Audit Keamanan Informasi Berdasarkan Ker
Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015
AUDIT KEAMANAN INFORMASI BERDASARKAN KERANGKA KERJA ISO/IEC
27001:2013 PADA PT.XYZ
Furqon Mauladani ([email protected])
Magister Manajemen Teknologi, Institut Teknologi Sepuluh Nopember Surabaya
Abstrak
Semakin pesatnya penggunaan TIK membuat semakin tingginya ancaman terhadap
aset informasi, seperti ancaman yang berasal dari luar (malware, spam, spoofing, sniffing),
orang dalam (sengaja, tidak sengaja), kesalahan sistem ataupun bencana alam (kebakaran,
gempa, banjir). Beberapa ancaman tersebut dapat memberikan dampak seperti kerugian
finansial ataupun penurunan reputasi organisasi jika diketahui oleh pihak lain. Berdasarkan
hal tersebut, sudah seharusnya PT. XYZ melakukan audit keamanan untuk mengetahui
kondisi keamanan informasi pada aset yang dimiliki. Tujuan dari penelitian ini adalah
melaksanakan audit keamanan berdasarkan kerangka kerja ISO/IEC 27001:2013. Hasil yang
diharapkan pada penelitian ini adalah laporan hasil audit yang menggambarkan kondisi
keamanan dan memberikan rekomendasi penambahan atau penggantian kontrol keamanan.
yang dimiliki PT.XYZ apakah sudah cukup
untuk mencegah dan memperbaiki ancaman
yang ada. Tujuan dari penelitian ini adalah
melaksanakan audit keamanan berdasarkan
pada kerangka kerja ISO/IEC 27001:2013.
Alasan penggunaan kerangka kerja tersebut
karena pemerintah Indonesia melalui BSN
menjadikan ISO/IEC 27001 sebagai standar
SNI bagi semua organisasi pemerintahan
maupun swasta di Indonesia untuk mengelola
keamanan informasi.
1. Latar Belakang
Perkembangan Teknologi Informasi
dan Komunikasi (TIK) yang semakin pesat
yang salah satunya disebabkan karena
banyaknya manfaat dalam penggunaannya.
Namun pada penggunaan TIK terdapat
ancaman yang cenderung merusak dan
merugikan selain keuntungan yang didapat.
Ancaman tersebut dapat berasal dari luar
(malware, spam, spoofing, sniffing), orang
dalam (sengaja, tidak sengaja), kesalahan
sistem ataupun bencana alam (kebakaran,
gempa, banjir). Menurut survey hal ini
dikarenakan ketidaktahuan/ketidaksengajaan
63%, sengaja dengan alasan pekerjaan lebih
efisien/efektif 20%, frustasi dengan kebijakan
keamanan IT yang tidak realistis, dan
malware 6%.
Hasil yang diharapkan pada penelitian
ini adalah laporan hasil audit yang
menggambarkan kondisi keamanan dan
memberikan rekomendasi penambahan atau
penggantian kontrol keamanan yang baru
berdasarkan ISO/IEC 27001:2013.
2. Landasan Teori
Beberapa ancaman tersebut dapat
memberikan dampak seperti kerugian
finansial ataupun penurunan reputasi
organisasi jika diketahui oleh pihak lain.
Berdasarkan hal tersebut, sudah seharusnya
PT. XYZ melakukan audit keamanan untuk
mengetahui kondisi keamanan informasi
2.1. Audit Keamanan
Audit keamanan adalah sutu proses
atau kejadian yang memiliki basis pada
kebijakan atau standar keamanan untuk
menentukan
semua
keadaan
dari
perlindungan yang ada, dan untuk
memverifikasi apakah perlindungan yang ada
1
Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015
kebutuhan
untuk
berjalan dengan baik. Tujuan utama dari audit menspesifikasikan
membangun, menerapkan, mengawasi dan
keamanan, diantaranya adalah:
secara
berkala
pada
1. Memeriksa kesesuaian mulai dari meningkatkan
manajemen orang, proses dan TIK di sebuah
kebijakkan, bakuan, pedoman, dan
organisasi (baik berskala kecil, sedang
prosedur keamanan yang ada.
