Tabel 4.13 Hasil Pembobotan Klausul 11 Dengan Objektif k Kontrol 11.3.1 penggunaan password Password Use Dengan Nilai Bobot Medium 0,4-0,69 dan High0,7-1,0 HASIL PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Auditor: Dian Ayu P Auditee: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal: 6-7 Mei 2015 Klausul 11.3 Tanggung Jawab Pengguna user 11.3.1 Penggunaan password Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. No. PERNYATAAN Bobot Rendah 0,1-0,39 Cukup 0,4-0,69 Tinggi 0,7-1,0 1. Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password 1 2. Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya 0,6 3. Terdapat larangan dalam pembuatan catatan password 0,8 4. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain 1 5. Terdapat pergantian password sementara pada saat pertama kali log-on 1 6. Terdapat pemilihan password secara berkualitas yang mudah diingat 0,6 7. Terdapat perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama 0,7

4.2.5 Hasil Pertanyaan

Setelah melakukan pembobotan pernyataan langkah selanjutnya adalah membuat pertanyaan. Pertanyaan yang dibuat mengacu pada pernyataan yang ada dimana satu pernyataan bisa memiliki lebih dari satu pertanyaan, hal tersebut dikarenakan setiap pertanyaan harus mewakili pernyataan pada saat dilakukan wawancara. Pertanyaan pada tabel didasarkan pada pernyataan yang telah disesuaikan dengan standar ISO 27002. Beberapa pertanyaan pada klausul 8 Delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process, klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatasan keamanan fisik Physical security perimeter dan klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password Password Use, dapat dilihat pada Tabel 4.14, Tabel 4.15, Tabel 4.16 dan untuk selengkapnya dapat dilihat pada Lampiran 6. Berdasarkan beberapa hasil pernyataan dari klausul 8 delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a. Pada pernyataaan nomor 1 satu, dibutuhkan data atau prosedur yang mengatur tentang kedisiplinan karyawan maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 1 satu b. Pada pernyataan nomor 2 dua, dibutuhkan data pertimbangan kedisiplinan dengan melihat beberapa faktor maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 2 dua c. Pada pernyataan nomor 3 tiga, dibutuhkan data yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password, serta data mengenai konsekuensi apabila terdapat karyawan yang tidak patuh pada prosedur perusahaan maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 3 tiga Tabel 4.14 Hasil Pertanyaan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan 1 Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan P: Apakah terdapat prosedur yang mengatur kedisiplinan para karyawan ? J: P: Apa saja isi dari prosedur tentang kedisiplinan karyawan tersebut? J: P: Apakah terdapat dokumentasi yang mengatur kedisiplinan karyawan? J: 2 Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa factor P: Apakah terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi sebagai bentuk suatu kesadaran pegawai dalam mengamankan informasi? J: P: Apa saja isi dari pertimbangan pendisiplinan formal tersebut dengan melihat beberapa faktor? J: P: Apakah terdapat dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai? J: 3 Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi P: Apakah seluruh karyawan harus mematuhi serta melaksanakan seluruh aturan dan prosedur keamanan sistem informasi yang terdapat pada perusahaan? J: P: Apakah karyawan tidak diperbolehkan menyebar atau memberikan informasi yang bersifat internal ? misalkan menyebarkan username dan password kepada rekan lain meskipun setiap jobdesk masing masing karyawan berbeda? J: P: Selama ini apakah pernah terjadi beberapa karyawan yang mengabaikan prosedur keamanan informasi tersebut? J: P: Lalu apa konsekuensi yang tepat bagi karyawan yang mengabaikan , bahkan AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan melanggar prosedur keamanan sistem informasi yang telah ditetapkan oleh perusahaan? J: P: Apakah ada dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password tersebut pak? J: Berdasarkan beberapa hasil pernyataan dari klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 Pembatasan Keamanan Fisik Physical security perimeter maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a. Pada pernyataaan nomor 1 satu, dibutuhkan kepastian bahwa batas perimeter yang terdapat pada tempat fasilitas informasi benar benar terjamin keamanannya sesuai standar keamanan serta dibutuhkan data atau prosedur keamanan yang mengatur tentang batas fisik tersebut, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 1 satu b. Pada pernyataan nomor 2 dua, dibutuhkan kepastian bahwa akses menuju tempat kerja dan pada saat di tempat kerja harus terjamin keamanannya dengan membatasi personil yang memiliki otorisasi saja yang diperbolehkan masuk selain itu dibutuhkan data yang mengatur akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 2 dua c. Pada pernyataan nomor 3 tiga, dibutuhkan kepastian bahwa seluruh pintu darurat dalam batas perimeter keamanan harus tertutup rapat dan dalam pengawasan pihak keamanan yang bersangkutan, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 3 tiga d. Pada pernyataan nomor 4 empat, dibutuhkan kepastian bahwa orang yang akan ke wilayah aman benar benar harus diawasi dan terjamin keamanannya, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 4 empat Tabel 4.15 Hasil Pertanyaan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik Physical security perimeter AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik 1 Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik P: Batas fisik seperti apakah yang terdapat di dalam ruangan Desktop Management untuk melindungi pemrosesan informasi yang sedang berlangsung dan bagaimana gambaran keamanan sebelum masuk menuju ruang Desktop? J: P: Apakah batas fisik tersebut terjamin keamanannya secara optimal untuk melindungi kegiatan pemrosesan informasi yang sedang berlangsung? J: P: Apakah batas fisik tersebut telah dibuat sesuai standar keamanan yang layak? Terbuat dari bahan apakah pembatas fisik tersebut? J: P: Apakah ada prosedur keamanan yang mengatur tentang batas fisik tersebut? J: P: Pada ruangan Desktop Management ini terdapat kaca yang memiliki pandangan keluar gedung, apakah kaca tersebut terbuat dengan bahan yang kuat dan tidak mudah pecah untuk pencegahan huru hara, apakah kaca tersebut tahan peluru atau tidak? apabila di lantai dasar maka ideal apabila diproteksi dengan kaca anti peluru dan AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik dilindungi dari cahaya matahari yang menyengat J: P: Selama ini apakah pernah terjadi insiden penembakan di daerah ruang Desktop Management? Apakah ada standar khusus untuk kaca harus terbuat dari apa untuk ruang Desktop Management ini? J: 2 Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. P: Siapakah yang menempati ruangan pemrosesan informasi di sini? J: P: Perlindungan seperti apakah yang digunakan untuk melindungi tempat kerja yang khusus hanya personil dengan otorisasi saja yang boleh masuk?pintu,kartu akses,penjaga pintu,dll J: P: Apakah terdapat cctv close circuit tele vision yang ditempatkan di lokasi yang ideal untuk merekam keluar masuknya karyawan? Apakah di dalam ruang kerja atau pemrosesan informasi juga ada cctv? J: P: Apakah ada dokumen yang mengatur bahwa untuk akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi? J: 3 Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. P: Apakah pintu darurat telah dipasang sesuai standar keamanan dan tertutup rapat? J: P: Standar yang dimaksud di sini seperti apa pak? Mungkin bisa dijelaskan? missal kalau pintu darurat, khusus pintu darurat harus memiliki criteria khusus bahwa pegangan pintunya harus terbuat dari bahan apa dan bentuknya harus seperti apa, dll J: P: Bagaimana kontrol pengawasan apabila terjadi bencana mendadak seperti kebakaran, banjir atau gempa? J: P: Apakah setiap karyawan mengetahui di mana saja pintu darurat berada? AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik J: P: Apakah pintu darurat tersebut hanya dapat dibuka dari dalam atau juga dapat dibuka dari luar? Kalaupun dapat dibuka dari luar , hanya dengan menggunakan kunci yang dimiliki oleh orang-orang yang telah ditunjuk misalnya personal keamanan gedung J: 4 Orang yang akan ke wilayah aman harus diawasi P: Apakah ada persyaratan khusus untuk orang lain selain karyawan yang akan mengunjungi wilayah aman? Seperti apakah persyaratan tersebut? J: P: Apakah ada