Analisis Sistem Informasi Manajemen Keamanan Menggunakan ISO 27001 pada Divisi Teknologi Informasi di PT. Ultra Jaya.

(1)

vi Universitas Kristen Maranatha

ABSTRAK

Analisis dilakukan pada Sistem Tenaga Kerja Kontrak PT.Ultra Jaya, bertujuan untuk mengetahui apakah Kebijakan Keamanan Informasi, Organisasi Keamanan Informasi, Pengelolaan Aset, dan Keamanan Sumber Daya Manusia sudah diterapkan dengan baik dan sesuai dengan ISO 27001:2005. Teori yang digunakan dalam pembahasan adalah ISO 27001:2005 dan teori GAP Analisis ISO 27001:2005. Metode yang digunakan berdasarkan proses pada ISO 27001:2005 yaitu persiapan dokumen, memberikan kuesioner awareness, memberikan kuesioner compliant, menentukan

action required, memberikan komentar, dan memberikan rekomendasi perbaikan

dokumen. Teknik penelitian dilakukan dengan memberikan kuesioner dan melakukan wawancara secara langsung kepada pihak PT Utra Jaya. Hasil analisis adalah berupa kesesuain proses saat ini dengan proses di dalam ISO 27001:2005, rekomendasi pengendalian proses agar sesuai dengan proses yang diambil dalam kegiatan analisis yaitu Kebijakan Keamanan, Organisasi Keamanan Informasi, Pengelolaan Aset, dan Keamanan Sumber Daya Manusia, serta referensi penulisan dokumen ISO 27001:2005 yaitu Policy, Procedure, Work Instruction, dan record Schedule.

Kata-kata kunci: ISO 27001:2005, GAP Analisis, Kebijakan Keamanan, Organisasi Keamanan Informasi, Pengelolaan Aset, Keamanan Sumber Daya Manusia


(2)

vii Universitas Kristen Maranatha

ABSTRACT

Analysis was performed on Contracted Employee system at PT.Ultra Jaya, Aiming at determining if the Information Security Policy , Organization of Information Security , Asset Management , Human Resources and Security had been implemented properly and in accordance with ISO 27001:2005. Theories applied for the study were ISO 27001:2005 and ISO 27001:2005 GAP Analysis theory. The Implemented method was based on the ISO 27001:2005’s process; document preparation, delivering awareness questionnaire, delivering compliant questionnaire, determining action required , giving comment, and providing document improvement recommendation. Study methods were conducted by questionnaire delivering and directly conducted interviews to the party of PT.Ultra Jaya. The outcomes of the analysis were, compatibility process between ISO 27001:2005 with current process and process controlling recommendations to match the process studied in analysis activities; Security Policy, Information Security Organization , Asset Management , and Human Resources Security , as well as ISO 27001:2005 document writing reference; Policy , Procedure , Work Instruction , and Schedule record .

Keywords: ISO 27001:2005, GAP Analysis, Security Policy, Organization of Information Security, Asset Management, Human Resource Security


(3)

viii Universitas Kristen Maranatha

DAFTAR ISI

LEMBAR PENGESAHAN ... ii

PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... iii

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iv

PRAKATA ... v

ABSTRAK ... vi

ABSTRACT ... vii

DAFTAR ISI ... viii

DAFTAR GAMBAR ... x

DAFTAR TABEL ... xi

DAFTAR LAMPIRAN ... xiii

DAFTAR SINGKATAN ... xiv

PENDAHULUAN ... 1

1.1 Latar Belakang Masalah ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup Kajian ... 3

1.5 Sumber Data ... 4

1.6 Sistematika Penyajian ... 5

BAB 2. KAJIAN TEORI ... 6

2.1 Keamanan Informasi ... 6

2.2 Dasar Manajemen Keamanan Informasi ... 7

2.2.1 Informasi Sebagai Aset ... 8

2.2.2 Aspek Lain Keamanan Informasi ... 8

2.2.3 Informasi Pelu Dilindungi Keamananya ... 9

2.2.4 Manajemen ... 10

2.2.5 Manajemen Keamanan Informasi ... 11

2.3 Information Security Management System ... 13

2.4 Pengertian ISO 27001 ... 15

2.4.1 ISO/IEC 2700:2009 – ISMS Overview and Vocabulary ... 17

2.4.2 SNI ISO/IEC 27001 – Persyaratan Sistem Manajemen Keamanan Informasi ... 17

2.4.3 ISO/IEC 27005 – Information Security Risk Management ... 20

2.4.4 ISO/IEC 27006 – Requirements for Bodies Providing Audit and Certification of Information Security Management Systems ... 20


