PERENCANAAN SISTEM MANAJEMEN KEAMANAN INFORMASI

PADA PT SURYA LIFETIME INTERNASIONAL STUDI KASUS KLIK

CHAT SURABAYA

SISTEM MANAJEMEN KEAMANAN INFORMASI

Yoppy Mirza Maulana, S.Kom., M.MT.

Program Studi
S1 Sistem Informasi

KELOMPOK 8:
Alifudin Aziz (15410100116)
Moch. Khrisna A. (17410100135)

FAKULTAS TEKNOLOGI DAN INFORMATIKA

INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA
2018
 DAFTAR ISI

DAFTAR ISI.............................................................................................................i

BAB I PENDAHULUAN........................................................................................3

1.1 Latar Belakang................................................................................................3

1.2 Rumusan Masalah..........................................................................................4

1.3 Batasan Masalah............................................................................................5

1.4 Tujuan............................................................................................................5

1.5 Manfaat..........................................................................................................5

1.6 Sistematika Penulisan....................................................................................6

BAB II GAMBARAN PERUSAHAAN.................................................................7

2.1 Latar Belakang Perusahaan............................................................................7

2.2 Visi dan Misi Perusahaan...............................................................................8

2.2.1 Visi..........................................................................................................8

2.2.2 Misi.........................................................................................................8

2.2.3 Struktur Organisasi.................................................................................8

2.3 Proses Bisnis..................................................................................................9

BAB III METODOLOGI......................................................................................11

3.1 Metodologi...................................................................................................11

3.2 Tahap Awal..................................................................................................11

3.2.1 Wawancara............................................................................................12

3.2.2 Observasi...............................................................................................12

3.2.3 Studi Literatur.......................................................................................12

3.3 Tahap Pengembangan..................................................................................12

3.3.1 Penentuan Ruang Lingkup Sistem Manajemen Keamanan Informasi..12

i
 3.3.2 Menentukan Pendekatan Penilaian Risiko............................................13

3.3.3 Identifikasi Risiko.................................................................................13

3.3.4 Analisa dan Evaluasi Risiko.................................................................13

3.3.5 Menentukan Objektif Kontrol dan Kontrol...........................................13

3.3.6 Membuat Kebijakan dan Prosedur Keamanan Informasi dan Instruksi

Kerja...............................................................................................................13

3.4 Tahap Akhir.................................................................................................14

3.4.1 Laporan Risk Assessment (Penilaian Risiko)........................................14

3.4.2 Kebijakan..............................................................................................14

3.4.3 Prosedur................................................................................................14

3.4.4 Instruksi Kerja.......................................................................................14

3.4.5 Rekam Kerja.........................................................................................14

BAB IV HASIL DAN PEMBAHASAN..............................................................15

BAB V KESIMPULAN........................................................................................36

5.1 Kesimpulan..................................................................................................36

5.2 Saran.............................................................................................................36

ii
 BAB I
PENDAHULUAN

1.1 Latar Belakang

PT Surya Lifetime Internasional adalah sebuah perusahaan yang bergerak
dibidang inovasi aplikasi perangkat lunak dan pemanfaatan teknologi terdepan.
Perusahaan ini menciptakan sebuah ekosistem bisnis teknologi melalui platform
digital yang bernama Lifetime. Lifetime didukung oleh online platform yang
memudahkan pengguna dalam memanfaatkan semua produk yang ditawarkan.
Visi PT Surya Lifetime adalah menjadi perusahaan teknologi kelas dunia dan
misinya adalah memberikan kesempatan yang sama kepada setiap orang untuk
menjadi entrepreneur dalam ekosistem dunia digital.
Pada PT Surya Lifetime Internasional perlu menjaga seluruh informasinya
dikarenakan memiliki banyak sekali produk yang ditawarkan pada pengguna yaitu
Klik Market, Raja Voucher, Klik Business, Klik Chat dan Klik Lucky You yang
digunakan untuk fokus kepada pengembangan bisnis. Dari semua produk yang
ditawarkan memiliki tim atau bagian sendiri yang bertugas bertanggung jawab
dalam memanajemen produknya.
Klik Chat adalah aplikasi layanan pengiriman pesan instan yang dapat
digunakan diberbagai platform smartphone dan tablet. Dengan Klik Chat, obrolan
perorangan atau group, berbagi file, bertukar foto, video, pesan suara dalam bisnis
akan semakin mudah. Tim atau Bagian Klik Chat mengembangkan dan
memanajemen seluruh aplikasi dari manajemen pengembangan aplikasi hingga
manajemen informasinya.
Bagian Klik Chat melakukan manajemen informasinya salah satunya
adalah manajemen keamanan informasi. Manajemen keamanan informasi
dilakukan untuk menjaga atau melindungi informasi yang ada dalam Klik Chat.
Informasi tersebut beberapa diantaranya adalah informasi akun pengguna Klik
Chat dan informasi transaksi pesan dari penggunanya.
Permasalahan yang terjadi adalah Bagian Klik Chat masih belum
menggunakan suatu standar dalam memanajemen keamanan informasinya.
Selama ini dilakukan manajemen keamanan jika terjadi permasalahan yang

3
muncul sehingga masih dalam level reaktif terhadap permasalahan. Permasalahan
yang muncul dapat dilihat dari beberapa sisi yaitu Confidentiality, Integrity dan
Availability. Dalam sisi Confidentiality yaitu produk yang menggunakan platform
digital memiliki celah dalam keamanannya sehingga rentan terhadap serangan dari
eksternal sehingga informasi atau data yang bersifat rahasia terancam. Dalam sisi
Integrity yaitu informasi yang diperoleh dan diolah harus sesuai dengan sumber-
sumber yang dapat dipertanggungjawabkan sehingga dalam manipulasi data untuk
dijadikan informasi dapat dipercaya. Dari sisi Availability yaitu seluruh informasi
yang ditampilkan dalam produk yang menggunakan platform digital harus dapat
diakses kapanpun sehingga pengguna dapat memanfaatkannya untuk
kebutuhannya.
Maka dari itu dalam kegiatan manajemen keamanannya perlu digunakan
standar. Standar ISO 27002:2013 dipilih dengan pertimbangan bahwa di
dalamnya berisi panduan praktis (code of practice) teknik keamanan informasi.
Pertimbangan lainnya adalah ISO 27002:2013 menyediakan dokumen standar
Sistem Manajemen Keamanan Informasi (SMKI) untuk digunakan oleh mereka
yang bertanggung jawab untuk proses implementasi dan pemeliharaan
Information Security Management Systems (ISMS) pada suatu organisasi. Standar
ini dipilih dan diterapkan kontrol yang tepat sesuai kebutuhan khususnya Bagian
Klik Chat.

