Analisis Pengendalian Kebijakan Keamanan, Organisasi, Aset dan Sumber Daya Manusia Berbasis ISO 27001:2005 (Studi Kasus: Unit TI PT. KAI).

(1)

ii

Abstrak

Informasi merupakan salah satu aset yang sangat penting untuk PT.KAI. Dengan perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan terhadap keamanan informasi semakin meningkat. Untuk itu, PT.KAI harus dapat menerapkan kebijakan yang tepat untuk melindungi aset informasi yang dimiliki. Laporan ini membahas tentang analisis pengendalian manajemen keamanan informasi berbasis ISO/IEC 27001:2005. Hasil analisis yang didapat di antaranya adalah masalah pemahaman proses-proses dalam mengelola dokumentasi kebijakan informasi sudah dapat dijelaskan dengan baik, serta dapat memastikan kesesuaian, kecakupan, dan keefektifan secara berkelanjutan. Pemahaman dalam mengelola keamanan informasi di dalam ataupun di luar organisasi sudah ada, tetapi penerapan pada pihak internal perusahaan masih kurang baik. Unit TI pada PT.KAI sudah memahami tentang pentingnya pemeliharaan aset serta perlindungan terhadap aset. Aset sudah diidentifikasi dengan baik, hanya saja metode yang kurang baik menyebabkan aset masih ada yang tidak valid. Unit TI pada PT.KAI sudah memahami pengelolaan sumber daya manusia sebelum dipekerjakan, selama bekerja, ataupun yang sudah diberhentikan serta perubahan pekerjaan.


(2)

iii

Abstract

Information is one of the most important assets for PT.KAI. With the development of information technology very rapidly, the possibility of disruption to information security is increasing. For that PT.KAI should be able to apply appropriate policies to protect information assets owned. One of the policies that can be taken by the company to overcome the interference problem is to implement information security Information Security Management Systems (ISMS) ISO 27001:2005 on. This report discusses the Information Security Management Control Analysis Based on Policy, Organization, assets and human resources PT.KAI Unit Based on ISO / IEC 27001:2005, which includes some of the processes in the ISO include Security Policy, Organization of Information Security, Asset Management and Security Human Resources. Understanding of the processes in managing policy documentation can be explained by the information already good, and can ensure compliance, reach and effectiveness on an ongoing basis. Understanding in managing information security inside and outside the organization already exists, but the application of the internal party companies are still not good. IT units PT.KAI already aware of the importance of asset preservation and protection of assets. Assets already identified by either method just is not good cause there asset invalid. IT units PT.KAI already understand how human resource management, pre-employment, for work or who are laid off or change jobs.


(3)

iv

Daftar Isi

Prakata ... i

Abstrak ... ii

Abstract ... iii

Daftar Isi ... iv

Daftar Gambar ... vii

Daftar Tabel ... viii

Daftar Lampiran ... x

Daftar Singkatan ... xi

BAB I PENDAHULUAN... 1

1.1 Latar Belakang ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup Kajian ... 3

1.5 Sumber Data ... 4

1.6 Sistematika Penyajian... 4

BAB II KAJIAN TEORI ... 6

2.1 Definisi Analisis Sistem ... 6

2.2 Kebijakan dan Strategi... 9

2.3 Proses dan Manajemen Keamanan ... 9

2.4 Standar Keamanan Informasi ... 14

2.5 Tata Kelola Keamanan Informasi ... 14


(4)

v

2.6.1 ISO/IEC 27000 ISMS- Overview and Vocabulary ... 16

2.6.2 SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan Informasi ... 17

2.6.3 ISO/IEC 27002 – Code of Practice for ISMS ... 20

2.6.4 ISO/IEC 27003- Information Security Management System Implementation Guidance ... 24

2.6.5 ISO/IEC 27004 - Information Security Management Measurement24 2.6.6 ISO/IEC27005 - Information Security Risk Management ... 25

2.6.7 ISO/IEC 27006 - Requirements for Bodies Providing Audit and Certification of Information Security Management Systems. ... 25

