AUDIT KEAMANAN SISTEM INFORMASI AKADEMIK (SIAKAD)

UNIVERSITAS LAMPUNG MENGGUNAKAN STANDAR ISO/IEC 27001

LATAR BELAKANG

Teknologi Informasi (TI) saat ini telah banyak diterapkan oleh hampir
seluruh organisasi, baik dari pemerintahan, sektor industri perusahaan, bidang
pendidikan, kesehatan, dan lainnya. TI masih dipercaya dalam membantu
meningkatkan efisiensi dan efektifitas suatu organisasi dalam menciptakan
layanan yang berkualitas dari proses bisnisnya. Masih minimnya proses kendali
pelayanan dan pengawasan bisnis proses pada aset sistem informasi memudahkan
pihak yang tidak bertanggungjawab untuk mengganggu jalannya aktivitas terkait
pada aset organisasi. Meningkatnya sifat bergantungan pada informasi sejalan
dengan meningkatnya resiko yang mungkin terjadi, salah satu resiko yang
mungkin terjadi yaitu resiko keamanan informasi.
Penggunaan standar keamanan dan pelayanan dalam memandu jalannya
proses bisnis dapat menjadi salah satu solusi dalam meminimalisir terjadinya
gangguan yang tidak diinginkan. Akan tetapi, organisasi memiliki kesulitan
tersendiri dalam memahami sudah sejauh mana standar tersebut dapat
terimplementasikan, terlebih ketika organisasi mengimplementasikan lebih dari
satu buah standar. Hal ini dimungkinkan terjadi karena ruang lingkup atau fokus
cakupan standar dirasa kurang luas untuk memenuhi seluruh cakupan manajemen
(Gehrmann, 2012).
Dengan memiliki kontrol terhadap akses informasi, organisasi dapat
meminimalkan kerugian yang diakibatkan oleh hilangnya data yang disebabkan
oleh penyalahgunaan akses.
Universitas Lampung merupakan perguruan tinggi negeri yang telah
mengaplikasikan penggunaan teknologi informasi sebagai pendukung proses
bisnisnya. Universitas Lampung memiliki Sistem Informasi Akademik (Siakad)
yang mengintegrasikan proses bisnis yang terkait dalam kegiatan akademik dan
administrasi mahasiswa. Pengelolaan Informasi yang tidak baik dapat berdampak
pada rendahnya kualitas layanan dan rendahnya tingkat kepuasan mahasiswa,
 sehingga hal tersebut dapat mempengaruhi kepercayaan user terhadap institusi
tersebut. Hal tersebut dapat diatasi dengan melakukan audit keamanan sistem
informasi yang diterapkan sesuai dengan prosedur terhadap pelaksanaan Sistem
Informasi Akademik Universitas Lampung dan standar yang digunakan yaitu
ISO/IEC 27001.
Audit merupakan proses yang sitematis, mandiri, dan terdokumentasi untuk
memperoleh bukti audit dan mengevaluasinya secara objektif sejauh mana kriteria
audit terpernuhi. Dengan kata lain, pemeriksaan ini dilakukan berdasarkan standar
yang digunakan berupa ISO/IEC 27001 maupun standar lain yang digunakan oleh
institusi termasuk dokumen sistem manajemen mutu yang dimiliki, pencapaian
sasaran mutu, meninjau keluhan user, dan lain-lain (Zuhrawaty, 2009).
Beberapa hal penting yang dapat dijadikan acuan mengapa standar ISO/IEC
27001 dipilih yaitu, standar ini sangat fleksibel karena sangat bergantung pada
kebutuhan organisasi, tujuan organisasi, persyaratan keamanan, proses bisnis,
jumlah pegawai, dan struktur organisasi. Selain itu, ISO/IEC 27001 menyediakan
sertifikat implementasi Sistem Manajemen Keamanan Informasi yang telah diakui
secara Internasional yang disebut dengan Information Security Manajemen
System (ISMS) certification (Sarno dan Ifanno, 2009).

LANDASAN TEORI
 Audit
Audit memiliki pengertian yaitu proses atau aktivitas yang sistematik,
independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit
evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah
memenuhi kriteria pemeriksaan (audit) yang ditetapkan ICASA (Sarno dan Ifanno,
2009).
Tujuan audit sistem informasi yaitu untuk mengetahui sudah sejauh mana
sistem mempertahankan informasi dan integritas data, sudah sejauh mana sistem
telah efektif membantu pencapaian organisasi dan sudah sejauh mana optimalisasi
penggunaan sumber daya secara optimal (Swastika dan Putra, 2016).
 Tujuan lain dengan dilakukannya audit keamanan sistem informasi menurut
(Sarno dan Ifanno, 2009) yaitu dapat menjaga aspek kerahasiaan (Confidentiality),
keutuhan (Integrity) dan ketersediaan (Availability) dari informasi.