maupun besar). Kerangka kerja ini bersifat
2. Mengidentifikasi
kekurangan
dan independen terhadap produk TIK (tidak
memeriksa efektifitas dari kebijakkan, bergantung
pada
produk
tertentu),
bakuan,
pedoman,
dan
prosedur mensyaratkan
penggunaan
pendekatan
keamanan yang ada.
manajemen berbasis resiko, dan dirancang
3. Mengidentifikasi dan memahami celah untuk menjamin agar beberapa kontrol
keamanan
yang
digunakan
mampu
keamanan yang ada.
melindungi aset informasi dari berbagai
4. Mengkaji kontrol keamanan yang ada risiko dan memberi keyakinan keamanan bagi
terhadap
permasalahan
operasional, pemangku kepentingan.
administrasi, dan manajerial, dan
Struktur organisasi ISO/IEC 27001
memastikan kesesuaian dengan bakuan
dibagi dalam dua besar yaitu:
keamanan minimum.
5. Memberikan rekomendasi dan aksi 1. Klausul (mandatory process) merupakan
persyaratan yang harus dipenuhi jika
perbaikan/koreksi untuk peningkatan
organisasi
menerapkan
SMKI
2.2. Keamanan Informasi
menggunakan kerangka kerja ISO/IEC
27001.
Keamanan informasi adalah menjaga
informasi dari seluruh ancaman yang 2. Annex A (security control) merupakan
mungkin
terjadi
dalam
upaya
dokumen referensi yang disediakan dan
menjamin/memastikan
keberlangsungan
dapat
dijadikan
rujukan
untuk
bisnis, meminimasi risiko bisnis, dan
menentukan kontrol keamanan apa yang
mempercepat/memaksimalkan pengembalian
perlu diterapkan dalam SMKI.
investasi dan peluang bisnis.
3. Metodologi Penelitian
Gambar 2.1 Aspek Keamanan Informasi
2.3. ISO/IEC 27001:2013
ISO/IEC 27001 merupakan kerangka Gambar 3.1 Tahapan Metodologi Penelitian
kerja
yang
digunakan
untuk
2
Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015
telah berjalan secara efektif untuk membuat
resiko kelevel kriteria penerimaan resiko.
Selain itu wawancara juga menyasar kepada
staf dan semua pihak yang terkait untuk
mengetahui apakah kontrol keamanan
(terutama kebijakan dan prosedur) yang
diterapkan sudah diketahui dan dilaksanakan
oleh semua yang terlibat.
3.1. Pendahuluan
Agar proses audit keamanan dapat
terarah, efisien dan sesuai dengan yang
dibutuhkan. Maka dari itu diperlukan
perencanaan
yang
bertujuan
untuk
memahami kondisi lingkungan yang akan
diaudit. Ditahapan ini akan dilakukan:
1. Memahami proses bisnis yang berjalan
dan teknologi informasi yang sudah
diterapkan pada PT.XYZ melalui
penyelidikan umum maupun laporan
audit keamanan sebelumnya (statement of
applicability, rencana penanganan resiko
kebijakan, prosedur dan peraturan).
2. Peninjauan dokumen penunjang
Meninjau pelaksanaan manajemen keamanan
informasi yang berjalan dalam bentuk
rekaman yang tercatat maupun laporan
insiden keamanan yang terjadi.
3. Observasi
2. Mendefinisikan ruang lingkup dan Pemeriksaan terhadap kondisi obyek aset dan
sasaran audit keamanan yang akan kontrol keamanan secara langsung untuk
dilaksanakan.
memverifikasi hasil peninjauan dokumen dan
3. Menghubungi pihak narasumber yang wawancara. Hal yang dilakukan adalah
terkait untuk memastikan ketersediaan melihat seberapa sesuai data yang
waktu dan sumberdaya yang dibutuhkan dikumpulkan terhadap kenyataan dengan
melihat
penerapan,
konfigurasi
dan
untuk wawancara dan observasi.
keefektifan kontrol keamanan (untuk aset IT
3.2. Perencanaan
keefektifan didapat melalui pengecekan
Berdasarkan
data
yang
didapatkan kondisi
operasional
dan
hasil
tes
sebelumnya, maka dibuat daftar kerja yang penetrasi/scanning
celah
keamanan,
berguna sebagai acuan untuk pelaksanaan sedangkan untuk aset non-IT melalui
audit keamanan. Perencanaan ini termasuk pengecekan kondisi kontrol keamanan
merencanakan daftar pertanyaan yang akan apakah masih dapat berfungsi sebagaimana
ditanyakan ke narasumber tertentu, hal yang mestinya).