(4)

ix Universitas Kristen Maranatha

2.5 Dokumentasi Sistem Manajemen Keamanan Informasi ... 20

2.6 Detail Struktur Dokumen control Keamanan ISO 27001 ... 22

2.7 GAP Analisis ... 31

2.8 Perhitungan Skala Likert ... 38

2.8.1 Penentuan Skor Jawaban ... 38

2.8.2 Skor Ideal ... 39

2.8.3 Rating Scale ... 39

2.8.4 Persentase Persetujuan ... 40

BAB 3. ANALISIS DAN RANCANGAN SISTEM ... 41

3.1 Profile Perusahaan ... 41

3.2 Visi Dan Misi ... 42

3.3 Struktur Organisasi ... 42

3.4 Tahapan Dalam Menganalisis SMKI ... 43

3.4.1 Dokumen yang dibutuhkan dalam SMKI ... 44

3.4.2 Analisis Kuesioner Awareness ... 45

3.4.3 Analisis Kuesioner Compliant ... 46

3.4.4 Analisis Action Required ... 48

3.4.5 Analisis Proses ISO 27001:2005 pada Divisi Teknologi Informasi PT. Ultra Jaya ... 50

3.4.6 Evaluasi Hasil Analisis ... 78

3.4.7 Rekomendasi Pengendalian Proses ... 80

BAB 4. HASIL PENELITIAN ... 85

4.1 Simpulan ... 85

4.2 Saran ... 86


(5)

x Universitas Kristen Maranatha

DAFTAR GAMBAR

Gambar 2.1 Elemen-elemen keamanan informasi ... 7

Gambar 2.2 ISO 27000 ISMS ...15

Gambar 2.3. hubungan Antar Standar SMKI ...17

Gambar 2.4 Struktur Dokumentasi SMKI ...20

Gambar 2.5 Contoh GAP Analisis ...36

Gambar 2.6 Rating Scale ...39

Gambar 2.7 Rumus Persentase ...40


(6)

xi Universitas Kristen Maranatha

DAFTAR TABEL

Tabel 2.1 Peta PDCA dalam SMKI ...18

Tabel 2.2 Detail Dokumentasi ISO 27001 ...22

Tabel 2.3 Skala Jawaban ...38

Tabel 2.4 Rumus Skor Ideal ...39

Tabel 2.5 Ketentuan Skala ...40

Tabel 3.1 Kesimpulan Kuesioner Awareness ...46

Tabel 3.2 Kesimpulan Kuesioner Compliant ...46

Tabel 3.3 Kesimpulan Kuesioner Action Required ...48

Tabel 3.4 Dokumentasi Kebijakan Keamanan Informasi ...54

Tabel 3.5 Kajian Kebijakan Keamanan Informasi ...55

Tabel 3.6 Komitmen Manajemen Terhadap Keamanan Informasi ...56

Tabel 3.7 Koordinasi Keamanan Informasi ...57

Tabel 3.8 Alokasi Tanggung Jawab Keamanan Informasi ...58

Tabel 3.9 Proses Otorisasi Untuk Fasilitas Pengolahan Informasi ...58

Tabel 3.10 Perjanjian Kerahasiaan ...59

Tabel 3.11 Kontak Dengan Pihak Berwenang ...60

Tabel 3.12 Kontak Dengan Kelompok Khusus ...61

Tabel 3.13 Kajian Independen Terhadap Keamanan Informasi ...62

Tabel 3.14 Identifikasi Resiko Terkait Pihak Eksternal...63

Tabel 3.15 Penekanan Keamanan Ketika Berhubungan Dengan Pelanggan64 Tabel 3.16 Penekanan Keamanan Perjanjian ...65

Tabel 3.17 Inventaris Aset ...66

Tabel 3.18 Kepemilikan Aset ...66

Tabel 3.19 Penggunaan Aset Yang Dapat Diterima ...67

Tabel 3.20 Pedoman Klasifikasi ...68

Tabel 3.21 Pelabelan dan Penanganan Informasi ...69

Tabel 3.22 Peran dan Tanggung Jawab ...70

Tabel 3.23 Penyaringan (Screening) ...71

Tabel 3.24 Syarat dan Aturan Kepegawaian ...72

Tabel 3.25 Tanggung Jawab Manajemen ...73

Tabel 3.26 Kepeduliaan, Pendidikan, dan Pelatihan Keamanan Informasi ...74

Tabel 3.27 Prosedur Pendisiplinan ...75

Tabel 3.28 Tanggung Jawab Pengakhiran Pekerjaan ...75


(7)

xii Universitas Kristen Maranatha Tabel 3.30 Penghapusan Hak Akses ...77


(8)

xiii Universitas Kristen Maranatha

DAFTAR LAMPIRAN

LAMPIRAN A. kebijakan informasi ...93

LAMPIRAN B. inventaris aset ...152

LAMPIRAN C. kepedulian, pendidikan dan pelatihan keamanan informasi153 LAMPIRAN D. pelabelan dan penanganan informasi ...154

LAMPIRAN E. penggunaan aset yang dapat diterima ...155

LAMPIRAN F. penyaringan (Screening) ...156

LAMPIRAN G. tanggung jawab terhadap aset ...157

LAMPIRAN H. prosedur pendisplinan ...159

LAMPIRAN I. Pihak eksternal ...164

LAMPIRAN J. Hak akses ...166

LAMPIRAN K. penekanan keamanan ketika berhubungan dengan pelanggan 168 LAMPIRAN L. Proses Otorisasi Untuk Fasilitas pengolahan informasi ....169

