Tabel 4.13 Hasil Pembobotan Klausul 11 Dengan Objektif k Kontrol 11.3.1 penggunaan password Password Use Dengan Nilai Bobot
Medium 0,4-0,69 dan High0,7-1,0
HASIL PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL
11 KONTROL AKSES
Auditor: Dian Ayu P Auditee: Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal: 6-7 Mei 2015
Klausul 11.3 Tanggung Jawab Pengguna user 11.3.1 Penggunaan password
Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password.
No. PERNYATAAN
Bobot
Rendah 0,1-0,39
Cukup 0,4-0,69
Tinggi 0,7-1,0
1. Adanya kesadaran dari diri sendiri untuk
menjaga kerahasiaan password 1
2. Terdapat penggantian kata password setiap
kali ada
kemungkinan sistem
atau password dalam keadaan bahaya
0,6 3.
Terdapat larangan dalam pembuatan catatan password
0,8 4.
Terdapat larangan untuk tidak membagi satu password kepada pengguna lain
1 5.
Terdapat pergantian password sementara pada saat pertama kali log-on
1 6.
Terdapat pemilihan
password secara
berkualitas yang mudah diingat 0,6
7. Terdapat perubahan kata sandipassword
berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang
lama 0,7
4.2.5 Hasil Pertanyaan
Setelah melakukan pembobotan pernyataan langkah selanjutnya adalah membuat pertanyaan. Pertanyaan yang dibuat mengacu pada pernyataan yang ada
dimana satu pernyataan bisa memiliki lebih dari satu pertanyaan, hal tersebut dikarenakan setiap pertanyaan harus mewakili pernyataan pada saat dilakukan
wawancara. Pertanyaan pada tabel didasarkan pada pernyataan yang telah
disesuaikan dengan standar ISO 27002. Beberapa pertanyaan pada klausul 8 Delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 Proses
Kedisiplinan Disciplinary Process, klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatasan keamanan fisik Physical security
perimeter dan klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password Password Use, dapat dilihat pada Tabel 4.14, Tabel
4.15, Tabel 4.16 dan untuk selengkapnya dapat dilihat pada Lampiran 6. Berdasarkan beberapa hasil pernyataan dari klausul 8 delapan
Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process maka didapatkan pertanyaan yang disesuaikan dengan
kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a.
Pada pernyataaan nomor 1 satu, dibutuhkan data atau prosedur yang mengatur tentang kedisiplinan karyawan maka didapatkan beberapa
pertanyaan seperti yang ada pada Tabel 4.14 nomor 1 satu b.
Pada pernyataan nomor 2 dua, dibutuhkan data pertimbangan kedisiplinan dengan melihat beberapa faktor maka didapatkan beberapa pertanyaan seperti
yang ada pada Tabel 4.14 nomor 2 dua c.
Pada pernyataan nomor 3 tiga, dibutuhkan data yang mengatur tentang keamanan informasi
khususnya mengenai pentingnya untuk tidak
menyebarluaskan password, serta data mengenai konsekuensi apabila terdapat karyawan yang tidak patuh pada prosedur perusahaan maka didapatkan
beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 3 tiga
Tabel 4.14 Hasil Pertanyaan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA
Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan
1 Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan
P: Apakah terdapat prosedur yang mengatur kedisiplinan para karyawan ? J:
P: Apa saja isi dari prosedur tentang kedisiplinan karyawan tersebut? J:
P: Apakah terdapat dokumentasi yang mengatur kedisiplinan karyawan? J:
2 Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa factor
P: Apakah terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi sebagai bentuk suatu kesadaran pegawai dalam
mengamankan informasi? J:
P: Apa saja isi dari pertimbangan pendisiplinan formal tersebut dengan melihat
beberapa faktor? J:
P: Apakah terdapat dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai?
J: 3
Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi
P: Apakah seluruh karyawan harus mematuhi serta melaksanakan seluruh aturan dan prosedur keamanan sistem informasi yang terdapat pada perusahaan?
J: P: Apakah karyawan tidak diperbolehkan menyebar atau memberikan informasi yang
bersifat internal ? misalkan menyebarkan username dan password kepada rekan lain meskipun setiap jobdesk masing masing karyawan berbeda?
J: P: Selama ini apakah pernah terjadi beberapa karyawan yang mengabaikan prosedur
keamanan informasi tersebut? J:
P: Lalu apa konsekuensi yang tepat bagi karyawan yang mengabaikan , bahkan
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA
Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan
melanggar prosedur keamanan sistem informasi yang telah ditetapkan oleh perusahaan?