2.7 Dokumentasi Sistem Manajemen Keamanan Informasi ... 25

2.8 Manfaat dan Kendala Implementasi ISO 27001:2005:2005 ... 27

2.9 Standar Pengelolaan Keamanan Informasi Sesuai ISO 27001:2005 dan ISO 27002:2005 ... 29

2.10 Sasaran Pengendalian dan Pengendalian ... 31

2.11 GAP Analisis ... 37

BAB III ANALISIS ... 41

3.1 Lingkungan Bisnis Serta Visi dan Misi Perusahaan ... 41

3.2 Unit TI pada PT.KAI ... 41

3.3 Strategi Penerapan TI pada PT.KAI... 43

3.4 Tujuan Pengembangan Sistem dan TI ... 45

3.5 Tahapan Dalam Menganalisis SMKI ... 45

3.5.1 Dokumen yang dibutuhkan dalam SMKI ... 46

3.5.2 Analisis Kuesioner Awareness ... 49

3.5.3 Analisis Kuesioner Compliant ... 50


(5)

vi

3.6 Analisis Proses ISO 27001:2005 pada PT.KAI ... 53

3.6.1 Analisis Kebijakan Kemanan ... 54

3.6.2 Analisis Organisasi Keamanan Informasi (Pihak Internal) ... 56

3.6.3 Analisis Organisasi Keamanan Informasi (Pihak Eksternal) ... 64

3.6.4 Analisis Tanggung Jawab Terhadap Aset... 67

3.6.5 Analisis Klasifikasi Informasi... 70

3.6.6 Analisis Keamanan Sumber Daya Manusia (Sebelum Dipekerjakan) ... 72

3.6.7 Analisis Keamanan Sumber Daya Manusia (Selama Bekerja)... 75

3.6.8 Analisis Sumber Daya Manusia Saat Pengakhiran atau Perubahan Pekerjaan ... 78

3.7 Evaluasi Hasil Analisis ... 81

3.8 Rekomendasi Pengendalian Proses ... 84

BAB IV SIMPULAN DAN SARAN ... 88

4.1 Simpulan ... 88

4.2 Saran ... 89

DAFTAR PUSTAKA ... 92

DAFTAR LAMPIRAN ... 97


(6)

vii

Daftar Gambar

Gambar 1 Hubungan Antar Standar SMKI ... 17

Gambar 2 Struktur Dokumentasi SMKI ... 26

Gambar 3 Contoh GAP Analisis ... 39

Gambar 4 Struktur Organisasi Pusat Sistem informasi... 42

Gambar 5 Proses Pengembangan Sistem dan TI ... 44


(7)

viii

Daftar Tabel

Tabel I Istilah Dan Definisi Dokumen ... 7

Tabel II Komponen Resiko ... 10

Tabel III Peta PDCA Dalam SMKI ... 18

Tabel IV Sasaran Pengendalian Dan Pengendalian ... 31

Tabel V Dokumentasi ISO 27001:2005 Lanjutan ... 36

Tabel VI Kesimpulan Kuesioner Awareness ... 49

Tabel VII Kesimpulan Kuesioner Compliant ... 50

Tabel VIII Kesimpulan Kuesioner Action Required ... 52

Tabel IX Dokumentasi Kebijakan Keamanan Informasi ... 55

Tabel X Kajian Kebijakan Keamanan Informasi ... 56

Tabel XI Komitmen Manajemen Terhadap Keamanan Informasi ... 57

Tabel XII Koordinasi Keamanan Informasi ... 58

Tabel XIII Alokasi Tanggung Jawab Keamanan Informasi ... 59

Tabel XIV Proses Otorisasi Untuk Fasilitas Pengolahan Informasi ... 60

Tabel XV Perjanjian Kerahasiaan ... 61

Tabel XVI Kontak Dengan Pihak Berwenang ... 62

Tabel XVII Kontak Dengan Kelompok Khusus (Special Interest) ... 63

Tabel XVIII Kajian Independen Terhadap Keamanan Informasi ... 64

Tabel XIX Identifikasi Resiko Terkait Pihak Ekstenal ... 65

Tabel XX Penekanan Keamanan Ketika Berhubungan Dengan Pelanggan . 66 Tabel XXI Penekanan Keamanan Perjanjian ... 67