LAMPIRAN M. koordinasi keamanan informasi ...171

LAMPIRAN N. alokasi tanggung jawab keamanan informasi ...172

LAMPIRAN O. kuesioner awarness ...173

LAMPIRAN P. kuesioner compliant ...177

LAMPIRAN Q. isian kuesioner awareness...184

LAMPIRAN R. isian kuesioner compliant ...188

LAMPIRAN S. lampiran Koresponden ...236

LAMPIRAN T. kesimpulan kuesioner action required ...239

LAMPIRAN U. rekapan isian kuesioner compliant ...241

LAMPIRAN V. wawancara ...246

LAMPIRAN W. hasil wawancara ...252

LAMPIRAN X. penulisan Dokumen Policy ...261

LAMPIRAN Y. referensi penulisan dokumen procedure ...269

LAMPIRAN Z. rekomendasi penulisan dokumen work instruction...299

LAMPIRAN AA. referensi penulisan dokumen record schedule ...309


(9)

xiv Universitas Kristen Maranatha

DAFTAR SINGKATAN

CIA : Confidentially, Integrity, Availability EISP : Enterprise Information Security Policy

ISO : International Organization For Standarization ISMS : Information Security Management System ISSP : Issue-Spesific Security

PT : Perseroan Terbatas PDCA : Plan, Do, Check, Act QY : Quality Yes

SK : Surat Keputusan

SIM : Sistem Informasi Manajemen SNI : Standar Nasional Indonesia SPJ : Surat Pertanggungjawaban SSP : System-Spesific Policy

SMKI : Sistem Manajemen Keamanan Informasi TI : Teknologi Informasi

UHT : Ultra High Temperature


(10)

1

Universitas Kristen Maranatha

BAB 1.

PENDAHULUAN

1.1 Latar Belakang Masalah

Berawal dari sebuah perusahaan susu di tahun 1950-an, PT Ultra Jaya telah berkembang dengan sangat pesat hingga mampu meraih posisi saat ini sebagai salah satu perusahaan terkemuka di Indonesia untuk produk-produk susu dan jus buah. Kisah PT Ultra Jaya diawali dari sebuah perusahaan susu yang kecil padatahun 1958. Lalu pada tahun 1971, perusahaan ini memasuki tahap pertumbuhan pesat sejalan dengan perubahannya menjadi PT Ultra Jaya

Milk Industry &Trading Company. PT Ultra Jaya saat ini merupakan

perusahaan pertama dan terbesar diIndonesia yang menghasilkan produk-produk susu, minuman dan makanan dalam kemasan aseptik yang tahan lama dengan merek-merek terkenal seperti Ultra Milk untuk produk susu, buavita untuk jus buah segar dan teh kotak untuk minuman teh segar. Lokasi pabriknya terletak sangat strategis di pusat daerah pedalaman pertanian Bandung yang menyediakan sumberdaya alam yang melimpah, segar dan berkualitas, mulai dari susu segar, daun teh hingga buah-buahan tropis. Kesegaran bahan baku ini dan kualitas gizi alaminya dapat dipertahankan melalui teknologi proses UHT (Ultra High Temperature) dan pengemasan aseptik tanpa menggunakan bahan pengawet apapun.

Dengan berkembangnya PT.Ultra Jaya Perusahaan ini membutuhkan manajemen control yang baik. pada bagian ini penulis lebih berfokus terhadap divisi Teknologi Informasi untuk mendukung dan mengembang kan prospek bisnis yang baik. Penulis menggunakan ISO 270001 untuk mengelola sistem informasi manajemen keamanan, Dan berfokus pada Kontrol Kebijakan Keamanan, Organisasi keamanan informasi, pengelolaan aset, keamanan sumberdaya manusia. Pada nantinya akan berguna untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan kebutuhan bisnis hukum dan peraturan.


(11)

2

Universitas Kristen Maranatha

1.2 Rumusan Masalah

Berdasarkan latar belakang di atas ,maka rumusan masalah dalam Tugas Akhir ini adalah sebagai berikut :

1. Apakah penerapan kebijakan keamanan informasi sudah dikelola dengan baik oleh Divisi Teknologi Informasi PT. Ultra Jaya?

2. Apakah keamanan informasi baik didalam maupun diluar organisasi sudah dikelola dengan baik oleh Divisi Teknologi Informasi PT. Ultra Jaya?

3. Apakah pengelolaan aset sudah dikelola dengan baik oleh Divisi Teknologi Informasi PT. Ultra Jaya?

4. Apakah keamanan sumber daya manusia sudah dikelola dengan baik oleh Divisi Teknologi Informasi PT. Ultra Jaya?

1.3 Tujuan Pembahasan

Berdasarkan rumusan masalah di atas, maka tujuan dari Tugas Akhir ini adalah sebagai berikut :

1. Untuk mengetahui dan memahami proses dari kebijakan keamanan informasi pada Divisi Teknologi Informasi PT. Ultra Jaya.

2. Untuk mengetahui dan memahami pengelolaan keamanan informasi di dalam maupun diluar organisasi pada Divisi Teknologi Informasi PT. Ultra Jaya.

