.4.

Tabel 3.4 Daftar Penyampain Kebutuhan Data Perusahaan Lampiran Permintaan Kebutuhan Data/Dokumen

No. Data Yang Diperlukan

Ketersediaan Data

Keterangan Tanda Tangan

Ada Tidak Ada Auditee Auditor

1 Profil RSI Jemursari

2 Struktur organisasi _{RSI Jemursari}

3 Job description _Karyawan

4 Alur proses bisnis _instansi

5 Dokumen kebijakan keamanan sistem

informasi

3.2.3. Membuat Pernyataan

Dalam pembuatan pernyataan didasarkan pada standar ISO 27002:2005. Pada setiap kontrol keamanan dapat ditentukan pernyataan yang menjelaskan implementasi dan pengontrolan yang dilakukan. Output yang dihasilkan adalah

pernyataan-pernyataan dapat dilihat pada Tabel 3.5.

Tabel 3.5 Contoh Pernyataan-Pernyataan Klausul: 9 Keamanan Fisik dan Lingkungan

Objektif Kontrol : 9.1 Wilayah Aman

ISO 27002 9.1.1 Pembatasan Keamanan Fisik

No Pernyataan

1 Adanya pendefinisian parimeter keamanan secara jelas (dinding, kartu akses masuk atau penjaga pintu) terhadap ruangan pemrosesan informasi. 2 Adanya penggunaan parimeter keamanan untuk melindungi ruang fasilitas pemrosesan informasi . 3 Tembok terluar bangunan sudah dari kontruksi kuat.

4 Adanya pencegahan secara fisik untuk akses yang tidak sah. 5 Adanya wilayah penerimaan tamu.

3.2.4. Melakukan Pembobotan

Setelah membuat pernyataan, yang harus dilakukan adalah memberikan bobot untuk masing masing pernyataan. Keluaran yang dihasilkan dalam tahap ini adalah bobot dari masing-masing pernyataan setelah membuat pernyataan, selanjutnya melakukan pembobotan. Setiap pernyataan harus memiliki nilai bobot masing-masing. Bobot dari masing-masing pernyataan berbeda karena dalam penerapannya untuk kontrol keamanan yang telah ditentukan. Metode ini menggunakan bobot pada penilaian risiko metode kualitatif, karena menurut Sarno dan Iffano (2009)

risiko memiliki hubungan dengan keamanan informasi dan risiko merupakan dampak yang ditimbulkan atas terjadinya sesuatu yang mengancam keamanan informasi. Untuk lebih jelas dalam penentuan bobot dapat dilihat pada Tabel 3.6.

Tabel 3.6 Pembobotan Penilaian Risiko

Risiko Bobot

Low 0,1-0,3

Medium 0,4-0,6

High 0,7-1,0

(Sarno dan Iffano, 2009)

Pembobotan ditentukan dari panduan implementasi dan tingkat seberapa penting dari tiap perusahaan. Pernyataan yang mendapatkan pembobotan dengan risiko high berarti pernyataan tersebut sangat penting untuk diterapkan pada

perusahaan. Untuk pernyataan dengan bobot risiko medium berarti pernyataan

tersebut tetap diterapkan meskipun risiko yang akan terjadi apabila ada ancaman keamanan tidak sebesar dengan bobot risiko high. Pernyataan dengan risiko low

berarti pernyataan tersebut tidak terlalu wajib untuk diterapkan namun apabila diterapkan akan menambah keamanan pada sistem. Berikut dapat dilihat di Tabel 3.7 contoh pembobotan dari setiap pernyataan.

Tabel 3.7 Contoh Pembobotan dari Setiap Pernyataan Klausul: 9 Keamanan Fisik dan Lingkungan

Objektif Kontrol : 9.1 Wilayah Aman

ISO 27002 9.1.1 Pembatasan Keamanan Fisik

No Pernyataan Bobot

1 Adanya pendefinisian parimeter keamanan secara jelas (dinding, kartu akses masuk atau penjaga pintu) terhadap

ruangan pemrosesan informasi. 1

2 Adanya penggunaan parimeter keamanan untuk melindungi _{ruang fasilitas pemrosesan informasi .} 1

3 Tembok terluar bangunan sudah dari kontruksi kuat. 1

4 Adanya pencegahan secara fisik untuk akses yang tidak sah. 1

5 Adanya wilayah penerimaan tamu. 0.8

3.3.5. Membuat Pertanyaan

Pertanyaan dibuat berdasarkan pernyataan yang telah dibuat sebelumnya. Dalam satu pernyataan, bisa memiliki lebih dari satu pertanyaan, karena setiap pertanyaan harus mewakili pernyataan saat dilakukan wawancara, observasi, dan identifikasi dokumen. Contoh beberapa pertanyaan yang dihasilkan dari pernyataan dari klausul 8 tentang keamanan sumber daya manusia dengan kontrol 8.1.1 (Aturan dan Tanggungjawab Keamanan) terdapat pada Tabel 3.8.

