Analisis Pengendalian Kebijakan Keamanan, Organisasi, Aset dan Sumber Daya Manusia Berbasis ISO 27001:2005 (Studi Kasus: Unit TI PT. KAI).
ii
Abstrak
Informasi merupakan salah satu aset yang sangat penting untuk PT.KAI. Dengan perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan terhadap keamanan informasi semakin meningkat. Untuk itu, PT.KAI harus dapat menerapkan kebijakan yang tepat untuk melindungi aset informasi yang dimiliki. Laporan ini membahas tentang analisis pengendalian manajemen keamanan informasi berbasis ISO/IEC 27001:2005. Hasil analisis yang didapat di antaranya adalah masalah pemahaman proses-proses dalam mengelola dokumentasi kebijakan informasi sudah dapat dijelaskan dengan baik, serta dapat memastikan kesesuaian, kecakupan, dan keefektifan secara berkelanjutan. Pemahaman dalam mengelola keamanan informasi di dalam ataupun di luar organisasi sudah ada, tetapi penerapan pada pihak internal perusahaan masih kurang baik. Unit TI pada PT.KAI sudah memahami tentang pentingnya pemeliharaan aset serta perlindungan terhadap aset. Aset sudah diidentifikasi dengan baik, hanya saja metode yang kurang baik menyebabkan aset masih ada yang tidak valid. Unit TI pada PT.KAI sudah memahami pengelolaan sumber daya manusia sebelum dipekerjakan, selama bekerja, ataupun yang sudah diberhentikan serta perubahan pekerjaan.
(2)
iii
Abstract
Information is one of the most important assets for PT.KAI. With the development of information technology very rapidly, the possibility of disruption to information security is increasing. For that PT.KAI should be able to apply appropriate policies to protect information assets owned. One of the policies that can be taken by the company to overcome the interference problem is to implement information security Information Security Management Systems (ISMS) ISO 27001:2005 on. This report discusses the Information Security Management Control Analysis Based on Policy, Organization, assets and human resources PT.KAI Unit Based on ISO / IEC 27001:2005, which includes some of the processes in the ISO include Security Policy, Organization of Information Security, Asset Management and Security Human Resources. Understanding of the processes in managing policy documentation can be explained by the information already good, and can ensure compliance, reach and effectiveness on an ongoing basis. Understanding in managing information security inside and outside the organization already exists, but the application of the internal party companies are still not good. IT units PT.KAI already aware of the importance of asset preservation and protection of assets. Assets already identified by either method just is not good cause there asset invalid. IT units PT.KAI already understand how human resource management, pre-employment, for work or who are laid off or change jobs.
(3)
iv
Daftar Isi
Prakata ... i
Abstrak ... ii
Abstract ... iii
Daftar Isi ... iv
Daftar Gambar ... vii
Daftar Tabel ... viii
Daftar Lampiran ... x
Daftar Singkatan ... xi
BAB I PENDAHULUAN... 1
1.1 Latar Belakang ... 1
1.2 Rumusan Masalah ... 2
1.3 Tujuan Pembahasan ... 2
1.4 Ruang Lingkup Kajian ... 3
1.5 Sumber Data ... 4
1.6 Sistematika Penyajian... 4
BAB II KAJIAN TEORI ... 6
2.1 Definisi Analisis Sistem ... 6
2.2 Kebijakan dan Strategi... 9
2.3 Proses dan Manajemen Keamanan ... 9
2.4 Standar Keamanan Informasi ... 14
2.5 Tata Kelola Keamanan Informasi ... 14
(4)
v
2.6.1 ISO/IEC 27000 ISMS- Overview and Vocabulary ... 16
