Analisis Manajemen Keamanan Informasi pada Divisi TIK Politeknik Pos Indonesia Menggunakan ISO 27001.

(1)

Universitas Kristen Maranatha

ABSTRAK

Informasi adalah salah satu aset penting dan sangat berharga bagi suatu organisasi ataupun institusi. Salah satu elemen penting dalam tata kelola organisasi yang baik adalah keamanan informasi. Keamanan informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimalisir risiko bisnis (reduce business risk) dan memaksimalkan, serta mempercepat pengembalian investasi dan peluang bisnis. Hal tersebut diatur dalam sebuah sistem manajemen keamanan informasi yang menjamin tiga aspek penting yang dikenal dengan sebutan CIA, yaitu Confidentiality, Integrity, Availability. Untuk memastikan apakah sistem informasi yang telah dirancang dan diterapkan sesuai dengan prosedur dan standar yang telah ditetapkan berdasarkan ISO 27001:2013, maka Divisi TIK Politeknik Pos Indonesia perlu melakukan analisis untuk menentukan tingkat kematangan terhadap sistem informasi yang ada dengan menggunakan enam tingkat kematangan CMMI. Penelitian bersifat deskriptif kualitatif, dilakukan analisis pada 5 annex ISO 27001:2013 dengan teknik pengumpulan data primer dan sekunder, wawancara yang dilakukan dengan Kepala Divisi TIK dan Ketua Inventaris Aset sebagai narasumber. Dari hasil penelitian yang dilakukan, diketahui tingkat kematangan information security policies (annex 5), organization of information security (annex 6), human resource security (annex 7), asset management (annex 8), access control (annex 9) berada pada tingkat 2 – AKTIF.

Kata kunci: GAP Analysis, ISO 27001:2013, Sistem Manajemen Keamanan Informasi, Tingkat Kematangan, Divisi TIK Politeknik Pos Indonesia

(2)

ABSTRACT

Information is one of the important assets which is very valuable to an organization or institution. One of important elements in good corporate governance is technology information organization, including governance of information security. Information security is the practice of defending information from all possible threats in an attempt to ensure or guarantee the continuity of business, minimizes and maximizes the risk of business and accelerates a return on investments and business opportunities. Information security management systems in an organization must be guarantee the most three important aspects called CIA namely Confidentiality, Integrity and Availability. To make sure whether the information system has been designed and implemented, TI division of Pos Indonesia Polytechnic need to analyze them in accordance with the procedures and standards that have been applied according to ISO 27001: 2013. This research is using qualitative descriptive method by conducting an auditing on 5 annex of ISO 27001:2013, using CMMI which has 6 level of maturity. Methods of collecting data in this research are using primary and secondary data, interview the head of TI division and head of asset inventory as informant. Results of this research shows the level of maturity of information security policies (A.5), organization of information security (A.6), human resource security (A. 7)asset management (A.8), access control (A.9) in level-2 (ACTIVE).

Keywords: GAP Analysis, ICT Division of Politechnic Pos Indonesia, Information Security Management System, ISO 27001:2013, Maturity Level

(3)

viii

Universitas Kristen Maranatha

DAFTAR ISI

LEMBAR PENGESAHAN ... i

PERNYATAAN ORISINALISTAS LAPORAN PENELITIAN ... ii

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii

PRAKATA ... iv

ABSTRAK ... vi

ABSTRACT ... vii

DAFTAR ISI ... viii

DAFTAR GAMBAR ... x

DAFTAR TABEL ... xi

DAFTAR SINGKATAN ... xii

DAFTAR ISTILAH ... xiii

BAB 1 PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup ... 3

1.5 Sumber Data ... 5

1.6 Sistematika Penyajian ... 5

BAB 2 KAJIAN TEORI ... 7

2.1 Data ... 7

2.2 Informasi ... 7

2.3 Sistem Manajemen Keamanan Informasi ... 8

2.3.1 Struktur Dokumentasi Sistem Manajemen Keamanan Informasi ... 8

(4)

