Analisis Pengembangan Sistem Informasi, Manajemen Insiden, Keberlanjutan Bisnis, Kesesuaian Berdasarkan ISO 27001:2005 (Studi Kasus: Unit TI PT. KAI).

(1)

ABSTRAK

Dengan perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan keamanan semakin meningkat, untuk itu perusahaan harus menerapkan mengatasi gangguan keamanan sistem informasi yaitu dengan menerapkan SMKI. Salah satu perusahaan yang menerapkan TI sebagai elemen pendukung adalah PT.KAI. Pada karya tulis ini difokuskan untuk menentukan kesesuaian PT.KAI itu sendiri berdasarkan klausul akuisisi pengembangan dan pemeliharaan sistem informasi, manajemen insisden keamanan, manajemen keberlanjutan bisnis, kesesuaian. Sumber data untuk menulis laporan Tugas Akhir ini adalah dari internet, ebook, buku teks. Sumber informasi perusahaan data perusahaan diperoleh melalui metode wawancara dan kuesioner. ISO 27001:2005 adalah sebuah metode khusus terstruktur tentang pengamanan informasi yang diakui secara internasional yang memberikan gambaran secara umum mengenaI apa-apa saja yang harus dilakukan untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan “best practise” dalam pengamanan informasi. Dari analisa yang dilakukan terhadap SMKI PT.KAI secara umum sudah dijalankan, namun diperlukan perubahan terhadap kebijakan ataupun prosedur.

(2)

Universitas Kristen Maranatha

ABSTRACT

With the development of information technology is very rapid, the possibility of increasing security disturbances, for it companies should implement information systems security disorder overcome that is by applying the feature. One of the companies that implement IT as a supporting element is PT.KAI. In this paper is focused to determine the suitability of PT.KAI itself based on clause acquisition development and maintenance of information systems, the management of insisden security, business continuity management, compliance. The data source to write the final project report is from the internet, eBooks, textbooks. Company information corporate data sources obtained through interview and questionnaire methods. ISO 27001: 2005 is a special structured method of safeguarding internationally recognized information that provides an overview in General about what-what should be done to evaluate, implement and maintain information security in enterprises based on "best practise" in information security. From the analysis done to SMKI PT.KAI in General is already running, but necessary changes to policies or procedures.

(3)

DAFTAR ISI

PRAKATA ... i

ABSTRAK ... iii

ABSTRACT ... iv

DAFTAR ISI... v

DAFTAR GAMBAR ... vii

DAFTAR TABEL ... viii

DAFTAR LAMPIRAN ... x

DAFTAR SINGKATAN ... xi

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang Masalah ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup Kajian ... 3

1.5 Sumber Data ... 4

1.6 Sistematika Penyajian ... 4

BAB II KAJIAN TEORI ... 6

2.1 Pengertian Sistem ... 6

2.2 Analisis Sistem ... 6

2.3 Pengertian Manajemen ... 7

2.3.1 Manajemen Sebagai Suatu Proses... 7

2.3.2 Manajemen Sebagai Suatu Kolektivitas ... 8

2.3.3 Manajemen Sebagai Suatu Ilmu dan Seni... 8

2.4 Keamanan Informasi ... 8

2.5 Manajemen Keamanan Informasi ... 10

2.6 Standar Sistem Manajemen Keamanan Informasi ... 12

(4)

Universitas Kristen Maranatha 2.6.4 ISO/IEC 27006 –Requirements for Bodies Providing Audit and Certification

of Information Security Management Systems. ... 16

2.7 Dokumentasi Sistem Manejemen Keamanan Informasi ... 16

2.8 Detail Struktur Dokumen Kontrol Keamanan ISO 27001:2005 ... 18

2.9 GAP Analisis ... 27

BAB III ANALISIS DAN EVALUASI ... 31

3.1 Profil Perusahaan ... 31

3.2 Visi dan Misi ... 32

3.3 Unit TI pada PT.KAI ... 32

3.4 Strategi Penerapan TI pada PT.Kereta Api Indonesia ... 34

3.5 Tujuan Pengembangan SIstem dan TI ... 36

3.6 Tahapan Dalam Menganalisis SMKI ... 36

3.6.1 Dokumen yang dibutuhkan dalam Sistem Manajemen Keamanan Informasi38 3.6.2 Kesimpulan Kuesioner Awareness ... 41

3.6.3 Analisis Kuesioner Compliant... 41

3.6.4 Menetukan Action Required ... 44

3.6.5 Melihat Kesesuaian Terhadap Referensi ISO 27001:2005 & Pemberian Komentar. ... 46

BAB IV SIMPULAN DAN SARAN ... 80

4.1 Simpulan ... 80

4.2 Saran dan Rekomendasi... 81

DAFTAR PUSTAKA ... 90

DAFTAR LAMPIRAN ... 92

(5)