1.2 Rumusan Masalah

Berdasarkan penjelasan pada latar belakang, maka perumusan masalah
yang didapat adalah sebagai berikut:
1. Bagaimana membuat perencanaan sistem manajemen keamanan
informasi pada Bagian Klik Chat berdasarkan ISO 27002:2013?
2. Bagaimana melaksanakan perencanaan sistem manajemen keamanan
informasi pada Bagian Klik Chat berdasarkan ISO 27002:2013?
3. Bagaimana menyusun hasil perencanaan sistem manajemen keamanan
informasi yang dilakukan pada Bagian Klik Chat berdasarkan ISO
27002:2013?

4
1.3 Batasan Masalah
Berdasarkan perumusan masalah, maka tujuan dalam perencanaan sistem
manajemen keamanan informasi ini agar tidak menyimpang maka batasan
masalahnya adalah sebagai berikut:
1. Bagian yang dilakukan perencanaan sistem manajemen keamanan
informasi adalah Bagian Klik Chat.
2. Standar yang menjadi acuan adalah ISO 27002:2013 dalam
perencanaan sistem manajemen keamanan informasi.

1.4 Tujuan
Tujuan yang akan dicapai dalam perancanaan sistem manajemen
keamanan informasi pada PT Surya Lifetime Internasional studi kasus Klik Chat
adalah sebagai berikut:
1. Menghasilkan perencanaan sistem keamanan informasi pada Bagian
Klik Chat berdasarkan ISO 27002:2013.
2. Melaksanakan perencanaan sistem keamanan informasi pada Bagian
Klik Chat berdasarkan ISO 27002:2013 dengan menganalisa hasil
wawancara berupa bukti dan temuan-temuan keamanan informasi.
3. Menyusun hasil perencanaan sistem keamanan informasi pada Bagian
Klik Chat berdasarkan ISO 27002:2013 dengan melakukan analisa dan
evaluasi dari bukti dan temuan yang ada sehingga didapat hasil yang
berupa temuan dan rekomendasi.

1.5 Manfaat
Berdasarkan tujuan dari perencanaan sistem keamanan informasi maka
didapatkan beberapa manfaat sebagai berikut:
1. Untuk Bagian Klik Chat di PT Surya Lifetime Internasional
a. Mendapatkan kontribusi untuk meningkatkan keamanan sistem
informasi dengan standar ISO 27002:2013.
b. Memperoleh pedoman atau acuan untuk menangani permasalahan
yang terjadi di Bagian Klik Chat.

5
 c. Hasil analisa dapat membantu Bagian Klik Chat dalam menjadi
bahan masukan dan rekomendasi untuk improvement keamanan
informasi.
2. Bagi Mahasiswa
a. Dapat menerapkan sekaligus mengembangkan ilmu yang dipelajari
selama perkuliahan pada mata kuliah Sistem Manajemen
Keamanan Informasi dengan standar ISO 27002:2013.
b. Menambah wawasan dan pengetahuan secara teoritis dan praktis.

1.6 Sistematika Penulisan

Dalam penulisan laporan ini secara sistematika diatur dan disusun dalam 5
(lima) bab, yaitu:
BAB I : PENDAHULUAN
Pada bab ini membahas tentang latar belakang masalah, rumusan masalah
serta batasan terhadap masalah yang dibahas, tujuan dari pembahasan masalah dan
sistematika penulisan laporan ini.
BAB II : GAMBARAN PERUSAHAAN
Pada bab ini dibahas mengenai latar belakang perusahaan, visi, misi dan
tujuan dari perusahaan, struktur organisasi dari perusahaan tersebut dan flow of
information yang ada pada perusahaan.
BAB III : METODOLOGI
Pada bab ini menjelaskan tentang metodologi yang akan digunakan untuk
menyelesaikan permasalahan secara teoritis dan praktis secara bertahap. Berisi
langkah-langkah dalam menyusun perancanaan sistem keamanan informasi dan
kontrol dari perencanaan tersebut.
BAB IV : HASIL DAN PEMBAHASAN
Pada bab ini membahas tentang analisa dan evaluasi hasil temuan serta
rekomendasi dari kegiatan perencanaan sistem keamanan informasi pada Bagian
Klik Chat.
BAB V : KESIMPULAN
Pada bab ini berisikan kesimpulan laporan yang telah dilakukan terkait
dengan tujuan dan permasalahan yang ada dan saran pada masa yang akan datang.

6
 BAB II
GAMBARAN PERUSAHAAN

2.1 Latar Belakang Perusahaan

PT Surya Lifetime Internasional bertempat pada Jl. Indragiri No. 36
Surabaya di Lifetime Tower. Memiliki beberapa legalitas perusahaan yaitu:
 MENHAM
AHU-0036343.AH.01.11.TAHUN 2015
Tanggal 27 Maret 2015
PT Surya Lifetime Internasional
 SIUP
503/4167.A/436.6.11/2015
PT. Surya Lifetime Internasional
 TDP
13.01.1.46.30684 
PT. Surya Lifetime Internasional 
 NPWP
72.921.584.8-619.000 
PT. Surya Lifetime Internasional
Perusahaan ini bergerak dibidang inovasi aplikasi perangkat lunak dan
pemanfaatan teknologi terdepan. PT Surya Lifetime Internasional menawarkan
suatu dunia baru yaitu Lifetime. Dengan menggunakan online platform yang
memudahkan dalam penggunaan point online yang terintegrasi untuk semua
aplikasi yang ditawarkan. Lifetime mengajak enterpreneur untuk membentuk dan
membangun komunitas bisnis dengan visi dan misi yang sama yang berpotensi
mewujudkan seluruh impian enterpreneur dan mengajak mencapai kesuksesan
tanpa batasan waktu dan jarak, tenaga maupun biaya.
Kegiatan operasionalnya mencakup seluruh Indonesia dan dunia. Lifetime
didukung oleh sistem online dunia tanpa batas dan marketing plan yang luar biasa
serta team management yang andal. Beberapa produk yang ditawarkan adalah
aplikasi online yang inovatif yaitu Klik Market, Raja Voucher, Klik Business,
Klik Chat dan Klik Lucky You.

7
2.2 Visi dan Misi Perusahaan
2.2.1 Visi
“Menjadi perusahaan teknologi kelas dunia”
2.2.2 Misi
Memberikan kesempatan yang sama kepada setiap orang untuk menjadi
entrepreneur dalam ekosistem dunia digital.
2.2.3 Struktur Organisasi

Gambar 2.1 Struktur Organisasi

Pada gambar 2.1, setiap bagian dari struktur organisasi khususnya struktur
Bagian Klik Chat memiliki tugas pokok dan fungsi masing-masing. Berikut
adalah penjelasan dari tugas pokok dan fungsi masing-masing bagian:

Tabel 2.1 Tugas Pokok dan Fungsi

No. Nama dan Jabatan Deskripsi Tugas
1 Fendy Mahatmaw 1. Menerima ide-ide inovasi aplikasi
Kepala Bagian bisnis dari manajemen atas
2. Membuat perencanaan dari inovasi
3. Mendiskusikan inovasi dengan
jajarannya dan staff di divisinya
4. Membuat rincian tugas pekerjaan
2 Hasanudin 1. Membuat pembagian tugas dari
Wakil Kepala Divisi rincian tugas pekerjaan yang diberikan
oleh Kepala Divisi