2.5 Keamanan Informasi ... 10

2.6 Prinsip Keamanan Informasi ... 11

2.7 Ruang Lingkup Keamanan Informasi ... 13

2.8 ISO 27000 ... 14

2.9 ISO 27001 ... 15

2.10 Maturity Level Model ... 16

BAB 3 ANALISIS DAN HASIL PENELITIAN... 20

3.1 Analisis Studi Kasus ... 20

3.1.1 Divisi TIK Politeknik Pos Indonesia ... 20

3.1.2 Visi Dan Misi ... 20

3.1.3 Struktur Divisi TIK ... 21

3.1.3.1 Bagan Struktur Divisi TIK Politeknik Pos Indonesia ... 21

3.1.3.2 Uraian Tugas ... 22

3.1.4 Karakteristik Responden ... 23

3.1.4.1 Karakteristik Responden Berdasarkan Jobdesk ... 23

3.2 Hasil Wawancara ... 24

3.3 Hasil Analisis ... 26

BAB 4 SIMPULAN DAN SARAN ... 40

4.1 Simpulan ... 40

4.2 Saran ... 43

DAFTAR PUSTAKA ... 44 LAMPIRAN A – DAFTAR PERTANYAAN ... A-1 LAMPIRAN B – BUKTI FOTO... B-1

(5)

Universitas Kristen Maranatha

DAFTAR GAMBAR

Gambar 2-1 Struktur Dokumentasi SMKI ... 9

Gambar 2-2 Ruang Lingkup Keamanan Informasi ... 14

Gambar 2-3 Hubungan Antar Standar Keluarga SMKI ... 15

Gambar 2-4 Hubungan Tingkat Kematangan dan Kelengkapan Pengamanan ... 17

(6)

DAFTAR TABEL

Tabel 3-1 Uraian Tugas Pada Divisi TIK Politeknik Pos Indonesia ... 22

Tabel 3-2 Annex 5 Information Security Policies ... 26

Tabel 3-3 Annex 6 Organization of Information Security ... 27

Tabel 3-4 Annex 7 Human Resource Security ... 29

Tabel 3-5 Annex 8 Asset Management ... 32

Tabel 3-6 Annex 9 Access Control ... 35

(7)

xii

Universitas Kristen Maranatha

DAFTAR SINGKATAN

CIA Confidentially, Integrity, Availability

CMMI Capability Maturity Model Integration

IEC International Electrotechnical Commission

ISO International Organization for Standardization

ISMS Information Security Management System

ITIL Information Technology Infrastructure Library

Poltekpos Politeknik Pos Indonesia

SDM Sumber Daya Manusia

SI Sistem Informasi

SMKI Sistem Manajemen Keamanan Informasi

TIK Teknologi Informasi Komunikasi

(8)

DAFTAR ISTILAH

Evidence Sesuatu yang menyatakan kebenaran suatu peristiwa; keterangan nyata; tanda.

Stakeholder Seseorang yang mempunyai minat dan kepentingan dalam perusahaan; seperti kepentingan finansial dan sebagainya.

Single Sign On teknologi yang mengizinkan pengguna jaringan atau user agar dapat mengakses sumber daya dalam jaringan

hanya dengan menggunakan satu

(9)

Universitas Kristen Maranatha

BAB 1

PENDAHULUAN

1.1 Latar Belakang

Politeknik Pos Indonesia adalah institusi pendidikan tinggi yang didirikan oleh Yayasan Pendidikan Bhakti Pos Indonesia (YPBPI), pada tanggal 5 Juli 2001, berdasarkan SK Mendiknas No. 56/D/O/2001. Dengan visi, menjadi perguruan tinggi vokasi yang unggul secara nasional dalam bidang logistik dan manajemen rantai pasok pada tahun 2020.

Informasi dihasilkan dari keterkaitan beberapa elemen, misalnya berupa data, software, hardware, dan SDM. Informasi yang dihasilkan digunakan sebagai data untuk menghasilkan informasi baru oleh pihak-pihak yang berkepentingan. Pengelolaan berbagai informasi yang ada di Politeknik Pos Indonesia, tidak lagi menggunakan sistem manual, melainkan sudah terkomputerisasi. Hal tersebut merupakan tanggung jawab divisi TIK Politeknik Pos Indonesia.