3. Untuk mengetahui dan memahami kamanan, pemeliharaan dan perlindungan terhadap aset pada Divisi Teknologi Informasi PT. Ultra Jaya. 4. Untuk mengetahui dan memahami pengelolaan terhadap keamanan


(12)

3

Universitas Kristen Maranatha

1.4 Ruang Lingkup Kajian

Adapun ruang lingkup laporan Tugas Akhir ini adalah sebagai berikut : 1. Analisis dilakukan pada Divisi Teknologi Informasi PT. Ultra Jaya.

2. Penggunaan ISO 27001: 2005 untuk memberikan kontrol keamanan informasi, yang dapat digunakan oleh perusahaan untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis perusahaan dan menjadi rekomendasi untuk perusahaan dalam melakukan perbaikan yang akan datang.

3. Menggunakan 4 kontrol yang terdapat di dalam ISO 27001:2005 a. Kebijakan Keamanan

Sasaran dalam proses ini adalah untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan kebutuhan bisnis, hukum dan peraturan.

b. Organisasi Keamanan Informasi

Sasaran dalam proses ini adalah untuk mengelola keamanan informasi dari dalam maupun luar organisasi.

c. Pengelolaan Aset

Sasaran dalam proses ini adalah untuk mencapai dan mempertahankan serta melakukan perlindungan yang tepat bagi aset organisasi.

d. Keamanan Sumberdaya Manusia

Sasaran dalam proses ini adalah untuk memastikan bahwa keamanan dibangun dalam Sistem Informasi di organisasi maka persyaratan SMKI mencakup infrastruktur, aplikasi bisnis dan aplikasi bisnis dan aplikasi yang dikembangkan pengguna harus direncanakan.


(13)

4

Universitas Kristen Maranatha

1.5 Sumber Data

Metode penelitian yang digunakan dalam penyelesaian Tugas Akhir ini adalah :

1. Observasi

Melakukan pengamatan langsung terhadap objek yang dituju mengenai mekanisme evaulasi dan perbaikan secara berkesinambungan pada organisasi.

2. Wawancara

Berkomunikasi langsung dengan orang/pegawai di orgnaisasi yang diteliti untuk mendapatkan data dan informasi yang diperlukan dalam penelitian ini.

3. Studi Literature

Menggunakan referensi dan metode penelitian dari buku, textbook, dan


(14)

5

Universitas Kristen Maranatha

1.6 Sistematika Penyajian

Secara umum, sistematika penyajian diuraikan sebagai berikut : BAB 1 PENDAHULUAN

Bab ini membahas mengenai latar belakang permasalahan, rumusan masalah, tujuan yang hendak dicapai, metode penelitian, dan sistematika penyajian.

BAB 2 KAJIAN TEORI

Bab ini membahas mengenai dasar atau kajian teori yang digunakan dalam penyusunan Tugas Akhir.

BAB 3 ANALISIS DAN EVALUASI

Bab ini membahas mengenai profil perusahaan, proses bisnis, dan Analisis Manajemen Keamanan Informasi pada Divisi Teknologi Informasi di PT. Ultra Jaya Bandung berdasarkan ISO 27001

BAB 4 SIMPULAN DAN SARAN

Bab ini membahas mengenai kesimpulan dan saran pengembangan berdasarkan analisis dan evaluasi yang telah dibahas pada BAB 3.


(15)

85

Universitas Kristen Maranatha

BAB 4.

HASIL PENELITIAN

4.1 Simpulan

Simpulan yang dapat diambil dari hasil analisis berdasarkan kontrol area yang diambil dari ISO 27001:2005 yaitu kebijakan keamanan, organisasi keamanan informasi, pengelolaan aset dan keamanan sumber daya manusia yang ada pada analisis BAB III adalah sebagai berikut:

1. Divisi TI pada PT. Ultra Jaya telah memahami proses-proses dalam mengelola dokumentasi kebijakan keamanan informasi, namun belum dikaji secara utuh dalam satu dokumentasi dan belum adanya pengkajian secara regular dalam interval waktu yang terencana, pengkajian dilakukan masih secara waktu yang dibutuhkan saja. Dokumentasi kebijakan keamanan sudah disetujui oleh dewan direksi dan dapat memastikan kesesuaian, kecakupan, dan keefektifan tetapi belum secara efektif berjalan pada bagian divisi TI pada PT. Ultra Jaya. Hal tersebut sesuai dengan visi dan misi perusahaan untuk menyediakan layanan yang handal dan terpercaya kepada pelanggan dan seluruh pemangku kepentingan. Dengan hasil analisis diatas dapat disimpulkan bahwa GAP kesesuaian antara proses pada PT. Ultra Jaya dan proses dalam ISO 27001:2005 menyangkut Kebijakan Keamanan cukup kecil.

2. Divisi TI pada PT. Ultra Jaya telah memahami pengelolaan keamanan informasi baik di dalam maupun diluar organisasi, namun masih kurangnya perhatian terhadap identifikasi resiko terhadap perjanjian kerahasiaan dengan pihak luar. Hal tersebut sesuai dengan visi dan misi perusahaan untuk menyediakan layanan yang handal dan terpercaya kepada pelanggan dan seluruh pemangku kepentingan. Dengan hasil analisis diatas dapat disimpulkan bahwa GAP kesesuaian antara proses pada PT. Ultra Jaya dan proses dalam ISO 27001:2005 menyangkut Organisasi Keamanan Informasi cukup kecil.