2.6.2 SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan Informasi ... 17
2.6.3 ISO/IEC 27002 – Code of Practice for ISMS ... 20
2.6.4 ISO/IEC 27003- Information Security Management System Implementation Guidance ... 24
2.6.5 ISO/IEC 27004 - Information Security Management Measurement24 2.6.6 ISO/IEC27005 - Information Security Risk Management ... 25
2.6.7 ISO/IEC 27006 - Requirements for Bodies Providing Audit and Certification of Information Security Management Systems. ... 25
2.7 Dokumentasi Sistem Manajemen Keamanan Informasi ... 25
2.8 Manfaat dan Kendala Implementasi ISO 27001:2005:2005 ... 27
2.9 Standar Pengelolaan Keamanan Informasi Sesuai ISO 27001:2005 dan ISO 27002:2005 ... 29
2.10 Sasaran Pengendalian dan Pengendalian ... 31
2.11 GAP Analisis ... 37
BAB III ANALISIS ... 41
3.1 Lingkungan Bisnis Serta Visi dan Misi Perusahaan ... 41
3.2 Unit TI pada PT.KAI ... 41
3.3 Strategi Penerapan TI pada PT.KAI... 43
3.4 Tujuan Pengembangan Sistem dan TI ... 45
3.5 Tahapan Dalam Menganalisis SMKI ... 45
3.5.1 Dokumen yang dibutuhkan dalam SMKI ... 46
3.5.2 Analisis Kuesioner Awareness ... 49
3.5.3 Analisis Kuesioner Compliant ... 50
(5)
vi
3.6 Analisis Proses ISO 27001:2005 pada PT.KAI ... 53
3.6.1 Analisis Kebijakan Kemanan ... 54
3.6.2 Analisis Organisasi Keamanan Informasi (Pihak Internal) ... 56
3.6.3 Analisis Organisasi Keamanan Informasi (Pihak Eksternal) ... 64
3.6.4 Analisis Tanggung Jawab Terhadap Aset... 67
3.6.5 Analisis Klasifikasi Informasi... 70
3.6.6 Analisis Keamanan Sumber Daya Manusia (Sebelum Dipekerjakan) ... 72
3.6.7 Analisis Keamanan Sumber Daya Manusia (Selama Bekerja)... 75
3.6.8 Analisis Sumber Daya Manusia Saat Pengakhiran atau Perubahan Pekerjaan ... 78
3.7 Evaluasi Hasil Analisis ... 81
3.8 Rekomendasi Pengendalian Proses ... 84
BAB IV SIMPULAN DAN SARAN ... 88
4.1 Simpulan ... 88
4.2 Saran ... 89
DAFTAR PUSTAKA ... 92
DAFTAR LAMPIRAN ... 97
(6)
vii
Daftar Gambar
Gambar 1 Hubungan Antar Standar SMKI ... 17
Gambar 2 Struktur Dokumentasi SMKI ... 26
Gambar 3 Contoh GAP Analisis ... 39
Gambar 4 Struktur Organisasi Pusat Sistem informasi... 42
Gambar 5 Proses Pengembangan Sistem dan TI ... 44
(7)
viii
Daftar Tabel
Tabel I Istilah Dan Definisi Dokumen ... 7
Tabel II Komponen Resiko ... 10
Tabel III Peta PDCA Dalam SMKI ... 18
Tabel IV Sasaran Pengendalian Dan Pengendalian ... 31
Tabel V Dokumentasi ISO 27001:2005 Lanjutan ... 36
Tabel VI Kesimpulan Kuesioner Awareness ... 49
Tabel VII Kesimpulan Kuesioner Compliant ... 50
Tabel VIII Kesimpulan Kuesioner Action Required ... 52
Tabel IX Dokumentasi Kebijakan Keamanan Informasi ... 55
Tabel X Kajian Kebijakan Keamanan Informasi ... 56
Tabel XI Komitmen Manajemen Terhadap Keamanan Informasi ... 57
Tabel XII Koordinasi Keamanan Informasi ... 58
Tabel XIII Alokasi Tanggung Jawab Keamanan Informasi ... 59
Tabel XIV Proses Otorisasi Untuk Fasilitas Pengolahan Informasi ... 60
Tabel XV Perjanjian Kerahasiaan ... 61
Tabel XVI Kontak Dengan Pihak Berwenang ... 62
Tabel XVII Kontak Dengan Kelompok Khusus (Special Interest) ... 63
Tabel XVIII Kajian Independen Terhadap Keamanan Informasi ... 64
Tabel XIX Identifikasi Resiko Terkait Pihak Ekstenal ... 65
Tabel XX Penekanan Keamanan Ketika Berhubungan Dengan Pelanggan . 66 Tabel XXI Penekanan Keamanan Perjanjian ... 67
Tabel XXII Inventaris Aset ... 68
Tabel XXIII Kepemilikan Aset ... 69
Tabel XXIV Penggunaan Aset Yang Dapat Diterima... 70
Tabel XXV Pedoman Klasifikasi... 71
Tabel XXVI Pelabelan Dan Penanganan Informasi ... 72