DAFTAR GAMBAR

Gambar 1 Hubungan antar standar SMKI ... 13

Gambar 2 Struktur Dokumentasi SMKI ... 17

Gambar 3 Contoh GAP Analisis ... 29

Gambar 4 Struktur Organisasi Pusat Sistem Informasi PT.KAI ... 33

(6)

viii

Universitas Kristen Maranatha

DAFTAR TABEL

Tabel I Peta PDCA dalam SMKI ... 14

Tabel II Detail dokumentasi ISO 27001:2005 ... 18

Tabel III Kesimpulan Kuesioner Awareness ... 41

Tabel IV Hasil Kuesioner Compliant ... 41

Tabel V Hasil Action Required ... 44

Tabel VI Analisis Kebutuhan Keamanan dan Spesifikasi ... 47

Tabel VII Validasi Data Masukan ... 48

Tabel VIII Pengolahan Pengendalian Internal ... 49

Tabel IX Integritas Pesan ... 49

Tabel X Validasi Data Masukan ... 50

Tabel XI Kebijakan Tentang Penggunaan Pengendalian Kriptografi ... 51

Tabel XII Manajemen Kunci ... 52

Tabel XIII Pengendalian Perangkat Lunak yang Operasional ... 53

Tabel XIV Perlindungan Data Uji Sistem ... 53

Tabel XV Pengendalian Akses terhadap Kode Sumber Program ... 54

Tabel XVI Prosedur Pengendalian Perubahan ... 55

Tabel XVII Review Aplikasi Setelah Perubahan Sistem Informasi ... 56

Tabel XVIII Perubahan Pembatasan Pada Paket Perangkat Lunak ... 57

Tabel XIX Kebocoran Informasi ... 58

Tabel XX Pengembangan Perangkat Lunak yang Dialihdayakan ... 58

Tabel XXI Pengendalian Kerawanan Teknis ... 59

Tabel XXII Pelaporan Kejadian Keamanan Informasi ... 60

Tabel XXIII Pelaporan Kelemahan Keamanan... 61

Tabel XXIV Tanggungjawab dan Prosedur ... 62

Tabel XXV Pembelajaran dari Insiden Keamanan Informasi ... 63

Tabel XXVI Pengumpulan Bukti ... 64

Tabel XXVII Memasukkan Keamanan Informasi Dalam Proses Manajemen Keberlanjutan Bisnis ... 65

Tabel XXVIII Keberlanjutan Bisnis dan Manajemen Resiko ... 66

Tabel XXIX Mengembangkan dan Menerapkan Rencana Keberlanjutan Termasuk Keamanan Informasi ... 67

Tabel XXX Kerangka Kerja Perencanaan Keberlanjutan Bisnis ... 68

Tabel XXXI Pengujian, Pemeliharaan dan Assesmen Ulang Rencana Keberlanjutan Bisnis... 69

Tabel XXXII Identifikasi Peraturan Hukum yang Berlaku... 70

Tabel XXXIII Hak Kekayaan Intelektual ... 71

Tabel XXXIV Perlindungan Rekaman Organisasi... 72

(7)

Tabel XXXVI Pencegahan Penyalahgunaan Fasilitas Pengolaan Informasi ... 74

Tabel XXXVII Regulasi Pengendalian Kriptografi ... 75

Tabel XXXVIII Pemenuhan Terhadap Kebijakan Keamanan dan Standar ... 76

Tabel XXXIX Pengecekan Pemenuhan Teknis ... 77

Tabel XL Pengendalian Audit Sistem Informasi ... 77

(8)

Universitas Kristen Maranatha

DAFTAR LAMPIRAN

Lampiran A Kuesioner Compliant ... 92

Lampiran B Kuesioner Awareness... 100

Lampiran C Policy ... 102

Lampiran D Prosedur ... 105

Lampiran D Work Instruction... 159

Lampiran F Record ... 166

Lampiran G IT Policy ... 169

Lampiran H Tata Kelola TI ... 172

Lampiran I Monitoring Server ... 176

Lampiran J Hak Akses Aplikasi ... 177

Lampiran K Organisasi dan Tata Laksana Unit Sistem Informasi ... 178

Lampiran L Daftar Software/Aplikasi Milik PT.KAI... 180

Lampiran M Change Request ... 182

(9)

DAFTAR SINGKATAN

Singkatan Istilah Arti Istilah

Doc Dokumen

PT.KAI PT.Kereta Api Indonesia (Persero)

SMKI Sistem Manajemen Keamanan Informasi

TI Teknologi informasi

(10)

Universitas Kristen Maranatha

BAB I PENDAHULUAN

1.1 Latar Belakang Masalah

Informasi adalah sebuah aset bisnis yang sebagaimana bisnis lainnya memiliki nilai esensial dan karenanya harus dilindungi keamanannya. Seiring dengan perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan terkait keamanan semakin meningkat. Untuk itu perusahaan harus menerapkan suatu kebijakan yang tepat dalam melindungi aset informasi yang dimiliki, dimana perusahaan mengambil suatu kebijakan untuk mengatasi gangguan keamanan sistem informasi yaitu dengan menerapkan SMKI.