J: P: Apakah ada dokumen yang mengatur tentang keamanan informasi khususnya
mengenai pentingnya untuk tidak menyebarluaskan password tersebut pak? J:
Berdasarkan beberapa hasil pernyataan dari klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 Pembatasan Keamanan
Fisik Physical security perimeter maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu :
a. Pada pernyataaan nomor 1 satu, dibutuhkan kepastian bahwa batas perimeter
yang terdapat pada tempat fasilitas informasi benar benar terjamin keamanannya sesuai standar keamanan serta dibutuhkan data atau prosedur
keamanan yang mengatur tentang batas fisik tersebut, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 1 satu
b. Pada pernyataan nomor 2 dua, dibutuhkan kepastian bahwa akses menuju
tempat kerja dan pada saat di tempat kerja harus terjamin keamanannya dengan membatasi personil yang memiliki otorisasi saja yang diperbolehkan
masuk selain itu dibutuhkan data yang mengatur akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi, maka didapatkan beberapa
pertanyaan seperti yang ada pada Tabel 4.15 nomor 2 dua
c. Pada pernyataan nomor 3 tiga, dibutuhkan kepastian bahwa seluruh pintu
darurat dalam batas perimeter keamanan harus tertutup rapat dan dalam pengawasan pihak keamanan yang bersangkutan, maka didapatkan beberapa
pertanyaan seperti yang ada pada Tabel 4.15 nomor 3 tiga d.
Pada pernyataan nomor 4 empat, dibutuhkan kepastian bahwa orang yang akan ke wilayah aman benar benar harus diawasi dan terjamin keamanannya,
maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 4 empat
Tabel 4.15 Hasil Pertanyaan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik Physical security perimeter
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN
Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik
1 Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara
fisik P: Batas fisik seperti apakah yang terdapat di dalam ruangan Desktop Management
untuk melindungi pemrosesan informasi yang sedang berlangsung dan bagaimana gambaran keamanan sebelum masuk menuju ruang Desktop?
J: P: Apakah batas fisik tersebut terjamin keamanannya secara optimal untuk melindungi
kegiatan pemrosesan informasi yang sedang berlangsung? J:
P: Apakah batas fisik tersebut telah dibuat sesuai standar keamanan yang layak?
Terbuat dari bahan apakah pembatas fisik tersebut? J:
P: Apakah ada prosedur keamanan yang mengatur tentang batas fisik tersebut? J:
P: Pada ruangan Desktop Management ini terdapat kaca yang memiliki pandangan
keluar gedung, apakah kaca tersebut terbuat dengan bahan yang kuat dan tidak mudah pecah untuk pencegahan huru hara, apakah kaca tersebut tahan peluru atau
tidak?
apabila di lantai dasar maka ideal apabila diproteksi dengan kaca anti peluru dan
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN
Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik
dilindungi dari cahaya matahari yang menyengat J:
P: Selama ini apakah pernah terjadi insiden penembakan di daerah ruang Desktop
Management? Apakah ada standar khusus untuk kaca harus terbuat dari apa untuk ruang Desktop Management ini?
J: 2
Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. P: Siapakah yang menempati ruangan pemrosesan informasi di sini?
J: P: Perlindungan seperti apakah yang digunakan untuk melindungi tempat kerja yang
khusus hanya personil dengan otorisasi saja yang boleh masuk?pintu,kartu akses,penjaga pintu,dll
J: P: Apakah terdapat cctv close circuit tele vision yang ditempatkan di lokasi yang
ideal untuk merekam keluar masuknya karyawan? Apakah di dalam ruang kerja atau pemrosesan informasi juga ada cctv?
J: P: Apakah ada dokumen yang mengatur bahwa untuk akses menuju tempat kerja
dibatasi hanya untuk personil dengan otorisasi? J:
3 Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan
tertutup rapat. P: Apakah pintu darurat telah dipasang sesuai standar keamanan dan tertutup rapat?
J: P: Standar yang dimaksud di sini seperti apa pak? Mungkin bisa dijelaskan? missal
kalau pintu darurat, khusus pintu darurat harus memiliki criteria khusus bahwa pegangan pintunya harus terbuat dari bahan apa dan bentuknya harus seperti apa,
dll
J: P: Bagaimana kontrol pengawasan apabila terjadi bencana mendadak seperti
kebakaran, banjir atau gempa? J:
P: Apakah setiap karyawan mengetahui di mana saja pintu darurat berada?