Pengelolaan dan penggunaan informasi yang ada di Politeknik Pos Indonesia masih belum dianggap aman. Hal tersebut disebabkan karena belum terpenuhinya kriteria CIA (Confidentally, Integrity, Availability) yang menjadi fungsi pada pengelolaan keamanan informasi. Hal tersebut juga disebabkan karena ketidaktersediaan kebijakan yang dapat digunakan untuk mencegah dan mengantisipasi adanya berbagai insiden yang tidak diharapkan.

Dalam penelitian ini, ISO 27001:2013 digunakan untuk sistem manajemen keamanan informasi yang berfokus pada kontrol kebijakan keamanan, pengaturan keamanan informasi, keamanan sumber daya manusia, pengelolaan aset, dan pengendalian akses. Hal-hal tersebut akan berguna untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi yang sesuai dengan kebutuhan bisnis, peraturan, dan hukum yang berlaku.

(10)

1.2 Rumusan Masalah

Rumusan masalah berdasarkan latar belakang tersebut, adalah:

1. Apakah kebijakan keamanan informasi pada divisi TIK Politeknik Pos Indonesia sudah sesuai dengan kebutuhan organisasi, sesuai dengan standar ISO 27001:2013 serta dapat diukur tingkat kematangannya?

2. Apakah pengaturan keamanan informasi yang dikelola oleh divisi TIK Politeknik Pos Indonesia sudah sesuai dengan standar ISO 27001:2013 dan menghasilkan sesuatu yang dapat diukur dan dinilai efektif?

3. Apakah keamanan sumber daya manusia pada divisi TIK Politeknik Pos Indonesia sudah sesuai dengan ISO 27001:2013 dan menghasilkan sesuatu yang dapat diukur dan dinilai efektif?

4. Apakah pengelolaan manajemen aset pada divisi TIK Politeknik Pos Indonesia sudah diterapkan sesuai dengan ISO 27001:2013 dan menghasilkan sesuatu yang dapat diukur dan dinilai efektif??

5. Apakah pengendalian akses pada divisi TIK Politeknik Pos Indonesia sudah diterapkan sesuai dengan ISO 27001:2013 dan menghasilkan sesuatu yang dapat diukur dan dinilai efektif?

1.3 Tujuan Pembahasan

Tujuan dilakukannya penelitian adalah:

1. Membuat analisa dan pengukuran tingkat kematangan klausul information

security policies (kebijakan keamanan informasi) pada divisi TIK Politeknik

Pos Indonesia berdasarkan ISO 27001:2013.

2. Membuat analisa dan pengukuran tingkat kematangan klausul organization of

information security (pengaturan keamanan informasi) pada divisi TIK

Politeknik Pos Indonesia berdasarkan ISO 27001:2013.

3. Membuat analisa dan pengukuran tingkat kematangan klausul human resources

security (keamanan sumber daya manusia) pada divisi TIK Politeknik Pos

(11)

Universitas Kristen Maranatha 5. Membuat analisa dan pengukuran tingkat kematangan klausul access control (pengendalian akses) pada divisi TIK Politeknik Pos Indonesia berdasarkan ISO 27001:2013.

1.4 Ruang Lingkup

Ruang lingkup dalam penelitian tugas akhir ini, adalah:

1. Penelitian ini dilakukan pada divisi TIK Politeknik Pos Indonesia.

2. Penelitian ini tidak membahas tentang risk analysis dan risk management. 3. Pembahasan mengacu pada penggunaan ISO 27001:2013.

4. Penelitian ini menggunakan 5 kontrol subjek klausul pada ISO 27001:2013, yaitu:

a. Annex 5 – Information Security Policies

i) A.5.1 Management direction for information security (1) A.5.1.1 Policies for information security

(2) A.5.1.2 Review of the policies for information security b. Annex 6 – Organization of Information Security

i) A.6.1 Internal Organization

(1) A.6.1.1 Information security roles and responsibilities (2) A.6.1.2 Segregation of duties

(3) A.6.1.3 Contact with authorities

(4) A.6.1.4 Contact with special interests groups (5) A.6.1.5 Information security in project management ii) A.6.2 Mobiles devices and teleworking