pencatatan khusus apabila ada yang keluar masuk ruangan Desktop Management? J: P: Adakah cctv yang mengawasi siapa saja yang masuk dan keluar ke wilayah aman? J: Berdasarkan beberapa hasil pernyataan dari klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 Penggunaan Password Password Use maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a. Pada pernyataaan nomor 1 satu, dibutuhkan kepastian bahwa karyawan telah memiliki kesadaran dalam menjaga passwordnya masing masing maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 1 satu b. Pada pernyataan nomor 2 dua, dibutuhkan kepastian bahwa karyawan telah melakukan pergantian password pada saat sistem atau password dalam keadaan bahaya maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 2 dua c. Pada pernyataan nomor 3 tiga, dibutuhkan kepastian bahwa karyawan tidak membuat catatan password tanpa perlindungan enkripsi maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 3 tiga d. Pada pernyataan nomor 4 empat, dibutuhkan kepastian bahwa karyawan tidak membagi satu password yang dimillikinya kepada orang lain maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 4 empat e. Pada pernyataan nomor 5 lima, dibutuhkan kepastian bahwa karyawan telah melakukan penggantian password pada saat pertama kali log-on maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 5 lima f. Pada pernyataan nomor 6 enam, dibutuhkan kepastian bahwa karyawan telah memilih password yang berkualitas dan mudah diingat maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 5 lima g. Pada pernyataan nomor 7 tujuh, dibutuhkan kepastian bahwa karyawan telah melakukan perubahan password secara berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 6 enam Tabel 4.16 Hasil Pertanyaan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan password Password Use AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password 1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing? J: P: Apakah ada perintah tertulis yang menangani pentingnya menjaga kerahasiaan password? J: 2 Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika dirasa sistem dalam keadaan bahaya? J: P: Apakah ada pencatatan perintah dalam pergantian password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya? J: 3 Terdapat larangan dalam pembuatan catatan password P: Apakah ada larangan dalam pembuatan catatan password? J: P: Siapa yang membuat larangan pembuatan catatan password? J: P: Apakah karyawan memiliki metode penyimpanan yang aman dalam peletakan passwordnya? J: 4 Terdapat larangan untuk tidak membagi satu password kepada pengguna lain P: Apakah ada larangan agar tidak membagi satu password kepada pengguna lain? J: P: Apakah karyawan pernah melakukan penyebaran password individu kepada karyawan lain atau orang lain? J: P: Berdasarkan kuesioner terdahulu, apabila sudah ada yang mengatur bahwa tidak diperbolehkan membagi password, lantas mengapa masih ada saja yang melanggar prosedur tersebut pak? J: AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password P: Apakah terdapat konsekuensi khusus apabila karyawan tersebut melakukan penyebaran password kepada karyawan lain? J: 5 Terdapat pergantian password sementara pada saat pertama kali log-on P: Apakah terdapat pergantian password sementara? J: P: Apakah pergantian password sementara tersebut digunakan saat pertama kali log- on? J: 6 Terdapat pemilihan password secara berkualitas yang mudah diingat P: Apakah karyawan memilih password yang mudah diingat? Apakah password dipilih berdasarkan tgl lahir, nama karyawan atau secara acak? J: P: Apakah password yang digunakan sudah tidak menggunakan informasi yang mudah ditebak oleh orang lain? J: P: Apakah password yang digunakan sudah teracak dengan baik antara nomor dan alphabet? J: P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang berkualitas? J: 7 Terdapat perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama P: Berapa kali karyawan melakukan perubahan kata sandipassword? J: P: Apakah perubahan kata sandi dilakukan secara berkala? J: P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan? J: P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali? J: AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password

4.3 Hasil Pelaksanaan Audit Keamanan Sistem Informasi