ISO 27001:2005 (SMKI) adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO 27001:2005

merupakan SMKI atau Information Security Management System, biasa disebut

ISMS, yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan “best practise” dalam pengamanan informasi.

PT.KAI merupakan perusahaan BUMN yang bergerak dalam bidang jasa transportasi darat yang sudah menerapkan sistem informasi dalam menjalankan usahanya. Dalam mendukung keamanan informasi PT.KAI diperlukannya suatu standarisasi yang dapat mengelola insiden keamanan informasi misalnya dengan untuk memastikan kejadian dan kelemahan informasi terkait dengan sistem informasi dikomunikasikan sedemikian rupa sehingga memungkinkan tindakan koreksi dilakukan tepat waktu, kemudian untuk memastikan bahwa keamanan merupakan bagian utuh dari sistem informasi dalam melindungi kerahasiaan, keaslian atau integritas informasi, serta pengelolaan yang benar dalam perangkat lunak sistem aplikasi dan informasi dan juga mengurangi

(11)

resiko terhadap kerawanan teknis yang dipublikasikan. PT.KAI juga harus dapat mengatasi gangguan kegiatan bisnis dan juga kesesuaian terhadap undang-undang peraturan dan kewajiban dalam memenuhi persyaratan keamanan.

1.2 Rumusan Masalah

Berdasarkan latar belakang masalah yang telah dijelaskan pada 1.1 maka masalah yang akan dikaji dalam Tugas Akhir ini adalah sebagai berikut:

1. Apakah unit IT telah melakukan akuisisi terhadap pengembangan dan pemeliharaan sistem informasi terkait keamanan dalam melindungi kerahasiaan, keaslian atau integritas informasi pada PT.KAI?

2. Apakah unit IT telah mengelola insiden yang dilakukan keamanan informasi untuk memastikan kejadian dan kelemahan informasi yang terkait dalam sistem informasi pada PT.KAI?

3. Apakah unit IT telah mengatasi setiap gangguan teknis terkait keamanan informasi agar tidak menggangu keamanan bisnis yang dilakukan pada PT.KAI?

4. Apakah penggunaan sistem informasi sudah dijalankan sesuai dengan peraturan ataupun undang-undang yang ditetapkan PT.KAI?

1.3 Tujuan Pembahasan

Adapun tujuan pembahasan dari Tugas kahir ini adalah sebagai berikut:

1. Untuk melindungi keaslian, kerahasiaan atau integritas informasi dari setiap resiko yang terjadi pada PT.KAI .

2. Untuk memastikan setiap kelemahan dan kejadian terkait keamanan sistem informasi dikomunikasikan dan diambil tindakan koreksi secara tepat waktu.

3. Untuk melindungi kegiatan bisnis yang diakibatkan dari gangguan dan kegagalan sistem informasi agar keberlanjutan bisnis dari PT.KAI dapat dipastikan secara tepat waktu.

(12)

Universitas Kristen Maranatha 4. Untuk mencegah terjadinya pelanggaran ataupun penyalahgunaan dari

sistem informasi yang dipakai oleh PT.KAI.

1.4 Ruang Lingkup Kajian

Ruang Lingkup kajian penelitian adalah sebagai berikut: 1. Analisis dilakukan pada PT.KAI Bandung.

2. ISO 27001:2005 merupakan SMKI atau Information Security

Management System memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan.

3. Menggunakan 4 kontrol yang terdapat di dalam ISO 27001:2005 a. Manajemen Insiden Keamanan Informasi

Sasaran dalam proses ini adalah untuk memastikan kejadian dan

kelemahan informasi terkait dengan sistem informasi

dikomunikasikan sedemikian rupa sehingga memungkinkan tindakan koreksi dilakukan tepat waktu.

b. Akuisisi Pengembangan dan Pemeliharaan Sistem Informasi Sasaran dalam proses ini adalah untuk memastikan bahwa keamanan merupakan bagian utuh dari sistem informasi dalam melindungi kerahasiaan, keaslian atau integritas informasi, serta pengelolaan yang benar dalam perangkat lunak sistem aplikasi dan informasi dan juga mengurangi resiko terhadap kerawanan teknis yang dipublikasikan.

c. Manajemen Keberlanjutan Bisnis

Sasaran dalam proses ini adalah untuk menghadapi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dari efek kegagalan utama sistem informasi dan untuk memastikan keberlanjutan secara tepat waktu.