(1) A.6.2.1 Mobile device policy (2) A.6.2.2 Teleworking

c. Annex 7 – Human Resources Security i) A.7.1 Prior to employment

(1) A.7.1.1 Screening

(2) A.7.1.2 Terms and conditions of employment ii) A.7.2 During employment

(1) A.7.2.1 Management responsibilities

(12)

(3) A.7.2.3 Disciplinary process

iii) A.7.3 Termination and change of employment

(1) A.7.3.1 Termination or change of employment responsibilities d. Annex 8 – Asset Management.

i) A.8.1 Responsibility for assets (1) A.8.1.1 Inventory of assets (2) A.8.1.2 Ownership of assets (3) A.8.1.3 Acceptable of use assets (4) A.8.1.4 Return of assets

ii) A.8.2 Information Classification

(1) A.8.2.1 Classification of information (2) A.8.2.2 Labelling of information (3) A.8.2.3 Handling of assets iii) A.8.3 Media Handling

(1) A.8.3.1 Management of removable media (2) A.8.3.2 Disposal of media

(3) A.8.3.3 Physical media transfer e. Annex 9 – Access Control

i) A.9.1 Business requirements of access control (1) A.9.1.1 Access control policy

(2) A.9.1.2 Access to networks and network services ii) A.9.2 User access management

(1) A.9.2.1 User registration and de-registration (2) A.9.2.2 User access provisioning

(3) A.9.2.3 Management of privileged access rights

(4) A.9.2.4 Management of secret authentication information of users (5) A.9.2.5 Review of user access rights

(6) A.9.2.6 Removal or adjustment of access rights iii) A.9.3 User responsibilities

(13)

Universitas Kristen Maranatha

(2) A.9.4.2 Secure log-on procedures (3) A.9.4.3 Password management system (4) A.9.4.4 Use of privileged utility programs (5) A.9.4.5 Access control to program source code

1.5 Sumber Data

Penelitian ini menggunakan data primer dan data sekunder. Data-data tersebut dihasilkan dengan menggunakan metode triangulasi, yaitu:

1. Wawancara terstruktur

Adalah teknik untuk mendalami sebuah informasi melalui informan. Selama proses wawancara berlangsung, alat perekam suara digunakan sebagai media untuk melakukan dokumentasi. Narasumber wawancara adalah pegawai yang bertanggung jawab pada bidangnya masing-masing.

2. Observasi

Dilakukan dengan melakukan pengecekan langsung ke lapangan, mengklarifikasi antara pengakuan narasumber dengan kondisi di lapangan secara langsung.

3. Dokumentasi

Teknik pengumpulan data ini dilakukan dengan maksud untuk mengumpulkan

evidence yang menguatkan hasil penilaian. Proses dokumentasi dilakukan

dengan bantuan alat perekam suara, kamera, serta dokumen instansi.

1.6 Sistematika Penyajian

Sistematika penyajian tugas akhir ini diuraikan sebagai berikut:

BAB I PENDAHULUAN, bab ini menjelaskan gambaran singkat mengenai latar belakang, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, sumber data yang digunakan, serta sistematika penyajian.

BAB II KAJIAN TEORI, bab ini menjelaskan pembahasan mengenai dasar atau kajian teori yang digunakan dalam penyusunan tugas akhir.

BAB III ANALISIS DAN HASIL PENELITIAN, bab ini menjelaskan tentang analisis manajemen keamanan informasi yang dilakukan pada divisi TIK Politeknik Pos Indonesia dengan batasan-batasan yang telah ditentukan.

(14)

BAB IV SIMPULAN DAN SARAN, bab ini merupakan bagian penutup pada laporan yang berisi penjelasan mengenai simpulan dan saran berupa rekomendasi yang berguna untuk organisasi sesuai dengan ruang lingkup penelitian tugas akhir yang dikerjakan.