Tabel XXII Inventaris Aset ... 68

Tabel XXIII Kepemilikan Aset ... 69

Tabel XXIV Penggunaan Aset Yang Dapat Diterima... 70

Tabel XXV Pedoman Klasifikasi... 71

Tabel XXVI Pelabelan Dan Penanganan Informasi ... 72

Tabel XXVII Peran Dan Tanggung Jawab ... 73

Tabel XXVIII Penyaringan (Screening) ... 74

Tabel XXIX Syarat Dan Aturan Kepegawaian ... 75


(8)

ix

Tabel XXXI Kepedulian, Pendidikan Dan Pelatihan Keamanan Informasi.... 77

Tabel XXXII Prosedur Pendisiplinan ... 78

Tabel XXXIII Tanggung Jawab Pengakhiran Pekerjaan ... 79

Tabel XXXIV Pengembalian Aset ... 80


(9)

x

Daftar Lampiran

Lampiran A Kebijakan Keamanan Informasi... 97

Lampiran B Kebijakan dan Prosedur Teknologi Informasi ... 100

Lampiran C Hak Akses ... 104

Lampiran D Kebijakan Umum Tata Kelola Teknologi Informasi ... 105

Lampiran E Data Aset ... 112

Lampiran F Monitoring Server dan Aset ... 113

Lampiran G Aset Aplikasi ... 114

Lampiran H Konsultasi Sertifikasi ISO 27001:2005 ... 120

Lampiran I Surat Perjanjian Kerja Sama ... 122

Lampiran J Surat Pengesahan Perjanjian ... 123

Lampiran K Perubahan dan Tambahan Organisasi dan Tata Laksana Unit Sistem Informasi ... 124

Lampiran L Struktur Organisasi Pusat Sistem Informasi ... 128

Lampiran M Kedudukan, Tugas Pokok, Tanggung Jawab dan Tata Laksana Unit Sistem Informasi ... 133

Lampiran N Surat Perubahan Perjanjian ... 162

Lampiran O Wawancara ... 166

Lampiran P Kuesioner Awareness ... 173

Lampiran Q Kuesioner Compiant ... 175

Lampiran R Referensi Penulisan dokumen Policy ... 181

Lampiran S Referensi Penulisan Dokumen Procedure ... 186

Lampiran T Rekomendasi Penulisan Dokumen Work Instruction ... 216


(10)

xi

Daftar Singkatan

Singkatan Istilah Arti Istilah

Doc Dokumen

PT.KAI PT.Kereta Api Indonesia (Persero)

SMKI Sistem Manajemen Keamanan Informasi

TI Teknologi informasi


(11)

1

BAB I PENDAHULUAN

1.1 Latar Belakang

Informasi merupakan salah satu aset yang sangat penting baik untuk perusahaan, pemerintahaan, ataupun organisasi. Dengan perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan terhadap keamanan informasi semakin meningkat. Untuk itu, perusahaan harus dapat menerapkan kebijakan yang tepat untuk melindungi aset informasi yang dimiliki. Salah satu kebijakan yang dapat diambil oleh perusahaan untuk mengatasi masalah gangguan terhadap kemanan informasi adalah dengan menerapkan Sistem Manajemen Keamanan Informasi (SMKI).

Salah satu model pendukung keamanan informasi adalah ISO 27001:2005 dari sekian banyak model yang ada, dimana masing-masing memfokuskan diri pada manajemen keamanan informasi yang berbeda-beda. ISO 27001:2005 itu sendiri merupakan standar model untuk penetapan, penerapan, pengoperasian, pemantauan, pengkajian, pemeliharaan, dan perbaikan Sistem Manajemen Keamanan Informasi (SMKI). Desain dan penerapan SMKI dari suatu organisasi dipengaruhi oleh kebutuhan dan sasaran organisasi. Standar ini dapat digunakan untuk menilai kesesuaian oleh pihak terkait baik internal maupun eksternal.

PT.KAI merupakan perusahaan yang bergerak dalam bidang pelayanan terhadap publik, dimana PT.KAI memiliki proses bisnis yang kompleks sehingga peran TI sangat dibutuhkan dalam mendukung proses bisnis tersebut. Untuk menjamin keamanan aset ataupun TI pada PT.KAI dibutuhkan suatu model dimana ISO 27001:2005 dapat menjadi panduan dalam mengatasi keamanan informasi, khususnya pada Unit TI PT.KAI. Hal ini karena pengguna layanan kereta api sangat banyak sehingga manajemen keamanan informasi dinilai sangat penting pada Unit IT di PT.KAI. Untuk memberikan arahan manajemen dan dukungan keamanan informasi diperlukan adanya dokumen keamanan informasi. Keamanan informasi dibutuhkan oleh unit TI PT.KAI baik didalam maupun diluar organisasi.


(12)

2

Universitas Kristen Maranatha PT.KAI juga harus dapat memelihara perlindungan yang sesuai terhadap aset organisasi serta memastikan bahwa informasi menerima tingkat perlindungan yang tepat. Selain itu, PT. KAI juga harus dapat memastikan bahwa pegawai, pengguna sistem, serta pihak-pihak lain yang berkepentingan di dalam pengelolaan atau perbaikan sistem memahami tanggung jawab sesuai dengan perannya yang bertujuan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas, serta peduli terhadap ancaman dan masalah di dalam keamanan informasi.

1.2 Rumusan Masalah

Berdasarkan latar belakang masalah yang telah dijelaskan pada 1.1, maka rumusan masalah yang akan dikaji dalam Tugas Akhir adalah sebagai berikut:

1. Apakah penerapan dokumentasi kebijakan keamanan informasi sudah dikaji yang mencakup kemanan informasi pada bagian unit TI di PT.KAI?

2. Apakah Unit TI di PT.KAI sudah mengelola dengan baik tentang keamanan informasi di dalam maupun diluar organisasi?

3. Apakah Unit TI di PT.KAI sudah mengelola aset dengan baik di dalam organisasi?

4. Apakah Unit TI di PT.KAI sudah mengelola dengan baik tentang keamanan sumber daya manusia di dalam organisasi?

1.3 Tujuan Pembahasan

Tujuan dari pembahasan dalam Tugas Akhir ini berdasarkan rumusan masalah pada poin 1.2 adalah sebagai berikut:

1. Memahami serta mengetahui proses-proses dalam mengelola dokumentasi kebijakan keamanan informasi, serta dapat memastikan kesesuaian, kecakupan, dan keefektifan yang berkelanjutan pada bagian Unit TI di PT.KAI.

2. Memahami dalam pengelolaan keamanan informasi di dalam maupun diluar organisasi pada bagian Unit TI di PT.KAI.


(13)

3

Universitas Kristen Maranatha 3. Memahami dalam pemeliharaan aset serta memberikan perlindungan yang tepat terhadap aset di dalam organisasi pada bagian Unit TI di PT.KAI.

4. Memahami pengelolaan sumberdaya manusia sebelum dipekerjakan, selama bekerja maupun yang sudah diberhentikan atau perubahan pekerjaan di dalam organisasi pada bagian Unit TI di PT.KAI.

1.4 Ruang Lingkup Kajian

Ruang lingkup kajian penelitian dilakukan pada Unit TI di PT.KAI, standar yang digunakan dalam tugas akhir ini adalah ISO 27001:2005 yang mendukung perlindungan memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh Unit TI PT.KAI untuk mengevaluasi, mengimplementasikan, dan memelihara keamanan informasi di perusahaan, yang menggunakan 4 kontrol di antaranya adalah:

1. Kebijakan keamanan

Sasaran dalam proses ini adalah untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hukum serta regulasi yang relevan.

2. Organisasi keamanan informasi

Sasaran dalam proses ini adalah untuk mengelola keamanan informasi didalam maupun diluar organisasi.

3. Pengelolaan aset.

Sasaran dalam proses ini adalah untuk mencapai dan memelihara perindungan yang sesuai terhadap aset organisasi serta memastikan bahwa informasi menerima tingkat perlindungan yang tepat.

4. Keamanan sumber daya manusia

Sasaran dalam proses ini adalah untuk memastikan bahwa pegawai serta pengguna sistem beserta pihak-pihak lain yang berkepentingan di dalam pengelolaan atau perbaikan sistem memahami tanggung jawab sesuai dengan perannya yang bertujuan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas, serta


(14)

4

Universitas Kristen Maranatha peduli terhadap ancaman dan masalah di dalam keamanan informasi.

1.5 Sumber Data

Metode pengumpulan data pada PT.KAI yang dilakukan dalam menyelesaikan tugas akhir ini dibagi menjadi beberapa bagian, yaitu :

1. Wawancara

Metode ini dilakukan dengan cara menanyakan langsung kepada orang yang mempunyai keterkaitan dengan pembahasan penelitian, biasanya dilakukan dengan menyiapkan daftar pertanyaan terlebih dahulu yang kemudian ditanyakan kepada orang yang bersangkutan.

2. Observasi

Merupakan metode penelitian yang langsung turun melakukan interaksi dengan mengamati beberapa proses kerja yang ada.

3. Kuesioner

Metode ini dilakukan dengan cara memberikan sejumlah pertanyaan secara tertulis kepada sejumlah responden yang berguna untuk mendapatkan kesimpulan untuk dapat dianalisis menjadi informasi.

1.6 Sistematika Penyajian

Secara umum, sistem penyajian diuraikan sebagai berikut :

Bab I Pendahuluan

Membahas mengenai Latar Belakang, Rumusan Masalah, Tujuan dan Manfaat Penelitian, Ruang Lingkup, serta Sistematika Penyajian.

Bab II Kajian Teori

Membahas mengenai Kajian Teori yang menjadi acuan dalam menganalisis manajemen keamanan informasi.


(15)

5

Universitas Kristen Maranatha Bab ini membahas mengenai profil perusahaan serta bagian TI, Gap Analisis Manajemen Keamanan Informasi pada bagian Unit TI di PT.KAI menggunakan standar ISO 27001:2005.

Bab IV Simpulan dan Saran

Bab ini membahas mengenai kesimpulan dan saran pengembangan berdasarkan hasil Gap Analisis SMKI pada BAB III.


(16)

88

BAB IV SIMPULAN DAN SARAN

4.1 Simpulan

Simpulan yang dapat diambil dari hasil analisis berdasarkan proses kebijakan keamanan, organisasi keamanan informasi, pengelolaan aset dan keamanan sumber daya manusia yang ada pada analisis BAB III adalah sebagai berikut:

1. Unit TI pada PT.KAI telah memahami serta mengetahui proses-proses dalam mengelola dokumentasi kebijakan keamanan informasi, namun dalam mengkaji keamanan informasi belum secara rutin ditetapkan masih secara ad hoc atau jika dibutuhkan saja baru dikaji, dokumen kebijakan keamanan informasi sudah dapat memastikan kesesuaian, kecakupan dan keefektifan tetapi belum seccara efektif berjalan pada bagian Unit TI di PT.KAI.

2. Unit TI pada PT.KAI telah memahami dalam pengelolaan keamanan informasi di dalam maupun diluar organisasi, namun di dalam organisasi masih belum secara efektif dijalankan sesuai dengan aturan yang ada.

3. Unit TI pada PT.KAI telah memahami dalam pemeliharaan aset serta memberikan perlindungan yang tepat terhadap aset di dalam organisasi. Namun penerapannya masih belum efektif yang diakibatkan kurangnya kepedulian terhadap aset organisasi.

4. Unit TI pada PT.KAI telah memahami pengelolaan sumberdaya manusia sebelum dipekerjakan, selama bekerja maupun yang sudah diberhentikan atau perubahan pekerjaan di dalam organisasi. Namun belum seluruhnya menyangkut tentang keamanan informasi.


(17)

89

Universitas Kristen Maranatha

4.2 Saran

Penerapan SMKI (Sistem Manajemen Keamanan Informasi) di dalam PT.KAI idealnya dapat mengimplementasi persyaratan standarisasi sesuai dengan ketentuan yang berlaku pada SMKI ISO 27001:2005. Untuk itu prinsip keamanan harus tetap dipenuhi yang dimana aspek persyaratan keamanan yaitu confidenciality, integrity dan avaibility. Untuk mencapai aspek tersebut maka perlu diperhatikan beberapa hal yang penting yaitu adanya kontrol dan proteksi, monitoring dan auditing, serta pemahaman tentang dampak, ancaman dan vulnerabilitas pada PT.KAI. Penekanan dan penyesuaian terhadap masing-masing kontrol pada pokok masalah yang diambil yaitu kebijakan keamanan, organisasi keamanan informasi, pengelolaan aset dan keamanan sumber daya manusia harus terpenuhi berikut ini adalah saran atau rekomendasi dari hasil analisis pada BAB III, referensi penulisan dokumen ISO 27001:2005 dapat dilihat pada lampiran R untuk Policy, lampiran S untuk Procedure, lampiran T untuk Work Instruction, lampiran U untuk Record.

