162 630 1 PB
162 630 1 PB
41
Jurnal TEKNOKOMPAK, Vol. 11, No. 2, 2017, 41-44. ISSN 1412-9663 (print)
pengawasan dan berkaitan dengan masalah kepedulian Berdasarkan hasil pengendalian yang dirancang pada
terhadap keamanan aset informasi tersebut. Hal ini harus sistem manajemen keamananan informasi, maka
dinilai dengan pendekatan lain yang terkait. Penelitian dihasilkan temuan sebagai berikut.
ini berfokus pada penilaian dan pemetaan permasalahan
A. Dokumen Temuan
keamanan terhadap aset informasi pada SIMHP.
Pendekatan tersebut akan digunakan sebagai pedoman Klaus Kontrol Implement Justifikasi Unit Kerja
dalam membuat rancangan model pengendalian a asi
keamanan informasi menggunakan ISO 27001. Selain A.5 Security Policy
itu, pedoman penanganan terhadap ancaman keamanan A.5.1 Information Security Policy
informasi tersebut harus dirancang sesuai kebutuhan A.5.1. Informatio YA Membuat Manajemen
proses bisnis. 1 n Security dokumen Tertinggi
Policy kebijakan
Dokumen keamanan
2. Pembahasan informasi
Standar Internasional ini menetapkan persyaratan untuk A.5.1. Review of TIDAK Membuat Manajemen
penetapan, penerapan, pemeliharaan, dan perbaikan 2 the dokument Tetinggi
Sistem Manajemen Keamanan Informasi dalam konteks Informatio asi hasil
n security mereview
organisasi secara berkesinambungan. Standar ini juga
policy kebijakan
mencakup persyaratan untuk assesment dan penanganan keamanan
kendali keamanan informasi yang disesuaikan dengan informasi
kebutuhan organisasi. Persyaratan standar ini bersifat A.6 Organization of Information Security
umum dan ditujukan untuk diaplikasikan pada semua A.6.1 Internal Organization
organisasi tanpa memperhatikan jenis, ukuran, dan A.6.1. Managem TIDAK Membuat Administra
sifatnya (BSI UK, 2014). Adapun Klausa dalam 1 ent dokument tor
ISO/IEC 27001: 2013 terdiri dari 7 Klausa yaitu: commitme asi
nt to komitmen
1. Klausa 4 Konteks Organisasi informatio manajeme
2. Klausa 5 Kepemimpinan n security n terhadap
3. Klausa 6 Perencanaan keamanan
informasi
4. Klausa 7 Pendukung
5. Klausa 8 Operasi B. Pemetaan Ruang Lingkup
6. Klausa 9 Evaluasi Kinerja Pemangku kepentingan yang relevan harus diidentifikasi
7. Klausa 10 Peningkatan dan harus berpartisipasi dalam mendefinisikan lingkup
pengendalian. Para pemangku kepentingan yang relevan
Dalam ISO/IEC 27001: 2013 terdiri dari:
mungkin internal atau eksternal ke unit organisasi,
14 Kontrol Area: area topik inti yang membahas tentang seperti manajer proyek, manajer sistem informasi, atau
aspek keamanan informasi, 34 Kontrol Tujuan: Tujuan pengambil keputusan keamanan informasi.
Pengendalian, 114 Kontrol: Kontrol berlaku untuk
Organisasi dapat mempertimbangkan membatasi jumlah
diimplementasikan pada Sistem Manajemen Keamanan
hasil pengendalian yang harus dilaporkan kepada
Informasi.
pengambil keputusan dalam jangka waktu tertentu untuk
Daftar area kontrol (Annex A): memastikan kemampuan nya untuk melakukan
perbaikan SMKI berdasarkan hasil pengendalian yang
1. A.5: Kebijakan Keamanan Informasi
dilaporkan. Sebuah jumlah yang berlebihan yang
2. A.6: Keamanan Informasi Organisasi dilaporkan Hasil pengendalian akan berdampak pada
3. A.7: Keamanan sumber daya manusia kemampuan pembuat keputusan untuk memfokuskan
4. A.8: Pengelolaan Aset upaya dan memprioritaskan kegiatan perbaikan di masa
5. A.9: Akses Kontrol depan.
6. A.10: Cryptographic C. Kebijakan, Prosedur, Instruksi dan Dokumentasi
7. A.11: Keamanan Fisik dan lingkungan yang Belum Diterapkan (Rekomendasi)
8. A.12: Operasi keamanan
9. A.13: Komunikasi Keamanan Berdasarkan hasil temuan-temuan audit keamanan
informasi, maka diperoleh beberapa kebijakan, prosedur,
10. A.14: Akuisisi sistem, pengembangan, dan
dan instruksi yang perlu diterapkan pada BPKP Provinsi
pemeliharaan Lampung terutama pada kantor Sub Bagian Prolap
11. A.15: Supplier Relationship sebagai acuan pengamanan sistem informasi yang
12. A.16: Manajemen Insiden Keamanan Informasi terdapat pada Aplikasi SIMHP mengingat pentingnya
13. A.17: Aspek Keamanan Information of data-data yang terdapat di dalam aplikasi SIMHP.
Business Continuity Management Beberapa kebijakan, prosedur, dan instruksi tersebut
adalah:
14. A.18: Kepatuhan
42
Jurnal TEKNOKOMPAK, Vol. 11, No. 2, 2017, 41-44. ISSN 1412-9663 (print)
1. Kebijakan clear desk and clear screen, 17. Dokumentasi penggunaan asset.
a. Personal Computer maupun laptop harus
selalu dalam keadaan terkunci /logged off D. Pengujian Atribut
dengan dilengkapi password ketika pegawai
Setiap atribut yang sudah ditentukan sebelumnya harus
meninggalkan meja. dilakukan pengujian terlebih dahulu apakah atribut
b. Layar komputer diarahkan dan diatur agar tersebut sudah sesuai dan dapat digunakan sebagai
orang lain yang tidak berkepentingan tidak pengendalian dalam sistem manajemen keamanan
dapat melihat apa yang sedang dikerjakan informasi. Salah satu pengujian yang dapat dilakukan
pegawai. adalah uji validasi sistem oleh ahli.
c. Log Off otomatis diatur dalam kondisi aktif, Validasi sistem oleh ahli dilakukan dengan mendemokan
sehingga layar monitor terkunci jika tidak sistem di depan Judgement Experts. Validasi sistem
ada aktivitas dalam periode waktu tertentu. dilakukan oleh 1 orang ahli yaitu ahli keamanan
d. Pastikan PC atau laptop sudah dalam informasi BPKP Lampung untuk menentukan kelayakan
dokumen pengendalian sebelum diimplementasikan di
keadaan mati ketika jam kerja berakhir.
lapangan dan memberikan masukan untuk perbaikan
e. Untuk dokumen yang sudah tidak terpakai, sistem.
dihancurkan dengan mesin penghancur
(paper shredder) Dalam pengujian menggunakan expert judgement dibuat
dokumen pengendalian keamanan informasi berdasarkan
2. Kebijakan kepemilikan asset,
ISO 27001 dalam bentuk paper.
3. Kebijakan dan prosedur untuk melindungi
informasi yang berkaitan dengan interkoneksi Selain itu juga penjelasan peneliti tentang pengendalian
dan keterkaitannya dengan pihak expert. Kemudian
sistem informasi bisnis,
pihak expert menganalisa dan memberi penilaian atau
4. Prosedur pemusnahan media yang tidak pendapat.
diperlukan,
5. Prosedur pemantauan penggunaan fasilitas 3. Kesimpulan
pengolahan informasi, Kesimpulan dari penelitian ini adalah sebagai berikut:
6. Prosedur pengamanan fasilitas log dan 1. Perancangan Sistem Manajemen Keamanan
informasi log hasil pemantauan dan Informasi (SMKI) yang dibuat meliputi
pengawasan dari gangguan dan akses yang keseluruhan proses SMKI.
tidak sah, 2. Telah dihasilkan katalog temuan-temuan SMKI
7. Prosedur perlindungan informasi, yang dibuat berdasarkan dari standar
8. Prosedur pemeliharaan peralatan untuk Internasional yang diterapkan oleh ISO
memastikan ketersediaan dan integritas 27001:2013.
layanan, 3. Pemataan telah dilakukan dengan cara
9. Prosedur pendaftaran dan pembatalan dalam mengidentifikasi artifak keamanan informasi
pemberian dan pencabutan akses terhadap pada SIMHP, melakukan kuisioner dan
seluruh layanan dan sistem informasi, wawancara terhadap Kepala Sub Bagian Prolap
10. Prosedur penanganan risiko terhadap informasi dan Administrator SIMHP.
organisasi dan fasilitas pengolahan informasi 4. Pemodelan SMKI telah dilakukan dengan cara
dari proses bisnis yang melibatkan pihak-pihak mengidentifikasi kendali-kendali keamanan
eksternal, informasi.
11. Dokumentasi sistem yang sudah terlindungi 5. Langkah pelaksanaan audit keamanan sistem
atas akses yang tidak sah, informasi dilakukan dengan pembuatan
12. Dokumentasi yang disesuaikan dan pernyataan, identifikasi asset informasi,
diproyeksikan untuk pemenuhan kapasitas pembuatan pertanyaan, penentuan kendali
mendatang, guna memastikan kinerja sistem, berdasarkan temuan-temuan SMKI.
13. Dokumentasi log audit untuk membantu
investigasi dimasa mendatang, Saran yang diberikan dari penelitian ini adalah sebagai
14. Dokumentasi dan melaporkan setiap kelemahan berikut:
1. Untuk penelitian berikutnya perlu dilakukan
atas sistem atau layanan,
penelitian terkait pengembangan pengendalian
15. Dokumentasi perjanjian untuk pertukaran
lebih lanjut keamanan informasi dengan
informasi,
layanan teknologi informasi.
16. Dokumentasi semua asset dengan jelas dan
inventaris semua asset penting,
43
Jurnal TEKNOKOMPAK, Vol. 11, No. 2, 2017, 41-44. ISSN 1412-9663 (print)
Daftar Pustaka
ANARKHI, P. G., ALI, A. H. N. AND KURNIA, I.
(2013) ‘Penyusunan Perangkat Audit Keamanan
Informasi Aplikasi Berbasis Web Menggunakan
ISO/IEC 27001 Klausul Kendali Akses’,
JURNAL TEKNIK POMITS, 1(1), pp. 1–5.
BSI UK (2014) ‘Moving from ISO/IEC 27001:2005 to
ISO/IEC 27001:2013’. United Kingdom: BSI.
ERMANA, F., TANUWIJAYA, H. AND MASTAN, I.
A. (2013) Audit Keamanan Sistem Informasi
Berdasarkan Standar ISO 27001 pada PT. BPR
Jatim. Surabaya.
KUSUMA, R. A. (2014) Audit Keamanan Sistem
Informasi Berdasarkan Standar SNI-ISO 27001.
Yogyakarta.
WIRYANA, I. M. ET AL. (2012) Bakuan Audit
Keamanan Informasi Kemenpora.
44