(15)

Universitas Kristen Maranatha

BAB 4

SIMPULAN DAN SARAN

4.1 Simpulan

Setelah melakukan analisis dan perhitungan tingkat kematangan berdasarkan kontrol objektif ISO 27001:2013, maka dapat disimpulkan bahwa tingkat kematangan keamanan informasi divisi TIK Politeknik Pos Indonesia berada pada level sebagai berikut:

Tabel 4-1 Penilaian Tingkat Kematangan (Maturity Level)

No Klausul Nilai Tingkat Kematangan

1 A.5 Information Security Policies 2 2 - AKTIF 2 A.6 Organization of Information

Security

2 2 - AKTIF

3 A.7 Human Resources Security 2,67 2 - AKTIF 4 A.8 Asset Management 2,2 2 - AKTIF 5 A.9 Access Control 2,35 2 - AKTIF

Berdasarkan hasil penilaian diatas, diketahui bahwa tingkat kematangan divisi TIK Politeknik Pos Indonesia secara umum berada pada level 2 (AKTIF), terlihat dari hasil penilaian pada 5 klausul yang digunakan yaitu Annex 5, 6, 7, 8, dan 9. Dan hasil pengukuran kelengkapan dan kematangan keamanan informasi masih belum sesuai dengan standar yang ditetapkan oleh Diskominfo yaitu pada level 3 dengan status PRO-AKTIF. Penjelasan mengenai penilaian tersebut dipaparkan sebagai berikut:

1. Penilaian terkait dengan klausul Annex 5 – Information Security Policies. Sudah ada pengakuan atas kebutuhan terkait dengan sistem manajemen keamanan informasi. Berbagai kegiatan operasional yang dilakukan oleh divisi TIK Politeknik Pos Indonesia terkait dengan manajemen keamanan informasi belum terdokumentasi dengan baik dan belum memenuhi kebutuhan organisasi karena ditentukan melalui kebijakan internal (legalisasi kepala divisi) yang dihasilkan tanpa dukungan pihak manajemen level atas.

(16)

2. Penilaian terkait dengan klausul Annex 6 – Organization of Information Security.

Untuk bagian pertama mengenai internal organization, tujuannya adalah untuk membangun kerangka kerja untuk memulai dan mengontrol pelaksanaan operasional keamanan informasi dalam organisasi. Berdasarkan hasil analisis yang dilakukan, pihak divisi TIK sudah cukup aware terhadap bagian tersebut. Sebagai contoh, sudah ada pembagian tanggung jawab kerja walaupun belum diimplementasikan dengan efektif.

Bagian kedua, membahas mengenai mobile devices and teleworking. Divisi TIK sudah memiliki kesadaran akan kebutuhan kebijakan mobile devices, hal tersebut terlihat dari upaya penyusunan kebijakan terkait perangkat mobile. Sedangkan kebijakan teleworking, sama sekali belum ditentukan karena memang tidak pernah dilakukan aktivitas teleworking tersebut, karena dianggap cenderung berpotensi besar untuk menghasilkan risiko terkait keamanan informasi, misalnya pencurian data yang tersimpan di cloud.

3. Penilaian terkait dengan klausul Annex 7 – Human Resource Security

disciplinary process, tidak ada kebijakan yang ditetapkan terkait kontrol

tersebut. Intensitas pelanggaran yang jarang terjadi serta jenis pelanggaran yang dianggap kecil, mengakibatkan kurangnya pengawasan pihak manajemen untuk mengantisipasi kemungkinan risiko yang mungkin terjadi atas suatu pelanggaran lainnya. Akibatnya hanya ada pengakuan kebutuhan tanpa ada tindak lanjut dari proses pendisiplinan pegawai yang mungkin melakukan

(17)

Universitas Kristen Maranatha 4. Penilaian terkait dengan klausul Annex 8 – Asset Management.

Kegiatan manajemen aset (pemeliharaan aset, penentuan pemilik aset serta penghancuran aset yang tidak digunakan) dilakukan dengan koordinasi antara divisi TIK dan divisi inventaris aset (bagian inventaris aset YPBPI), namun secara dominan tanggung jawab terhadap aset lebih dilimpahkan kepada divisi TIK. Berdasarkan hasil analisis yang dilakukan, manajemen aset terkait pengolahan informasi sudah diterapkan cukup baik walaupun belum optimal, sebagai contoh : manajemen penghancuran/pembuangan pirati yang sudah tidak terpakai, dan pengelolaan PC yang tidak terawat dengan baik (dapat dilihat

pada Lampiran B – Bukti Foto nomor 6-7). Untuk pemetaan tanggung jawab

aset dan identifikasi pemilik aset sudah sesuai dengan kebutuhan organisasi

(dapat dilihat pada lampiran B – Bukti Foto nomor 3).