Tabel XXVII Peran Dan Tanggung Jawab ... 73
Tabel XXVIII Penyaringan (Screening) ... 74
Tabel XXIX Syarat Dan Aturan Kepegawaian ... 75
(8)
ix
Tabel XXXI Kepedulian, Pendidikan Dan Pelatihan Keamanan Informasi.... 77
Tabel XXXII Prosedur Pendisiplinan ... 78
Tabel XXXIII Tanggung Jawab Pengakhiran Pekerjaan ... 79
Tabel XXXIV Pengembalian Aset ... 80
(9)
x
Daftar Lampiran
Lampiran A Kebijakan Keamanan Informasi... 97
Lampiran B Kebijakan dan Prosedur Teknologi Informasi ... 100
Lampiran C Hak Akses ... 104
Lampiran D Kebijakan Umum Tata Kelola Teknologi Informasi ... 105
Lampiran E Data Aset ... 112
Lampiran F Monitoring Server dan Aset ... 113
Lampiran G Aset Aplikasi ... 114
Lampiran H Konsultasi Sertifikasi ISO 27001:2005 ... 120
Lampiran I Surat Perjanjian Kerja Sama ... 122
Lampiran J Surat Pengesahan Perjanjian ... 123
Lampiran K Perubahan dan Tambahan Organisasi dan Tata Laksana Unit Sistem Informasi ... 124
Lampiran L Struktur Organisasi Pusat Sistem Informasi ... 128
Lampiran M Kedudukan, Tugas Pokok, Tanggung Jawab dan Tata Laksana Unit Sistem Informasi ... 133
Lampiran N Surat Perubahan Perjanjian ... 162
Lampiran O Wawancara ... 166
Lampiran P Kuesioner Awareness ... 173
Lampiran Q Kuesioner Compiant ... 175
Lampiran R Referensi Penulisan dokumen Policy ... 181
Lampiran S Referensi Penulisan Dokumen Procedure ... 186
Lampiran T Rekomendasi Penulisan Dokumen Work Instruction ... 216
(10)
xi
Daftar Singkatan
Singkatan Istilah Arti Istilah
Doc Dokumen
PT.KAI PT.Kereta Api Indonesia (Persero)
SMKI Sistem Manajemen Keamanan Informasi
TI Teknologi informasi
(11)
1
BAB I PENDAHULUAN
1.1 Latar Belakang
Informasi merupakan salah satu aset yang sangat penting baik untuk perusahaan, pemerintahaan, ataupun organisasi. Dengan perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan terhadap keamanan informasi semakin meningkat. Untuk itu, perusahaan harus dapat menerapkan kebijakan yang tepat untuk melindungi aset informasi yang dimiliki. Salah satu kebijakan yang dapat diambil oleh perusahaan untuk mengatasi masalah gangguan terhadap kemanan informasi adalah dengan menerapkan Sistem Manajemen Keamanan Informasi (SMKI).
Salah satu model pendukung keamanan informasi adalah ISO 27001:2005 dari sekian banyak model yang ada, dimana masing-masing memfokuskan diri pada manajemen keamanan informasi yang berbeda-beda. ISO 27001:2005 itu sendiri merupakan standar model untuk penetapan, penerapan, pengoperasian, pemantauan, pengkajian, pemeliharaan, dan perbaikan Sistem Manajemen Keamanan Informasi (SMKI). Desain dan penerapan SMKI dari suatu organisasi dipengaruhi oleh kebutuhan dan sasaran organisasi. Standar ini dapat digunakan untuk menilai kesesuaian oleh pihak terkait baik internal maupun eksternal.
PT.KAI merupakan perusahaan yang bergerak dalam bidang pelayanan terhadap publik, dimana PT.KAI memiliki proses bisnis yang kompleks sehingga peran TI sangat dibutuhkan dalam mendukung proses bisnis tersebut. Untuk menjamin keamanan aset ataupun TI pada PT.KAI dibutuhkan suatu model dimana ISO 27001:2005 dapat menjadi panduan dalam mengatasi keamanan informasi, khususnya pada Unit TI PT.KAI. Hal ini karena pengguna layanan kereta api sangat banyak sehingga manajemen keamanan informasi dinilai sangat penting pada Unit IT di PT.KAI. Untuk memberikan arahan manajemen dan dukungan keamanan informasi diperlukan adanya dokumen keamanan informasi. Keamanan informasi dibutuhkan oleh unit TI PT.KAI baik didalam maupun diluar organisasi.