(13)

d. Kesesuaian

Sasaran dalam proses ini adalah untuk mencegah pelanggaran

terhadap undang-undang peraturan atau kewajiban dan

persyaratan keamanan.

1.5 Sumber Data

Metode penelitian yang digunakan dalam penyelesaian Tugas Akhir ini adalah: 1. Observasi

Melakukan pengamatan langsung terhadap objek yang dituju mengenai mekanisme evaluasi dan perbaikan secara berkesinambungan pada organisasi.

2. Wawancara

Berkomunikasi langsung dengan orang/pegawai di organisasi yang diteliti untuk mendapatkan data dan informasi yang diperlukan dalam penelitian ini.

3. Kuesioner

Memberikan beberapa pertanyaan secara tertulis kepada responden untuk mendapatkan informasi informasi yang diperlukan dalam penelitian ini.

4. Studi Literature

Menggunakan referensi dan metode penelitian dari buku, textbook, dan e-book, artikel yang berkaitan dengan penelitian.

1.6 Sistematika Penyajian

Secara umum, sistematika penyajian diuraikan sebagai berikut:

BAB I PENDAHULUAN

(14)

Universitas Kristen Maranatha

BAB II KAJIAN TEORI

Bab ini membahas mengenai dasar atau kajian teori yang digunakan dalam penyusunan Tugas Akhir.

BAB III ANALISIS DAN EVALUASI

Bab ini membahas menganai profil dari PT.KAI, GAP Analisis Manajemen Keamanan Informasi pada bagian Unit TI di PT.KAImenggunakan standar ISO 27001:2005

BAB IV SIMPULAN DAN SARAN

Bab ini membahas mengenai kesimpulan dan saran pengembangan berdasarkan analisis dan evaluasi yang telah dibahas pada BAB III.

(15)

BAB IV SIMPULAN DAN SARAN

4.1 Simpulan

Simpulan yang dapat diambil dari hasil analisis dari klausul akuisisi pengembangan dan pemeliharaan sistem informasi, manajemen insiden keamanan, manajemen keberlanjutan bisnis, kesesuaian/kepatuhan adalah sebagai berikut:

1. PT.KAI sudah memastikan persyaratan keamanan dari sistem informasi. Namun dalam proses pengolahan aplikasi masih dinilai kurang baik, dimana kurangnya sosialiasi ke seluruh manajemen, sehingga memungkinkan terjadi modifikasi atau penyalahgunaan informasi dalam aplikasi. Kebijakan tentang penggunaan pengendalian kriptografi dinilai masih belum baik, namun dalam pengendalian manajemen kunci dinilai masih belum baik, dimana belum adanya aturan atau kebijakan yang mengatur. Pengendalian dan perlindungan dari keamanan systems file dinilai belum baik dimana belum semua dibuatnya instruksi kerja ataupun prosedur di seluruh jajaran manajemen. Penerapan perubahan pada aplikasi dinilai sudah baik oleh PT.KAI dimana sudah ada prosedur yang jelas, namun dalam mencegah peluang kebocoran informasi masih dinilai kurang baik dimana belum adanya sanksi yang jelas yang diberlakukan oleh PT.KAI apabila terjadi kebocoran informasi yang diakibatkan oleh pihak internal perusahaan.

2. Proses pelaporan kejadian terkait keamanan informasi sudah berjalan tetapi dari segi penerapannya dinilai masih kurang baik, dimana kurangnya koordinasi dari pihak manajemen dan juga disebabkan karena kurangnya kepedulian terhadap keamanan informasi. Tanggung jawab manajemen dan prosedur terkait insiden keamanan informasi

(16)

Universitas Kristen Maranatha pemantauan dari setiap penanggung jawab dari masing-masing manajemen.

3. PT.KAI sudah memasukkan keamanan informasi dalam proses manajemen keberlanjutan bisnis, tetapi prosedur dalam pengembangan dan penerapannya masih belum ada dikarenakan masih dalam tahap perencanaan. Pemeliharaan tentang persyaratan informasi masih dalam tahap dimana pada waktu-waktu tertentu baru dijalankan, tetapi tidak mempunyai rencana yang berkelanjutan. Rencana bisnis masih belum diuji sehingga dinilai masih belum efektif secara keseluruhan oleh PT.KAI.

4. Peraturan perundang-undangan dan hukum masih dinilai belum diidentifikasi secara keseluruhan serta kebijakan mengenai hak paten penggunaan perangkat lunak masih belum lengkap dimana belum semua dipastikan kesesuaiannya dengan peraturan perundang-undangan maupun kontrak tentang penggunaan produk perangkat lunak yang digunakan. Pembatasan dalam penggunaan fasilitas pengolahan informasi dinilai belum berjalan dengan efektif oleh PT.KAI dikarenakan tidak berjalannya aturan yang berlaku. Kegiatan audit terhadap keamanan dinilai sudah baik oleh PT.KAI dimana sudah jelasnya tanggung jawab dan didokumentasikan secara formal.