5. Penilaian terkait dengan klausul Annex 9 – Access Control.

services, misalnya pemblokiran terhadap situs-situs yang mengandung konten

pornografi, karenanya nilai maturity bernilai 0. Begitupun untuk kontrol review

of user access rights, removal or adjustment of access right, dan use of provoleged utility programs yang bernilai 1, harusnya dilengkapi dengan

adanya prosedur yang jelas serta terdokumentasi serta diterapkan secara konsisten untuk meningkatkan keamanan informasi bukan sekedar pengakuan kebutuhan akan kebijakan terkait kontrol-kontrol tersebut.

(18)

4.2 Saran

Beberapa hal yang direkomendasikan oleh penulis untuk divisi TIK Politeknik Pos Indonesia, yaitu:

1. Lebih sering melaksanakan program-program seperti pelatihan, seminar, dan sosialisasi untuk meningkatkan awareness pimpinan dan fungsi kerja yang ada, tentang pentingnya keamanan informasi dalam bentuk aturan maupun penerapannya.

2. Menyusun dan mengembangkan blueprint yang dimiliki oleh divisi TIK Politeknik Pos Indonesia yang digunakan untuk pengembangan aplikasi dan infrastruktur secara terencana.

3. Melakukan enskripsi dengan metode tertentu terhadap informasi-informasi yang bersifat vital, agar tidak dapat dimengerti dan tidak dapat dimanfaatkan oleh pihak-pihak yang tidak bertanggung jawab.

4. Diberlakukannya tindakan displiner atau sanksi terhadap pelanggaran kebijakan terkait keamanan informasi.

5. Membuat kebijakan untuk pembatasan hak akses terhadap situs yang mengandung pornografi serta melanggar tindakan hukum lainnya.

6. Membuat aturan untuk tidak mengunduh software yang melanggar ketentuan lisensi yang ditetapkan oleh divisi TIK Politeknik Pos Indonesia.

Beberapa hal yang disarankan untuk penilitian berikutnya, yaitu:

1. Melakukan analisis kelayakan kebijakan dan prosedur untuk setiap kegiatan operasional yang dilakukan.

2. Menggunakan standar ISO yang sesuai dengan kebutuhan, versi internasional atau adaptasi SNI.

3. Melakukan analisis terhadap seluruh kontol objektif yang tersedia.

4. Melakukan identifikasi risiko yang terjadi pada divisi Politeknik Pos Indonesia, secara khusus dengan melibatkan ISO 27005 - Risk Management.

(19)

Universitas Kristen Maranatha

DAFTAR PUSTAKA

[1] Sarno, R,. & Iffano, I, Sistem Manajemen Keamanan Informasi, Surabaya: Itspress, 2009.

[2] Syafrizal, M, in ISO 17799 : Standar Sistem Manajemen Keamanan Informasi, Yogyakarta, Seminar Nasional Teknologi, 2007, p. 10.

[3] Tim Direktorat Keamanan Informasi, Panduan Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik, Jakarta: Kominfo, 2011.

[4] Hidayat, M. N, "Kajian Tata Kelola Keamanan Informasi Berdasarkan Information Security Management System (ISMS) ISO 27001:2005 untuk Outsourcing Teknologi Informasi Pada PT. Kereta Api Indonesia (Persero)," Program Studi Magister Teknologi Informasi Fasilkom UI, Jakarta, 2011. [5] Mufadhol, "Kerahasiaan Dan Keutuhan Keamanan Data Dalam Menjaga

Integritas Dan Keberadaan Informasi Data," Jurnal Transformatika, vol. VI, no. 2, p. 80, 2009.

[6] Whitman, M.E., & Mattord, H.J, Management of Information Security, Third Edition, Boston: Course Technology, 2010.