 Audit Sistem Informasi

Weber dalam Sarno (2009:28) mendefinisikan audit sistem informasi
sebagai proses pengumpulan data dan pengevaluasian bukti (evidence) untuk
menetukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi
informasi yang ada telah memelihara integritas data sehingga keduanya dapat
diserahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan
sumber daya secara efektif.

 Keamanan Informasi
Keamanan informasi merupakan salah satu hal penting yang harus
diperhatikan oleh perusahaan ataupun organisasi, adanya kebocoran informasi dan
kegagalan sistem dapat menyebabkan kerugian baik di sisi finansial maupun
produktifitas perusahaan. Keamanan informasi meliputi suatu mekanisme untuk
mengontrol akses dan penggunaan database pada level obyek bagi pengguna,
dimana pengguna tersebut memiliki akses terhadap informasi tertentu. Perngaturan
utama mengenai keamanan informasi akan ditentukan berdasarkan seberapa jauh
tingkat keamanan yang akan dibangun untuk informasi database. Tingkat
keamanan informasi juga sangat bergantung pada tingkat sensitifitas informasi
dalam database. Biasanya informasi yang tidak terlalu sensitif memiliki sistem
keamanan yang tidak ketat, sedangkan informasi yang sangat sensitif perlu
pengaturan keamanan yang ketat dalam akses informasi tersebut (Mufadhol,
2009).

 Sistem Informasi
Sistem Informasi (SI) adalah suatu sistem di dalam suatu organisasi yang
mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi
bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan
 pihak luar tertentu dengan laporan laporan yang diperlukan. (leitch dan davis
dalam jogiyanto (2005:11).

 ISO/IEC 27001
ISO 27001 adalah standar yang menjelaskan bagaimana mengelola
keamanan informasi dalam suatu organisasi. Standar ini terdiri dari 10 klausul dan
114 kontrol keamanan generik yang dikelompokkan menjadi 14 bagian (Annex A),
dengan tujuan membantu organisasi untuk mendefinisikan, menerapkan,
mengoperasikan, mengendalikan, dan meningkatkan keamanan informasi
berdasarkan pendekatan manajemen risiko.

 Maturity Level
Maturity level adalah suatu model yang digunakan untuk menilai
kematangan semua proses berdasarkan masing-masing tingkatan. Kerangka ini
berfungsi sebagai alat penilaian yang memungkinkan organisasi memahami dan
meningkatkan kemampuan TI mereka dalam enam tingkat kematangan, yaitu tidak
ada (non-existent), permulaan dasar (initial), dasar perencanaan (basic), menengah
(intermediate), lanjutan (advanced), dan optimalisasi (optimizing). Area yang
menjadi focus utama yaitu gambaran tingkat kematangan dengan skor
penggambungan yang dapat menjadi tolak ukur dalam penilaian kematangan.
Penilaian kematangan ini didapatkan berdasarkan hasil penilaian survei dan
wawancara dengan pemangku kepentingan di dalam organisasi (Carcary, 2012).

METODOLOGI PENELITIAN
Langkah – langkah pelaksanaan audit keamanan sistem informasi mencakup :
1. Penentuan ruang lingkup
2. Pengumpulan Data
3. Pelaksanaan audit kepatutan.
4. Penentuan maturity level
5. Penentuan Hasil Audit keamanan Sistem Informasi
6. Penyusunan laporan hasil audit keamanan sistem informasi.
 PEMBAHASAN

Penentuan ruang lingkup Audit Keamanan Sistem Informasi

Ruang lingkup audit keamanan sistem informasi berdasarkan peraturan Bank

Indonesia (BI) dalam pedoman untuk menerapkan manajemen resiko dalam
penggunaan TI dan disesuaikan dengan kriteria audit yang menggunakan standar
ISO27001. Merupakan pemetaan dari pedoman yang digunakan terhadap klausul-
klausul ISO 27001.