perlu di observasi dan dokumen pendukung
3.4. Pelaporan Hasil Audit
lainnya yang dibutuhkan. Penyusunan daftar
Pembuatan laporan memuat hasil
kerja yang dibuat diadopsi dari Annex A di
ISO/IEC 27001:2013.
temuan, kesimpulan, rekomendasi untuk
meningkatkan keamanan informasi. Laporan
3.3. Pelaksanaan Audit
akhir dari audit mencakup beberapa hal
Ditahap
ini
akan
dilakukan berikut:
pengumpulan bukti audit keamanan dengan
1. Pendahuluan
mengunjungi langsung obyek penelitian dan
Berisikan tujuan, ruang lingkup, lamanya
melaksanakan beberapa hal dibawah ini:
audit dan prosedur audit.
1. Wawancara
2. Hasil audit
Meminta keterangan kepada pemilik resiko
(yang bertanggungjawab untuk mengelola Temuan dalam yang berisikan keadaan yang
resiko pada aset) untuk mengidentifikasi ditemui saat proses audit yang mencakup
apakah kontrol keamanan yang diterapkan beberapa hal dibawah ini:
3
Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015
•
•
Kontrol keamanan yang melindungi aset International
Organization
for
dari resiko baik berupa kebijakan,
Standardization
&
International
prosedur, praktik, perangkat keras/lunak
Electrotechnical Commission (2013),
maupun peraturan.
ISO/IEC 27001:2013 - Information
Celah keamanan yang menjadi penyebab
Technology - Security Techniques terjadinya resiko sehingga tidak sesuai
Information
Security
Management
dengan sasaran kontrol keamanan dan
Systems - Requirements, Edisi ke-2, ISO,
data yang dikumpulkan (wawancara dan
Geneva.
peninjauan dokumen penunjang) yang
ada. Sebab ini bisa berdasarkan hasil Kementerian Pemuda dan Olahraga Republik
peninjauan dokumen, keterangan dari
Indonesia
(2012),
Bakuan
Audit
narasumber atau observasi pelaksanaan
Keamanan
Informasi
Kemenpora,
audit.
MENPORA, Jakarta.
Dampak yaitu akibat resiko secara ISO27k Forum (2008), ISMS Auditing
langsung ataupun tidak langsung dari
Guideline, dalam Free ISO27k Toolkit,
kondisi yang tidak sejalan dengan
dari http://www.iso27001security.com/
kriteria, yang bisa dibuat secara
html/iso27k_toolkit.html,
diakses
kuantitatif (kerugian finansial dan waktu)
16/11/2015.
atau kualitatif (besar, menengah, kecil).
ISO27k Forum (2012), Model ISMS Internal
3. Kesimpulan umum dari auditor
Audit
Procedure,
dari
http://
Berisikan komentar, tanggapan ataupun
www.iso27001security.com/html/iso27k_
pembelaan yang dilakukan oleh pihak
toolkit.html, diakses 16/11/2015.
manajemen yang menjadi obyek audit.
•
Turner, Richard (2011), “A New Focus for IT
Security?”, Computer Fraud & Security,
Saran
berupa
perbaikan,
perubahan,
Elsevier.
penambahan kontrol keamanan yang baru
Sarno, Riyanarto & Irsyat Iffano (2009),
berdasarkan ISO/IEC 27001:2013.
Sistem Manajemen Keamanan Informasi
DAFTAR PUSTAKA
Berbasis ISO 27001, ITS Press,
Government of the Hong Kong Special
Surabaya.
Administrative Region (2012), Security
Risk Assessment & Audit Guidelines, Windirya, Danastri R (2014), Audit
GHKSAR, Hongkong.
Keamanan Sistem Informasi pada
Instalasi Sistem Informasi Manajemen
Government of the Hong Kong Special
Administrative Region (2015), An
RSUD Bangil Berdasarkan ISO 27002,
Overview of ISO/IEC 27000 family of
Bachelor Final Project, Sekolah Tinggi
Information Security Management System
Manajemen Komputer & Teknik
Standards, GHKSAR, Hongkong.
Komputer Surabaya, Surabaya.