[7] ISACA, in Certified Information Security Manager : Review Manual 200, USA, ISACA, 2011, pp. 38-29.

[8] Justanieah, M, Information Security Management System an ISO 27001 Introduction, Jeddah: ISACA, 2009.

[9] BSI Group, "Transition Guide - Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013," BSI Group, United Kingdom, 2014.

(1)

(2)

BAB 4

SIMPULAN DAN SARAN

4.1Simpulan

Tabel 4-1 Penilaian Tingkat Kematangan (Maturity Level)

No Klausul Nilai Tingkat Kematangan

1 A.5 Information Security Policies 2 2 - AKTIF

2 A.6 Organization of Information

Security

2 2 - AKTIF

3 A.7 Human Resources Security 2,67 2 - AKTIF

4 A.8 Asset Management 2,2 2 - AKTIF

5 A.9 Access Control 2,35 2 - AKTIF

1. Penilaian terkait dengan klausul Annex 5 – Information Security Policies. Sudah ada pengakuan atas kebutuhan terkait dengan sistem manajemen keamanan informasi. Berbagai kegiatan operasional yang dilakukan oleh divisi TIK Politeknik Pos Indonesia terkait dengan manajemen keamanan informasi belum terdokumentasi dengan baik dan belum memenuhi kebutuhan organisasi karena ditentukan melalui kebijakan internal (legalisasi kepala divisi) yang dihasilkan tanpa dukungan pihak manajemen level atas.

(3)

2. Penilaian terkait dengan klausul Annex 6 – Organization of Information Security.

3. Penilaian terkait dengan klausul Annex 7 – Human Resource Security

Berdasarkan hasil analisis yang dilakukan penulis, divisi TIK dirasa sudah cukup baik terkait klausul Annex 7 ini. Hal ini terlihat dari penerapan kebijakan dan prosedur yang sudah ditentukan, diterapkan secara konsisten, didokumentasikan dengan baik, dan ditinjau secara berkala. Misalnya, kebijakan dan prosedur mulai dari tahap awal perekrutan pegawai, selama masa kerja dan juga aturan untuk resign sudah merujuk berdasarkan risk analysis. Yang menjadi masalah sehingga perlu mendapat perhatian adalah kontrol disciplinary process, tidak ada kebijakan yang ditetapkan terkait kontrol tersebut. Intensitas pelanggaran yang jarang terjadi serta jenis pelanggaran yang dianggap kecil, mengakibatkan kurangnya pengawasan pihak manajemen untuk mengantisipasi kemungkinan risiko yang mungkin terjadi atas suatu pelanggaran lainnya. Akibatnya hanya ada pengakuan kebutuhan tanpa ada tindak lanjut dari proses pendisiplinan pegawai yang mungkin melakukan

(4)

4. Penilaian terkait dengan klausul Annex 8 – Asset Management.

pada Lampiran B – Bukti Foto nomor 6-7). Untuk pemetaan tanggung jawab

aset dan identifikasi pemilik aset sudah sesuai dengan kebutuhan organisasi (dapat dilihat pada lampiran B – Bukti Foto nomor 3).

5. Penilaian terkait dengan klausul Annex 9 – Access Control.

Pembatasan akses terhadap informasi internal sudah dikontrol dengan menggunakan SSO (Single Sign On). Hak akses juga sudah diklasifikasikan berdasarkan tanggung jawab kerja dan klasifikasi jenis informasi. Aturan penggantian password juga sudah dilakukan secara berkala, yaitu setiap 6 bulan sekali dengan kriteria password terdiri dari kombinasi alphanumeric. Namun belum ada kebijakan khusus untuk kontrol access to network and netrok services, misalnya pemblokiran terhadap situs-situs yang mengandung konten pornografi, karenanya nilai maturity bernilai 0. Begitupun untuk kontrol review of user access rights, removal or adjustment of access right, dan use of provoleged utility programs yang bernilai 1, harusnya dilengkapi dengan adanya prosedur yang jelas serta terdokumentasi serta diterapkan secara konsisten untuk meningkatkan keamanan informasi bukan sekedar pengakuan kebutuhan akan kebijakan terkait kontrol-kontrol tersebut.

(5)

4.2Saran