(12)
2
Universitas Kristen Maranatha PT.KAI juga harus dapat memelihara perlindungan yang sesuai terhadap aset organisasi serta memastikan bahwa informasi menerima tingkat perlindungan yang tepat. Selain itu, PT. KAI juga harus dapat memastikan bahwa pegawai, pengguna sistem, serta pihak-pihak lain yang berkepentingan di dalam pengelolaan atau perbaikan sistem memahami tanggung jawab sesuai dengan perannya yang bertujuan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas, serta peduli terhadap ancaman dan masalah di dalam keamanan informasi.
1.2 Rumusan Masalah
Berdasarkan latar belakang masalah yang telah dijelaskan pada 1.1, maka rumusan masalah yang akan dikaji dalam Tugas Akhir adalah sebagai berikut:
1. Apakah penerapan dokumentasi kebijakan keamanan informasi sudah dikaji yang mencakup kemanan informasi pada bagian unit TI di PT.KAI?
2. Apakah Unit TI di PT.KAI sudah mengelola dengan baik tentang keamanan informasi di dalam maupun diluar organisasi?
3. Apakah Unit TI di PT.KAI sudah mengelola aset dengan baik di dalam organisasi?
4. Apakah Unit TI di PT.KAI sudah mengelola dengan baik tentang keamanan sumber daya manusia di dalam organisasi?
1.3 Tujuan Pembahasan
Tujuan dari pembahasan dalam Tugas Akhir ini berdasarkan rumusan masalah pada poin 1.2 adalah sebagai berikut:
1. Memahami serta mengetahui proses-proses dalam mengelola dokumentasi kebijakan keamanan informasi, serta dapat memastikan kesesuaian, kecakupan, dan keefektifan yang berkelanjutan pada bagian Unit TI di PT.KAI.
2. Memahami dalam pengelolaan keamanan informasi di dalam maupun diluar organisasi pada bagian Unit TI di PT.KAI.
(13)
3
Universitas Kristen Maranatha 3. Memahami dalam pemeliharaan aset serta memberikan perlindungan yang tepat terhadap aset di dalam organisasi pada bagian Unit TI di PT.KAI.
4. Memahami pengelolaan sumberdaya manusia sebelum dipekerjakan, selama bekerja maupun yang sudah diberhentikan atau perubahan pekerjaan di dalam organisasi pada bagian Unit TI di PT.KAI.
1.4 Ruang Lingkup Kajian
Ruang lingkup kajian penelitian dilakukan pada Unit TI di PT.KAI, standar yang digunakan dalam tugas akhir ini adalah ISO 27001:2005 yang mendukung perlindungan memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh Unit TI PT.KAI untuk mengevaluasi, mengimplementasikan, dan memelihara keamanan informasi di perusahaan, yang menggunakan 4 kontrol di antaranya adalah:
1. Kebijakan keamanan
Sasaran dalam proses ini adalah untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hukum serta regulasi yang relevan.
2. Organisasi keamanan informasi
Sasaran dalam proses ini adalah untuk mengelola keamanan informasi didalam maupun diluar organisasi.
3. Pengelolaan aset.
Sasaran dalam proses ini adalah untuk mencapai dan memelihara perindungan yang sesuai terhadap aset organisasi serta memastikan bahwa informasi menerima tingkat perlindungan yang tepat.
4. Keamanan sumber daya manusia
Sasaran dalam proses ini adalah untuk memastikan bahwa pegawai serta pengguna sistem beserta pihak-pihak lain yang berkepentingan di dalam pengelolaan atau perbaikan sistem memahami tanggung jawab sesuai dengan perannya yang bertujuan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas, serta
(14)
4
Universitas Kristen Maranatha peduli terhadap ancaman dan masalah di dalam keamanan informasi.