8
 2. Membagi tugas kepada staff sesuai
dengan bidangnya dan memulai tahap
production
3. Memantau pelaksanaan production
yang dilakukan staff
4. Melakukan testing atau uji coba dan
melaporkan ke Kepala Divisi
3 Eko Febri H. 1. Melaksanakan production sesuai
Staff Development dengan pembagian tugas dari Wakil
(Android) Kepala Divisi
2. Melaporkan hasil production kepada
Wakil Kepala Divisi
4 Firman Zain 1. Melaksanakan production sesuai
Staff Development dengan pembagian tugas dari Wakil
(Website) Kepala Divisi
2. Melaporkan hasil production kepada
Wakil Kepala Divisi
5 Aji 1. Melaksanakan production sesuai
Staff Development dengan pembagian tugas dari Wakil
(iOS) Kepala Divisi
2. Melaporkan hasil production kepada
Wakil Kepala Divisi

2.3 Proses Bisnis

Proses bisnis yang ada pada Bagian Klik Chat akan ditampilkan dengan
menggunakan Value Chain yang berguna untuk melihat proses bisnis secara
keseluruhan. Value chain ditampilkan pada gambar 2.2

9
 Gambar 2.2 Value Chain

Value chain pada gambar 2.2 dapat digunakan sebagai dasar untuk
penentuan ruang lingkup bisnis.

10
 BAB III
METODOLOGI

3.1 Metodologi
Pada laporan ini, langkah dalam perencanaan sistem manajemen keamanan
informasi pada Bagian Klik Chat di PT Surya Lifetime Internasional dapat dilihat
pada gambar 3.1

Gambar 3.1 Langkah Metodologi

3.2 Tahap Awal

Pada tahap ini akan dilakukan identifikasi dan pengumpulan data juga
penentuan studi literatur yang akan di gunakan untuk perancangan sistem
manajemen keamanan informasi dengan rincian sebagai berikut:
1. Wawancara
2. Observasi
3. Studi Literatur

11
3.2.1 Wawancara
Wawancara dilakukan terhadap staff terkait dengan pelaksanaan tugas
yang berhubungan langsung dengan permasalahan pengolahan dan keamanan
informasi. Melalui tahapan wawancara diperoleh informasi mengenai tugas pokok
dan fungsi masing-masing bagian, penggunaan dan permasalahan perangkat
pengolah informasi serta permasalahan dan ancaman/risiko yang berkaitan dengan
keamanan informasi.
3.2.2 Observasi
Observasi dilakukan dengan pengamatan secara langsung pada PT Surya
Lifetime Internasional sehingga diketahui kondisi nyata dari perusahaan tersebut
dan diperoleh permasalahan yang terdapat pada bagian. Observasi dilakukan pada
bagian development Klik Chat PT Surya Lifetime Internasional.
3.2.3 Studi Literatur
Studi literatur yang dilakukan merujuk pada dokumen International
Standard Operation (ISO) atau dokumen terkait keamanan informasi dalam hal
ini meliputi:
1. ISO 27002:2013
2. Kebijakan dan Prosedur Keamanan Informasi

3.3 Tahap Pengembangan

Tahap pengembangan dilakukan sebagai penentuan langkah-langkah
perencanaan dengan tahapan sebagai berikut:
1. Penentuan ruang lingkup sistem manajemen keamanan informasi
2. Menentukan pendekatan penilaian risiko
3. Identifikasi risiko
4. Analisa dan evaluasi risiko
5. Menentukan objektif kontrol dan kontrol
6. Membuat kebijakan dan prosedur keamanan informasi
3.3.1 Penentuan Ruang Lingkup Sistem Manajemen Keamanan Informasi
Penentuan runag lingkup sebagai langkah pemenuhan dalam tahapan
penelitian agar tujuan dokumen yang dihasilkan dapat dibuat dengan tepat dan

12
sesuai dengan kebutuhan permasalahan keamanan informasi perusahaan, ruang
lingkup ditentukan berdasarkan bagian objek observasi.
3.3.2 Menentukan Pendekatan Penilaian Risiko
Langkah yang dilakukan untuk menentukan bagaimana cara melakukan
penilaian risiko terhadap informasi yang dimiliki, cara penilaian risiko ini
berdasarkan pada ruang lingkup yang telah ditentukan dengan menentukan
metode risk assessment dan menentukan kriteria penerimaan risiko.
3.3.3 Identifikasi Risiko
Identifikasi dilakukan untuk mengetahui seberapa besar dan indentifikasi
risiko apa yang akan diterima oleh PT Surya Lifetime Internasional pada bagian
development Klik Chat yang terdiri dari identifikasi aset, nilai aset, nilai ancaman,
dan dampak keamanan pada masing-masing asset.
Kriteria aset nilai untuk menentukan nilai setiap aset dapat dilihat pada
tabel 3.1 untuk Confidentiality, tabel 3.2 untuk Integrity dan tabel 3.3 untuk
Availability.

Tabel 3.1 Nilai Kriteria Confidentiality

Kriteria Condidentiality Nilai Confidentiality (NC)
Public 0
Internal use only 1
Private 2
Confidential 3
Secret 4

Tabel 3.2 Nilai Kriteria Integrity

Kriteria Integrity Nilai Integrity (NI)
No Impact 0
Minor Incident 1
General Disturbance 2
Mayor Disturbance 3
Uncceptable Damage 4

Tabel 3.3 Nilai Kriteria Availability

Kriteria Availability Nilai Availability (NA)
No Availability 0

13
 Office Hours Availability 1
Strong Availability 2
High Availabilty 3
Very High Availability 4

3.3.4 Analisa dan Evaluasi Risiko

Setelah melakukan identifikasi risiko, maka tahapan selanjutnya yaitu
analisa dan evaluasi risiko yang bertujuan untuk menganalisa hasil dari
identifikasi risiko yang telah dibuat sebelumnya dan mengevaluasi apakah risiko
dapat diterima sepenuhnya atau masih diperlukan pengolahan agar risiko dapat
diterima dengan dampak yang bisa ditoleransi. Analisa dan evaluasi risiko terdiri
dari tiga tahapan yaitu perhitungan nilai Bussines Impact Analysis (BIA) pada
aset, tahap kedua mengidentifikasi level risiko dengan menghasilkan pengukuran
nilai pada dampak (impact) dan kemungkinan (probabilitas). Skala nilai BIA
digunakan untuk menentukan nilai BIA dapat dilihat pada tabel 3.4
Tabel 3.4 Skala BIA Pada Aset
Batas Toleransi Nilai
Resiko Nilai BIA
Gangguan Skala
Tidak Mengganggu Bisnis
Not Critical 0 0-20
dan Tidak Ada Kerugian
Mengganggu Bisnis dan
Minor Critical 1 21-40
Tidak Ada Kerugian
Mengganggu Bisnis dan
Mayor Critical 2 41-60
Kerugian Kecil
Mengganggu Bisnis dan
High Critical 3 61-80
kerugian Besar
Bisnis Terhenti dan
Very High Critical 4 81-100
Kerugian Besar

3.3.5 Menentukan Objektif Kontrol dan Kontrol

Tahapan ini bertujuan untuk menetapkan kontrol objektif dan kontrol yang
sesuai dengan kebutuhan PT Surya Lifetime International pada bagian
development KlikChat berdasarkan International Standart Operation(ISO)
27002:2013. Kontrol ini dibutuhkan untuk mengelola aset perusahaan yang
memiliki nilai tinggi dalam permasalahan risiko yang ada pada perusahaan.