(16)

86

Universitas Kristen Maranatha 3. Divisi TI pada PT. Ultra Jaya telah memahami pengelolaan dan

pemeliharaan aset serta memberikan perlindungan yang tepat terhadap aset di dalam organisasi, namun penerapannya masih kurang efektif karena belum adanya penilaian terhadap aset-aset organisasi. Hal tersebut sesuai dengan visi dan misi perusahaan untuk menyediakan layanan yang handal dan terpercaya kepada pelanggan dan seluruh pemagku kepentingan. Dengan hasil analisis diatas dapat disimpulkan bahwa GAP kesesuaian antara proses pada PT. Ultra Jaya dan proses dalam ISO 27001:2005 menyangkut Pengelolaan Aset Informasi sangat kecil sehingga perbaikan atau perubahan pada proses ini bisa dilakukan paling akhir.

4. Divisi TI pada PT. Ultra Jaya telah memahami pengelolaan sumber daya manusia baik sebelum dipekerjakan, selama bekerja maupun telah berakhir atau terjadi perubahan pekerjaan di dalam organisasi, namun kurang efektif karena kurangnya kepedulian terhadap keamanan informasi. Hal tersebut sesuai dengan visi dan misi perusahaan untuk menyediakan layanan yang handal dan terpercaya kepada pelanggan dan seluruh pemagku kepentingan. Dengan hasil analisis diatas dapat disimpulkan bahwa GAP kesesuaian antara proses pada PT. Ultra Jaya dan proses dalam ISO 27001:2005 menyangkut Keamanan Sumber Daya Manusia cukup besar sehingga kepentingan untuk melakukan perbaikan atau perubahan perlu dilakukan terlebih dahulu pada proses ini.

4.2 Saran

Penerapan SMKI (Sistem Manajemen Keamanan Informasi) pada PT. Ultra Jaya dapat mengacu pada persyaratan standarisasi sesuai dengan ketentuan pada SMKI ISO 27001:2005 sebagai implementasinya. Untuk itu aspek keamanan harus memenuhi kriteria CIA (confidentially, integrity,


(17)

87

Universitas Kristen Maranatha beberapa hal yang penting yaitu adanya kontrol, monitoring, auditing, dan pemahaman tentang dampak, ancaman dan vulnerabilitas pada PT. Ultra Jaya. Kontrol pada pada pokok masalah yang diambil adalah kebijakan keamanan, organisasi keamanan informasi, pengelolaan aset dan keamanan sumber daya manusia. Berikut ini adalah saran dari hasil analisis yang dilakukan pada BAB 3. Referensi penulisan dokumen ISO 27001:2005 dapat dilihat pada lampiran U untuk Policy, lampiran V untuk Procedure, lampiran W untuk Work Instruction, dan lampiran X untuk Record Schedule.

1. Pembuatan dokumen SMKI ini bersifat strategis yang memuat komitmen yang dituangkan dalam bentuk kebijakan, standar, sasaran dan rencana terkait pengembangan (development), penerapan (implementation), dan peningkatan (improvement) sistem manajemen keamanan informasi. Berikut ini adalah dokumen yang sesuai dengan kontrol yang diambil:

A. Security Policy (Doc 5.1)

B. Internet Acceptable Usage Policy (Doc 7.2)

2. Pembuatan prosedur dan panduan ini dikembangkan secara internal oleh PT. Ultra Jaya sebagai penyelenggara publik dan memuat cara menerapkan kebijakan yang telah ditetapkan serta menjelaskan penanggung jawab kegiatan. Dokumen ini bersifat operasional. Berikut ini adalah dokumen yang sesuai dengan kontrol yang diambil :

A. Management Review Of The Information Security Policy (Doc 5.2)

B. Information Security Committee (Doc 6.1) C. Information Security Co-Ordination (Doc 6.2)

D. Authorizing New Information Processing Facilities (Doc

6.4)

E. Confidentiality Agreements (Doc 6.5)

F. Internal Independent Review Procedure (Doc 6.7) G. External Parties (Doc 6.8)


(18)

88

Universitas Kristen Maranatha I. Rules For Use Of E-Mail (Doc 7.3)

J. Information Security Classification Guideliness (Doc 7.6) K. Telecommunications Procedure (Doc 7.11)

L. Personel Screening Procedure (Doc 8.1)

3. Pembuatan dokumen petunjuk teknis, instruksi kerja dan formulir yang digunakan untuk mendukung pelaksanaan prosedur tertentu sampai ke tingkatan teknis.

4. Dokumen Record Schedule berisi bukti objektif yang menunjukan seberapa baik kegiatan yang dilakukan atau apa hasil benar-benar tercapai.


(19)

89

Universitas Kristen Maranatha

DAFTAR PUSTAKA

[1] B. S. Nasional, Teknologi Informasi - Teknik Keamanan - Sistem Manajemen Keamanan Informasi- Persyaratan, 2009.