4. Rekomendasi
4
AUDIT KEAMANAN INFORMASI BERDASARKAN KERANGKA KERJA ISO/IEC
27001:2013 PADA PT.XYZ
Furqon Mauladani ([email protected])
Magister Manajemen Teknologi, Institut Teknologi Sepuluh Nopember Surabaya
Abstrak
Semakin pesatnya penggunaan TIK membuat semakin tingginya ancaman terhadap
aset informasi, seperti ancaman yang berasal dari luar (malware, spam, spoofing, sniffing),
orang dalam (sengaja, tidak sengaja), kesalahan sistem ataupun bencana alam (kebakaran,
gempa, banjir). Beberapa ancaman tersebut dapat memberikan dampak seperti kerugian
finansial ataupun penurunan reputasi organisasi jika diketahui oleh pihak lain. Berdasarkan
hal tersebut, sudah seharusnya PT. XYZ melakukan audit keamanan untuk mengetahui
kondisi keamanan informasi pada aset yang dimiliki. Tujuan dari penelitian ini adalah
melaksanakan audit keamanan berdasarkan kerangka kerja ISO/IEC 27001:2013. Hasil yang
diharapkan pada penelitian ini adalah laporan hasil audit yang menggambarkan kondisi
keamanan dan memberikan rekomendasi penambahan atau penggantian kontrol keamanan.
yang dimiliki PT.XYZ apakah sudah cukup
untuk mencegah dan memperbaiki ancaman
yang ada. Tujuan dari penelitian ini adalah
melaksanakan audit keamanan berdasarkan
pada kerangka kerja ISO/IEC 27001:2013.
Alasan penggunaan kerangka kerja tersebut
karena pemerintah Indonesia melalui BSN
menjadikan ISO/IEC 27001 sebagai standar
SNI bagi semua organisasi pemerintahan
maupun swasta di Indonesia untuk mengelola
keamanan informasi.
1. Latar Belakang
Perkembangan Teknologi Informasi
dan Komunikasi (TIK) yang semakin pesat
yang salah satunya disebabkan karena
banyaknya manfaat dalam penggunaannya.
Namun pada penggunaan TIK terdapat
ancaman yang cenderung merusak dan
merugikan selain keuntungan yang didapat.
Ancaman tersebut dapat berasal dari luar
(malware, spam, spoofing, sniffing), orang
dalam (sengaja, tidak sengaja), kesalahan
sistem ataupun bencana alam (kebakaran,
gempa, banjir). Menurut survey hal ini
dikarenakan ketidaktahuan/ketidaksengajaan
63%, sengaja dengan alasan pekerjaan lebih
efisien/efektif 20%, frustasi dengan kebijakan
keamanan IT yang tidak realistis, dan
malware 6%.
Hasil yang diharapkan pada penelitian
ini adalah laporan hasil audit yang
menggambarkan kondisi keamanan dan
memberikan rekomendasi penambahan atau
penggantian kontrol keamanan yang baru
berdasarkan ISO/IEC 27001:2013.
2. Landasan Teori
Beberapa ancaman tersebut dapat
memberikan dampak seperti kerugian
finansial ataupun penurunan reputasi
organisasi jika diketahui oleh pihak lain.
Berdasarkan hal tersebut, sudah seharusnya
PT. XYZ melakukan audit keamanan untuk
mengetahui kondisi keamanan informasi
2.1. Audit Keamanan
Audit keamanan adalah sutu proses
atau kejadian yang memiliki basis pada
kebijakan atau standar keamanan untuk
menentukan
semua
keadaan
dari
perlindungan yang ada, dan untuk
memverifikasi apakah perlindungan yang ada
1
Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015
kebutuhan
untuk
berjalan dengan baik. Tujuan utama dari audit menspesifikasikan
membangun, menerapkan, mengawasi dan
keamanan, diantaranya adalah:
secara
berkala
pada
1. Memeriksa kesesuaian mulai dari meningkatkan
manajemen orang, proses dan TIK di sebuah
kebijakkan, bakuan, pedoman, dan
organisasi (baik berskala kecil, sedang
prosedur keamanan yang ada.