14
3.3.6 Membuat Kebijakan dan Prosedur Keamanan Informasi dan Instruksi
Kerja
Penyusunan kebijakan dan prosedur disusun dengan memperhatikan
sasaran kontrol yang telah dipilih sesuai dengan objektif kontrol dan kontrol yang
telah ditetapkan pada aset dengan nlai risiko paling tinggi (Medium/High) dalam
Klik Chat. Kebijakan dan prosedur berfungsi sebagai panduan bagi PT Surya
Lifetime Internasional bagian development Klik Chat.

3.4 Tahap Akhir

Tahap akhir yang dilakukan adalah menentukan hasil dari proses-proses
yang telah dilaksanakan pada tahap pengembangan yang telah dilakukan
sebelumnya dan akan menghasilkan keluaran sebagai berikut:
1. Laporan risk assessment (penilaian risiko)
2. Kebijakan
3. Prosedur
4. Instruksi Kerja
5. Rekam Kerja
3.4.1 Laporan Risk Assessment (Penilaian Risiko)
Laporan penilaian resiko adalah laporan yang memuat langkah pada tahap
perencanaan sistem manajemen risiko yang memuat pendekatan penilaian risiko,
identifikasi risiko, analisis dan evaluasi risiko, analisis dan evaluasi penanganan
risiko, menetapkan kontol objektif dan kontrol.
3.4.2 Kebijakan
Kebijakan adalah pernyataan yang merefleksikan komitmen yang disajikan
sebagai landasan utama dan aktivitas utama dalam bagian dan fungsi perusahaan.
3.4.3 Prosedur
Standar Operasional Prosedur (SOP) adalah dokumen prosedur keamanan
infromasi yang dihasilkan pada perencanaan sistem manajemen keamanan
infromasi dan bertujuan sebagai pedoman untuk mengarahkan langkah kerja yang
harus dilakukan perusahaan.

15
3.4.4 Instruksi Kerja
Instruksi kerja memuat hasil rinci dari prosedur yang telah dibuat sehingga
instruksi kerja merupakan dokumen kompleks yang lebih detail dari prosedur.
3.4.5 Rekam Kerja
Rekam kerja adalah dokumen terdokumentasi yang dilakukan untuk
melaksanakan dan memudahkan jejak telusur dalam kegiatan sistem manajemen
keamanan informasi

16
 BAB IV
HASIL DAN PEMBAHASAN

4.1 Tahap Awal

Tahap awal dilakukan dengan cara melakukan wawancara, studi literature,
dan observasi. Dari hasil tahap awal tersebut menghasilkan output pada
wawancara berupa layanan pada Bagian Klik Chat dan permasalahan pada Bagian
Klik Chat. Pada observasi berupa proses bisnis pada Bagian Klik Chat. Studi
literature yang dibutuhkan meliputi studi literature sistem manajemen keamanan
informasi, ISO 27002:2013 dan cara pembuatan prosedur.
4.1.1 Wawancara
a. Proses Bisnis Bagian Klik Chat
Dalam proses bisnis pada Bagian Klik Chat dapat dibuat berupa model
value chain. Dari value chain tersebut dapat dilihat dengan mudah proses bisnis
yang terjadi dari hulu hingga ke hilir. Gambar 4.1 adalah value chain tersebut.

Gambar 4.1 Value Chain

Pada aktivitas utama ditahap inbound, proses bisnis yang terjadi adalah
perencanaan ide bisnis dan kemudian dilakukan perancangan ide bisnis.
Kemudian pada tahap operation¸ terdapat research and development (RND) dari
inovasi atau ide bisnis tersebut. Pada proses RND ini inovasi dilakukan riset dan
pengembangan apakah inovasi tersebut layak pakai sesuai dengan harapan atau
tidak. Selanjutnya terdapat proses produksi aplikasi. Inovasi yang telah melalui

17
proses RND maka akan diproduksi sehingga membentuk aplikasi. Pada tahap
outbound terdapat proses evaluasi dan monitoring dari aplikasi tersebut. Pada
tahap marketing terdapat proses publikasi aplikasi yang nantinya akan
dipublikasikan di website, Playstore dan Appstore. Pada tahap services terdapat
layanan dari pihak ketiga atau vendor yang digunakan untuk proses bisnis
keseluruhan.
Pada aktivitas pendukung terdapat beberapa aktivitas yaitu keuangan,
sumber daya manusia dan sarana & prasarana. Tujuan dari keseluruhan aktivitas
utama dan aktivitas pendukung adalah untuk menjadi penyedia layanan pesan
yang simple, aman dan terpercaya.
b. Layanan Bagian Klik Chat
Pada hasil wawancara dapat disimpulkan bahwa layanan IT yang
mencakup area-area yang mencakup infrastruktur dan aplikasi. Penjelasan detil
dapat dilihat pada tabel 4.1
Tabel 4.1 Layanan IT
No Bagian Area Layanan
.
1 Infrastruktu Standarisasi Network Manajemen user
Kesiapan Data Center Access Control
r
Security monitoring
Kesiapan Pengamanan Autentifikasi user
Informasi Ketersediaan firewall
Ketersediaan tools Aplikasi monitoring
monitoring dan (Aplikasi Whatsapp,
troubleshooting Trello)
2 Aplikasi Aplikasi Core Business Aplikasi Klik Chat

4.1.2 Observasi
a. Permasalahan Bagian Klik Chat
Permasalahan yang terjadi adalah melakukan penilaian dan pengukuran
tentang pengamanan informasi yang belum terdapat kebijakannya. Dalam
pengamanan informasinya masih secara responsif jika terjadi ancaman dan
kelemahan yang menyerang atau terjadi. Bagian Klik Chat perlu merencanakan
bagaimana mengelola sebuah sistem keamanan informasi yang baik dan sesuai