4.2 Saran dan Rekomendasi

Saran yang dapat diambil dari kesimpulan berdasarkan klausul akuisisi pengembangan dan pemeliharaan sistem informasi, manajemen insiden keamanan informasi, manajemen keberlanjutan bisnis dan kesesuaian adalah sebagai berikut:

1. Akuisisi Pengembangan dan Pemeliharaan Sistem Informasi a. Analisis Kebutuhan Keamanan dan Spesifikasi

(17)

Peningkatan terhadap sistem informasi yang ada harus menetapkan persyaratan untuk pengendalian manajemen pada PT.KAI.

b. Validasi Data Masukan

Data yang di masukkan kedalam aplikasi harus divalidasi untuk memastikan bahwa data tersebut benar dan tepat serta melakukan pemantauan secara regular untuk mencegah penyalahgunaan informasi.

c. Pengolahan Pengendalian Internal

Pengecekan validasi harus digabungkan ke dalam aplikasi untuk mendeteksi setiap kerusakan informasi karena kesalahan pengolahan atau tindakan yang disengaja, serta melakukan pengecekan ke setiap sistem informasi yang digunakan oleh PT.KAI.

d. Integritas Pesan

Setiap data yang dikelola dalam aplikasi harus diidentifikasi untuk memastikan bahwa data tersebut adalah benar.

e. Validasi Data Keluaran

Unit TI pada PT.KAI harus mengolah dan menyimpan setiap hasil pengolahan data dari aplikasi dengan benar dan tepat.

f. Kebijakan tentang Penggunaan Pengendalian Kriptografi

Membuat kebijakan tentang penggunaan pengendalian kriptografi dan harus dikembangkan untuk melindungi informasi PT.KAI. g. Manajemen Kunci

Membuat prosedur yang mengatur mengenai pengendalian manajemen kunci dalam mendukung teknik kriptografi.

h. Pengendalian Perangkat Lunak yang Operasional

(18)

Universitas Kristen Maranatha i. Perlindungan Data Uji Sistem

PT.KAI harus membuat instruksi kerja yang formal dalam melakukan pengujian data serta data uji harus dipilih dan dilindungi serta dikendalikan.

j. Pengendalian Akses terhadap Kode Sumber Program

PT.KAI harus membuat instruksi kerja yang jelas untuk membatasi akses ke kode sumber program.

k. Prosedur Pengendalian Perubahan

Penerapan harus dikendalikan dengan menggunakan prosedur pengendalian yang formal.

l. Review Aplikasi setelah Perubahan Sistem Informasi

PT.KAI harus membuat prosedur untuk mengatur proses peninjauan dan pengujian terhadap sistem operasi yang diubah. m. Perubahan Pembatasan pada Paket Perangkat Lunak

Unit TI pada PT.KAI harus melakukan pembatasan terhadap perubahan perangkat lunak dan hanya berfokus pada perubahan yang diperlukan saja untuk mengurangi dampak yang dapat merugikan organisasi.

n. Kebocoran Informasi

PT.KAI harus membuat aturan serta sanksi yang jelas (pidana atau perdata) agar meminimalisasi kebocoran informasi yang diakibatkan oleh pihak internal perusahaan.

o. Pengembangan Perangkat Lunak yang Dialihdayakan

Pengembangan perangkat lunak yang dialihdayakan harus disupervisi dan dipantau oleh organisasi.

(19)

Informasi tepat waktu tentang kerawanan teknis dari sistem informasi yang digunakan harus diperoleh dan diambil tindakan untuk menangani resiko terkait.

2. Manajemen Insiden Keamanan Informasi a. Pelaporan Insiden Keamanan Informasi

Unit TI pada PT.KAI harus mengkomunikasikan setiap kejadian dan kelemahan mengenai sistem informasi melalui manajemen terkait agar dilakukan tindakan koreksi secara tepat waktu.

b. Pelaporan Kelemahan Keamanan

Semua pegawai, kontraktor dan pihak ketiga dari sistem informasi dan layanan harus diisyaratkan oleh unit TI PT.KAI untuk mencatat dan melaporkan setiap kelemahan keamanan yang diamati dan dicurigai dalam sistem atau layanan.

c. Tanggungjawab dan Prosedur

Unit TI pada PT.KAI harus melakukan pemantauan bahwa setiap penanggung jawab dari masing-masing manajemen sudah melakukan tanggung jawabnya sesuai dengan prosedur yang berlaku.

d. Pembelajaran dari Insiden Keamanan Informasi

Unit TI pada PT.KAI harus membuat prosedur dalam mengatur mengenai pembelajaran mengenai insiden keamanan informasi. e. Pengumpulan Bukti

Unit TI pada PT.KAI harus membuat record dalam proses

pengumpulan bukti-bukti. 3. Manajemen Keberlanjutan Bisnis

a. Memasukkan Keamanan Informasi dalam Proses Manajemen Keberlanjutan Bisnis.