Tabel 3.8 Contoh Pertanyaan Yang Dihasilkan dari Pernyataan Klausul 8 Klausul: 9 Keamanan Fisik dan Lingkungan

Objektif Kontrol : 9.1 Wilayah Aman

ISO 27002 9.1.1 Pembatasan Keamanan Fisik

No Pernyataan Pertanyaan

1 Adanya pendefinisian parimeter keamanan secara jelas terhadap ruangan pemrosesan informasi

1. Apakah sudah didefinisikan tentang parimeter ?

2. Pendefinisian parameter sudah di sosialisasikan?

2 Adanya penggunaan parimeter keamanan untuk melindungi ruang fasilitas pemrosesan informasi

1. Sudahkah ada parimeter untuk melindungi ruang pemrosesan informasi tersebut?

2. Ada Parimeter apa saja di RSI Jemursari?

3 Tembok terluar bangunan sudah dari kontruksi kuat

1. Bagaimana konstruksi tembok yang ada?

2. Apakah ada perawatan rutin untuk tembok tersebut?

dst

3.3. Tahap Pelaksanaan Audit

Langkah-langkah yang akan dilakukan dalam pelaksanaan audit adalah melakukan wawancara, proses pemeriksaan data dan bukti, penyusunan daftar temuan audit dan rekomendasi, konfirmasi hasil temuan audit . Pada tahap ini akan menghasilkan dokumen wawancara, temuan dan bukti, daftar temuan dan rekomendasi, dan konfirmasi temuan audit.

3.3.1. Wawancara dan Observasi

Dalam melakukan proses wawancara didasarkan pada pertanyaan yang telah dibuat oleh auditor. Wawancara dilakukan terhadap bagian-bagian yang terlibat dalam proses audit. Untuk menentukan auditee atau orang yang diwawancara maka

). Pihak yang diwawancara adalah penanggungjawab atau

responsibility dari tiap-tiap klausul. Hasil pada tahap ini adalah dokumen

wawancara yang berisi catatan informasi wawancara dan observasi dan hasil analisis yang dilakukan selama proses audit berlangsung. Berikut contoh wawancara klausul 8 tentang keamanan sumber daya manusia dengan objek kontrol 8.1.1 (Aturan dan Tanggungjawab Keamanan) dapat dilihat pada Tabel 3.9.

Tabel 3.9 Contoh Wawancara Klausul 8

Audit Keamanan Sistem Informasi KLAUSUL 9

Keamanan Sumber Daya Manusia (Objektif Kontrol : 9.1 Wilayah Aman)

Auditor : Alfian N Rahman Auditee : Andik Jatmiko, ST Tanggal : _______________

TTD:___________________________ Kontrol: 9.1.1 Pembatasan Keamanan Fisik

Peryataan Pertanyaan Jawaban

Adanya pendefinisian parimeter keamanan secara jelas terhadap ruangan pemrosesan informasi.

1. Apakah sudah didefinisikan

tentang parimeter ? Sudah, kita lakukan. 2. Pendefinisian parameter

sudah di sosialisasikan?

Untuk sosialisasi tentang parimater sudah kita sosialisasikan lewat kepala bagian masing masing. Sudah ada aturan tertulis tentang parimeter.

dst..

3.3.2. Pemeriksaan Data dan Bukti

Dalam pemeriksaan data dapat dilakukan dengan cara wawancara dan observasi kepada auditee sesuai dengan ruang lingkup SIM-RS dan klausul

yang sudah disepakati yaitu klausul 8, klausul 9, klausul 11 dan klausul 12. Hasil pada tahap ini adalah penemuan bukti dan temuan tentang permasalahan yang terjadi. Bukti dan temuan bisa berupa dokumen, foto, sampel, rekaman dan lain

sebagainya. Contoh dokumen pemeriksaan data dan bukti dapat dilihat pada Tabel 3.10.

Tabel 3.10 Contoh Dokumen Pemeriksaan Data dan Bukti

Pemeriksaan Bukti dan Data Audit Keamanan Sistem Informasi

KLAUSUL 9

Keamanan Sumber Daya Manusia (Objektif Kontrol : 9.1 Wilayah Aman)

Auditor : Alfian N Rahman Auditee : Andik Jatmiko, ST Reviewer :

Dr Haryanto Tanuwijaya, S.Kom MMT TTD/Tanggal:________________/___________ Kontrol: 9.1.1 Pembatasan Keamanan Fisik

NO Pemeriksaan Catatan Pemeriksaan Catatan Review

  Cek Dokumentasi standart _{struktur bangunan.}

dst..

3.3.3. Melakukan Uji Kematangan

Dalam melakukan proses uji kematangan (maturity level) langkah yang

dilakukan adalah setiap pernyataan dinilai tingkat kepatutannya sesuai dengan hasil pemeriksaan yang ada menggunakan kriteria penilaian yang ada dalam standar penilaian maturity level. Penilaian yang digunakan meliputi non-eksisten yang

memiliki nilai 0 (nol) hingga ke tingkat optimal yang memiliki nilai 5 (lima).

Jumlah kriteria nilai yang ada dibagi dengan jumlah seluruh pernyataan dalam satu kontrol keamanan untuk mendapatkan nilai maturity level pada kontrol keamanan

tersebut.

Setelah maturity level setiap kontrol keamanan ISO diketahui, maka langkah

selanjutnya adalah menghitung maturity level pada setiap objektif kontrol yang

rata-rata keseluruhan objektif kontrol yang ada pada klausul bersangkutan merupakan maturity level pada klausul tersebut. Hasil dari proses ini adalah hasil

uji maturity level. Berikut contoh perhitungan tingkat kematangan pada klausul

dapat dilihat pada Tabel 3.11.

Tabel 3.11 Contoh Perhitungan Tingkat Kematangan Pada Klausul

Klausul 9 (Keamanan Fisik dan Lingkungan) Objektif Kontrol : 9.1 Wilayah Aman

Kontrol: 8.1.1 Aturan dan tanggung jawab keamanan Penilaian

Nilai NO Pernyataan Hasil Pemeriksaan Bobot 0 1 2 3 4 5

 

Adanya pendefinisian parimeter keamanan secara jelas terhadap ruangan pemrosesan informasi.