[2] 27001, ISO/IEC, ISO27002 Gap Analysis & Audit Tool, Geneva: Governance Ltd, 2005.

[3] Sugiono, in Metode Penelitian Kuantitaif, Kualitatif, dan R&D, Bandung, Alfabeta, 2012, p. 93.

[4] Sugiono, in Metode Penelitian Kuantitatif, Kualitatif, dan R&D, Bandung, Alfabeta, 2012, p. 94.

[5] Sugiono, Metode Penelitian Kuantitatif, Kualitatif, dan R&D, Bandung: Alfabeta, 2012.

[6] Sugiono, in Metode Penelitian Kuantitatif, Kualitatif, dan R&D, Bandung, Alfabeta, 2012, p. 95.

[7] K. C. Laudon and J. P. Laudon, Management Information Systems: Managing the Digital Firms, 12th ed., Upple Saddle River, NJ: Prentice Hall, 2012.

[8] W. K. Chen, Linear Networks and Systems, Belmont, CA: Wadsworth, 1993, pp. 123-135.

[9] Fathansyah, Basis Data, Bandung: Informatika, 2002.

[10] J. M. Hartono, Analisis dan Desain Sistem Informasi, Yogyakarta, Central Java: Andi, 2000.

[11] A. Susanto, in Sistem Informasi Manajemen Konsep dan

Pengembangannya, Bandung, Lingga Jaya, 2000, p. 19.

[12] J. Hartono, in Pengenalan Komputer, Yogyakarta, Andi Offset, 2000, p. 683.

[13] E. Sutanta, in Sistem Informasi Manajemen, Yogyakarta, Graha Ilmu, 2003, p. 4.


(20)

90

Universitas Kristen Maranatha 2003, p. 10.

[15] J. Hartono, in Pengenalan Komputer, Yogyakarta, Andi Offset, 2000, p. 692.

[16] E. Sutanta, in Sistem Informasi Manajemen, Yogyakarta, Graha Ilmu, 2003, p. 17.

[17] A. Susanto, in Sistem Informasi Manajemen Konsep dan

Pengembangannya, Bandung, Lingga Jaya, 2000, p. 18.

[18] B. Rahardjo, Keamanan Sistem Informasi Berbasis Internet, Bandung: PT. Insan Infonesia, 2006.

[19] [Online]. Available: http://www.ultrajaya.co.id/index.php/profil-perusahaan/sejarah-ultrajaya. [Accessed 10 October 2014].

[20] [Online]. Available: http://www.ultrajaya.co.id/index.php/profil-perusahaan/visi-misi-dan-moto. [Accessed 15 October 2014].

[21] 27001, ISO/IEC, Checklist Template 2005 - Rec 8.2a - Termination HR v1.2, Geneva: Governance Ltd, 2005.

[22] 27001, ISO/IEC, ISMS Documentation Toolkit - Contents and Change History v6, Geneva: Governance Ltd, 2005.

[23] 27001, ISO/IEC, Policy Template - Doc 5.1 v1.2, Geneva: Governance Ltd, 2005.

[24] 27001, ISO/IEC, Policy Template 2005 - Doc 7.2 - IAUP v1.1, Geneva: Governance Ltd, 2005.

[25] 27001, ISO/IEC, Procedure Template 2005 - Doc 5.1 - Management Reviews v1.2, Geneva: Governance Ltd, 2005.

[26] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.1 - Informations Security Committee v1.1, Geneva: Governance Ltd, 2005.

[27] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.2 - Informations Security Cordination v1.1, Geneva: Governance Ltd, 2005.

[28] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.4 - Authorization Of Facilities v1.1, Geneva: Governance Ltd, 2005.


(21)

91

Universitas Kristen Maranatha [29] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.5 - Confidentiality

v2.1, Geneva: Governance Ltd, 2005.

[30] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.7 - Independent Review v1.1, Geneva: Governance Ltd, 2005.

[31] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.8 - External Parties v1.1, Geneva: Governance Ltd, 2005.

[32] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.1 - Asset Inventory v1.1, Geneva: Governance Ltd, 2005.

[33] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.11 - Telecommunications v1.1, Geneva: Governance.Ltd, 2005.

[34] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.3 - E-mail Rules v1.1, Geneva: Governance Ltd, 2005.

[35] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.6 - Classifications v1.1, Geneva: Governance Ltd, 2005.

[36] 27001, ISO/IEC, Procedure Template 2005 - Doc 8.1 - Screening v1.1, Geneva: Governance Ltd, 2005.

[37] 27001, ISO/IEC, Schdule Template 2005 - Rec 7.1B - Software Log, Geneva: Governance Ltd, 2005.

[38] 27001, ISO/IEC, Schedule Template 2005 - Rec 6.6A - Authorities and Key Suplliers, Geneva: Governance Ltd, 2005.

[39] 27001, ISO/IEC, Schedule Template 2005 - Rec 7.1A - Hardware Assets, Geneva: Governance Ltd, 2005.