18
standar sehingga Bagian Klik Chat membutuhkan panduan perencanaan sistem
manajemen keamanan informasi agar sistem manajemen keamanan informasinya
dapat dikelola dan dikembangkan dengan baik.
4.1.3 Studi Literatur
1. Pemilihan Kontrol berdasarkan ISO 27002:2013
Pemilihan kontrol objektif dan kontrol berdasarkan pada ISO 27002:2013
yang dimana di dalamnya memiliki kontrol yang dapat digunakan setiap masalah
keamanan informasi tentunya setelah melakukan beberapa tahap penentuan
masalah keamanan informasi yang dilakukan dengan tahapan identifikasi aset,
menghitung nilai aset, menghitung nilai ancaman, dan kelemahan aset sesuai
dengan aspek keamanan infromasi (kerahasiaan, keutuhan, dan ketersediaan) dan
melakukan analisa pada dampak bisnis (BIA).
2. Pembuatan Kebijakan dan Prosedur Keamanan Informasi
Kebijakan dan prosedur keamanan informasi dibuat berdasarkan pemilihan
kontrol objektif dan kontrol pada salah satu aset yang memiliki level risiko lebih
tinggi. Kontrol objektif dan kontrol pada ISO 27002:2013 dipilih sesuai dengan
ancaman dan kelemahan yang ada pada aset yang kemudian dibuat penulisan
kebijakan dan prosedur.
3. Pembuatan Instruksi Kerja dan Rekaman Kerja
Instruksi kerja dibuat apabila dalam proses prosedur membutuhkan
langkah pengerjaan yang lebih rinci dan jelas, maka intruksi kerja dapat dibuat
mengacu pada prosedur terkait. Rekam kerja dibuat apabila prosedur atau
instruksi kerja memutuhkan dokumentasi langsung dalam setiap kegiatan yang
dilakukan sebagai lampiran terkait prosedur dan instruksi kerja.
4.2 Tahap Pengembangan
Pada tahap pengembangan dilakukan dengan cara menentukan ruang
lingkup terlebih dahulu, kemudian menentukan pendekatan penilaian risiko,
identifikasi risiko yang di dalamnya terdapat identifikasi aset, analisa dan evaluasi
risiko, menentukan objektif kontrol dan kontrol yang berdasarkan ISO
27002:2013 dan yang terakhir membuat kebijakan dan prosedur keamanan
informasi (SOP, IK, RK).

19
4.2.1 Penentuan Ruang Lingkup
Dalam menentukan ruang lingkup SMKI membutuhkan kebutuhan yang dimiliki
oleh Bagian Klik Chat dan aset-aset yang terdapat pada Bagian Klik Chat sebagai
berikut.
a. Kebutuhan Bagian Klik Chat
Kebutuhan yang ada pada Bagian Klik Chat dibagi menjadi 2 area yaitu
segi infrastruktur dan aplikasi yang ditunjukkan pada tabel 4.2
Tabel 4.2 Kebutuhan Bagian Klik Chat
Area Bagian
Infrastruktu Keamanan network yang meliputi manajemen user
r
Keamanan data center melitputi access control dan security
monitoring
Keamanan informasi yang meliputi autentifikasi user,
antivirus dan firewall
Aplikasi Pelatihan aplikasi core business bagi key user
b. Aset Bagian Klik Chat
Aset yang dimiliki pada Bagian Klik Chat terdiri dari beberapa bagian
yaitu aset perangkat keras, aset perangkat lunak, aplikasi, aset infrastruktur dan
aset data atau informasi yang dilihat pada tabel 4.3

Tabel 4.3 Aset Bagian Klik Chat

Jenis Aset Aset
Perangkat Komputer PC
Jaringan LAN (Local Area Network)
Wireless-LAN
Aplikasi Aplikasi Core Business
Tools Firewall
Database SQL
NoSql (MongoDB)
Keamanan Pemadam Kebakaran
Backup Genset

4.2.2 Penentuan Pendekatan Penilaian Risiko

1. Metode Risk Assessment

20
 Merupakan metode yang digunakan dalam penilaian risiko pada PT Surya
Lifetime Internasional pada bagian development KlikChat yaitu menggunakan
metode kualitatif dengan cara melakukan wawancara dan pengamatan survey.
2. Kriteria Penerimaan Risiko
Kriteria penerimaan risiko ditetapkan berdasarkan dampak bisnis (BIA)
dengan kriteria low, medium dan high dimana prosedur digunakan pada kriteria
medium dan high.
4.2.3 Identifikasi Risiko
a. Identifikasi Aset
Pada proses identifikasi aset dapat digolongkan menjadi beberapa jenis
seperti aset perangkat keras (hardware), aset perangkat lunak (software), aset
infrastruktur dan aset informasi. Identifikasi aset dapat dilihat pada tabel 4.4
Tabel 4.4 Identifikasi Aset
No Jenis Aset Aset
.
1 Aset Perangkat Perangkat PC
Keras Komputer
(Hardware)
2 Aset Perangkat Sistem Operasi Windows
Jaringan Local Area Nnetwork
Lunak
(LAN)
(Software)
Wireless-LAN
Aplikasi Aplikasi Core Business:
KlikChat
Aplikasi Toolmonitoring:
 Whatsapp
 Trello
Tools Firewall (SSL)
Database SQL
NoSQL (MongoDB)
3 Aset Keamanan Backup Genset
Pemadam Kebakaran
Infrastruktur
Aset Informasi Database Tabel user dan password
Tabel transaksi pesan
Tabel credit card
Tabel keuangan topup
Tabel token API

21
b. Menghitung Nilai Aset
Setelah melakukan identifikasi aset, langkah selanjutnya adalah
melakukan perhitungan nilai aset berdasarkan pada pendekatan aspek keamanan
informasi yaitu kerahasiaan (confidentiality), keutuhan (integrity) dan
ketersediaan (availability). Penilaian aset berdasarkan kriteria aspek dapat dilihat
pada tabel 3.1 perhitungan nilai aset dapat menggunakan persamaan matematis
yaitu Nilai Aset (NS) = NC + NI + NA
Keterangan:
NC = Nilai Confidentiality
NI = Nilai Integrity
NA = Nilai Availability
Nilai dari masing-masing aset pada Bagian Klik Chat dapat dilihat pada
tabel 4.5
Tabel 4.5 Nilai Aset
Kriteria Nilai Aset
No. Aset
NC NI NA (NC+NI+NA)
1 PC 2 0 1 3
2 Windows 1 1 1 3
3 LAN 1 2 2 5
4 Wireless-LAN 1 2 2 5
5 KlikChat 4 4 4 12
6 Whatsapp 2 2 3 7
7 Trello 3 3 3 9
8 Firewall 4 4 4 12
9 SQL 3 2 2 7
10 NoSQL (MongoDB) 3 2 2 7
11 Backup Genset 0 0 1 1
12 Pemadam Keabakaran 0 1 1 2
13 Tabel user dan password 2 2 1 5
14 Tabel transaksi pesan 2 2 1 5
15 Tabel credit card 3 2 2 7
16 Tabel keuangan topup 2 2 2 6
17 Tabel token API 4 4 4 12

c. Mengidentifikasi Ancaman dan Kelemahan Terhadap Aset

Tahapan selanjutnya adalah mengidentifikasi ancaman dan kelemahan dari
setiap aset yang diidentifikasi sebelumnya. Dalam mengidentifikasi ancaman

22
(thread) dan kelemahan (vulnerable) yang terdapat pada aset dibuat tabel
kemungkinan kejadian (Probability of Occurance). Langkah yang harus dilakukan
adalah menentukan nilai rata-rata probabilitas. Rentang nilai probabilitas
ditentukan sebagai berikut.