1.5 Sumber Data
Metode pengumpulan data pada PT.KAI yang dilakukan dalam menyelesaikan tugas akhir ini dibagi menjadi beberapa bagian, yaitu :
1. Wawancara
Metode ini dilakukan dengan cara menanyakan langsung kepada orang yang mempunyai keterkaitan dengan pembahasan penelitian, biasanya dilakukan dengan menyiapkan daftar pertanyaan terlebih dahulu yang kemudian ditanyakan kepada orang yang bersangkutan.
2. Observasi
Merupakan metode penelitian yang langsung turun melakukan interaksi dengan mengamati beberapa proses kerja yang ada.
3. Kuesioner
Metode ini dilakukan dengan cara memberikan sejumlah pertanyaan secara tertulis kepada sejumlah responden yang berguna untuk mendapatkan kesimpulan untuk dapat dianalisis menjadi informasi.
1.6 Sistematika Penyajian
Secara umum, sistem penyajian diuraikan sebagai berikut :
Bab I Pendahuluan
Membahas mengenai Latar Belakang, Rumusan Masalah, Tujuan dan Manfaat Penelitian, Ruang Lingkup, serta Sistematika Penyajian.
Bab II Kajian Teori
Membahas mengenai Kajian Teori yang menjadi acuan dalam menganalisis manajemen keamanan informasi.
(15)
5
Universitas Kristen Maranatha Bab ini membahas mengenai profil perusahaan serta bagian TI, Gap Analisis Manajemen Keamanan Informasi pada bagian Unit TI di PT.KAI menggunakan standar ISO 27001:2005.
Bab IV Simpulan dan Saran
Bab ini membahas mengenai kesimpulan dan saran pengembangan berdasarkan hasil Gap Analisis SMKI pada BAB III.
(16)
88
BAB IV SIMPULAN DAN SARAN
4.1 Simpulan
Simpulan yang dapat diambil dari hasil analisis berdasarkan proses kebijakan keamanan, organisasi keamanan informasi, pengelolaan aset dan keamanan sumber daya manusia yang ada pada analisis BAB III adalah sebagai berikut:
1. Unit TI pada PT.KAI telah memahami serta mengetahui proses-proses dalam mengelola dokumentasi kebijakan keamanan informasi, namun dalam mengkaji keamanan informasi belum secara rutin ditetapkan masih secara ad hoc atau jika dibutuhkan saja baru dikaji, dokumen kebijakan keamanan informasi sudah dapat memastikan kesesuaian, kecakupan dan keefektifan tetapi belum seccara efektif berjalan pada bagian Unit TI di PT.KAI.
2. Unit TI pada PT.KAI telah memahami dalam pengelolaan keamanan informasi di dalam maupun diluar organisasi, namun di dalam organisasi masih belum secara efektif dijalankan sesuai dengan aturan yang ada.
3. Unit TI pada PT.KAI telah memahami dalam pemeliharaan aset serta memberikan perlindungan yang tepat terhadap aset di dalam organisasi. Namun penerapannya masih belum efektif yang diakibatkan kurangnya kepedulian terhadap aset organisasi.
4. Unit TI pada PT.KAI telah memahami pengelolaan sumberdaya manusia sebelum dipekerjakan, selama bekerja maupun yang sudah diberhentikan atau perubahan pekerjaan di dalam organisasi. Namun belum seluruhnya menyangkut tentang keamanan informasi.
(17)
89
Universitas Kristen Maranatha
4.2 Saran
Penerapan SMKI (Sistem Manajemen Keamanan Informasi) di dalam PT.KAI idealnya dapat mengimplementasi persyaratan standarisasi sesuai dengan ketentuan yang berlaku pada SMKI ISO 27001:2005. Untuk itu prinsip keamanan harus tetap dipenuhi yang dimana aspek persyaratan keamanan yaitu confidenciality, integrity dan avaibility. Untuk mencapai aspek tersebut maka perlu diperhatikan beberapa hal yang penting yaitu adanya kontrol dan proteksi, monitoring dan auditing, serta pemahaman tentang dampak, ancaman dan vulnerabilitas pada PT.KAI. Penekanan dan penyesuaian terhadap masing-masing kontrol pada pokok masalah yang diambil yaitu kebijakan keamanan, organisasi keamanan informasi, pengelolaan aset dan keamanan sumber daya manusia harus terpenuhi berikut ini adalah saran atau rekomendasi dari hasil analisis pada BAB III, referensi penulisan dokumen ISO 27001:2005 dapat dilihat pada lampiran R untuk Policy, lampiran S untuk Procedure, lampiran T untuk Work Instruction, lampiran U untuk Record.