maupun besar). Kerangka kerja ini bersifat
2. Mengidentifikasi
kekurangan
dan independen terhadap produk TIK (tidak
memeriksa efektifitas dari kebijakkan, bergantung
pada
produk
tertentu),
bakuan,
pedoman,
dan
prosedur mensyaratkan
penggunaan
pendekatan
keamanan yang ada.
manajemen berbasis resiko, dan dirancang
3. Mengidentifikasi dan memahami celah untuk menjamin agar beberapa kontrol
keamanan
yang
digunakan
mampu
keamanan yang ada.
melindungi aset informasi dari berbagai
4. Mengkaji kontrol keamanan yang ada risiko dan memberi keyakinan keamanan bagi
terhadap
permasalahan
operasional, pemangku kepentingan.
administrasi, dan manajerial, dan
Struktur organisasi ISO/IEC 27001
memastikan kesesuaian dengan bakuan
dibagi dalam dua besar yaitu:
keamanan minimum.
5. Memberikan rekomendasi dan aksi 1. Klausul (mandatory process) merupakan
persyaratan yang harus dipenuhi jika
perbaikan/koreksi untuk peningkatan
organisasi
menerapkan
SMKI
2.2. Keamanan Informasi
menggunakan kerangka kerja ISO/IEC
27001.
Keamanan informasi adalah menjaga
informasi dari seluruh ancaman yang 2. Annex A (security control) merupakan
mungkin
terjadi
dalam
upaya
dokumen referensi yang disediakan dan
menjamin/memastikan
keberlangsungan
dapat
dijadikan
rujukan
untuk
bisnis, meminimasi risiko bisnis, dan
menentukan kontrol keamanan apa yang
mempercepat/memaksimalkan pengembalian
perlu diterapkan dalam SMKI.
investasi dan peluang bisnis.
3. Metodologi Penelitian
Gambar 2.1 Aspek Keamanan Informasi
2.3. ISO/IEC 27001:2013
ISO/IEC 27001 merupakan kerangka Gambar 3.1 Tahapan Metodologi Penelitian
kerja
yang
digunakan
untuk
2
Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015
telah berjalan secara efektif untuk membuat
resiko kelevel kriteria penerimaan resiko.
Selain itu wawancara juga menyasar kepada
staf dan semua pihak yang terkait untuk
mengetahui apakah kontrol keamanan
(terutama kebijakan dan prosedur) yang
diterapkan sudah diketahui dan dilaksanakan
oleh semua yang terlibat.
3.1. Pendahuluan
Agar proses audit keamanan dapat
terarah, efisien dan sesuai dengan yang
dibutuhkan. Maka dari itu diperlukan
perencanaan
yang
bertujuan
untuk
memahami kondisi lingkungan yang akan
diaudit. Ditahapan ini akan dilakukan:
1. Memahami proses bisnis yang berjalan
dan teknologi informasi yang sudah
diterapkan pada PT.XYZ melalui
penyelidikan umum maupun laporan
audit keamanan sebelumnya (statement of
applicability, rencana penanganan resiko
kebijakan, prosedur dan peraturan).
2. Peninjauan dokumen penunjang
Meninjau pelaksanaan manajemen keamanan
informasi yang berjalan dalam bentuk
rekaman yang tercatat maupun laporan
insiden keamanan yang terjadi.
3. Observasi
2. Mendefinisikan ruang lingkup dan Pemeriksaan terhadap kondisi obyek aset dan
sasaran audit keamanan yang akan kontrol keamanan secara langsung untuk
dilaksanakan.
memverifikasi hasil peninjauan dokumen dan
3. Menghubungi pihak narasumber yang wawancara. Hal yang dilakukan adalah
terkait untuk memastikan ketersediaan melihat seberapa sesuai data yang
waktu dan sumberdaya yang dibutuhkan dikumpulkan terhadap kenyataan dengan
melihat
penerapan,
konfigurasi
dan
untuk wawancara dan observasi.
keefektifan kontrol keamanan (untuk aset IT
3.2. Perencanaan
keefektifan didapat melalui pengecekan
Berdasarkan
data
yang
didapatkan kondisi
operasional
dan
hasil
tes
sebelumnya, maka dibuat daftar kerja yang penetrasi/scanning
celah
keamanan,
berguna sebagai acuan untuk pelaksanaan sedangkan untuk aset non-IT melalui
audit keamanan. Perencanaan ini termasuk pengecekan kondisi kontrol keamanan
merencanakan daftar pertanyaan yang akan apakah masih dapat berfungsi sebagaimana
ditanyakan ke narasumber tertentu, hal yang mestinya).