Pedoman BI Klausul

Prosedur pengelolaan aset 7

Prosedur pengelolaan SDM 8
Prosedur pengamanan fisik dan lingkungan 9
Prosedur pengamanan Logical security 10
Prosedur pengamanan operasi teknologi informasi 11,12
Prosedur pengamanan insiden dalam pengamanan informasi 13

Pelaksanaan Audit kepatutan dan penentuan maturity level

Pelaksanaan audit kepatutan menghasilkan dokumen wawancara, bukti-bukti

audit, temuan audit dan nilai tingkat kematangan tiap kontrol keamanan. Dokumen
wawancara diperoleh saat prosedur pembuatan pertanyaan dari pernyataan yang
sebelumnya dibuat. Bukti-bukti dan temuan audit diperoleh saat dilakukan
wawancara kepada Instansi terkait. Setelah didapatkan bukti bukti dan temuan
audit tersebut kemudian di evaluasi dan di analisa lalu menentukan nilai tingkat
kemampuan tiap tiap kontrol keamanan. Contoh kerangka kerja perhitungan nilai
maturity level dapat dilihat pada tabel 2, untuk contoh hasil perhitungan tingkat
kemampuan dapat dilihat pada tabel 3 dan contoh representasi hasilnya ke dalam
diagram radar dapat dilihat pada tabel dibwah ini.
8.3.2 Pengembalikan Aset
No. Pernyataan Bobot 0 1 2 3 4 5 Nilai
1. Pengembalian aset 1 ✔ 5
pegawai telah dilakukan
sesuai kontrak pada saat
berhenti kerja
2. Pengembalian aset 1 ✔ 5
pegawai dilakukan sesuai
kontrak pada saat
dipindahkan
Total Bobot 2 Tingkat kemampuan 5

Klausul Objek Kontrol Kontrol Tingkat Rata - rata

keamanan kemampuan
1. 1.1 keamanan 1.1.1 Aturan 3,64
Mananjemen SDM sebelum dan tanggung
Sumber menjadi jawab
Daya pegawai 1.1.2 seleksi 3,36
manusia 1.1.3 2,75 3,25
persyaratan
dan kondisi
yang harus
dipakai oleh
pegawai
1.2 selama 1.2.1 tanggung 3,50
menjadi jawab
pegawai manajmen
1.2.2 4,25
pendidikan 3,92
dan pelatihan
keamanan
informasi
 klausul Objek Kontrol Kontrol Tingkat Rata - rata
keamanan kemampuan
1.2.3 proses 4.00
kedisiplinan
1.3 1.3.1 5.00
pemberhentian tanggung
atau jawab
pemiondahan pemberhentian
pegawai 5,00
1.3.2 5.00
pengambilan
aset
1.3.3 5.00
penghapusan
hak akses
Maturity level klausul 4,06

Penentuan dan penyusunan Hasil Audit Sistem Informasi

Hasil Audit keamanan sistem informasi berupa temuan dan rekomendasi untuk
intansi terkait, temuan dan rekomendasu tersebut berasal dari hasil wawancara
yang dilakukan, yang sebelumnya dievaluasi dan dianalisa. Laporan hasil audit
yang berupa temuan-temuan dan rekomendasi tersebut digunakan sebagai saran
untuk perbaikan kontrol keamanan. Setelah seluruh perhitungan selesai didapatkan
nilai maturiy level dari rata-rata keseluruhan nilai klausul yang dapat dilihat.
Hasil Maturity level klausul
Klausul Maturity level
7 1,91
8 4,06
9 2,96
10 3,54
11 2,93
12 2,94
13 1,90
Nilai Maturity level 2,80

Didapat representasi hasil maturity level seluruh klausul pada nilai maturity level
dan terlihat bahwa manjemen aset dan kejadian keamanan informasi memiliki nilai
yang belum baik, sehingga harus dimanajemen ulang pada prosedur untuk
mengelola kontrol keamanannya.

PENYUSUNAN TEMUAN

Setelah dilakukan dan evaluasi dari audit keamanan sistem informasi pada siakad
universitas lampung (UNILA) didapatkan beberapa kondisi yang telah sesuai
dengan kontrol keamanan pada ISO 27001 yang telah ditetapkan. Beberapa
kondisi tersebut yaitu :
1. Terdapat aturan mengenai tanggung jawab keamanan informasi pada kontrak
kerja pegawai.
2. terdapat parameter keamanan untuk melindungu ruang yang berisikan faislitas
pemrosesan informasi.
3. terdapat dokumen prosedur operasi.
4. terdapat dokumentasi penetapan persyaratan untuk kontrol akses.
5. terdapat persyaratan kebutuhan keamanan sistem informasi yang baru.
Sedangkan kondisi yang masih pelu diperbaiki yaitu :
1. penjadwalan pengontrolan asset belum dilakukan secara berkala dan ada
bagian atau individu tertentu yang bertugas mengontrol aset.
2. belum ada peran penanggung jawab khusus untuk perlindungan asset tertentu
3. belum ada panduan mekanisme kontrol keamanan fisik.
4. belum dilakukan pengontrolan dan pencatatan terhadap perubahan fasilitas
pemrosesan informal.
5. kaji ulang hak akses, otorisasi hak khusus dan alokasinya belum dilakukan
secara berkala.