1. Pembuatan dokumen policy SMKI, dokumen ini bersifat strategis yang memuat komitmen yang dituangkan dalam bentuk kebijakan, standar, sasaran dan rencana terkait pengembangan (development), penerapan (implementation) dan peningkatan (improvement) sistem manajemen keamanan informasi. berikut ini adalah dokumen sesuai dengan proses atau kontrol yang diambil:
A. Security Policy (Doc 5.1)
B. Internet Acceptable Usage Policy (Doc 7.2)
2. Pembuatan prosedur dan panduan yang dikembangkan secara internal oleh PT.KAI sebagai penyelenggara pelayanan publik dan memuat cara menerapkan kebijakan yang telah ditetapkan serta menjelaskan penanggung jawab kegiatan. Prosedur-prosedur dalam dokumen ini meliputi antara lain:
A. Management Review Of The Information Security Policy (Doc 5.2)
(18)
90
Universitas Kristen Maranatha
B. Information Security Committee (Doc 6.1) C. Information Security Co-Ordination (Doc 6.2)
D. Authorizing New Information Processing Facilities (Doc 6.4) E. Confidentiality Agreements (Doc 6.5)
F. Internal Independent Review Procedure (Doc 6.7) G. External Parties (6.8)
H. Inventory And Ownership Of Assets (7.1) I. Rules For Use Of E-Mail (7.3)
J. Information Security Classification Guidelines (7.6) K. Telecommunications Procedure (Doc 7.11)
L. Personnel Screening Procedure (Doc 8.1)
3. Pembuatan dokumen petunjuk teknis, instruksi kerja dan formulir yang digunakan untuk mendukung pelaksanaan prosedur tertentu sampai ke tingkatan teknis.
4. Menyesuaikan sasaran pengendalian dan pengendaliannya, dalam proses ini yang dimaksud adalah Kebijakan Keamanan, Organisasi Keamanan Informasi, Pengelolaan Aset dan Keamanan Sumber Daya Manusia.
A. Kebijakan keamanan
Sasaran dalam proses ini adalah untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hukum serta regulasi yang relevan. B. Organisasi keamanan informasi
Sasaran dalam proses ini adalah untuk mengelola keamanan informasi didalam maupun diluar organisasi.
C. Pengelolaan aset.
Sasaran dalam proses ini adalah untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi serta memastikan bahwa informasi menerima tingkat perlindungan yang tepat.
(19)
91
Universitas Kristen Maranatha Sasaran dalam proses ini adalah untuk memastikan bahwa pegawai serta pengguna sistem beserta pihak-pihak lain yang berkepentingan di dalam pengelolaan atau perbaikan sistem memahami tanggung jawab sesuai dengan perannya yang bertujuan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas, serta kepedulian terhadap ancaman dan masalah di dalam keamanan informasi.
(20)
92
DAFTAR PUSTAKA
Badan Standardisasi Nasional. (2009). Teknologi Informasi-Teknik
Keamanan- Sistem Manajemen Keamanan Informasi-Persyaratan.
ESCAP / APCICT. (2009). Keamanan Jaringan dan Keamanan Informasi dan
Privasi. Incheon: United Nations Asian and Pacific Training Centre for
Information and Communication Technology for Development.
Harry Ryana, B. R. (2005). KAJIAN ISO/IEC 17799:2005 SEBAGAI KERANGKA DASAR. Sekolah Teknik Elektro dan Informatika, Institut
Teknologi Bandung .
Heru Susanto, M. N. (2012). Information Security Challenge and Breaches: Novelty Approach on Measuring ISO 27001:2005 Readiness Level.
International Journal of Engineering and Technology Volume 2 No.1 .
ISO/IEC 2005. (2005). Information technology — Security techniques —
Code of practice for information security management. Geneva: ISO/IEC
17799:2005(E).
ISO/IEC 27001. (2005). CHECKLIST template 2005 - REC 8.2a - Temination
HR v1.2. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). Document & roles-responsibilities management tool -
User Instructions. Geneva: Governance Ltd 2005.