LOW: Nilai rata-rata probabilitas 0,0 – 0,4

MEDIUM: Nilai rata-rata probabilitas 0,5 – 0,7
HIGH: Nilai rata-rata probabilitas 0,8 – 1,0

Setelah menentukan nilai rata-rata probabilitas maka dapa dihitung nilai

ancaman dari suatu aset dengan menggunakan rumus yaitu Nilai Ancaman (NT) =
∑ PO / ∑ Ancaman
Keterangan:
∑ PO = Jumlah rata-rata probabilitas
∑ Ancaman = Jumlah Ancaman
Contoh dari perhitungan nilai ancaman pada aset KlikChat dapat dilihat
pada tabel 4.6

Tabel 4.6 Nilai Ancaman KlikChat

Rata-rata
No Kejadian Jenis Probabilitas
Probabilitas
Gangguan Kelemahan
1 Low 0,1
Sumber Daya (Vulnerable)
Gangguan
Kelemahan
2 Perangkat Low 0,1
(Vulnerable)
Keras
Ancaman
3 Kebakaran Low 0,1
(Threat)
Kelemahan
4 Serangan Virus Medium 0,5
(Vulnerable)
Ancaman
5 Bencana Alam Low 0,1
(Threat)
7 Akses Ilegal Ancaman High 0,8

23
 (Threat)
Jumlah Ancaman = 7 Jumlah rata-rata Prob 1,7

NT (KlikChat) = ∑ PO / ∑ Ancaman
= 1,7 / 7 = 0,24
Nilai ancaman untuk KlikChat adalah 0,24.
Rekap dari nilai ancaman pada masing-masing aset dapat ditunjukkan pada
tabel 4.7
Tabel 4.7 Nilai ancaman masing-masing aset
No
Aset Nilai Ancaman
.
1 PC 0,35
2 Windows 0,22
3 LAN 0,21
4 Wireless-LAN 0,21
5 KlikChat 0,24
6 Whatsapp 0,3
7 Trello 0,31
8 Firewall 0,31
9 SQL 0,24
10 NoSQL (MongoDB) 0,24
11 Backup Genset 0,3
12 Pemadam Keabakaran 0,34
13 Tabel user dan password 0,25
14 Tabel transaksi pesan 0,21
15 Tabel credit card 0,31
16 Tabel keuangan topup 0,3
17 Tabel token API 0,32

d. Identifikasi Dampak Jika Terjadi Kegagalan Aspek Keamanan Informasi (CIA)

Mengidentifikasi dampak jika terjadi kegagalan aspek keamanan informasi
yang dilakukan dengan mengidentifikasi dampak dari masing-masing aset sesuai
dengan aspek keamanan informasi yaitu Kerahasiaan (Confidentiality), Keutuhan
(Integrity) dan Ketersediaan (Availability). Berikut salah satu identifikasi dampak
dari tiga aset pada Bagian Klik Chat.
1. Dampak Keamanan Informasi PC ditunjukkan pada tabel 4.8
Tabel 4.8 Dampak Keamanan Informasi Pada PC

Kategori Dampak

24
 Jika data yang terdapat pada PC diakses tanpa ijin
dapat menyebabkan kerugian seperti kebocoran
source code aplikasi,dan kerahasiaan data-data
Kerahasiaan utama dapat diketahui oleh pihak luar yang tidak
bertanggung jawab dapat mengganggu dan
memberikan kerugian bagi individu yang
bersangkutan.

Jika PC mengalami kerusakan atau terkena virus

data dan informasi yang ada di dalam PC dapat
Keutuhan
rusak akibatnya informasi yang ada didalam PC
menjadi tidak utuh atau akurat.

Jika PC tidak dapat mengotorisasi hak akses dari

Ketersediaan pemilik PC, maka pengguna tidak dapat mengakses
data dan informasi yang berada pada PC.

2. Dampak Keamanan Informasi PC ditunjukkan pada tabel 4.9

Tabel 4.9 Dampak Keamanan Informasi Pada NoSQL (MongoDB)

Kategori Dampak

Jika database yang ada tidak memiliki access

control ataupun otorisasi yang kuat maka akan
menimbulkan dampak finansial yang sangat besar
Kerahasiaan
akibat pencurian data pengguna berupa informasi
finansial pengguna (Credit Card) yang dapat disalah
gunakan oleh pihak yang tidak bertanggung jawab

Jika database mengalami kerusakan maka semua

data finansial pengguna (Credit Card) akan menjadi
Keutuhan kacau sehingga data menjadi tidak valid dan
mengakibatkan kerugian pada pengguna maupun
nama baik perusahaan

Ketersediaan Database harus selalu aktif dan tersedia jika tidak

25
 maka akan menghambat transaksi pengguna dan
akan merugikan pada sisi finansial perusahaan

4.2.4 Analisa dan Evaluasi Risiko

a. Melakukan Analisa Dampak Bisnis (Business Impact Analysis)
Analisa dampak bisnis dilakukan dengan menentukan nilai BIA pada aset
yang mengacu pada skala nilai BIA. Skala nilai BIA digunakan untuk menentukan
nilai BIA yang dapat dilihat pada tabel 3.111. Nilai BIA pada masing-masing aset
ditentukan berdasarkan dampak yang dihasilkan pada tabel 4.10

Tabel 4.10
No. Aset Dampak Nilai Referensi
BIA
1 Development aplikasi
PC terhenti karena gangguan 1
pada PC
2 Pelayanan terhadap
Windows 1
individu (user) terganggu
3 Komunikasi antar unit
terhenti dan dapat
LAN 1
menggangu pengembangan
aplikasi
4 Wireless- Komunikasi online antar
1
LAN bagian terganggu
5 Terganggunya pengguna
KlikChat dalam pengaksesan layanan 4
yang digunakan
6 Komunikasi antar staff
terhenti ketika ada
Whatsapp permasalahan pada aplikasi 2
sehingga menyebabkan
layanan terhenti
7 Trello Pengembangan aplikasi 3
setiap bagian akan

26
 terganggu dan
menyebabkan berhentinya
proses development pada
aplikasi
8 Banyak akses illegal yang
dapat masuk kedalam
Firewall 4
aplikasi dan dapat merusak
aspek keamanan data CIA
9 Kerusakan data pengguna
yang menyebabkan
SQL 4
berhentinya seluruh proses
bisnis
10 Terhentinya layanan
keuangan pengguna dan
NoSQL berhentinya layanan
4
(MongoDB) transaksi yang
menyebabkan bisnis
terhenti
11 Terhentinya pengembangan
Backup aplikasi dan berhentinya
1
Genset layanan komunikasi antar
bagian
12 Hilangnya source data
Pemadam
maupun aset informasi yang 3
Keabakaran
ada pada penyimpanan fisik
13 Bocornya data pengguna
Tabel user yang dapat menyebabkan
dan penggunaan tidak 3
password bertanggung jawab ataupun
berhentinya layanan
14 Kerahasiaan transaksi pesan
Tabel
akan terganggu dan
transaksi 2
berdampak pada nama baik
pesan
perusahaan
15 Tabel credit Penggunaan finansial yang 4