1. Pembuatan dokumen policy SMKI, dokumen ini bersifat strategis yang memuat komitmen yang dituangkan dalam bentuk kebijakan, standar, sasaran dan rencana terkait pengembangan (development), penerapan (implementation) dan peningkatan (improvement) sistem manajemen keamanan informasi. berikut ini adalah dokumen sesuai dengan proses atau kontrol yang diambil:

A. Security Policy (Doc 5.1)

B. Internet Acceptable Usage Policy (Doc 7.2)

2. Pembuatan prosedur dan panduan yang dikembangkan secara internal oleh PT.KAI sebagai penyelenggara pelayanan publik dan memuat cara menerapkan kebijakan yang telah ditetapkan serta menjelaskan penanggung jawab kegiatan. Prosedur-prosedur dalam dokumen ini meliputi antara lain:

A. Management Review Of The Information Security Policy (Doc 5.2)


(18)

90

Universitas Kristen Maranatha

B. Information Security Committee (Doc 6.1) C. Information Security Co-Ordination (Doc 6.2)

D. Authorizing New Information Processing Facilities (Doc 6.4) E. Confidentiality Agreements (Doc 6.5)

F. Internal Independent Review Procedure (Doc 6.7) G. External Parties (6.8)

H. Inventory And Ownership Of Assets (7.1) I. Rules For Use Of E-Mail (7.3)

J. Information Security Classification Guidelines (7.6) K. Telecommunications Procedure (Doc 7.11)

L. Personnel Screening Procedure (Doc 8.1)

3. Pembuatan dokumen petunjuk teknis, instruksi kerja dan formulir yang digunakan untuk mendukung pelaksanaan prosedur tertentu sampai ke tingkatan teknis.

4. Menyesuaikan sasaran pengendalian dan pengendaliannya, dalam proses ini yang dimaksud adalah Kebijakan Keamanan, Organisasi Keamanan Informasi, Pengelolaan Aset dan Keamanan Sumber Daya Manusia.

A. Kebijakan keamanan

Sasaran dalam proses ini adalah untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hukum serta regulasi yang relevan. B. Organisasi keamanan informasi

Sasaran dalam proses ini adalah untuk mengelola keamanan informasi didalam maupun diluar organisasi.

C. Pengelolaan aset.

Sasaran dalam proses ini adalah untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi serta memastikan bahwa informasi menerima tingkat perlindungan yang tepat.


(19)

91

Universitas Kristen Maranatha Sasaran dalam proses ini adalah untuk memastikan bahwa pegawai serta pengguna sistem beserta pihak-pihak lain yang berkepentingan di dalam pengelolaan atau perbaikan sistem memahami tanggung jawab sesuai dengan perannya yang bertujuan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas, serta kepedulian terhadap ancaman dan masalah di dalam keamanan informasi.


(20)

92

DAFTAR PUSTAKA

Badan Standardisasi Nasional. (2009). Teknologi Informasi-Teknik

Keamanan- Sistem Manajemen Keamanan Informasi-Persyaratan.

ESCAP / APCICT. (2009). Keamanan Jaringan dan Keamanan Informasi dan

Privasi. Incheon: United Nations Asian and Pacific Training Centre for

Information and Communication Technology for Development.

Harry Ryana, B. R. (2005). KAJIAN ISO/IEC 17799:2005 SEBAGAI KERANGKA DASAR. Sekolah Teknik Elektro dan Informatika, Institut

Teknologi Bandung .

Heru Susanto, M. N. (2012). Information Security Challenge and Breaches: Novelty Approach on Measuring ISO 27001:2005 Readiness Level.

International Journal of Engineering and Technology Volume 2 No.1 .

ISO/IEC 2005. (2005). Information technology — Security techniques —

Code of practice for information security management. Geneva: ISO/IEC

17799:2005(E).