Pendefinisian sudah dilakukan dan sudah disosialisasikan. Bukti :

- Lampiran bukti tentang pendifinisian parimeter.

1 √ 5

dst..

3.3.4 . Penyusunan Temuan dan Rekomendasi Audit

Dalam proses penentuan temuan dan rekomendasi langkah yang dilakukan adalah memeriksa data profil perusahaan, kebijakan, standar, prosedur dan melakukan wawancara, review dan observasi kepada auditee. Seluruh kegiatan

tersebut menghasilkan bukti-bukti (evidence) yang berarti terkait dengan sistem

yang berlangsung di perusahaan. Hasil dari proses ini adalah daftar temuan dan rekomendasi dari proses audit. Berikut contoh lampiran temuan dan rekomendasi pada klausul 8 tentang keamanan sumber daya manusia dengan objek kontrol 8.1.1 (Aturan dan Tanggungjawab Keamanan ) dapat dilihat pada Tabel 3.12.

42 Tabel 3.12 Contoh Lampiran Temuan dan Rekomendasi pada Klausul 8

Temuan dan Rekomendasi

Audit Keamanan Sistem Informasi

Auditor: Alfian NR

Auditee : Andik Jatmiko, ST

Klausul 9 (Keamanan Fisik dan Lingkungan) 8.1.1 Aturan dan tanggung jawab kemanan

Tanggal : ____________ Tanda Tangan

_______________

NO Pernyataan Temuan Bukti Rekomendasi Tanggapan

1 Adanya pendefinisian parimeter keamanan secara jelas terhadap ruangan pemrosesan informasi.

Pendefinisian sudah di lakukan dan sudah di sosialisasikan.

- Lampiran bukti tentang

pendifinisian parimeter

3.3.5. Konfirmasi Temuan dan Rekomendasi

Temuan harus dikonfirmasikan terlebih dahulu kepada auditee sebelum

dilaporkan secara formal. Konfirmasi bertujuan untuk mengklarifikasi temuan-temuan yang telah ditemukan dalam proses audit. Hasil dari konfirmasi temuan-temuan adalah dokumentasi dalam bentuk catatan dan tanggapan konfirmasi temuan.

3.4. Tahap Pelaporan Audit Sistem Informasi

Terdapat empat tahap dalam melakukan tahap pelaporan audit yaitu: 1. Penyusunan draf laporan audit, 2. Persetujuan draf laporan audit, 3. Pelaporan audit

dan 4. Pertemuan penutup atau pelaporan hasil audit keamanan sistem informasi.

3.4.1. Penyusunan Draf Laporan Audit

Dalam melakukan penyusunan draf laporan audit berdasarkan daftar

pertanyaan, temuan, dan tanggapan auditee. Auditor harus menyusun draf laporan

audit yang telah dilaksanakan secara lengkap, jelas serta objektif..

3.4.2. Persetujuan Draf Laporan Audit

Pada draf laporan audit yang telah disusun harus dimintakan persetujuan

terlebih dahulu oleh auditee sebelum diterbitkan sebagai laporan audit yang resmi

atau formal. Persetujuan dimaksudkan sebagai tanda pengesahan hasil audit yang dilakukan oleh auditor. Persetujuan draf laporan audit dilakukan antara kedua belah

pihak berupa notulen persetujuan draf laporan audit. 3.4.3. Pelaporan Audit

Pada tahap pelaporan hasil audit, auditor melakukan presentasi kepada pihak manajemen rumah sakit RSI Jemursari atas hasil audit yang dilakukan oleh auditor selama melakukan audit di RSI Jemursari. Setelah melakukan presentasi,

auditor meminta pihak untuk memberikan tanggapan atas hasil audit yang dilakukan oleh auditor.

3.4.4 Pertemuan Penutupan dan Pelaporan Hasil Audit

Terakhir dilakukan pertemuan penutup audit yang bertujuan untuk melaporkan hasil audit kepada pihak manajemen, memberikan penjelasan kepada manajemen tentang kondisi khususnya kelemahan untuk objek-objek yang diaudit, memberikan rekomendasi utama yang perlu ditindaklanjuti. Hasil dari pertemuan adalah dokumentasi dalam bentuk notulen pertemuan penutup audit.

46

BAB IV

HASIL DAN PEMBAHASAN

Pada bab ini akan diuraikan tentang analisis hasil dan pembahasan dari tahap perencanaan audit sistem informasi, tahap persiapan audit sistem informasi, tahap pelaksanaan audit sistem informasi, serta tahap pelaporan audit sistem informasi.

4.1. Perencanaan Audit Sistem Informasi 4.1.1. Identifikasi Proses Bisnis dan TI

1) Profil Perusahaan

Rumah Sakit Islam Jemursari Surabaya merupakan salah satu dari 3 instansi yang dikelola oleh Yayasan Rumah Sakit Islam Surabaya (YARSIS). Dua yang lainnya adalah Rumah Sakit Islam Surabaya A. Yani dan Sekolah Tinggi Ilmu Kesehatan (STIKES) Yarsis, dengan pendirinya antara lain: KH. Zaki Goefron, KH. Abdul Majib Ridwan, KH. Thohir Syamsudin, H. Husaini Tiway dan tokoh-tokoh Islam yang lain.