PENYUSUNAN REKOMENDASI

Berdasarkan dari temuan yang didapatkan dari audit keamanan sistem informasi
maka disusun rekomendasu guna perbaikan untuk kondisi – kondisi pada siakad
unila yang belum sesuai dengan prosedur. Beberapa rekomendasi tersebut yaitu:
1. mengidentifikasi dengan jelas dan menginventariskan seluruh aset yang
dimiliki oleh pihak terkait.
2. mengklarifikasi dan membuat panduan klarifikasi Informasi yang sesuai
dengan klarifikasi nya.
 Contoh Angket
Pelaksanaan Audit Kepatuhan dan penentuan
Pertanyaan manajemen siakad unila
Pilihan Kriteria
Sangat Baik (5) a) Pelaksanaan aktifitas telah mengacu pada proses
pembelajaran terhadap pengalaman usaha dan lainya.
b) TI digunakan secara luas(eksklusif), terintegritas dan
dilakukan secara optimal untuk mengotomatisasi dan tersedia
tool untuk meningkatkan mutu dan efektifitas
c)Resiko dan hasil pelaksanaan dari proses IT didefinisiakan,
dikomunikasikan dan disesuaikan antar institusi.
d)pengunaan teknologi yang optimal untuk mendukung
monitoring, pengukuran, analisa.

Baik (4) a) Dikelola dengan baik, ukuran kinerja aktifitas TI dapat

dinyatakan dalam bentuk kualitatif dab dapat dimonitor serta
dianalisa tingkat kematanganya terhadap prosedur yang
ditetapkan.
b) didefinisikan toleransi terhadap efisiensi dan efektifitas hasil
pelaksanaan aktifitas.
c) pembahian tugas didefinisiakn secara jelas.
d) semua stckholder yang terlibat (pengelola dan user)
menyadari resiko artinya penting penerapan tata kelola TI
dengan baik dan benar.

Cukup (3) a) pentingnya menerapkan tata kelola TI yang baik yang telah
dipahami dan diteruma.
b) aktifitas TI dilaksanakan mengacu pada prosedur yang baku,
tertukis secara jelas.
c) pihak manjemen telah mengkomunikasikan standarisasi
prosedur yang telah dibakukan
d) pembagian tugas dilakukan dengan jelas, tertulis dan
didokumentasikan.

Tidak Baik (2) a) aktifitas TI dilakukan secara berulang berjalan sebagai

kebiasaantanpa adanya prosedur yang tertulis jelas.
b)indikator kinerja yang dalam pengembangan.
c) tidak ada pembagian tugas yang jelas dan tidak tertulis secara
jelas.
Sangat tidak baik (1) a) aktifitas TI dikenal dan telah menyadari akan pentingnya
aktifitas tersebut, tetapi belum ada usaha untuk melaksanakanya,
kalaupun ada hanya bersifat perorangan
b) tidak ada penilaian yang standart untuk monitoring hanya
dilakukan apabila aktifitas TI telah menimbulkan kerugian bagi
koperasi
NO. Pernyataan Seberapa baik proses IT Ekspektasi
tersebut telah dilakukan

SB B C TB STB SB B C TB STB

1 Sudah terdapat
petugas / karyawan yg
bertanggung jawab
pada pemenuhan
kebutuhan user
2 Ada petugas cadangan
berhubungan dengan
SDM TI
3 Pelatihan pengembangan
TI baru bagi petugas
telah dilakukan
4 Kebutuhan SDM sudah
ditentukan dan
didokumentasikan
5 Pada proses SDM siakad
unila : kebutuhan TI
diperbaharui untuk
memenuhi keperluan
user dan prosesnya sudah
bersifat resmi
6 Pemantauan terhadap
teknologi yang ada
dilakukan dengan rutin
7 Membuat suatu
pendekatan pengawasan
dan penilaian yag berupa
kebijakan, panduan
mengenai TI
8 Bagaimana pelaksaan
kegiatan
pengidentifiksian dan
pengumpulan data
9 Melakukan pengawasan,
evaluasi serta penilaian
terhadap kinerja SI/TI
10 Kegiatan pelaporan
terhadap hasil
pengawasan dan
penilaian kinerja TI
berjalan sesuai SOP
11 Proses perbaikan yang
dilakukan terhadap hal
yang tidak diinginkan
berjalan dengan baik
12 Bagaimana
pengintegrasian kegiatan
pengawasan dan evaluasi
kinerja sistem akademi
unila
13 Saat rekrutmen karyawan
dititik beratkan pada
 pendidikan dan
pengalaman kerja
14 Sistem rekrutmen
karyawan dilakukan
secara terbuka
15 Sistem yang ada sudah
sesuai dengan kebutuhan
user/pengguna

Nama : Jabatan :