ISO/IEC 27001. (2005). CHECKLIST template 2005 - REC 8.2a - Temination

HR v1.2. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). Document & roles-responsibilities management tool -

User Instructions. Geneva: Governance Ltd 2005.

ISO/IEC 27001. (2005).

iNFORMATIONSECURITYMANUALtemplate2005v1.4. Geneva: Governance

Ltd 2005.

ISO/IEC 27001. (2005). ISO27001 ISMS Documentation Toolkit - Contents


(21)

93

Universitas Kristen Maranatha ISO/IEC 27001. (2005). ISO27001 ISO17799 Documentation Toolkit - User

Instructionsv5. Geneva: Governance Ltd 2005.

ISO/IEC 27001. (2005). ISO27002 2005 Gap Analysis & Audit Tool. Geneva: Governance Ltd 2005.

ISO/IEC 27001. (2005). ISO27002 2005 Gap Analysis & Audit Tool. Geneva: Governance Ltd 2005.

ISO/IEC 27001. (2005). Policies and procedures diagramv2. Geneva: Governance Ltd 2005.

ISO/IEC 27001. (2005). POLICY template 2005 - DOC 5.1v1.2. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). POLICY template 2005 - DOC 7.2 - IAUP v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.11 -

Telecommunications v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 5.2 -

Management reviewsv1.2. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.1 Information

Security Committee v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.2 Information

security co-rdination v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.4

Authorization of facilities v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.5

Confidentiality v2.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.7


(22)

94

Universitas Kristen Maranatha ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.8 External

parties v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.1 - Asset

inventory v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.3 - E-mail

rules v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.6 -

classifications v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 8.1 Screening

v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 6.6A - Authorities

and key suppliers. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1A - Hardware

assets. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1B - Software

log. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1C - Information

asset database. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1D - Intangible

assets. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 6.6 -

Contact with authorities v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.10 -

Photocopiers v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.4 -


(23)

95

Universitas Kristen Maranatha ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.5 -

Mailbox size limits v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.7

Mail v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.8 -

Voice mail v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.9 -

Fax machines v1.2. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 8.3

Employee termination v1.1. Geneva: Governance Ltd 2005v1.2.

Jogiyanto. (2005). Audit Sistem Informasi. Jakarta: Mitra Wacan Media. PT. Kereta Api Indonesia (Persero). (2012, 09 06). Sejarah Kereta Api. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/

PT. Kereta Api Indonesia (Persero). (2012, 09 06). Sumber Daya Manusia. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/

PT. Kereta Api Indonesia (Persero). (2012, 09 06). Visi dan Misi. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/

PT.KAI Indonesia (Persero). (2012). Perubahan dan Tambahan (P&T)

Organisasi dan Tata Laksana Unit Sistem Informasi di Lingkungan Direktorat, SDM, Umum dan Teknologi Informasi Kantor Pusat PT.KAI Indonesia (Persero). Bandung: Direksi PT.KAI Indinesia (Persero).

Rahardjo, B. (1999). Keamanan Sistem Informasi Berbasis Internet. Bandung: PT Insan Komunikasi / Infonesia.

Setiawan, A. B. (2009). IMPLEMENTASI TATA KELOLA KEAMANAN INFORMASI NASIONAL DALAM KERANGKA e-GOVERNMENT.


(24)

96

Universitas Kristen Maranatha Tim Direktorat Keamanan Informasi. (2011). Panduan Penerapan Tata

Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik.


(1)

91

Universitas Kristen Maranatha Sasaran dalam proses ini adalah untuk memastikan bahwa pegawai serta pengguna sistem beserta pihak-pihak lain yang berkepentingan di dalam pengelolaan atau perbaikan sistem memahami tanggung jawab sesuai dengan perannya yang bertujuan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas, serta kepedulian terhadap ancaman dan masalah di dalam keamanan informasi.


(2)

92

Universitas Kristen Maranatha

DAFTAR PUSTAKA

Badan Standardisasi Nasional. (2009). Teknologi Informasi-Teknik

Keamanan- Sistem Manajemen Keamanan Informasi-Persyaratan.