Rumah Sakit Islam Jemursari Surabaya dibangun di atas lahan seluas 4.6 Ha. Konsep pembangunan rumah sakit ini adalah sebagai garden hospital. Oleh karena itu, Rumah Sakit Islam Jemursari Surabaya dikelilingi taman seluas 33.042 m2. Rumah Sakit ini terletak di jalan Jemursari nomor 51-57 Surabaya yang merupakan salah satu jalan protokol kota Surabaya. Rumah Sakit Islam Jemursari Surabaya resmi dibuka pada tanggal 25 Mei 2002, bertepatan dengan Maulid Nabi Muhammad SAW (12 Rabiul Awwal 1423 H). Rumah Sakit Islam Jemursari merupakan pengembangan dari Rumah Sakit Islam Surabaya jalan A. Yani. Sejak

beroperasi pada tahun 2002, Rumah Sakit Islam Jemursari Surabaya banyak mengalami perkembangan dan penambahan sarana dan prasarana, antara lain:

a. Pada akhir tahun 2005 memiliki 82 tempat tidur.

b. September 2006 bertambah menjadi 96 tempat tidur dan pembukaan ruang Kemuning (kelas III) sehingga berjumlah 108 tempat tidur.

c. September 2008 bertambah menjadi 113 tempat tidur. d. Agustus 2009 bertambah menjadi 116 tempat tidur.

e. Awal 2011 bertambah menjadi 135 tempat tidur dengan dibukanya ruang Dahlia sebagai fasilitas rawat inap kelas II B.

f. Juli 2011 bertambah menjadi 140 tempat tidur. g. Sekarang RSI Jemursari memiliki 202 tempat tidur.

Surat Ijin penyelenggaraan Rumah Sakit oleh Dinas Kesehatan Kota Surabaya sesuai dengan Surat Keputusan Nomor: 503.445/5342/0010/IP.RS/436.55/V tentang izin penyelenggaraan rumah sakit. RSI Jemursari merupakan rumah sakit Tipe B Non Pendidikan yang diresmikan dari Surat Keputusan Menteri Kesehatan RI Nomor: H.03.05/I/7762/2010.

2) Visi, Misi, dan Motto Perusahaan

Rumah Sakit Islam Jemursari mempunyai visi “Menjadi Rumah Sakit Islam Berstandar Internasional”. Misi dari Rumah Sakit Islam Jemursari adalah sebagai berikut:

a. Memberikan pelayanan jasa rumah sakit secara prima dan islami menuju standar mutu pelayanan internasional dengan dilandasi prinsip kemitraan.

b. Melaksanakan manajemen rumah sakit berdasarkan manajemen syariah yang berstandar internasional.

c. Membangun SDM rumah sakit yang profesional sesuai standar internasional yang islami dengan diiringi integritas yang tinggi dalam pelayanan.

d. Menyediakan sarana prasarana rumah sakit untuk mewujudkan implementasi pelayanan islami dan berstandar internasional.

Selain itu Rumah Sakit Islam Jemursari memiliki Motto ”Kami selalu melayani dengan Ramah, Senyum, Ikhlas, dan Salam”.

3) Struktur Organisasi

a) Struktur Organisari Rumah Sakit Jemursari

Dalam menjalankan proses bisnisnya, RSI Jemursari mempunyai bagian-bagian yang menangani bagian-bagian masing-masing. Bagian tersebut dapat dilihat pada struktur organisasi pada Gambar 4.1.

49

DIREKTUR

(Prof. dr. Dr. Rochmad Romdoni, Sp.PD, Sp.JP (K)

SEKRETARIS

KOMITE MEDIS KOMITE MUTU KOMITE ETIK _{DAN HUKUM KEPERAWATAN}KOMITE PERENCANAAN DAN PENGEMBANGAN

SATUAN PENGAWAS

INTERNAL

TEKNOLOGI

INFORMASI PELAYANAN BPJS

WAKIL DIREKTUR MEDIS (dr.Dyah Yuniati, Sp.S)

WAKIL DIREKTUR UMUM DAN KEUANGAN (Dra. Siti Yatimah, Ak, M.Kes)

BIDANG PELAYANAN

MEDIS BIDANG KEPERAWATAN BIDANG PENUNJANG MEDIS

UNIT SARANA DAN PRASARANA PELAYANAN MEDIS UNIT SDM PELAYANAN MEDIS UNIT MUTU PELAYANAN MEDIS

UNIT SARANA DAN PRASARANA KEPERAWATAN UNIT SDM KEPERAWATAN UNIT MUTU KEPERAWATAN

UNIT SARANA DAN PRASARANA PENUNJANG MEDIS UNIT SDM PENUNJANG MEDIS UNIT MUTU PENUNJANG MEDIS

BIDANG UMUM BIDANG KEUANGAN DAN _AKUNTANSI BIDANG SUMBER DAYA _MANUSIA BIDANG INFORMASI DAN _KERJASAMA

UNIT KAMTIB

UNIT AMBULANCE

UNIT PENGADAAN UNIT LOGISTIK DAN

RUMAH TANGGA INSTALASI PEMELIHARAAN SARANA UNIT K3 UNIT ANGGARAN UNIT KEUANGAN UNIT AKUNTASI UNIT ADMINISTRASI KEPAGAWAIAN UNIT PENGEMBANGAN SDM UNIT PEMBINAAN KEROHANIAN

UNIT PEMASARAN DAN KERJASAMA UNIT INFORMASI DAN

PELAYANAN PELANGGAN UNIT REKAM MEDIS

INSTALASI BEDAH SENTRAL PELAYANAN INTENSIF HEMODIALISA REHABILITASI MEDIS RADIOLOGI LABORATORIUM GIZI BANK DARAH RAWAT JALAN RAWAT INAP GAWAT DARURAT FARMASI SMF/DEPT

STRUKTUR ORGANISASI RSI JEMURSARI

Di dalam Rumah Sakit Sistem Islam Jemursari secara fungsional maka struktur organisasi terdiri dari:

1. Direktur dan Wakil Direktur (WADIR) yang masing-masing WADIR menengani bagian medis serta bagian umum dan keuangan.

2. Dibawah Direktur terdapat komite medis, komite mutu, komite etik dan hukum, komite keperawatan, bagian perencanaan dan pengembangan, bagian satuan pengawas internal, bagian teknologi dan sistem informasi, bagian pelayanan BPJS.

3. Dibawah WADIR Medis terdapat bidang pelayanan medis, bidang keperawatan, bidang penunjang medis, dan instalasi medis. Didalam naungan pelayanan medis terdapat unit sarana prasarana medis, unit SDM medis, unit mutu pelayanan medis. Di dalam naungan bidang keperawatan terdapat unit sarana prasarana keperawatan, unit SDM keperawatan, unit mutu pelayanan keperawatan. Di dalam naungan bidang penunjang medis terdapat unit sarana dan prasarana medis, unit SDM sarana dan prasaran medis, unit mutu sarana prasarana medis. Di dalam instalasi medis terdapat instalasi bedah sentral, instalasi radiologi, instalasi rawat jalan, instalasi pelayanan intensif, instalasi laboratorium, instalasi rawat inap, instalasi hemodialisa, instalasi gizi, instalasi gawat darurat, instalasi rehabilitasi medis, instalasi bank darah, dan instalasi farmasi.

4. Dibawah WADIR Umum dan Keuangan terdapat bidang informasi dan kerjasama, bidang keuangan dan akutansi, bidang sumber daya manusia, bidang umum. Di dalam naungan bidang informasi dan kerjasama terdapat unit pemasaran dan kerjasama, unit informasi dan pelayanan pelanggan, unit rekam

medis. Di bawah naungan bagian keuangan dan akuntansi terdapat unit anggaran, unit keuangan dan unit akuntasnsi. Di bawah bagian sumber daya manusia terdapat unit diklat rumah sakit, unit personalia dan unit bina rohani. Di bawah naungan bagian umum terdapat unit kamtib, unit ambulance, unit logistik dan rumah tangga, unit pemeliharaan sarana, unit pengadaan dan unit K3.

b) Struktur Organisasi Bagian Teknologi dan Sistem Informasi

Gambar 4.2 Struktur Organisasi Bagian Teknologi dan Sistem Informasi Bagian Teknologi dan Sistem Informasi memiliki struktur organisasi yang di dalamnya terdapat dua bagian. Bagian-bagian tersebut adalah bagian hardwere dan bagian softwere. Dalam setiap bagian terdapat satu orang koordinator dan beberapa staf bagian. Setiap bagian mempunyai job description karyawan. Seperti dijelaskan pada Tabel 4.1:

Direktur Utama

Prof. DR. Dr. Rochmad Romdoni, Sp.PD, Sp.JP (K)

Manager Unit Kerja Teknologi Informasi Andik Jatmiko, ST

Koordinator Software Megawati, S.Kom

Staf: Meliza Istiana, S.Kom Wasono Widiatmoko, S.Kom Koordinator Hardware

Achmad Danny, S.Kom Staf:

M. Arif. Rahman M. Agus Syarifuddin

Tabel 4.1 Karyawan

No Nama dan Jabatan Tanggung Jawab dan Tugas

1 Andik Jatmiko ST

(Kepala Bagian TI dan Sistem Informasi)

a. Memberikan arahan, bimbingan dan motivasi

kerja kepada semua staf.

b. Mendelegasikan tugas kepada bawahan dan

memantau proses pelaksanaannya.

c. Monitoring dan evaluasi staf yang ada di

bawahnya.

d. Memelihara sarana, prasarana komputer dan

jaringan.

e. Mengusulkan pengadaan komputer, printer,

jaringan dan lainnya.

f. Mengawasi penggunaan program SIM-RS.

g. Melaksanakan inventarisasi tentang kondisi

seluruh perangkat yang ada.

h. Melaksanakan pelatihan secara

berkesinambungan terhadap operator program SIM-RS.

2 Megawati,S.Kom

(Koordinator Sofwere)

a. Memberikan arahan, bimbingan dan motivasi

kerja kepada semua staf.

b. Mendelegasikan tugas kepada bawahan dan

memantau proses pelaksanaannya.

c. Monitoring dan evaluasi staf yang ada di

bawahnya.

d. Mengembangkan secara aktif kemampuan dalam

pengembangan perangkat lunak.

e. Mengambil bagian dalam pengembangan dan

integrasi perangkat lunak.

f. Backup atau memodifikasi aplikasi dan data

yang terkait untuk menyediakan pemulihan kerusakan.

g. Membuat laporan rutin mengenai kegiatan

No Nama dan Jabatan Tanggung Jawab dan Tugas

3 Meliza Istiana, S.Kom

(Staf bagian Sofwere)

a. Mengambil bagian dalam pengembangan dan

integrasi perangkat lunak.

b. Mengembangkan secara aktif kemampuan dalam

pengembangan perangkat lunak.

c. Menerima permintaan user untuk

masalah-masalah yang harus diselesaikan.

d. Backup atau memodifikasi aplikasi dan data yang terkait untuk menyediakan pemulihan kerusakan.

e. Membuat laporan rutin mengenai kegiatan

kepada koordinator software.

4 Wasono

Widiatmoko,S.Kom

(Staf Bagian Sofwere)

a. Mengambil bagian dalam pengembangan dan

integrasi perangkat lunak.

b. Mengembangkan secara aktif kemampuan dalam

pengembangan perangkat lunak.

c. Menerima permintaan user untuk

masalah-masalah yang harus diselesaikan.

d. Backup atau memodifikasi aplikasi dan data yang terkait untuk menyediakan pemulihan kerusakan.

e. Membuat laporan rutin mengenai kegiatan

kepada koordinator software.