(20)

Universitas Kristen Maranatha secara menyeluruh, yang menekankan penggunaan persyaratan keamanan informasi yang dibutuhkan untuk keberlanjutan bisnis. b. Keberlanjutan Bisnis dan Manajemen Resiko

Unit TI pada PT.KAI harus mengidentifikasi setiap kejadian yang dapat menyebabkan gangguan terhadap proses bisnis organisasi, bersamaan dengan kemungkinan dan dampak dari gangguan tersebut serta konsekuensinya terhadap keamanan informasi. c. Mengembangkan dan Menerapkan Rencana Keberlanjutan

termasuk Keamanan Informasi.

Unit TI pada PT.Kai harus membuat prosedur mengenai pengendalian manajemen keberlanjutan bisnis dan harus dikembangkan untuk memelihara dan memastikan ketersediaan informasi pada tingkat dan dalam jangka waktu yang diisyaratkan setelah terjadinya gangguan dari proses bisnis.

d. Kerangka Kerja Perencanaan Keberlanjutan Bisnis

Unit TI pada PT.KAI harus membuat kerangka kerja yang jelas dari perencanaan yang keberlanjutan dalam memelihara dan memastikan semua rencana secara konsisten.

e. Pengujian, Pemeliharaan dan Assessment Ulang Rencana

Keberlanjutan Bisnis.

Unit TI pada PT.KAI harus memastikan secara efektif bahwa rencana keberlanjutan bisnis harus diuji dan dimuktahirkan secara regular.

4. Kesesuaian/Kepatuhan

a. Identifikasi Peraturan Hukum yang Berlaku

Unit TI pada PT.KAI harus mengidentifikasi setiap peraturan dan perundang-undangan dan kewajiban kontrak dalam menjaga keamanan dari sistem informasi dan organisasi.

(21)

Unit TI pada PT.KAI harus membuat kebijakan mengenai hak kekayaan intelektual yang secara jelas diidentifikasi aturan perundang-undangan dan kontrak mengenai perangkat lunak yang dipakai oleh organisasi.

c. Perlindungan Rekaman Organisasi

Unit TI pada PT.KAI harus melakukan pemantauan terhadap setiap rekaman terkait kegiatan yang berlangsung untuk meminimalisasi terjadinya kehilangan data ataupun informasi dari organisasi.

d. Perlindungan Data dan Rahasia Informasi Pribadi

Unit TI pada PT.KAI harus membuat sebuah regulasi atau aturan yang mengatur tentang perlindungan data dan informasi dari organisasi secara jelas yang dipersyaratkan dalam legislasi, regulasi yang relevan, dan klausul kontrak jika diperlukan.

e. Pencegahan Penyalahgunaan Fasilitas Pengolahan Informasi Unit TI pada PT.KAI harus melakukan pemantauan terhadap kegiatan penggunaan fasilitas pengolahan informasi untuk mencegah terjadinya penggunaan fasilitas pengolahan informasi dengan tujuan yang tidak sah.

f. Regulasi Pengendalian Kriptografi

Unit TI pada PT.KAI harus membuat regulasi mengenai pengendalian kriptografi yang sesuai dengan aturan dan perundang-undangan.

g. Pemenuhan Terhadap Kebijakan Keamanan dan Standar

Unit TI pada PT.KAI harus membuat instruksi kerja dimana tanggung jawab dari setiap manajer secara jelas diidentifikasi dalam proses pemenuhan kebijakan keamanan informasi.

(22)

Universitas Kristen Maranatha Unit TI pada PT.KAI harus mengecek setiap sistem informasi yang dipakai secara regular dan dicek pemenuhan teknis terhadap standar penerapan keamanan.

i. Pengendalian Audit Sistem Informasi

Unit TI pada PT.KAI harus melakukan pengecekan yang dilakukan oleh bagian audit TI terhadap sistem informasi yang dipakai yang sudah direncanakan dan sudah disetujui oleh pihak manajemen terkait.

j. Perlindungan terhadap Alat Audit Informasi

Unit TI pada PT.KAI harus membuat prosedur mengenai perlindungan terhadap alat audit sistem informasi dimana akses terhadap pemakaian alat audit harus dibatasi dan dilindungi.

Penekanan dan penyesuaian dari klausul-klausul pada pokok masalah yang diambil yaitu pengembangan akuisisi sistem informasi dan pemeliharaan, manajemen insiden keamanan informasi, manajemen keberlanjutan bisnis, kepatuhan/kesesuaian harus dipenuhi. Berikut adalah rekomendasi dari hasil analisis pada BAB III, referensi penulisan dokumen ISO 27001:2005 dapat dilihat pada lampiran C (Policy), D (Procedure), E (Work Instruction), F (Record).