[40] 27001, ISO/IEC, Schedule Template 2005 - Rec 7.1C - Information Asset Database v1.2, Geneva: Governance Ltd, 2005.

[41] 27001, ISO/IEC, Schedule Template 2005 - Rec 7.1D - Intangible Assets Database v1.2, Geneva: Governance Ltd, 2005.

[42] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 6.6 - Contact with Authorities v1.1, Geneva: Governance Ltd, 2005.


(22)

92

Universitas Kristen Maranatha Photocopiers v1.1, Geneva: Governance Ltd, 2005.

[44] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.4 - Surf Control v1.1, Geneva: Governance Ltd, 2005.

[45] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.5 - Mailbox Size Limits v1.1, Geneva: Governance Ltd, 2005.

[46] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.7 - Mail Authorities v1.1, Geneva: Governance Ltd, 2005.

[47] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.8 - Voice Mail v1.1, Geneva: Governance Ltd, 2005.

[48] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.9 - Fax Machines v1.2, Geneva: Governance Ltd, 2005.

[49] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 8.3 - Employee Termination v1.1, Geneva: Governance Ltd, 2005.

[50] 27001, ISO/IEC, Policies and procedures diagram v2, Geneva: Governance Ltd, 2005.


(1)

beberapa hal yang penting yaitu adanya kontrol, monitoring, auditing, dan pemahaman tentang dampak, ancaman dan vulnerabilitas pada PT. Ultra Jaya. Kontrol pada pada pokok masalah yang diambil adalah kebijakan keamanan, organisasi keamanan informasi, pengelolaan aset dan keamanan sumber daya manusia. Berikut ini adalah saran dari hasil analisis yang dilakukan pada BAB 3. Referensi penulisan dokumen ISO 27001:2005 dapat dilihat pada lampiran U untuk Policy, lampiran V untuk Procedure, lampiran W untuk Work Instruction, dan lampiran X untuk Record Schedule.

1. Pembuatan dokumen SMKI ini bersifat strategis yang memuat komitmen yang dituangkan dalam bentuk kebijakan, standar, sasaran dan rencana terkait pengembangan (development), penerapan (implementation), dan peningkatan (improvement) sistem manajemen keamanan informasi. Berikut ini adalah dokumen yang sesuai dengan kontrol yang diambil:

A. Security Policy (Doc 5.1)

B. Internet Acceptable Usage Policy (Doc 7.2)

2. Pembuatan prosedur dan panduan ini dikembangkan secara internal oleh PT. Ultra Jaya sebagai penyelenggara publik dan memuat cara menerapkan kebijakan yang telah ditetapkan serta menjelaskan penanggung jawab kegiatan. Dokumen ini bersifat operasional. Berikut ini adalah dokumen yang sesuai dengan kontrol yang diambil :

A. Management Review Of The Information Security Policy (Doc 5.2)

B. Information Security Committee (Doc 6.1) C. Information Security Co-Ordination (Doc 6.2)

D. Authorizing New Information Processing Facilities (Doc 6.4)

E. Confidentiality Agreements (Doc 6.5)

F. Internal Independent Review Procedure (Doc 6.7) G. External Parties (Doc 6.8)


(2)

88

I. Rules For Use Of E-Mail (Doc 7.3)

J. Information Security Classification Guideliness (Doc 7.6) K. Telecommunications Procedure (Doc 7.11)

L. Personel Screening Procedure (Doc 8.1)

3. Pembuatan dokumen petunjuk teknis, instruksi kerja dan formulir yang digunakan untuk mendukung pelaksanaan prosedur tertentu sampai ke tingkatan teknis.

4. Dokumen Record Schedule berisi bukti objektif yang menunjukan seberapa baik kegiatan yang dilakukan atau apa hasil benar-benar tercapai.


(3)

DAFTAR PUSTAKA

[1] B. S. Nasional, Teknologi Informasi - Teknik Keamanan - Sistem Manajemen Keamanan Informasi- Persyaratan, 2009.

[2] 27001, ISO/IEC, ISO27002 Gap Analysis & Audit Tool, Geneva: Governance Ltd, 2005.

[3] Sugiono, in Metode Penelitian Kuantitaif, Kualitatif, dan R&D, Bandung, Alfabeta, 2012, p. 93.

[4] Sugiono, in Metode Penelitian Kuantitatif, Kualitatif, dan R&D, Bandung, Alfabeta, 2012, p. 94.

[5] Sugiono, Metode Penelitian Kuantitatif, Kualitatif, dan R&D, Bandung: Alfabeta, 2012.

[6] Sugiono, in Metode Penelitian Kuantitatif, Kualitatif, dan R&D, Bandung, Alfabeta, 2012, p. 95.

[7] K. C. Laudon and J. P. Laudon, Management Information Systems: Managing the Digital Firms, 12th ed., Upple Saddle River, NJ: Prentice Hall, 2012.

[8] W. K. Chen, Linear Networks and Systems, Belmont, CA: Wadsworth, 1993, pp. 123-135.

[9] Fathansyah, Basis Data, Bandung: Informatika, 2002.

[10] J. M. Hartono, Analisis dan Desain Sistem Informasi, Yogyakarta, Central Java: Andi, 2000.