5 Ahmad Danny,S.Kom

(Koordinator Hardwere)

a. Memberikan arahan, bimbingan dan motivasi

kerja kepada semua staf.

b. Mendelegasikan tugas kepada bawahan dan

memantau proses pelaksanaannya.

c. Monitoring dan evaluasi staf yang ada di

bawahnya.

d. Mengembangkan secara aktif kemampuan dalam

pengembangan perangkat keras.

e. Mengambil bagian dalam pengembangan dalam

pendukung berjalannya sistem informasi rumah sakit.

f. Membuat laporan rutin mengenai kegiatan

kepada manajer IT.

6 M.Arif Rahman,S.Kom a. Mengembangkan secara aktif kemampuan dalam

No Nama dan Jabatan Tanggung Jawab dan Tugas

(Staf Bagian Hardwere) b. Mengambil bagian dalam pengembangan dalam

pendukung berjalannya sistem informasi rumah sakit.

c. Menerima permintaan user untuk

masalah-masalah yang harus diselesaikan.

d. Maintenance LAN dan koneksi internet.

e. Membuat laporan rutin mengenai kegiatan

kepada koordinator hardware.

7 M. Agus Sriffudin

(Staf Bagian Hardwere)

a. Menerima, memprioritaskan dan menyelesaikan

permintaan bantuan IT.

b. Instalasi, perawatan dan penyediaan dukungan

harian baik untuk hardware & software

windows.

c. Maintenance LAN dan koneksi internet.

d. Membuat laporan rutin mengenai kegiatan

kepada koordinator hardware.

4. Gambaran Umum Bagian Teknologi dan Sistem Informasi

Bagian teknologi dan sistem informasi merupakan tempat atau bagian dari RSI Jemursari yang berfungsi sebagai unit pemrosesan informasi. Selain itu bagian tersebut bertugas untuk mengurusi perangkat TI dan SI sehingga bisa digunakaan dalam pemenuhan informasi untuk kebutuhan RSI Jemursari.

5. Gambaran Proses Bisnis dan TI pada Bagian Teknologi dan Sistem Informasi Pada awal tahun, bagian teknologi dan sistem informasi melakukan rapat dengan semua bagian rumah sakit. Dalam rapat tersebut akan dibahas kebutuhan aplikasi atau perangkat hardwere yang dibutuhkan pada tiap-tiap bagian di RSI Jemursari dalam satu tahun ke depan. Selanjutnya pihak berkoordinasi dengan direktur untuk menentukan prioritas pemenuhan kebutuhan perangkat lunak dan perangkat keras. Setelah disetujui direktur, pemenuhan perangkat lunak ataupun

perangkat keras tersebut akan direalisasikan sesuai dengan jadwal yang telah dibuat.

Sedangkan untuk melakukan maintenance perangkat lunak dan perangkat keras, pemohon tinggal mengirim permohonan pada aplikasi SIM-RS yang telah disediakan. Selanjutnya permohonan dari user tersebut akan ditindak lanjuti sesuai dengan permasalahan. Apabila permasalahan tersebut membutuhkan beberapa bagian dari rumah sakit untuk koordinasi, maka kepala bagian teknologi dan sistem informasi akan mengundang untuk melakukan diskusi untuk selanjutnya dilakukan perbaikan sistem atau perangkat keras.

Proses bisnis yang terakhir adalah melakukan evalusai tentang sistem dan teknologi yang sudah berjalan. Evaluasi dilakukan setiap bulan sekali olah bagian teknologi dan sistem informasi RSI Jemursari. Hasil evaliasi akan dilaporkan kepada direktur rumah sakit. Alur proses bisnis dapat dilihat pada Gambar 4.3.

Pengadaan Teknologi dan Sistem Informasi Maintenance Evaluasi Sistem Iinformasi

Mulai Rapat pengajuan teknologi

dan sistem informasi masing-masing bagian

Pengajuan yang disetujui oleh jajaran

direktur Pengadaan teknologi dan pembuatan sistem informasi

yang telah disetujui Instalasi teknologi dan

Implementasi Sistem Informasi

Selesai Mengajukan hasil rapat pengajuan teknologi dan sistem informasi ke

direktur Disetujui direktur Revisi pengajuan teknologi dan sistem informasi Mulai SIMRS bermasalah Implementasi SIMRS Analisa Masalah Jadwal Rutin Maintenance Selesai Masalah Besar? Rapat dengan jajaran direktur Melakukan perbaikan SIMRS Y T Y T Y T Y T Mulai Jadwal Evaluasi SIMRS Proses Evaluasi SIMRS Hasil Evaluasi SIMRS Masukan pihak external dan internal Pelaporan hasil evaluasi SIMRS Selesai

Gambar 4.3 Alur Proses Bisnis

4.1.2. Menentukan Ruang Lingkup, Objek dan Tujuan Audit

Setelah melakukan identifikasi proses bisnis di RSI jemursari dan di bagian teknologi dan sistem informasi, bisa diambil kesimpulan tentang proses bisnis yang ada. Dalam penentuan ruang lingkup dilakukan dengan cara melakukan observasi dan wawancara pada bagian teknologi dan sistem informasi RSI Jemursari. Adapun hasil penentuan ruang lingkup yang akan diaudit mengenai Sistem Informasi Manajemen Rumah Sakit (SIM-RS). Objek audit adalah bagian yang bertanggungjawab tentang SIM-RS yaitu bagian teknologi dan sistem informasi. Tujuan audit agar dapat mengukur hasil maturity level dengan standar ISO/IEC 27002: 2005 beserta temuan dan rekomendasi.