27
 tidak bertanggung jawab
menyebabkan kerugian
besar pada pengguna dan
card berdampak pada masalah
hokum yang menyebabkan
bisnis terhenti dan kerugian
besar
16 Keutuhan data yang
Tabel
bermasalah menyebabkan
keuangan 4
nilai keuangan yang tidak
topup
valid
17 Pengaksesan akes database
secara illegal yang dapat
Tabel token
merusak seluruh unsur 4
API
keamanan inormasi CIA
yang ada pada database

b. Mengidentifikasi Level Risiko

Mengidentifikasi level risiko akan digunakan untuk menentukan pilihan
penanganan risiko. Level risiko yang dapat diterima oleh PT Surya Lifetime
Internasional dapat ditentukan berdasarkan hubungan probabilitas ancaman
dengan dampak bisnis yang ditimbulkan. Level probabilitas dapat dilihat pada
tabel 4.11 dan level dampak (impact) dapat dilihat pada tabel 4.12

Tabel 4.11 Level Prioritas

Level Prioritas
0 < Low Probability < 0,1
0,1 < Medium Probability ≤ 0,5
0,5 < High Probability ≤ 1,0

Tabel 4.12 Level Dampak

Level Dampak
0 < Not Critical ≤ 20
20 < Low Critical ≤ 40
40 < Medium Critical ≤ 60
60 < High Critical ≤ 80

28
 80 < Very High Critical ≤ 100

c. Menentukan Risiko Diterima atau Perlu Penanganan Risiko

Hal pertama yang harus dilakukan adalah menghitung nilai risiko dari
masing-masing aset kemudian menentukan risiko diterima atau perlu penanganan
risiko lebih lanjut. Cara menghitung nilai risiko dapat dihitung dengan rumus Risk
Value = NA x BIA x NT
Keterangan:
Risk Value : Nilai Resiko
NA : Nilai Aset
BIA : Nilai BIA
NT : Nilai Ancaman
Dari hasil perhitungan yang telah dilakukan, maka dapat ditentukan nilai
risiko dari masing-masing aset yang ditunjukkan pada tabel 4.13
Tabel 4.13 Nilai Risiko pada Aset
Nilai Nilai
No Aset Nilai Aset Nilai BIA
Ancaman Risiko
1 PC 3 1 0,35 1,05
2 Windows 3 1 0,22 0,66
3 LAN 5 1 0,21 1,05
4 Wireless-LAN 5 1 0,21 1,05
5 KlikChat 12 4 0,24 11,52
6 Whatsapp 7 2 0,3 4,2
7 Trello 9 3 0,31 8,37
8 Firewall 12 4 0,31 14,88
9 SQL 7 4 0,24 6,72
10 NoSQL 0,24 6,72
7 4
(MongoDB)
11 Backup Genset 1 1 0,3 0,3
12 Pemadam 0,34 2,04
2 3
Keabakaran
13 Tabel user dan 0,25 6,25
5 3
password
14 Tabel transaksi 0,21 2,1
5 2
pesan
15 Tabel credit card 7 4 0,31 8,68
16 Tabel keuangan 6 4 0,3 7,2

29
 topup
17 Tabel token API 12 4 0,32 15,36

Setelah diketahui nilai risiko pada masing-masing aset, langkah

selanjutnya yaitu menentukan level risiko masing-masing aset. Penentuan level
risiko dilakukan dengan menyesuaikan hasil dari nilai risiko pada matriks level
risiko yang hasilnya ada pada tabel 4.14
Tabel 4.14 Level Risiko
No. Aset Nilai Risiko Level Risiko
1 PC 1,05 LOW
2 Windows 0,66 LOW
3 LAN 1,05 LOW
4 Wireless-LAN 1,05 LOW
5 KlikChat 11,52 MEDIUM
6 Whatsapp 4,2 LOW
7 Trello 8,37 LOW
8 Firewall 14,88 MEDIUM
9 SQL 6,72 LOW
10 NoSQL (MongoDB) 6,72 LOW
11 Backup Genset 0,3 LOW
12 Pemadam Keabakaran 2,04 LOW
13 Tabel user dan password 6,25 LOW
14 Tabel transaksi pesan 2,1 LOW
15 Tabel credit card 8,68 LOW
16 Tabel keuangan topup 7,2 LOW
17 Tabel token API 15,36 MEDIUM

Dari hasil level risiko pada tabel 4.14 maka dapat ditentukan bahwa ada
beberapa aset yang bernilai Medium yaitu KlikChat, Firewall dan Tabel Token
API. Pengolahan risiko hanya akan dilakukan dengan aset yang bernilai medium
saja sesuai dengan kriteria penerimaan risiko. Sedangkan untuk aset yang level
risikonya Low tidak perlu mendapatkan pengolahan risiko lebih lanjut karena
risiko tersebut akan diterima sesuai dengan kriteria penerimaan risiko yang ada.

4.2.5 Analisa Penanganan Risiko

Pada tahap analisa penanganan risiko bertujuan untuk menentukan pilihan
penanganan risiko jika risiko yang timbul tidak dapat langsung diterima tetapi
perlu dikelola lebih lanjut dengan menggunakan kriteria penerimaan risiko yang

30
telah ditetapkan sebelumnya. Pilihan penanganan risiko ditentukan sebagai
berikut:
1. Menerima risiko dengan menetapkan kontrol keamanan yang sesuai
2. Menerima risiko dengan menggunakan kriteria penerimaan risiko yang ada
Setelah menentukan pilihan penanganan risiko selanjutnya adalah
melakukan pilihan penanganan risiko pada aset yang bernilai medium yaitu
KlikChat, Firewall dan Tabel token API yang ada pada tabel 4.15
Tabel 4.15 Pilihan Penanganan Risiko
No Aset Pilihan Penanganan Risiko
.
1 KlikChat Status risiko Risk Reduction yaitu dengan menetapkan
kontrol keamanan yang sesuai dengan ISO 27002
2 Firewall Status risiko Risk Reduction yaitu dengan menetapkan
kontrol keamanan yang sesuai dengan ISO 27002
3 Tabel token API Status risiko Risk Reduction yaitu dengan menetapkan
kontrol keamanan yang sesuai dengan ISO 27002

4.2.6 Penentuan Objektif Kontrol dan Kontrol

Menentukan kontrol keamanan yang sesuai pada aset yang memiliki level
risiko yang lebih tinggi. Penetapan objektif kontrol dan kontrol disesuaikan
dengan ancaman dan kelemahan dari masing-masing aset yang dipilih. Tujuan
penentuan kontrol keamanan ini dijadikan dasar untuk membuat prosedur kontrol
dalam pengelolaan risiko. Berikut adalah objektif kontrol dan kontrol berdasarkan
ISO 27002:2013.
1. KlikChat
Objektif kontrol dan kontrol pada KlikChat yang terdiri dari klausul A.9.3,
A.9.4
Tabel 4.16 Objektif Kontrol dan Kontrol KlikChat
Objektif Kontrol dan Kontrol
Kategori Keamanan Utama A.9.3: Tanggung jawab user
Objektif Kontrol: untuk mencegah selain user menggunakan aplikasi KlikChat
A.9.3.1 Penggunaan autentifikasi Pengendalian:
informasi rahasia User harus memiliki
nomor pin sebagai