[11] A. Susanto, in Sistem Informasi Manajemen Konsep dan Pengembangannya, Bandung, Lingga Jaya, 2000, p. 19.

[12] J. Hartono, in Pengenalan Komputer, Yogyakarta, Andi Offset, 2000, p. 683.

[13] E. Sutanta, in Sistem Informasi Manajemen, Yogyakarta, Graha Ilmu, 2003, p. 4.


(4)

90

2003, p. 10.

[15] J. Hartono, in Pengenalan Komputer, Yogyakarta, Andi Offset, 2000, p. 692.

[16] E. Sutanta, in Sistem Informasi Manajemen, Yogyakarta, Graha Ilmu, 2003, p. 17.

[17] A. Susanto, in Sistem Informasi Manajemen Konsep dan Pengembangannya, Bandung, Lingga Jaya, 2000, p. 18.

[18] B. Rahardjo, Keamanan Sistem Informasi Berbasis Internet, Bandung: PT. Insan Infonesia, 2006.

[19] [Online]. Available: http://www.ultrajaya.co.id/index.php/profil-perusahaan/sejarah-ultrajaya. [Accessed 10 October 2014].

[20] [Online]. Available: http://www.ultrajaya.co.id/index.php/profil-perusahaan/visi-misi-dan-moto. [Accessed 15 October 2014].

[21] 27001, ISO/IEC, Checklist Template 2005 - Rec 8.2a - Termination HR v1.2, Geneva: Governance Ltd, 2005.

[22] 27001, ISO/IEC, ISMS Documentation Toolkit - Contents and Change History v6, Geneva: Governance Ltd, 2005.

[23] 27001, ISO/IEC, Policy Template - Doc 5.1 v1.2, Geneva: Governance Ltd, 2005.

[24] 27001, ISO/IEC, Policy Template 2005 - Doc 7.2 - IAUP v1.1, Geneva: Governance Ltd, 2005.

[25] 27001, ISO/IEC, Procedure Template 2005 - Doc 5.1 - Management Reviews v1.2, Geneva: Governance Ltd, 2005.

[26] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.1 - Informations Security Committee v1.1, Geneva: Governance Ltd, 2005.

[27] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.2 - Informations Security Cordination v1.1, Geneva: Governance Ltd, 2005.

[28] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.4 - Authorization Of Facilities v1.1, Geneva: Governance Ltd, 2005.


(5)

[29] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.5 - Confidentiality v2.1, Geneva: Governance Ltd, 2005.

[30] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.7 - Independent Review v1.1, Geneva: Governance Ltd, 2005.

[31] 27001, ISO/IEC, Procedure Template 2005 - Doc 6.8 - External Parties v1.1, Geneva: Governance Ltd, 2005.

[32] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.1 - Asset Inventory v1.1, Geneva: Governance Ltd, 2005.

[33] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.11 - Telecommunications v1.1, Geneva: Governance.Ltd, 2005.

[34] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.3 - E-mail Rules v1.1, Geneva: Governance Ltd, 2005.

[35] 27001, ISO/IEC, Procedure Template 2005 - Doc 7.6 - Classifications v1.1, Geneva: Governance Ltd, 2005.

[36] 27001, ISO/IEC, Procedure Template 2005 - Doc 8.1 - Screening v1.1, Geneva: Governance Ltd, 2005.

[37] 27001, ISO/IEC, Schdule Template 2005 - Rec 7.1B - Software Log, Geneva: Governance Ltd, 2005.

[38] 27001, ISO/IEC, Schedule Template 2005 - Rec 6.6A - Authorities and Key Suplliers, Geneva: Governance Ltd, 2005.

[39] 27001, ISO/IEC, Schedule Template 2005 - Rec 7.1A - Hardware Assets, Geneva: Governance Ltd, 2005.

[40] 27001, ISO/IEC, Schedule Template 2005 - Rec 7.1C - Information Asset Database v1.2, Geneva: Governance Ltd, 2005.

[41] 27001, ISO/IEC, Schedule Template 2005 - Rec 7.1D - Intangible Assets Database v1.2, Geneva: Governance Ltd, 2005.

[42] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 6.6 - Contact with Authorities v1.1, Geneva: Governance Ltd, 2005.


(6)

92

Photocopiers v1.1, Geneva: Governance Ltd, 2005.

[44] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.4 - Surf Control v1.1, Geneva: Governance Ltd, 2005.

[45] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.5 - Mailbox Size Limits v1.1, Geneva: Governance Ltd, 2005.

[46] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.7 - Mail Authorities v1.1, Geneva: Governance Ltd, 2005.

[47] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.8 - Voice Mail v1.1, Geneva: Governance Ltd, 2005.

[48] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 7.9 - Fax Machines v1.2, Geneva: Governance Ltd, 2005.

[49] 27001, ISO/IEC, Work Instruction Template 2005 - Doc 8.3 - Employee Termination v1.1, Geneva: Governance Ltd, 2005.

[50] 27001, ISO/IEC, Policies and procedures diagram v2, Geneva: Governance Ltd, 2005.