ISO/IEC 27001. (2005).
iNFORMATIONSECURITYMANUALtemplate2005v1.4. Geneva: Governance
Ltd 2005.
ISO/IEC 27001. (2005). ISO27001 ISMS Documentation Toolkit - Contents
(21)
93
Universitas Kristen Maranatha ISO/IEC 27001. (2005). ISO27001 ISO17799 Documentation Toolkit - User
Instructionsv5. Geneva: Governance Ltd 2005.
ISO/IEC 27001. (2005). ISO27002 2005 Gap Analysis & Audit Tool. Geneva: Governance Ltd 2005.
ISO/IEC 27001. (2005). ISO27002 2005 Gap Analysis & Audit Tool. Geneva: Governance Ltd 2005.
ISO/IEC 27001. (2005). Policies and procedures diagramv2. Geneva: Governance Ltd 2005.
ISO/IEC 27001. (2005). POLICY template 2005 - DOC 5.1v1.2. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). POLICY template 2005 - DOC 7.2 - IAUP v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.11 -
Telecommunications v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 5.2 -
Management reviewsv1.2. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.1 Information
Security Committee v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.2 Information
security co-rdination v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.4
Authorization of facilities v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.5
Confidentiality v2.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.7
(22)
94
Universitas Kristen Maranatha ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.8 External
parties v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.1 - Asset
inventory v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.3 - E-mail
rules v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.6 -
classifications v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 8.1 Screening
v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 6.6A - Authorities
and key suppliers. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1A - Hardware
assets. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1B - Software
log. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1C - Information
asset database. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1D - Intangible
assets. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 6.6 -
Contact with authorities v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.10 -
Photocopiers v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.4 -
(23)
95
Universitas Kristen Maranatha ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.5 -
Mailbox size limits v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.7
Mail v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.8 -
Voice mail v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.9 -
Fax machines v1.2. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 8.3
Employee termination v1.1. Geneva: Governance Ltd 2005v1.2.
Jogiyanto. (2005). Audit Sistem Informasi. Jakarta: Mitra Wacan Media. PT. Kereta Api Indonesia (Persero). (2012, 09 06). Sejarah Kereta Api. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/
PT. Kereta Api Indonesia (Persero). (2012, 09 06). Sumber Daya Manusia. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/
PT. Kereta Api Indonesia (Persero). (2012, 09 06). Visi dan Misi. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/
PT.KAI Indonesia (Persero). (2012). Perubahan dan Tambahan (P&T)
Organisasi dan Tata Laksana Unit Sistem Informasi di Lingkungan Direktorat, SDM, Umum dan Teknologi Informasi Kantor Pusat PT.KAI Indonesia (Persero). Bandung: Direksi PT.KAI Indinesia (Persero).
Rahardjo, B. (1999). Keamanan Sistem Informasi Berbasis Internet. Bandung: PT Insan Komunikasi / Infonesia.
Setiawan, A. B. (2009). IMPLEMENTASI TATA KELOLA KEAMANAN INFORMASI NASIONAL DALAM KERANGKA e-GOVERNMENT.
(24)
96
Universitas Kristen Maranatha Tim Direktorat Keamanan Informasi. (2011). Panduan Penerapan Tata
Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik.
(1)
91
Universitas Kristen Maranatha Sasaran dalam proses ini adalah untuk memastikan bahwa pegawai serta pengguna sistem beserta pihak-pihak lain yang berkepentingan di dalam pengelolaan atau perbaikan sistem memahami tanggung jawab sesuai dengan perannya yang bertujuan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas, serta kepedulian terhadap ancaman dan masalah di dalam keamanan informasi.
(2)
92
Universitas Kristen Maranatha
DAFTAR PUSTAKA
Badan Standardisasi Nasional. (2009). Teknologi Informasi-Teknik
Keamanan- Sistem Manajemen Keamanan Informasi-Persyaratan.
ESCAP / APCICT. (2009). Keamanan Jaringan dan Keamanan Informasi dan
Privasi. Incheon: United Nations Asian and Pacific Training Centre for
Information and Communication Technology for Development.