4.1.3. Membuat Engangement Letter

Setelah menentukan ruang lingkup, objek dan tujuan audit, langkah selanjutnya adalah membuat engagment letter. Dalam pembuatan engagement letter bertujuan untuk bukti persetujuan antara auditor dengan auditee tentang pelaksanaan audit yang akan dilaksanakan oleh auditor. Di dalam engagement letter berisi tentang role, tanggung jawab, lingkup audit, pelaksanaan audit dan ketentuan perjanjian audit. Pada proses ini akan menghasilkan perjanjian yang harus dipatuhi oleh auditor dan auditee. Engangment Letter dapat dilihat di Lampiran 2.

4.1.4. Penentuan Klausul, Objektif Kontrol, dan Kontrol

Hasil dari tahap identifikasi ruang lingkup adalah penentuan klausul yang digunakan beserta pemetaan klausul, kontrol objektif dan kontril keamanan. Dalam menentukan klausul yang digunakan, diperolah dari hasil wawancara yang terdapat pada Lampiran 1. Kesimpulan dari hasil wawancara tentang permasalahan yang terjadi di RSI Jemursari adalah:

1. Terjadinya kebocoran informasi pada karyawan yang tidak berhak atas informasi tersebut. Selain itu masih banyak karyawan yang membiarkan unit komputernya menyala pada saat meninggalkan atau saat sedang jam istirahat. Masalah lain adalah masih banyak karyawan yang tidak mengubah password dan ada karyawan lain mengetahui password dari karyawan lainnya. Hal tersebut berisiko penyalahgunaan hak akses oleh karyawan yang tidak berkepentingan dan bisa merambat untuk penyalahgunaan informasi yang merugikan pihak RSI Jemursari.

2. Ditemukan kerusakan peralatan pendukung sistem informasi misal perangkat jaringan misal kabel LAN (Local Area Network) dan Router karena dirusak oleh

karyawan. Tetapi ada proses yang belum dilakukan sesuai dengan aturan dan prosedur yang ada misalnya pelatihan hanya dilakukan pada saat ada permintaan dari pihak terkait, sebagian besar karyawan belum menyadari tentang keamanan informasi organisasi dan pendisiplinan karyawan. Hal lain adalah belum adanya aturan dan prosedur tentang pemberitahuan kepada steakholder ketika ada perubahan personil dan prosedur tentang penghapusan informasi aset yang diberikan kepada karyawan. Dari hasil temuan tersebut, auditor memberikan rekomendasi yaitu manajeman harus lebih menegakkan kedisiplinan setiap pagawai dengan mengacu pada aturan kepagawaian yang telah dibuat sebalumnya.

Hasil pengukuran maturity level klausul 9 tentang keamanan fisik dan lingkungan yaitu 4,09 yaitu berada pada level 4 (managed) yang berarti manajemen sudah mempunyai dasar tentang aturan, prosedur dan kebijakan dan hampir semuanya sudah terdokumentasi pada proses keamanan fisik dan lingkungan. Tetapi ada beberapa proses yang masih belum dilakukan sesuai dengan aturan yang ada misalnya penempatan peralatan kerja yang cenderung kurang rapi di ruang kerja, masih ditemukan karyawan yang makan dan minum di ruang pemrosesan informasi, belum maksimalnya pengawasan dan tempat menaikkan dan menurunkan barang logistik organisasi dan perlindungan peralatan di luar ruangan. Dari hasil temuan tersebut, auditor memberikan rekomandasi yaitu penegakan aturan yang telah dibuat manajeman sebelumnya dan pembuatan sarana untuk melindungi peralatan yang dimiliki organisasi.

Hasil pengukuran maturity level klausul 11 tentang kontrol akses yaitu 2,91 yaitu berada di level 2 (limited/repeatable) yang berarti manajemen sedang melakukan pengembangan pada proses kontrol akses dan belum mempunyai

sebegian besar aturan dasar tentang kontrol akses. Aturan yang belum ada adalah aturan tentang manajemen password, keamanan kriptografi, aturan tentang clear screen, aturan pemindahan berkas dokumen cetak. Hal lain masalah ketidakpatuhan karyawan tentang aturan yang sudah ada misalnya penggunaan password, penggunaan PC yang ditinggal tanpa pengawasan, perlindungan peralatan di wilayah user, tidak mematuhi kebijakan clear desk. Dari hasil temuan tersebut, auditor memberikan rekomandasi yaitu manajeman harus segera membuat peraturan terkait manajemen password, keamanan kriptografi, aturan tentang clear screen, aturan pemindahan berkas dokumen cetak. Rekomandasi yang yang lain adalah manajeman harus memberikan teguran hingga punishment kepada karyawan yang tidak patuh dalam penggunaan password, penggunaan PC yang ditinggal tanpa pengawasan, perlindungan peralatan di wilayah user, tidak mematuhi kebijakan clear desk.

Hasil dari pengukuran maturity level klausul 12 tentang akuisisi sistem informasi, pembangunan dan pemeliharaan yaitu 3,16 yaitu berada pada level 3 (defined) yang berarti manajemen sudah mempunyai dasar tentang aturan, prosedur dan kebijakan pada proses. Aturan tersebut meliputi proses implementasi sistem baru, modifikasi aplikasi dan aturan pengembangan sistem. Tetapi ada proses yang belum dilakukan sesuai dengan aturan dan prosedur yang ada misalnya dalam pengembangan sistem baru tidak ada framework yang digunakan dalam perencanaan pembuatan sistem baru. Hal lain adalah belum adanya peraturan tentang integritas pesan elektonik, penggunaan kriptografi, manajemen password dan peraturan tentang lesensi produk yang digunakan oleh organisasi. Dari hasil temuan tersebut, auditor memberikan rekomandasi yaitu manajeman harus segera

menantukan framework yang digunakan untuk perencanaan dalam pembuatan sistem yang baru. Rekomendasi yang lain adalah manajeman harus segera membuat pereturan tentang penggunaan pesan elektronik, menajeman password dan lesensi produk yang dimiliki organisasi.