31
 autentifikasi agar seluruh
data dan informasi yang
ada dapat dirahasiakan
dan terlindungi
Kategori Keamanan Utama A.9.4: Kontrol Akses Sistem dan Aplikasi
Objektif Kontrol: untuk mencegah pengaksesan pada sistem dan aplikasi yang
ilegal
A.9.4.1 Pembatasan akses Pengendalian:
informasi User yang ingin
mengakses informasi
perlu diberi batasan
untuk menggunakannya
sesuai dengan
kebutuhan.
A.9.4.2 Prosedur aman masuk Pengendalian:
Untuk prosedur agar
terjamin keamanannya
harus mengikuti
langkah-langkah yang
harus dilalui termasuk
mengisi kode captcha
A.9.4.3 Sistem manajemen Pengendalian:
password Dibuat sebuah sistem
agar password yang
dibuat tidak mudah
dipakai orang lain.
Termasuk huruf kecil
atau capital, minimal 8
karakter dan berisi
angka.
A.9.4.5 Kontrol akses ke Source Pengendalian:
Code Program Untuk akses ke source
code program perlu
dibuat kebijakan agar

32
 hanya yang
berkepentingan yang
dapat akses.

2. Firewall
Objektif kontrol dan kontrol pada Firewall yang terdiri dari klausul A.12.4
Tabel 4.17 Objektif Kontrol dan Kontrol Firewall
Objektif Kontrol dan Kontrol
Kategori Keamanan Utama A.12.4: Logging dan Monitoring
Objektif Kontrol: untuk melindungi data dan informasi serta merekam kejadian
yang ada pada server berupa log yaitu user yang mengakses dan batasan
informasi yang diakses
A.12.4.1 Logging kejadian Pengendalian:
Log akan merekam user
yang mengakses
informasi dan batasan
informasi yang ada pada
user sehingga user hanya
mengambil informasi
yang dibutuhkan.
A.12.4.3 Administrator dan Pengendalian:
Operator Log User yang ingin
mengakses informasi
harus meminta izin pada
administrator, setelah
mendapat izin maka
operator akan memberi
batasan informasi yang
telah disetujui
administrator.

3. Tabel Token API

Objektif kontrol dan kontrol pada Tabel Token API yang terdiri dari
klausul A.10.1

33
 Tabel 4.18 Objektif Kontrol dan Kontrol Tabel Token API
Objektif Kontrol dan Kontrol
Kategori Keamanan Utama A.12.4: Logging dan Monitoring
Objektif Kontrol: untuk melindungi data dan informasi serta merekam kejadian
yang ada pada server berupa log yaitu user yang mengakses dan batasan
informasi yang diakses
A.10.1.1 Kebijakan Penggunaan Pengendalian:
Kontrol Kriptografi Kebijakan yang berguna
untuk mengontrol
penggunaan kriptografi
agar para developer
dapat memiliki acuan
dan tidak rancu dalam
mengatur dan
mengembangkan
kriptografi
A.10.1.2 Manajemen Kunci Pengendalian:
Token API akan
diberikan pada developer
yang diberikan izin
akses untuk
mengembangkan
aplikasi.

4.2.7 Membuat Kebijakan dan Prosedur Keamanan Informasi

Pembuatan kebijakan dan prosedur dilakukan berdasarkan objektif kontrol
dan kontrol yang telah ditentukan. Kebijakan dan prosedur yang dihasilkan
berdasarkan objektif kontrol dan kontrol pada klausul-klausul berikut
1. Kebijakan Kontrol Akses (klausul A.9.3.1, A.9.4.1, A.9.4.2, A.9.4.3,
A.9.4.5)
2. Kebijakan Keamanan Operasi (klausul A.12.4.1, A.12.4.3)
3. Kebijakan Kriptografi (klausul A.10.1.2)

34
 Pembuatan instruksi kerja dihasilkan berdasarkan proseduryang
membutuhkan detil rinci langkah dalam pengerjaannya. Rekam kerja dihasilkan
dari lampiran pada instruksi kerja atau prosedur. Tabel 4.19 merupakan rincian
dari kebutuhan kebijakan, prosedur, instruksi kerja dan rekam kerja.

Tabel 4.19 Rincian Kebijakan, Prosedur, Instruksi Kerja dan Rekam Kerja
No Nama
.
1 Kebijakan Kontrol Akses
2 Kebijakan Keamanan Informasi
3 Kebijakan Kriptografi
4 Prosedur Pengendalian Kontrol
Akses
5 Prosedur Logging
6 Prosedur Penggunaan Kriptografi
7 Instruksi Kerja Logging Kejadian
8 Instruksi Kerja Administrator dan
Operator Log
9 Instruksi Kerja Kriptografi
10 Form Pembatalan Akses
Referensi
Kontrol Objektif dan Kontrol klausul
A.9.3.1, A.9.4.1, A.9.4.2, A.9.4.3,
A.9.4.5
Kontrol Objektif dan Kontrol klausul
A.12.4.1, A.12.4.3
Kontrol Objektif dan Kontrol klausul
A.10.1.1, A.10.1.2
Kebijakan Kontrol Akses
Kebijakan Keamanan Informasi
Kebijakasdn Kriptografi
Prosedur Logging
Prosedur Logging
Prosedur Penggunaan Kriptografi
Instruksi Kerja Administrator dan
Operator Log

4.3 Tahap Akhir

35
 BAB V
KESIMPULAN

5.1 Kesimpulan
Dalam perencanaan Sistem Manajemen Keamanan Informasi (SMKI) pada
PT Surya Lifetime Internasional di Bagian Klik Chat setelah dilakukan dari
permasalahan dan ancaman yang diketahui dari sisi confidentiality, integrity dan
availability menghasilkan dokumen berupa:
1. Profil perusahaan, visi, misi, struktur organisasi dan deskripsi pekerjaan
dan flow of information
2. Ruang lingkup, risiko dan tujuan perencanaan.
3. Hasil pemilihan klausul, objektif kontrol dan kontrol
Dari dokumen tersebut dapat digunakan untuk perusahaan agar dapat
menjadi acuan dalam mengembangkan sistem manajemen keamanan informasi.

5.2 Saran
Saran yang diberikan untuk pengembangan lebih lanjut adalah
melanjutkan ke dalam tahap persiapan, tahap pelaksanaan dan tahap pelaporan
dalam sistem manajemen keamanan informasi. Gunanya agar dapat menjadi
dokumen audit keamanan informasi bagi perusahaan.

36