1. Dalam pembuatan dokumen SMKI harus memuat komitmen yang dituangkan dalam bentuk kebijakan, standar, sasaran, dan rencana terkait dengan pengembangan, penerapan, dan peningkatan SMKI. Adapun dokumen kebijakan yang harus dipenuhi dari klausul pengembangan akuisisi sistem informasi dan pemeliharaan, manajemen insiden keamanan informasi, manajemen keberlanjutan bisnis, kepatuhan/kesesuaian adalah sebagai berikut:

a. Intellectual Property Rights. b. Data Protection and Privacy.

(23)

2. Dalam pembuatan prosedur dan panduan yang sedang dikembangkan oleh PT.KAI, harus memuat cara menerapkan kebijakan yang telah ditetapkan serta menjelaskan penanggung jawab kegiatan. Berikut adalah prosedur yang harus dipenuhi dari klausul pengembangan akuisisi sistem informasi dan pemeliharaan, manajemen insiden

keamanan informasi, manajemen keberlanjutan bisnis,

kepatuhan/kesesuaian:

a. Cryptographic Key Management. b. Control of Operationanl Software. c. Vulnerability management.

d. Reporting Information Securiry Weaknesses and Events. e. Responding to Information Security Reports.

f. Collection of Evidence. g. Business Continuity Planning. h. Business Continuity Plan

i. Business Continuity Risk Assessments

j. Testing, Maintaining and Reassessing BC Plans.

3. Pembuatan dokumen petunjuk teknis atau instruksi kerja yang digunakan untuk mendukung pelaksanaan prosedur tertentu sampai ketingkatan teknis. Adapun dokumen instruksi kerja yang harus dipenuhi dari klausul pengembangan akuisisi sistem informasi dan pemeliharaan, manajemen insiden keamanan informasi, manajemen keberlanjutan bisnis, kepatuhan/kesesuaian sebagai berikut:

a. Schedule of Required Cryptographic Controls. b. IPR Compliance Procedure

c. Retention of Records.

d. Compliance and Compliance Checking Procedure. e. Systems Auditing Procedure.

(24)

Universitas Kristen Maranatha g. Schedule of Information Security Event Reports

4. Menyesuaikan sasaran pengendalian dalam proses yang dimaksud adalah akuisisi sistem informasi dan pemeliharaan, manajemen insiden

keamanan informasi, manajemen keberlanjutan bisnis,

kesesuaian/kepatuhan.

a. Akuisisi Sistem Informasi dan Pemeliharaan

Sasaran dalam proses ini adalah untuk memastikan bahwa keamanan merupakan bagian utuh dari sistem informasi dalam melindungi kerahasiaan, keaslian, integritas informasi, serta pengelolaan yang benar dalam perangkat lunak sistem aplikasi dan informasi dan juga mengurangi resiko terhadap kerawanan teknis yang dipublikasikan.

b. Manajemen Insiden Keamanan Informasi

Sasaran dalam proses ini adalah untuk memastikan kejadian dan kelemahan informasi terkait dengan sistem informasi dikomunikasikan sedemikian rupa sehingga memungkinkan tindakan koreksi dilakukan tepat waktu.

c. Manajemen Keberlanjutan Bisnis

Sasaran dalam proses ini adalah untuk menghadapi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dan efek kegagalan utama sistem informasi dan untuk memastikan keberlanjutan secara tepat waktu.

d. Kesesuian/Kepatuhan

Sasaran dalam proses ini adalah untuk mencegah pelanggaran terhadap undang-undang peraturan atau kewajiban dan persyaratan keamanan.

(25)

DAFTAR PUSTAKA

PT. Kereta Api Indonesia. (2012, September 06). Sejarah Kereta Api. Retrieved 03 12, 2013, from http://www.kereta-api.co.id/tentang-kami/sekilas-sejarah.html Badan Standarisasi Nasional. (2009). Teknologi Informasi-Teknik Keamanan-Sistem Manajemen Keamanan Informasi-Persyaratan.

Drs.Zulkifli Amsyah, M. (2005). MANAJEMEN SISTEM INFORMASI. In M. Drs.Zulkifli Amsyah, Konsep Sistem (pp. 27,29). Jakarta: PT Gramedia Pustaka Utama.

Gondodiyoto. (2007). Audit Sistem Informasi. Jakarta: Mitra Wacana Media. ISO/IEC. (2005). Policy Data Protection and Privacy. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Policy Intellectual Property Rights. Geneva: Governance Ltd2005 1.2.

ISO/IEC. (2005). Procedure Business Continuity Plan. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Procedure Business Continuity Planning. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Procedure Business Continuity Risk Assessments. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Procedure Collection of Evidence. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Procedure Control of Operationanl Software. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Procedure Cryptographic Key Management. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Procedure Reporting Information Securiry Weaknesses and Events. Geneva: Governance Ltd2005 v1.2.