Harry Ryana, B. R. (2005). KAJIAN ISO/IEC 17799:2005 SEBAGAI KERANGKA DASAR. Sekolah Teknik Elektro dan Informatika, Institut
Teknologi Bandung .
Heru Susanto, M. N. (2012). Information Security Challenge and Breaches: Novelty Approach on Measuring ISO 27001:2005 Readiness Level.
International Journal of Engineering and Technology Volume 2 No.1 .
ISO/IEC 2005. (2005). Information technology — Security techniques —
Code of practice for information security management. Geneva: ISO/IEC
17799:2005(E).
ISO/IEC 27001. (2005). CHECKLIST template 2005 - REC 8.2a - Temination
HR v1.2. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). Document & roles-responsibilities management tool -
User Instructions. Geneva: Governance Ltd 2005.
ISO/IEC 27001. (2005).
iNFORMATIONSECURITYMANUALtemplate2005v1.4. Geneva: Governance
Ltd 2005.
ISO/IEC 27001. (2005). ISO27001 ISMS Documentation Toolkit - Contents
(3)
93
Universitas Kristen Maranatha ISO/IEC 27001. (2005). ISO27001 ISO17799 Documentation Toolkit - User
Instructionsv5. Geneva: Governance Ltd 2005.
ISO/IEC 27001. (2005). ISO27002 2005 Gap Analysis & Audit Tool. Geneva: Governance Ltd 2005.
ISO/IEC 27001. (2005). ISO27002 2005 Gap Analysis & Audit Tool. Geneva: Governance Ltd 2005.
ISO/IEC 27001. (2005). Policies and procedures diagramv2. Geneva: Governance Ltd 2005.
ISO/IEC 27001. (2005). POLICY template 2005 - DOC 5.1v1.2. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). POLICY template 2005 - DOC 7.2 - IAUP v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.11 -
Telecommunications v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 5.2 -
Management reviewsv1.2. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.1 Information
Security Committee v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.2 Information
security co-rdination v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.4
Authorization of facilities v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.5
Confidentiality v2.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.7
(4)
94
Universitas Kristen Maranatha ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 6.8 External
parties v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.1 - Asset
inventory v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.3 - E-mail
rules v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 7.6 -
classifications v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). PROCEDURE template 2005 - DOC 8.1 Screening
v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 6.6A - Authorities
and key suppliers. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1A - Hardware
assets. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1B - Software
log. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1C - Information
asset database. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). SCHEDULE template 2005 - REC 7.1D - Intangible
assets. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 6.6 -
Contact with authorities v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.10 -
Photocopiers v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.4 -
(5)
95
Universitas Kristen Maranatha ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.5 -
Mailbox size limits v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.7
Mail v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.8 -
Voice mail v1.1. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 7.9 -
Fax machines v1.2. Geneva: Governance Ltd 2005v1.2.
ISO/IEC 27001. (2005). WORK INSTRUCTION template 2005 - DOC 8.3
Employee termination v1.1. Geneva: Governance Ltd 2005v1.2.
Jogiyanto. (2005). Audit Sistem Informasi. Jakarta: Mitra Wacan Media. PT. Kereta Api Indonesia (Persero). (2012, 09 06). Sejarah Kereta Api. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/
PT. Kereta Api Indonesia (Persero). (2012, 09 06). Sumber Daya Manusia. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/
PT. Kereta Api Indonesia (Persero). (2012, 09 06). Visi dan Misi. Retrieved 03 06, 2013, from http://www.kereta-api.co.id/
PT.KAI Indonesia (Persero). (2012). Perubahan dan Tambahan (P&T)
Organisasi dan Tata Laksana Unit Sistem Informasi di Lingkungan Direktorat, SDM, Umum dan Teknologi Informasi Kantor Pusat PT.KAI Indonesia (Persero). Bandung: Direksi PT.KAI Indinesia (Persero).
Rahardjo, B. (1999). Keamanan Sistem Informasi Berbasis Internet. Bandung: PT Insan Komunikasi / Infonesia.
Setiawan, A. B. (2009). IMPLEMENTASI TATA KELOLA KEAMANAN INFORMASI NASIONAL DALAM KERANGKA e-GOVERNMENT.
(6)
96
Universitas Kristen Maranatha Tim Direktorat Keamanan Informasi. (2011). Panduan Penerapan Tata
Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik.