Program Studi
S1 Sistem Informasi
KELOMPOK 8:
Alifudin Aziz (15410100116)
Moch. Khrisna A. (17410100135)
DAFTAR ISI.............................................................................................................i
BAB I PENDAHULUAN........................................................................................3
1.4 Tujuan............................................................................................................5
1.5 Manfaat..........................................................................................................5
2.2.1 Visi..........................................................................................................8
2.2.2 Misi.........................................................................................................8
3.1 Metodologi...................................................................................................11
3.2.1 Wawancara............................................................................................12
3.2.2 Observasi...............................................................................................12
i
3.3.2 Menentukan Pendekatan Penilaian Risiko............................................13
3.4.2 Kebijakan..............................................................................................14
3.4.3 Prosedur................................................................................................14
BAB V KESIMPULAN........................................................................................36
5.1 Kesimpulan..................................................................................................36
5.2 Saran.............................................................................................................36
ii
BAB I
PENDAHULUAN
3
muncul sehingga masih dalam level reaktif terhadap permasalahan. Permasalahan
yang muncul dapat dilihat dari beberapa sisi yaitu Confidentiality, Integrity dan
Availability. Dalam sisi Confidentiality yaitu produk yang menggunakan platform
digital memiliki celah dalam keamanannya sehingga rentan terhadap serangan dari
eksternal sehingga informasi atau data yang bersifat rahasia terancam. Dalam sisi
Integrity yaitu informasi yang diperoleh dan diolah harus sesuai dengan sumber-
sumber yang dapat dipertanggungjawabkan sehingga dalam manipulasi data untuk
dijadikan informasi dapat dipercaya. Dari sisi Availability yaitu seluruh informasi
yang ditampilkan dalam produk yang menggunakan platform digital harus dapat
diakses kapanpun sehingga pengguna dapat memanfaatkannya untuk
kebutuhannya.
Maka dari itu dalam kegiatan manajemen keamanannya perlu digunakan
standar. Standar ISO 27002:2013 dipilih dengan pertimbangan bahwa di
dalamnya berisi panduan praktis (code of practice) teknik keamanan informasi.
Pertimbangan lainnya adalah ISO 27002:2013 menyediakan dokumen standar
Sistem Manajemen Keamanan Informasi (SMKI) untuk digunakan oleh mereka
yang bertanggung jawab untuk proses implementasi dan pemeliharaan
Information Security Management Systems (ISMS) pada suatu organisasi. Standar
ini dipilih dan diterapkan kontrol yang tepat sesuai kebutuhan khususnya Bagian
Klik Chat.
4
1.3 Batasan Masalah
Berdasarkan perumusan masalah, maka tujuan dalam perencanaan sistem
manajemen keamanan informasi ini agar tidak menyimpang maka batasan
masalahnya adalah sebagai berikut:
1. Bagian yang dilakukan perencanaan sistem manajemen keamanan
informasi adalah Bagian Klik Chat.
2. Standar yang menjadi acuan adalah ISO 27002:2013 dalam
perencanaan sistem manajemen keamanan informasi.
1.4 Tujuan
Tujuan yang akan dicapai dalam perancanaan sistem manajemen
keamanan informasi pada PT Surya Lifetime Internasional studi kasus Klik Chat
adalah sebagai berikut:
1. Menghasilkan perencanaan sistem keamanan informasi pada Bagian
Klik Chat berdasarkan ISO 27002:2013.
2. Melaksanakan perencanaan sistem keamanan informasi pada Bagian
Klik Chat berdasarkan ISO 27002:2013 dengan menganalisa hasil
wawancara berupa bukti dan temuan-temuan keamanan informasi.
3. Menyusun hasil perencanaan sistem keamanan informasi pada Bagian
Klik Chat berdasarkan ISO 27002:2013 dengan melakukan analisa dan
evaluasi dari bukti dan temuan yang ada sehingga didapat hasil yang
berupa temuan dan rekomendasi.
1.5 Manfaat
Berdasarkan tujuan dari perencanaan sistem keamanan informasi maka
didapatkan beberapa manfaat sebagai berikut:
1. Untuk Bagian Klik Chat di PT Surya Lifetime Internasional
a. Mendapatkan kontribusi untuk meningkatkan keamanan sistem
informasi dengan standar ISO 27002:2013.
b. Memperoleh pedoman atau acuan untuk menangani permasalahan
yang terjadi di Bagian Klik Chat.
5
c. Hasil analisa dapat membantu Bagian Klik Chat dalam menjadi
bahan masukan dan rekomendasi untuk improvement keamanan
informasi.
2. Bagi Mahasiswa
a. Dapat menerapkan sekaligus mengembangkan ilmu yang dipelajari
selama perkuliahan pada mata kuliah Sistem Manajemen
Keamanan Informasi dengan standar ISO 27002:2013.
b. Menambah wawasan dan pengetahuan secara teoritis dan praktis.
6
BAB II
GAMBARAN PERUSAHAAN
7
2.2 Visi dan Misi Perusahaan
2.2.1 Visi
“Menjadi perusahaan teknologi kelas dunia”
2.2.2 Misi
Memberikan kesempatan yang sama kepada setiap orang untuk menjadi
entrepreneur dalam ekosistem dunia digital.
2.2.3 Struktur Organisasi
Pada gambar 2.1, setiap bagian dari struktur organisasi khususnya struktur
Bagian Klik Chat memiliki tugas pokok dan fungsi masing-masing. Berikut
adalah penjelasan dari tugas pokok dan fungsi masing-masing bagian:
8
2. Membagi tugas kepada staff sesuai
dengan bidangnya dan memulai tahap
production
3. Memantau pelaksanaan production
yang dilakukan staff
4. Melakukan testing atau uji coba dan
melaporkan ke Kepala Divisi
3 Eko Febri H. 1. Melaksanakan production sesuai
Staff Development dengan pembagian tugas dari Wakil
(Android) Kepala Divisi
2. Melaporkan hasil production kepada
Wakil Kepala Divisi
4 Firman Zain 1. Melaksanakan production sesuai
Staff Development dengan pembagian tugas dari Wakil
(Website) Kepala Divisi
2. Melaporkan hasil production kepada
Wakil Kepala Divisi
5 Aji 1. Melaksanakan production sesuai
Staff Development dengan pembagian tugas dari Wakil
(iOS) Kepala Divisi
2. Melaporkan hasil production kepada
Wakil Kepala Divisi
9
Gambar 2.2 Value Chain
Value chain pada gambar 2.2 dapat digunakan sebagai dasar untuk
penentuan ruang lingkup bisnis.
10
BAB III
METODOLOGI
3.1 Metodologi
Pada laporan ini, langkah dalam perencanaan sistem manajemen keamanan
informasi pada Bagian Klik Chat di PT Surya Lifetime Internasional dapat dilihat
pada gambar 3.1
11
3.2.1 Wawancara
Wawancara dilakukan terhadap staff terkait dengan pelaksanaan tugas
yang berhubungan langsung dengan permasalahan pengolahan dan keamanan
informasi. Melalui tahapan wawancara diperoleh informasi mengenai tugas pokok
dan fungsi masing-masing bagian, penggunaan dan permasalahan perangkat
pengolah informasi serta permasalahan dan ancaman/risiko yang berkaitan dengan
keamanan informasi.
3.2.2 Observasi
Observasi dilakukan dengan pengamatan secara langsung pada PT Surya
Lifetime Internasional sehingga diketahui kondisi nyata dari perusahaan tersebut
dan diperoleh permasalahan yang terdapat pada bagian. Observasi dilakukan pada
bagian development Klik Chat PT Surya Lifetime Internasional.
3.2.3 Studi Literatur
Studi literatur yang dilakukan merujuk pada dokumen International
Standard Operation (ISO) atau dokumen terkait keamanan informasi dalam hal
ini meliputi:
1. ISO 27002:2013
2. Kebijakan dan Prosedur Keamanan Informasi
12
sesuai dengan kebutuhan permasalahan keamanan informasi perusahaan, ruang
lingkup ditentukan berdasarkan bagian objek observasi.
3.3.2 Menentukan Pendekatan Penilaian Risiko
Langkah yang dilakukan untuk menentukan bagaimana cara melakukan
penilaian risiko terhadap informasi yang dimiliki, cara penilaian risiko ini
berdasarkan pada ruang lingkup yang telah ditentukan dengan menentukan
metode risk assessment dan menentukan kriteria penerimaan risiko.
3.3.3 Identifikasi Risiko
Identifikasi dilakukan untuk mengetahui seberapa besar dan indentifikasi
risiko apa yang akan diterima oleh PT Surya Lifetime Internasional pada bagian
development Klik Chat yang terdiri dari identifikasi aset, nilai aset, nilai ancaman,
dan dampak keamanan pada masing-masing asset.
Kriteria aset nilai untuk menentukan nilai setiap aset dapat dilihat pada
tabel 3.1 untuk Confidentiality, tabel 3.2 untuk Integrity dan tabel 3.3 untuk
Availability.
13
Office Hours Availability 1
Strong Availability 2
High Availabilty 3
Very High Availability 4
14
3.3.6 Membuat Kebijakan dan Prosedur Keamanan Informasi dan Instruksi
Kerja
Penyusunan kebijakan dan prosedur disusun dengan memperhatikan
sasaran kontrol yang telah dipilih sesuai dengan objektif kontrol dan kontrol yang
telah ditetapkan pada aset dengan nlai risiko paling tinggi (Medium/High) dalam
Klik Chat. Kebijakan dan prosedur berfungsi sebagai panduan bagi PT Surya
Lifetime Internasional bagian development Klik Chat.
15
3.4.4 Instruksi Kerja
Instruksi kerja memuat hasil rinci dari prosedur yang telah dibuat sehingga
instruksi kerja merupakan dokumen kompleks yang lebih detail dari prosedur.
3.4.5 Rekam Kerja
Rekam kerja adalah dokumen terdokumentasi yang dilakukan untuk
melaksanakan dan memudahkan jejak telusur dalam kegiatan sistem manajemen
keamanan informasi
16
BAB IV
HASIL DAN PEMBAHASAN
17
proses RND maka akan diproduksi sehingga membentuk aplikasi. Pada tahap
outbound terdapat proses evaluasi dan monitoring dari aplikasi tersebut. Pada
tahap marketing terdapat proses publikasi aplikasi yang nantinya akan
dipublikasikan di website, Playstore dan Appstore. Pada tahap services terdapat
layanan dari pihak ketiga atau vendor yang digunakan untuk proses bisnis
keseluruhan.
Pada aktivitas pendukung terdapat beberapa aktivitas yaitu keuangan,
sumber daya manusia dan sarana & prasarana. Tujuan dari keseluruhan aktivitas
utama dan aktivitas pendukung adalah untuk menjadi penyedia layanan pesan
yang simple, aman dan terpercaya.
b. Layanan Bagian Klik Chat
Pada hasil wawancara dapat disimpulkan bahwa layanan IT yang
mencakup area-area yang mencakup infrastruktur dan aplikasi. Penjelasan detil
dapat dilihat pada tabel 4.1
Tabel 4.1 Layanan IT
No Bagian Area Layanan
.
1 Infrastruktu Standarisasi Network Manajemen user
Kesiapan Data Center Access Control
r
Security monitoring
Kesiapan Pengamanan Autentifikasi user
Informasi Ketersediaan firewall
Ketersediaan tools Aplikasi monitoring
monitoring dan (Aplikasi Whatsapp,
troubleshooting Trello)
2 Aplikasi Aplikasi Core Business Aplikasi Klik Chat
4.1.2 Observasi
a. Permasalahan Bagian Klik Chat
Permasalahan yang terjadi adalah melakukan penilaian dan pengukuran
tentang pengamanan informasi yang belum terdapat kebijakannya. Dalam
pengamanan informasinya masih secara responsif jika terjadi ancaman dan
kelemahan yang menyerang atau terjadi. Bagian Klik Chat perlu merencanakan
bagaimana mengelola sebuah sistem keamanan informasi yang baik dan sesuai
18
standar sehingga Bagian Klik Chat membutuhkan panduan perencanaan sistem
manajemen keamanan informasi agar sistem manajemen keamanan informasinya
dapat dikelola dan dikembangkan dengan baik.
4.1.3 Studi Literatur
1. Pemilihan Kontrol berdasarkan ISO 27002:2013
Pemilihan kontrol objektif dan kontrol berdasarkan pada ISO 27002:2013
yang dimana di dalamnya memiliki kontrol yang dapat digunakan setiap masalah
keamanan informasi tentunya setelah melakukan beberapa tahap penentuan
masalah keamanan informasi yang dilakukan dengan tahapan identifikasi aset,
menghitung nilai aset, menghitung nilai ancaman, dan kelemahan aset sesuai
dengan aspek keamanan infromasi (kerahasiaan, keutuhan, dan ketersediaan) dan
melakukan analisa pada dampak bisnis (BIA).
2. Pembuatan Kebijakan dan Prosedur Keamanan Informasi
Kebijakan dan prosedur keamanan informasi dibuat berdasarkan pemilihan
kontrol objektif dan kontrol pada salah satu aset yang memiliki level risiko lebih
tinggi. Kontrol objektif dan kontrol pada ISO 27002:2013 dipilih sesuai dengan
ancaman dan kelemahan yang ada pada aset yang kemudian dibuat penulisan
kebijakan dan prosedur.
3. Pembuatan Instruksi Kerja dan Rekaman Kerja
Instruksi kerja dibuat apabila dalam proses prosedur membutuhkan
langkah pengerjaan yang lebih rinci dan jelas, maka intruksi kerja dapat dibuat
mengacu pada prosedur terkait. Rekam kerja dibuat apabila prosedur atau
instruksi kerja memutuhkan dokumentasi langsung dalam setiap kegiatan yang
dilakukan sebagai lampiran terkait prosedur dan instruksi kerja.
4.2 Tahap Pengembangan
Pada tahap pengembangan dilakukan dengan cara menentukan ruang
lingkup terlebih dahulu, kemudian menentukan pendekatan penilaian risiko,
identifikasi risiko yang di dalamnya terdapat identifikasi aset, analisa dan evaluasi
risiko, menentukan objektif kontrol dan kontrol yang berdasarkan ISO
27002:2013 dan yang terakhir membuat kebijakan dan prosedur keamanan
informasi (SOP, IK, RK).
19
4.2.1 Penentuan Ruang Lingkup
Dalam menentukan ruang lingkup SMKI membutuhkan kebutuhan yang dimiliki
oleh Bagian Klik Chat dan aset-aset yang terdapat pada Bagian Klik Chat sebagai
berikut.
a. Kebutuhan Bagian Klik Chat
Kebutuhan yang ada pada Bagian Klik Chat dibagi menjadi 2 area yaitu
segi infrastruktur dan aplikasi yang ditunjukkan pada tabel 4.2
Tabel 4.2 Kebutuhan Bagian Klik Chat
Area Bagian
Infrastruktu Keamanan network yang meliputi manajemen user
r
Keamanan data center melitputi access control dan security
monitoring
Keamanan informasi yang meliputi autentifikasi user,
antivirus dan firewall
Aplikasi Pelatihan aplikasi core business bagi key user
b. Aset Bagian Klik Chat
Aset yang dimiliki pada Bagian Klik Chat terdiri dari beberapa bagian
yaitu aset perangkat keras, aset perangkat lunak, aplikasi, aset infrastruktur dan
aset data atau informasi yang dilihat pada tabel 4.3
20
Merupakan metode yang digunakan dalam penilaian risiko pada PT Surya
Lifetime Internasional pada bagian development KlikChat yaitu menggunakan
metode kualitatif dengan cara melakukan wawancara dan pengamatan survey.
2. Kriteria Penerimaan Risiko
Kriteria penerimaan risiko ditetapkan berdasarkan dampak bisnis (BIA)
dengan kriteria low, medium dan high dimana prosedur digunakan pada kriteria
medium dan high.
4.2.3 Identifikasi Risiko
a. Identifikasi Aset
Pada proses identifikasi aset dapat digolongkan menjadi beberapa jenis
seperti aset perangkat keras (hardware), aset perangkat lunak (software), aset
infrastruktur dan aset informasi. Identifikasi aset dapat dilihat pada tabel 4.4
Tabel 4.4 Identifikasi Aset
No Jenis Aset Aset
.
1 Aset Perangkat Perangkat PC
Keras Komputer
(Hardware)
2 Aset Perangkat Sistem Operasi Windows
Jaringan Local Area Nnetwork
Lunak
(LAN)
(Software)
Wireless-LAN
Aplikasi Aplikasi Core Business:
KlikChat
Aplikasi Toolmonitoring:
Whatsapp
Trello
Tools Firewall (SSL)
Database SQL
NoSQL (MongoDB)
3 Aset Keamanan Backup Genset
Pemadam Kebakaran
Infrastruktur
Aset Informasi Database Tabel user dan password
Tabel transaksi pesan
Tabel credit card
Tabel keuangan topup
Tabel token API
21
b. Menghitung Nilai Aset
Setelah melakukan identifikasi aset, langkah selanjutnya adalah
melakukan perhitungan nilai aset berdasarkan pada pendekatan aspek keamanan
informasi yaitu kerahasiaan (confidentiality), keutuhan (integrity) dan
ketersediaan (availability). Penilaian aset berdasarkan kriteria aspek dapat dilihat
pada tabel 3.1 perhitungan nilai aset dapat menggunakan persamaan matematis
yaitu Nilai Aset (NS) = NC + NI + NA
Keterangan:
NC = Nilai Confidentiality
NI = Nilai Integrity
NA = Nilai Availability
Nilai dari masing-masing aset pada Bagian Klik Chat dapat dilihat pada
tabel 4.5
Tabel 4.5 Nilai Aset
Kriteria Nilai Aset
No. Aset
NC NI NA (NC+NI+NA)
1 PC 2 0 1 3
2 Windows 1 1 1 3
3 LAN 1 2 2 5
4 Wireless-LAN 1 2 2 5
5 KlikChat 4 4 4 12
6 Whatsapp 2 2 3 7
7 Trello 3 3 3 9
8 Firewall 4 4 4 12
9 SQL 3 2 2 7
10 NoSQL (MongoDB) 3 2 2 7
11 Backup Genset 0 0 1 1
12 Pemadam Keabakaran 0 1 1 2
13 Tabel user dan password 2 2 1 5
14 Tabel transaksi pesan 2 2 1 5
15 Tabel credit card 3 2 2 7
16 Tabel keuangan topup 2 2 2 6
17 Tabel token API 4 4 4 12
22
(thread) dan kelemahan (vulnerable) yang terdapat pada aset dibuat tabel
kemungkinan kejadian (Probability of Occurance). Langkah yang harus dilakukan
adalah menentukan nilai rata-rata probabilitas. Rentang nilai probabilitas
ditentukan sebagai berikut.
23
(Threat)
Jumlah Ancaman = 7 Jumlah rata-rata Prob 1,7
NT (KlikChat) = ∑ PO / ∑ Ancaman
= 1,7 / 7 = 0,24
Nilai ancaman untuk KlikChat adalah 0,24.
Rekap dari nilai ancaman pada masing-masing aset dapat ditunjukkan pada
tabel 4.7
Tabel 4.7 Nilai ancaman masing-masing aset
No
Aset Nilai Ancaman
.
1 PC 0,35
2 Windows 0,22
3 LAN 0,21
4 Wireless-LAN 0,21
5 KlikChat 0,24
6 Whatsapp 0,3
7 Trello 0,31
8 Firewall 0,31
9 SQL 0,24
10 NoSQL (MongoDB) 0,24
11 Backup Genset 0,3
12 Pemadam Keabakaran 0,34
13 Tabel user dan password 0,25
14 Tabel transaksi pesan 0,21
15 Tabel credit card 0,31
16 Tabel keuangan topup 0,3
17 Tabel token API 0,32
Kategori Dampak
24
Jika data yang terdapat pada PC diakses tanpa ijin
dapat menyebabkan kerugian seperti kebocoran
source code aplikasi,dan kerahasiaan data-data
Kerahasiaan utama dapat diketahui oleh pihak luar yang tidak
bertanggung jawab dapat mengganggu dan
memberikan kerugian bagi individu yang
bersangkutan.
Kategori Dampak
25
maka akan menghambat transaksi pengguna dan
akan merugikan pada sisi finansial perusahaan
Tabel 4.10
No. Aset Dampak Nilai Referensi
BIA
1 Development aplikasi
PC terhenti karena gangguan 1
pada PC
2 Pelayanan terhadap
Windows 1
individu (user) terganggu
3 Komunikasi antar unit
terhenti dan dapat
LAN 1
menggangu pengembangan
aplikasi
4 Wireless- Komunikasi online antar
1
LAN bagian terganggu
5 Terganggunya pengguna
KlikChat dalam pengaksesan layanan 4
yang digunakan
6 Komunikasi antar staff
terhenti ketika ada
Whatsapp permasalahan pada aplikasi 2
sehingga menyebabkan
layanan terhenti
7 Trello Pengembangan aplikasi 3
setiap bagian akan
26
terganggu dan
menyebabkan berhentinya
proses development pada
aplikasi
8 Banyak akses illegal yang
dapat masuk kedalam
Firewall 4
aplikasi dan dapat merusak
aspek keamanan data CIA
9 Kerusakan data pengguna
yang menyebabkan
SQL 4
berhentinya seluruh proses
bisnis
10 Terhentinya layanan
keuangan pengguna dan
NoSQL berhentinya layanan
4
(MongoDB) transaksi yang
menyebabkan bisnis
terhenti
11 Terhentinya pengembangan
Backup aplikasi dan berhentinya
1
Genset layanan komunikasi antar
bagian
12 Hilangnya source data
Pemadam
maupun aset informasi yang 3
Keabakaran
ada pada penyimpanan fisik
13 Bocornya data pengguna
Tabel user yang dapat menyebabkan
dan penggunaan tidak 3
password bertanggung jawab ataupun
berhentinya layanan
14 Kerahasiaan transaksi pesan
Tabel
akan terganggu dan
transaksi 2
berdampak pada nama baik
pesan
perusahaan
15 Tabel credit Penggunaan finansial yang 4
27
tidak bertanggung jawab
menyebabkan kerugian
besar pada pengguna dan
card berdampak pada masalah
hokum yang menyebabkan
bisnis terhenti dan kerugian
besar
16 Keutuhan data yang
Tabel
bermasalah menyebabkan
keuangan 4
nilai keuangan yang tidak
topup
valid
17 Pengaksesan akes database
secara illegal yang dapat
Tabel token
merusak seluruh unsur 4
API
keamanan inormasi CIA
yang ada pada database
28
80 < Very High Critical ≤ 100
29
topup
17 Tabel token API 12 4 0,32 15,36
Dari hasil level risiko pada tabel 4.14 maka dapat ditentukan bahwa ada
beberapa aset yang bernilai Medium yaitu KlikChat, Firewall dan Tabel Token
API. Pengolahan risiko hanya akan dilakukan dengan aset yang bernilai medium
saja sesuai dengan kriteria penerimaan risiko. Sedangkan untuk aset yang level
risikonya Low tidak perlu mendapatkan pengolahan risiko lebih lanjut karena
risiko tersebut akan diterima sesuai dengan kriteria penerimaan risiko yang ada.
30
telah ditetapkan sebelumnya. Pilihan penanganan risiko ditentukan sebagai
berikut:
1. Menerima risiko dengan menetapkan kontrol keamanan yang sesuai
2. Menerima risiko dengan menggunakan kriteria penerimaan risiko yang ada
Setelah menentukan pilihan penanganan risiko selanjutnya adalah
melakukan pilihan penanganan risiko pada aset yang bernilai medium yaitu
KlikChat, Firewall dan Tabel token API yang ada pada tabel 4.15
Tabel 4.15 Pilihan Penanganan Risiko
No Aset Pilihan Penanganan Risiko
.
1 KlikChat Status risiko Risk Reduction yaitu dengan menetapkan
kontrol keamanan yang sesuai dengan ISO 27002
2 Firewall Status risiko Risk Reduction yaitu dengan menetapkan
kontrol keamanan yang sesuai dengan ISO 27002
3 Tabel token API Status risiko Risk Reduction yaitu dengan menetapkan
kontrol keamanan yang sesuai dengan ISO 27002
31
autentifikasi agar seluruh
data dan informasi yang
ada dapat dirahasiakan
dan terlindungi
Kategori Keamanan Utama A.9.4: Kontrol Akses Sistem dan Aplikasi
Objektif Kontrol: untuk mencegah pengaksesan pada sistem dan aplikasi yang
ilegal
A.9.4.1 Pembatasan akses Pengendalian:
informasi User yang ingin
mengakses informasi
perlu diberi batasan
untuk menggunakannya
sesuai dengan
kebutuhan.
A.9.4.2 Prosedur aman masuk Pengendalian:
Untuk prosedur agar
terjamin keamanannya
harus mengikuti
langkah-langkah yang
harus dilalui termasuk
mengisi kode captcha
A.9.4.3 Sistem manajemen Pengendalian:
password Dibuat sebuah sistem
agar password yang
dibuat tidak mudah
dipakai orang lain.
Termasuk huruf kecil
atau capital, minimal 8
karakter dan berisi
angka.
A.9.4.5 Kontrol akses ke Source Pengendalian:
Code Program Untuk akses ke source
code program perlu
dibuat kebijakan agar
32
hanya yang
berkepentingan yang
dapat akses.
2. Firewall
Objektif kontrol dan kontrol pada Firewall yang terdiri dari klausul A.12.4
Tabel 4.17 Objektif Kontrol dan Kontrol Firewall
Objektif Kontrol dan Kontrol
Kategori Keamanan Utama A.12.4: Logging dan Monitoring
Objektif Kontrol: untuk melindungi data dan informasi serta merekam kejadian
yang ada pada server berupa log yaitu user yang mengakses dan batasan
informasi yang diakses
A.12.4.1 Logging kejadian Pengendalian:
Log akan merekam user
yang mengakses
informasi dan batasan
informasi yang ada pada
user sehingga user hanya
mengambil informasi
yang dibutuhkan.
A.12.4.3 Administrator dan Pengendalian:
Operator Log User yang ingin
mengakses informasi
harus meminta izin pada
administrator, setelah
mendapat izin maka
operator akan memberi
batasan informasi yang
telah disetujui
administrator.
33
Tabel 4.18 Objektif Kontrol dan Kontrol Tabel Token API
Objektif Kontrol dan Kontrol
Kategori Keamanan Utama A.12.4: Logging dan Monitoring
Objektif Kontrol: untuk melindungi data dan informasi serta merekam kejadian
yang ada pada server berupa log yaitu user yang mengakses dan batasan
informasi yang diakses
A.10.1.1 Kebijakan Penggunaan Pengendalian:
Kontrol Kriptografi Kebijakan yang berguna
untuk mengontrol
penggunaan kriptografi
agar para developer
dapat memiliki acuan
dan tidak rancu dalam
mengatur dan
mengembangkan
kriptografi
A.10.1.2 Manajemen Kunci Pengendalian:
Token API akan
diberikan pada developer
yang diberikan izin
akses untuk
mengembangkan
aplikasi.
34
Pembuatan instruksi kerja dihasilkan berdasarkan proseduryang
membutuhkan detil rinci langkah dalam pengerjaannya. Rekam kerja dihasilkan
dari lampiran pada instruksi kerja atau prosedur. Tabel 4.19 merupakan rincian
dari kebutuhan kebijakan, prosedur, instruksi kerja dan rekam kerja.
Tabel 4.19 Rincian Kebijakan, Prosedur, Instruksi Kerja dan Rekam Kerja
No Nama Referensi
.
1 Kebijakan Kontrol Akses Kontrol Objektif dan Kontrol klausul
A.9.3.1, A.9.4.1, A.9.4.2, A.9.4.3,
A.9.4.5
2 Kebijakan Keamanan Informasi Kontrol Objektif dan Kontrol klausul
A.12.4.1, A.12.4.3
3 Kebijakan Kriptografi Kontrol Objektif dan Kontrol klausul
A.10.1.1, A.10.1.2
4 Prosedur Pengendalian Kontrol Kebijakan Kontrol Akses
Akses
5 Prosedur Logging Kebijakan Keamanan Informasi
6 Prosedur Penggunaan Kriptografi Kebijakasdn Kriptografi
7 Instruksi Kerja Logging Kejadian Prosedur Logging
8 Instruksi Kerja Administrator dan Prosedur Logging
Operator Log
9 Instruksi Kerja Kriptografi Prosedur Penggunaan Kriptografi
10 Form Pembatalan Akses Instruksi Kerja Administrator dan
Operator Log
35
BAB V
KESIMPULAN
5.1 Kesimpulan
Dalam perencanaan Sistem Manajemen Keamanan Informasi (SMKI) pada
PT Surya Lifetime Internasional di Bagian Klik Chat setelah dilakukan dari
permasalahan dan ancaman yang diketahui dari sisi confidentiality, integrity dan
availability menghasilkan dokumen berupa:
1. Profil perusahaan, visi, misi, struktur organisasi dan deskripsi pekerjaan
dan flow of information
2. Ruang lingkup, risiko dan tujuan perencanaan.
3. Hasil pemilihan klausul, objektif kontrol dan kontrol
Dari dokumen tersebut dapat digunakan untuk perusahaan agar dapat
menjadi acuan dalam mengembangkan sistem manajemen keamanan informasi.
5.2 Saran
Saran yang diberikan untuk pengembangan lebih lanjut adalah
melanjutkan ke dalam tahap persiapan, tahap pelaksanaan dan tahap pelaporan
dalam sistem manajemen keamanan informasi. Gunanya agar dapat menjadi
dokumen audit keamanan informasi bagi perusahaan.
36