(26)

Universitas Kristen Maranatha ISO/IEC. (2005). Procedure Testing, Maintaining and Reassessing BC Plans. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Procedure Vulnerability management. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Record Info.Security Weakness and Event Checklist. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Record Schedule of Information Security Event Reports. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Work instruction Compliance and Compliance Checking Procedure. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Work instruction IPR Compliance Procedure. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Work instruction Retention of Records. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Work instruction Schedule of Required Cryptographic Controls. Geneva: Governance Ltd2005 v1.2.

ISO/IEC. (2005). Work instruction Systems Auditing Procedure. Geneva: Governance Ltd2005 v1.2.

Jogiyanto Hartono, M. P. (2001). Analisis & Disain. In M. P. Jogiyanto Hartono, Analisis Sistem (pp. 129-130). Yogyakarta: ANDI Yogyakarta.

Louis, A. (2009). Makalah Manajemen Tentang Pengertian Manajemen.

Retrieved September jumat, 2012, from anakciremai:

http://www.anakciremai.com/2008/05/makalah-manajemen-tentang-pengertian.html

PT. Kereta Api Indonesia. (2012, September 06). visi-dan-misi. Retrieved 03 12, 2013, from http://www.kereta-api.co.id/tentang-kami/visi-dan-misi.html

PT.Kereta Api Indonesia (Persero). (2012). Perubahan dan Tambahan (P&T) Organisasi dan Tata Laksana Unit Sistem Informasi di Lingkungan Direktorat, SDM, Umum dan Teknologi Informasi Kantor Pusat PT.Kereta Api Indonesia (Persero). Bandung: Direksi PT.Kereta Api Indinesia (Persero

(1)

c. Perlindungan Rekaman Organisasi

Unit TI pada PT.KAI harus melakukan pemantauan terhadap setiap rekaman terkait kegiatan yang berlangsung untuk meminimalisasi terjadinya kehilangan data ataupun informasi dari organisasi.

d. Perlindungan Data dan Rahasia Informasi Pribadi

f. Regulasi Pengendalian Kriptografi

Unit TI pada PT.KAI harus membuat regulasi mengenai pengendalian kriptografi yang sesuai dengan aturan dan perundang-undangan.

g. Pemenuhan Terhadap Kebijakan Keamanan dan Standar

Unit TI pada PT.KAI harus membuat instruksi kerja dimana tanggung jawab dari setiap manajer secara jelas diidentifikasi dalam proses pemenuhan kebijakan keamanan informasi.

(2)

Unit TI pada PT.KAI harus mengecek setiap sistem informasi yang dipakai secara regular dan dicek pemenuhan teknis terhadap standar penerapan keamanan.

i. Pengendalian Audit Sistem Informasi

Unit TI pada PT.KAI harus melakukan pengecekan yang dilakukan oleh bagian audit TI terhadap sistem informasi yang dipakai yang sudah direncanakan dan sudah disetujui oleh pihak manajemen terkait.

j. Perlindungan terhadap Alat Audit Informasi

Unit TI pada PT.KAI harus membuat prosedur mengenai perlindungan terhadap alat audit sistem informasi dimana akses terhadap pemakaian alat audit harus dibatasi dan dilindungi.

a. Intellectual Property Rights. b. Data Protection and Privacy.

(3)

a. Cryptographic Key Management.

b. Control of Operationanl Software. c. Vulnerability management.

d. Reporting Information Securiry Weaknesses and Events. e. Responding to Information Security Reports.

f. Collection of Evidence. g. Business Continuity Planning. h. Business Continuity Plan

i. Business Continuity Risk Assessments

j. Testing, Maintaining and Reassessing BC Plans.

a. Schedule of Required Cryptographic Controls. b. IPR Compliance Procedure

c. Retention of Records.

d. Compliance and Compliance Checking Procedure.

e. Systems Auditing Procedure.

(4)

g. Schedule of Information Security Event Reports

4. Menyesuaikan sasaran pengendalian dalam proses yang dimaksud adalah akuisisi sistem informasi dan pemeliharaan, manajemen insiden keamanan informasi, manajemen keberlanjutan bisnis, kesesuaian/kepatuhan.

a. Akuisisi Sistem Informasi dan Pemeliharaan

b. Manajemen Insiden Keamanan Informasi

c. Manajemen Keberlanjutan Bisnis

d. Kesesuian/Kepatuhan

Sasaran dalam proses ini adalah untuk mencegah pelanggaran terhadap undang-undang peraturan atau kewajiban dan persyaratan keamanan.

(5)

DAFTAR PUSTAKA

Keamanan-Sistem Manajemen Keamanan Informasi-Persyaratan.