perlu di observasi dan dokumen pendukung
3.4. Pelaporan Hasil Audit
lainnya yang dibutuhkan. Penyusunan daftar
Pembuatan laporan memuat hasil
kerja yang dibuat diadopsi dari Annex A di
ISO/IEC 27001:2013.
temuan, kesimpulan, rekomendasi untuk
meningkatkan keamanan informasi. Laporan
3.3. Pelaksanaan Audit
akhir dari audit mencakup beberapa hal
Ditahap
ini
akan
dilakukan berikut:
pengumpulan bukti audit keamanan dengan
1. Pendahuluan
mengunjungi langsung obyek penelitian dan
Berisikan tujuan, ruang lingkup, lamanya
melaksanakan beberapa hal dibawah ini:
audit dan prosedur audit.
1. Wawancara
2. Hasil audit
Meminta keterangan kepada pemilik resiko
(yang bertanggungjawab untuk mengelola Temuan dalam yang berisikan keadaan yang
resiko pada aset) untuk mengidentifikasi ditemui saat proses audit yang mencakup
apakah kontrol keamanan yang diterapkan beberapa hal dibawah ini:
3
Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015
•
•
Kontrol keamanan yang melindungi aset International
Organization
for
dari resiko baik berupa kebijakan,
Standardization
&
International
prosedur, praktik, perangkat keras/lunak
Electrotechnical Commission (2013),
maupun peraturan.
ISO/IEC 27001:2013 - Information
Celah keamanan yang menjadi penyebab
Technology - Security Techniques terjadinya resiko sehingga tidak sesuai
Information
Security
Management
dengan sasaran kontrol keamanan dan
Systems - Requirements, Edisi ke-2, ISO,
data yang dikumpulkan (wawancara dan
Geneva.
peninjauan dokumen penunjang) yang
ada. Sebab ini bisa berdasarkan hasil Kementerian Pemuda dan Olahraga Republik
peninjauan dokumen, keterangan dari
Indonesia
(2012),
Bakuan
Audit
narasumber atau observasi pelaksanaan
Keamanan
Informasi
Kemenpora,
audit.
MENPORA, Jakarta.
Dampak yaitu akibat resiko secara ISO27k Forum (2008), ISMS Auditing
langsung ataupun tidak langsung dari
Guideline, dalam Free ISO27k Toolkit,
kondisi yang tidak sejalan dengan
dari http://www.iso27001security.com/
kriteria, yang bisa dibuat secara
html/iso27k_toolkit.html,
diakses
kuantitatif (kerugian finansial dan waktu)
16/11/2015.
atau kualitatif (besar, menengah, kecil).
ISO27k Forum (2012), Model ISMS Internal
3. Kesimpulan umum dari auditor
Audit
Procedure,
dari
http://
Berisikan komentar, tanggapan ataupun
www.iso27001security.com/html/iso27k_
pembelaan yang dilakukan oleh pihak
toolkit.html, diakses 16/11/2015.
manajemen yang menjadi obyek audit.
•
Turner, Richard (2011), “A New Focus for IT
Security?”, Computer Fraud & Security,
Saran
berupa
perbaikan,
perubahan,
Elsevier.
penambahan kontrol keamanan yang baru
Sarno, Riyanarto & Irsyat Iffano (2009),
berdasarkan ISO/IEC 27001:2013.
Sistem Manajemen Keamanan Informasi
DAFTAR PUSTAKA
Berbasis ISO 27001, ITS Press,
Government of the Hong Kong Special
Surabaya.
Administrative Region (2012), Security
Risk Assessment & Audit Guidelines, Windirya, Danastri R (2014), Audit
GHKSAR, Hongkong.
Keamanan Sistem Informasi pada
Instalasi Sistem Informasi Manajemen
Government of the Hong Kong Special
Administrative Region (2015), An
RSUD Bangil Berdasarkan ISO 27002,
Overview of ISO/IEC 27000 family of
Bachelor Final Project, Sekolah Tinggi
Information Security Management System
Manajemen Komputer & Teknik
Standards, GHKSAR, Hongkong.
Komputer Surabaya, Surabaya.
4. Rekomendasi
4