Secara keseluruhan rekomendasi yang diberikan auditor mengarah pada pendisiplinan karyawan yang menggunakan aplikasi SIM-RS dan pembuatan aturan yang lebih detil dengan tujuan menjamin keamanan aplikasi SIM-RS milik RSI Jemursari.

86 BAB V PENUTUP

5.1 Kesimpulan

Berdasarkan dari hasil audit keamanan sistem informasi yang telah dilakukan, maka diperoleh kesimpulan sebagai berikut:

1. Pelaksanaan audit keamanan sistem informasi dengan standar ISO 27002: 2005 telah berhasil dilakukan pada Rumah Sakit Islam Jemursari. Hasil dari perhitungan maturity level pada seluruh klausul adalah 3,47 yaitu defined. Hal tersebut menunjukkan bahwa sebagian besar proses keamanan sistem informasi sudah mempunyai aturan dan dilakukan secara rutin. Tetapi masih ada beberapa kebijakan, peraturan dan prosedur yang belum ada pada organisasi seperti: peraturan tentang keamanan password, keamanan kriptografi dan prosedur perlindungan penempatan peralatan. Selain hal tersebut masih ditemui beberapa karyawan yang tidak melaksanakan kebijakan, peraturan dan prosedur yang ada.

2. Berdasarkan temuan dan bukti-bukti yang ada dalam audit keamanan sistem informasi berdasar ISO 27002 pada RSI Jemursari terdapat beberapa aturan, prosedur dan kebijakan yang belum dipatuhi oleh user. Tetapi masih ada beberapa kebijakan, peraturan dan prosedur yang belum ada pada organisasi seperti: peraturan tentang keamanan password, keamanan kriptografi dan prosedur perlindungan penempatan peralatan. Hal ini mengakibatkan RSI Jemursari rentan terhadap ancaman keamanan informasi. Untuk dapat meningkatkan keamanan, akan diberikan rekomendasi-rekomendasi yang

sesuai dengan refrensi keamanan informasi. Secara keseluruhan rekomendasi merujuk pada pendisiplinan aturan yang sudah ada dan membuat aturan kemananan informasi yang lebih detil guna meningkatkan keamanan sistem informasi milik RSI Jemursari.

5.2 Saran

Beberapa saran yang dapat diberikan untuk proses pengembangan lebih lanjut adalah sebagai berikut:

1. Dalam melindungi keamanan informasi organisasi, diharapkan manajemen meninjau ulang dan memperbaiki aturan, prosedur yang ada dengan menambahkan aspek keamanan informasi yang lebih detil. Hal tersebut bertujuan agar ancaman-ancaman terkain keamanan informasi dapat diminimalisir.

2. Diharapkan kepada manajemen untuk melaksanakan audit keamanan sistem informasi kembali setelah dilakukan perbaikan. Hal tersebut bertujuan untuk mengukur keberhasilan penerapan dari hasil rekomandasi sebelumnya.

Daftar Pustaka

Ahmad, A. (2012). Bakuan Audit Keamanan Informasi Kemenpora. Indonesia: Kementerian Pemuda dan Olahraga.

Canon, D. (2011). CISA (Certified Information Sistem Auditor) Study Guide (Vol. 3rd edition). Indriana Polis: Wiley Publising.

DepKes RI. (1992). Keputusan Menteri Kesehatan RI No. 983/MenKes/SK/XI/1992. Pedoman Organisasi Rumah Sakit Umum.

Direktorat Keamanan Informasi. (2011). Panduan Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik. Jakarta: Kementrian Keamanan Informasi dan Informatika RI.

Gondodiyoto, S. 2007. Audit Sistem Informasi Pendekatan COBIT. Jakarta: Mitra Wacana Media.

Information Technology Governance Institute. 2007. COBIT 4.10: Control Objective, Management Guidelines, Maturity Models. United States of America: IT Governance Institute

ISACA. (2010). Guide to the Audit of IT Application. Switzerland: Felice Lutz. ISO/IEC 17799 (27001). (2005). Information Technology Security Techniques -

Information Security Management. Switzerland.

ISO/IEC 27002. (2005). Information Technology - Security techniques - Code of practice for information security management International . ISO.

Kadir, A. (2003). Pengenalan Sistem Informasi. Yogyakarta: Andi.

Ladjamudin, Al-bahra. 2005. Analisis dan Desain Sistem Informasi. Yogyakarta: Graha Ilmu.

Peraturan Kementrian Kesehatan Republik Indonesia nomor 84 Tahun 2013 tentang Sistem Informasi Manajemen Rumah Sakit

Sarno, R. (2009). Audit Sistem & Teknologi Informasi. Surabaya: ITS Press. Sarno, R., & Iffano, I. (2009). Sistem Manajemen Keamanan Informasi. Surabaya:

ITS Press.

Tanuwijaya, H., & Sarno, R. (June 2010). Comparation of CObit Maturity Level and Structural Equation Model for Measuring the Alignment between University of Computer Science and Network Security. International Journal of Computer Science and Network Security, VOL.10 No.6.