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN
Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik
J: P: Apakah pintu darurat tersebut hanya dapat dibuka dari dalam atau juga dapat dibuka
dari luar? Kalaupun dapat dibuka dari luar , hanya dengan menggunakan kunci yang dimiliki oleh orang-orang yang telah ditunjuk misalnya personal keamanan
gedung
J: 4
Orang yang akan ke wilayah aman harus diawasi P: Apakah ada persyaratan khusus untuk orang lain selain karyawan yang akan
mengunjungi wilayah aman? Seperti apakah persyaratan tersebut? J:
P: Apakah ada pencatatan khusus apabila ada yang keluar masuk ruangan Desktop
Management? J:
P: Adakah cctv yang mengawasi siapa saja yang masuk dan keluar ke wilayah aman? J:
Berdasarkan beberapa hasil pernyataan dari klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 Penggunaan Password Password Use maka
didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu :
a. Pada pernyataaan nomor 1 satu, dibutuhkan kepastian bahwa karyawan telah
memiliki kesadaran dalam menjaga passwordnya masing masing maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 1
satu b.
Pada pernyataan nomor 2 dua, dibutuhkan kepastian bahwa karyawan telah melakukan pergantian password pada saat sistem atau password dalam
keadaan bahaya maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 2 dua
c. Pada pernyataan nomor 3 tiga, dibutuhkan kepastian bahwa karyawan tidak
membuat catatan password tanpa perlindungan enkripsi maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 3 tiga
d. Pada pernyataan nomor 4 empat, dibutuhkan kepastian bahwa karyawan
tidak membagi satu password yang dimillikinya kepada orang lain maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 4
empat e.
Pada pernyataan nomor 5 lima, dibutuhkan kepastian bahwa karyawan telah melakukan penggantian password pada saat pertama kali log-on maka
didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 5 lima
f. Pada pernyataan nomor 6 enam, dibutuhkan kepastian bahwa karyawan telah
memilih password yang berkualitas dan mudah diingat maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 5 lima
g. Pada pernyataan nomor 7 tujuh, dibutuhkan kepastian bahwa karyawan telah
melakukan perubahan password secara berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama maka didapatkan beberapa
pertanyaan seperti yang ada pada Tabel 4.16 nomor 6 enam
Tabel 4.16 Hasil Pertanyaan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan password Password Use
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES
Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES
Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password
1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password
P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing?
J: P: Apakah ada perintah tertulis yang menangani pentingnya menjaga kerahasiaan
password? J:
2 Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password
dalam keadaan bahaya P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika
dirasa sistem dalam keadaan bahaya? J:
P: Apakah ada pencatatan perintah dalam pergantian password setiap kali ada
kemungkinan sistem atau password dalam keadaan bahaya? J:
3 Terdapat larangan dalam pembuatan catatan password
P: Apakah ada larangan dalam pembuatan catatan password? J:
P: Siapa yang membuat larangan pembuatan catatan password? J:
P: Apakah karyawan memiliki metode penyimpanan yang aman dalam peletakan
passwordnya? J:
4 Terdapat larangan untuk tidak membagi satu password kepada pengguna lain
P: Apakah ada larangan agar tidak membagi satu password kepada pengguna lain? J:
P: Apakah karyawan pernah melakukan penyebaran password individu kepada
karyawan lain atau orang lain? J:
P: Berdasarkan kuesioner terdahulu, apabila sudah ada yang mengatur bahwa tidak
diperbolehkan membagi password, lantas mengapa masih ada saja yang melanggar prosedur tersebut pak?
J:
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES
Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password
P: Apakah terdapat konsekuensi khusus apabila karyawan tersebut melakukan penyebaran password kepada karyawan lain?
J: 5
Terdapat pergantian password sementara pada saat pertama kali log-on P: Apakah terdapat pergantian password sementara?
J: P: Apakah pergantian password sementara tersebut digunakan saat pertama kali log-
on? J:
6 Terdapat pemilihan password secara berkualitas yang mudah diingat
P: Apakah karyawan memilih password yang mudah diingat? Apakah password dipilih berdasarkan tgl lahir, nama karyawan atau secara acak?
J: P: Apakah password yang digunakan sudah tidak menggunakan informasi yang mudah
ditebak oleh orang lain? J:
P: Apakah password yang digunakan sudah teracak dengan baik antara nomor dan alphabet?
J: P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang
berkualitas? J:
7 Terdapat perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan
larangan menggunakan password yang lama P: Berapa kali karyawan melakukan perubahan kata sandipassword?
J: P: Apakah perubahan kata sandi dilakukan secara berkala?
J: P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan?
J: P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali?
J:
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES
Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password
4.3 Hasil Pelaksanaan Audit Keamanan Sistem Informasi