ESCAP / APCICT. (2009). Keamanan Jaringan dan Keamanan Informasi dan

Privasi. Incheon: United Nations Asian and Pacific Training Centre for

Information and Communication Technology for Development.

Harry Ryana, B. R. (2005). KAJIAN ISO/IEC 17799:2005 SEBAGAI KERANGKA DASAR. Sekolah Teknik Elektro dan Informatika, Institut

Teknologi Bandung .

Heru Susanto, M. N. (2012). Information Security Challenge and Breaches: Novelty Approach on Measuring ISO 27001:2005 Readiness Level.

International Journal of Engineering and Technology Volume 2 No.1 .

ISO/IEC 2005. (2005). Information technology — Security techniques —

Code of practice for information security management. Geneva: ISO/IEC

17799:2005(E).

ISO/IEC 27001. (2005). CHECKLIST template 2005 - REC 8.2a - Temination

HR v1.2. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). Document & roles-responsibilities management tool -

User Instructions. Geneva: Governance Ltd 2005.

ISO/IEC 27001. (2005).

iNFORMATIONSECURITYMANUALtemplate2005v1.4. Geneva: Governance

Ltd 2005.

ISO/IEC 27001. (2005). ISO27001 ISMS Documentation Toolkit - Contents


(3)

93

Universitas Kristen Maranatha ISO/IEC 27001. (2005). ISO27001 ISO17799 Documentation Toolkit - User

Instructionsv5. Geneva: Governance Ltd 2005.

ISO/IEC 27001. (2005). ISO27002 2005 Gap Analysis & Audit Tool. Geneva: Governance Ltd 2005.

ISO/IEC 27001. (2005). ISO27002 2005 Gap Analysis & Audit Tool. Geneva: Governance Ltd 2005.

ISO/IEC 27001. (2005). Policies and procedures diagramv2. Geneva: Governance Ltd 2005.

ISO/IEC 27001. (2005). POLICY template 2005 - DOC 5.1v1.2. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). POLICY template 2005 - DOC 7.2 - IAUP v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.11 -

Telecommunications v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 5.2 -

Management reviewsv1.2. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.1 Information

Security Committee v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.2 Information

security co-rdination v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.4

Authorization of facilities v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.5

Confidentiality v2.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.7


(4)

94

Universitas Kristen Maranatha ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.8 External

parties v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.1 - Asset

inventory v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.3 - E-mail

rules v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.6 -

classifications v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 8.1 Screening

v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 6.6A - Authorities

and key suppliers. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1A - Hardware

assets. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1B - Software

log. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1C - Information

asset database. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1D - Intangible

assets. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 6.6 -

Contact with authorities v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.10 -

Photocopiers v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.4 -


(5)

95

Universitas Kristen Maranatha ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.5 -

Mailbox size limits v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.7

Mail v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.8 -

Voice mail v1.1. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.9 -

Fax machines v1.2. Geneva: Governance Ltd 2005v1.2.

ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 8.3

Employee termination v1.1. Geneva: Governance Ltd 2005v1.2.

Jogiyanto. (2005). Audit Sistem Informasi. Jakarta: Mitra Wacan Media. PT. Kereta Api Indonesia (Persero). (2012, 09 06). Sejarah Kereta Api. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/

PT. Kereta Api Indonesia (Persero). (2012, 09 06). Sumber Daya Manusia. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/

PT. Kereta Api Indonesia (Persero). (2012, 09 06). Visi dan Misi. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/

PT.KAI Indonesia (Persero). (2012). Perubahan dan Tambahan (P&T)

Organisasi dan Tata Laksana Unit Sistem Informasi di Lingkungan Direktorat, SDM, Umum dan Teknologi Informasi Kantor Pusat PT.KAI Indonesia (Persero). Bandung: Direksi PT.KAI Indinesia (Persero).

Rahardjo, B. (1999). Keamanan Sistem Informasi Berbasis Internet. Bandung: PT Insan Komunikasi / Infonesia.

Setiawan, A. B. (2009). IMPLEMENTASI TATA KELOLA KEAMANAN INFORMASI NASIONAL DALAM KERANGKA e-GOVERNMENT.


(6)

96

Universitas Kristen Maranatha Tim Direktorat Keamanan Informasi. (2011). Panduan Penerapan Tata

Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik.