Dosen Pembimbing I :
Dr. Apol Pribadi S., S.T, M.T
Dosen Pembimbing II :
Eko Wahyu Tyas Darmaningrat, S.Kom., M.BA
Supervisor I :
Dr. Apol Pribadi S., S.T, M.T
Supervisor II :
Eko Wahyu Tyas Darmaningrat, S.Kom., M.BA
ii
TUGAS AKHIR – KS141501
Dosen Pembimbing I
Dr. Apol Pribadi S., S.T, M.T
Dosen Pembimbing II
Eko Wahyu Tyas Darmaningrat, S.Kom., M.BA
Supervisor I
Dr. Apol Pribadi S., S.T, M.T
Supervisor II
Eko Wahyu Tyas Darmaningrat, S.Kom., M.BA
iv
LEMBAR PENGESAHAN
TUGAS AKHIR
Disusun untuk Memenuhi Salah Satu Syarat
Memperoleh Gelar Sarjana Komputer
pada
Jurusan Sistem Informasi
Fakultas Teknologi Informasi
Institut Teknologi Sepuluh Nopember
Oleh:
KETUA
JURUSAN SISTEM INFORMASI
TUGAS AKHIR
Disusun untuk Memenuhi Salah Satu Syarat
Memperoleh Gelar Sarjana Komputer
pada
Jurusan Sistem Informasi
Fakultas Teknologi Informasi
Institut Teknologi Sepuluh Nopember
Oleh :
DHENI INDRA RACHMAWAN
5212 100 178
vi
PEMBUATAN DOKUMEN SOP (STANDARD
OPERATIONAL PROCEDURE) KEAMANAN ASET
INFORMASI YANG MENGACU PADA KONTROL
KERANGKA KERJA ISO 27002:2013 (STUDI KASUS:
CV CEMPAKA TULUNGAGUNG)
ABSTRAK
v
yaitu OCTAVE sebagai pengolah hasil informasi yang
didapatkan dari wawancara dan FMEA digunakan untuk
menghitung seberapa tinggi dampak untuk perusahaan jika
risiko itu terjadi dan membuat ranking prioritas untuk
masing-masing risiko. Kemudian acuan dalam pengendalian
risikoyang telah diidentifikasi dengan menggunakan kerangka
kerja ISO/IEC:27002:2013.
vi
DEVELOPING STANDARD OPERATIONAL
PROCEDURE (SOP) DOCUMENT FOR ASSET
INFORMATION SECURITY REFER TO CONTROL
ISO27002:2013 FRAMEWORK (CASE STUDY : CV
CEMPAKA TULUNGAGUNG)
ABSTRACT
vii
as the processing result of information obtained from
interviews and FMEA is used to calculate how high the risk of
impact to the company if it happens and rank priorities for
each risk. Then the reference in risikoyang control have been
identified by using the framework of ISO / IEC: 27002: 2013.
viii
Buku ini dipersembahkan untuk kedua orang tua, serta kakak
perempuan tercinta yang selalu medoakan dan memberi
dukungan
ix
Halaman ini sengaja dikosongkan
x
KATA PENGANTAR
Alhamdulillah.
xi
pengetahuan serta dukungan yang sangat baik selama
peneitian.
7. Rahma Permatasari yang selalu ada untuk mebantu,
menghibur, menyemangati dan memberikan inspirasi serta
selalu mendoakan kelancaran pengerjaan Tugas Akhir ini.
8. Anggota MK 56 yang selalu memberikan dukungan dan
motivasi kepada penulis dalam segala proses penelitian
9. Teman-teman Sola12is dan seluruh anggota HMSI yang
saling mendukung selama masa tugas belajar ini.
10. Seluruh pihak yang telah membantu penulis baik secara
langsung maupun tidak langsung dan telah memberikan
dukungan sehingga tugas akhir ini dapat terselesaikan
dengan baik.
Penulis
xii
DAFTAR ISI
ABSTRAK ........................................................................................... v
ABSTRACT ....................................................................................... vii
KATA PENGANTAR ......................................................................... xi
DAFTAR ISI ..................................................................................... xiii
DAFTAR GAMBAR........................................................................ xvii
DAFTAR TABEL ........................................................................... xviii
BAB I PENDAHULUAN ................................................................... 1
1.1. Latar Belakang ......................................................................... 1
1.2. Rumusan Permasalahan ........................................................... 4
1.4. Batasan Masalah ...................................................................... 5
1.5. Tujuan Tugas Akhir ................................................................. 5
1.6. Manfaat Tugas Akhir ............................................................... 6
1.7. Relevansi ................................................................................. 6
BAB II TINJAUAN PUSTAKA .......................................................... 7
2.1 Studi Sebelumnya .................................................................... 7
2.2 Dasar Teori ............................................................................ 10
2.2.1 Aset ........................................................................................ 10
2.2.2 Aset Informasi ....................................................................... 10
2.2.3 Aset Informasi Kritis ............................................................. 13
2.2.4 Keamanan Informasi .............................................................. 13
2.2.5 Risiko ..................................................................................... 14
2.2.6 Risiko Teknologi Informasi ................................................... 15
2.2.7 Manajemen Risiko ................................................................. 16
2.2.8 Manajemen Risiko Teknologi Informasi ............................... 17
2.2.9 ISO / IEC : 27002 : 2013 ....................................................... 18
2.2.10 OCTAVE ............................................................................... 23
2.2.11 FMEA (Failure Mode and Effect Analysis) ........................... 26
2.2.12 SOP (Standart Operating Procedure) ................................... 26
xiii
BAB III METODOLOGI ................................................................... 35
3.1 Tahap Identifikasi Permasalahan ........................................... 36
3.2 Tahap Pengumpulan Data ...................................................... 37
3.3 Tahap Analisa data ................................................................ 38
3.3.1 Identifikasi risiko ................................................................... 39
3.3.2 Penilaian risiko ...................................................................... 39
3.4 Tahap Pengendalian risiko..................................................... 39
3.4.1 Penentuan Kontrol yang Dibutuhkan pada ISO 27002:2013. 40
3.4.2 Pernyataan Justifikasi Kebutuhan Kontrol ............................ 41
3.4.3 Penyesuaian dengan kondisi perusahaan ............................... 41
3.5 Tahap Penyusunan SOP......................................................... 41
BAB IV PERANCANGAN KONSEPTUAL .................................... 43
4.1 Objek Penelitian .................................................................... 43
4.1.1 Profil dan Sejarah CV Cempaka ............................................ 43
4.1.2 Proses Bisnis Inti CV Cempaka ............................................. 45
4.1.3 Struktur Organisasi CV Cempaka ......................................... 46
4.1.4 Proses Bisnis yang menggunakan teknologi informasi ......... 48
4.1.5 Hubungan proses bisnis inti dan dukungan IT ...................... 49
4.2 Pengumpulan Data dan Informasi ......................................... 50
4.3 Analisa data ........................................................................... 54
4.3.1 Identifikasi risiko ................................................................... 54
4.3.2 Penilaian risiko ...................................................................... 54
4.3.3 Kriteria dalam Penerimaan Risiko ......................................... 58
4.4 Pengendalian Risiko .............................................................. 59
4.4.1 Pemetaan Risiko dan Kontrol ISO27002:2013...................... 59
4.4.2 Rekomendasi Pengendalian Risiko........................................ 59
4.5 Perancangan SOP .................................................................. 60
4.6 Perancangan proses Verifikasi dan Validasi.......................... 61
4.6.1 Verifikasi ............................................................................... 63
4.6.2 Validasi .................................................................................. 63
BAB V IMPLEMENTASI ................................................................. 65
5.1 Proses Pengumpulan Data ..................................................... 65
5.1.1 Identifikasi Aset teknologi informasi .................................... 65
5.1.2 Identifikasi Aset Informasi kritis ........................................... 67
xiv
5.1.3 Identifikasi Kebutuhan Kemanan Aset Kritis ........................ 69
5.1.4 Identifikasi Ancaman Aset Kritis .......................................... 73
5.1.5 Identifikasi Praktik Keamanan yang telah dilakukan
Organisasi .............................................................................. 74
5.1.6 Identifikasi Kerentanan pada Teknologi ................................ 76
5.1.7 Hubungan antara Aset Kritis, Kebutuhan Kemanan,
Ancaman dan Praktik Keamanan Organisasi ......................... 79
5.2 Analisis Data.......................................................................... 85
5.2.1. Risk Register.......................................................................... 86
5.2.2. Penilaian Risiko dengan Metode FMEA ............................... 93
5.2.3. Evaluasi Risiko ...................................................................... 95
5.3 Pengendalian Risiko .............................................................. 98
5.3.1. Pemetaan Risiko dengan Kontrol ISO27002:2013 ................ 99
5.3.2. Rekomendasi penyesuaian pengendalian risiko .................. 102
5.4 Prosedur dan Kebijakan Yang Dihasilkan Berdasarkan Hasil
Rekomendasi Pengendalian Risiko ...................................... 102
5.5 Penjelasan pembentukan prosedur dan kebijakan ............... 108
5.5.1 Kebijakan pengendalian hak akses ...................................... 108
5.5.2 Kebijakan keamanan informasi ........................................... 109
5.5.3 Kebijakan pengelolaan hardware dan jaringan .................... 110
5.5.4 Kebijakan human resource security ..................................... 111
BAB VI HASIL DAN PEMBAHASAN ......................................... 113
6.1 Prosedur dan Kebijakan yang Dihasilkan dalam Penelitian 113
6.2 Perancangan Struktur dan Isi SOP ....................................... 121
6.3 Hasil Perancangan SOP ....................................................... 128
6.3.1. Kebijakan pengendalian hak akses ...................................... 130
6.3.2. Kebijakan keamanan informasi ........................................... 131
6.3.3. Kebijakan pengelolaan hardware dan jaringan .................... 131
6.3.4. Kebijakan human resource security ..................................... 131
6.3.5. Prosedur Pengelolaan Hak Akses ........................................ 131
6.3.6. Prosedur Pengelolaan Password .......................................... 131
6.3.7. Prosedur Back Up dan Restore ............................................ 132
6.3.8. Prosedur Perawatan Hardware ............................................. 135
6.3.9. Prosedur Keamanan kabel ................................................... 135
6.3.10. Prosedur Pelatihan dan Pengembangan SDM ..................... 135
xv
6.4 Instruksi Kerja ..................................................................... 135
6.4.1 Instruksi kerja pergantian hak akses sistem informasi......... 135
6.4.2 Instruksi kerja backup data .................................................. 136
6.5 Hasil Perancangan Formulir ................................................ 136
6.5.1 Formulir Pengelolaan hak akses .......................................... 136
6.5.3 Formulir log pengelolaan hak akses .................................... 137
6.5.4 Formulir perbaikan sistem informasi ................................... 137
6.5.5 Formulir permintaan reset password ................................... 137
6.5.6 Formulir klasifikasi data ...................................................... 137
6.5.7 Formulir log backup data ..................................................... 138
6.5.8 Formulir restore data ........................................................... 138
6.5.9 Formulir pemeliharaan perangkat TI ................................... 138
6.5.10 Formulir berita acara kerusakan .......................................... 138
6.5.11 Formulir laporan evaluasi pengelolaan perangkat TI .......... 138
6.5.12 Formulir data pegawai ......................................................... 139
6.5.13 Formulir evaluasi kegiatan pengembangan kompetensi. ..... 139
6.6 Hasil Pengujian SOP ........................................................... 139
6.6.1 Hasil Verifikasi .................................................................... 139
6.6.2 Hasil Validasi ...................................................................... 143
BAB VII KESIMPULAN DAN SARAN ....................................... 146
7.1. Kesimpulan .......................................................................... 147
7.3. Saran .................................................................................... 152
DAFTAR PUSTAKA....................................................................... 155
BIODATA PENULIS ....................................................................... 157
LAMPIRAN A HASIL INTERVIEW .............................................. A1
LAMPIRAN B PENILAIAN RISIKO .............................................. B1
LAMPIRAN C PEMETAAN DAN JUSTIFIKASI KONTROL ...... C1
LAMPIRAN D REKOMENDASI PENGENDALIAN RISIKO ...... D1
LAMPIRAN E HASIL VERIFIKASI DAN VALIDASI .................. E1
LAMPIRAN F KEBIJAKAN............................................................. F1
LAMPIRAN G PROSEDUR ............................................................ G1
LAMPIRAN H INSTRUKSI KERJA ............................................... H1
LAMPIRAN I FORMULIR ................................................................ I1
LAMPIRAN J KONFIRMASI VERIFIKASI VALIDASI .................J1
xvi
DAFTAR GAMBAR
xvii
DAFTAR TABEL
xviii
Tabel 6.1 Pemetaan Kontrol ISO 27002 dengan Prosedur dan
kebijakan......................................................................................... 114
Tabel 6.2 Deskripsi prosedur dan kebijakan .................................. 118
Tabel 6.3 Deskripsi prosedur dan kebijakan .................................. 121
Tabel 6.4 Pemetaan Dokumen SOP dan Formulir serta Instruksi .. 128
Tabel 6.5 Klasifikasi Data .............................................................. 132
Tabel 6.6 Kritikalitas Data ............................................................. 133
Tabel 6.7 Tipe Back Up.................................................................. 134
Tabel 6.8 Deskripsi prosedur dan kebijakan .................................. 143
xix
Halaman Sengaja Dikosongkan
xx
1. BAB I
PENDAHULUAN
1
2
1.6. Relevansi
Topik pada tugas akhir ini mengenai Pembuatan Dokumen SOP
(Standard Operational Procedure) Keamanan Aset Informasi
Mengacu pada Kontrol ISO27002:2013 (Studi Kasus : CV
Cempaka Tulungagung). Topik tersebut berkaitan dengan mata
kuliah manajemen risiko serta tata kelola Teknologi dan sistem
informasi yang berada dalam roadmap pada laboratorium
Manajemen Sistem Informasi (MSI).
2. BAB II
TINJAUAN PUSTAKA
7
8
2.2.1 Aset
Aset merupakan sumber daya yang dimiliki oleh perusahaan atau
semua hak yang dapat digunakan dalam perusahaan. Aset juga
termasuk didalamnya pembebanan yang ditunda yang dinilai dan
diakui sesuai dengan prinsip ekonomi yang berlaku. [5]
2.2.5 Risiko
Pengertian risiko adalah sebagai suatu keadaan yang belum pasti
terjadi, dan yang merupakan satu keadaan yang dihadapi oleh
manusia dalam setiap kegiatannya dan risiko adalah suatu
ketidakpastian dimasa yang datang tentang kerugian.
Definisi ini jelas memandang bahwa risiko berbeda dengan
ketidakpastian. Ketidakpastian cenderung mengakibatkan
dampak negative yang mana berbeda dengan risiko yang mampu
15
Para ahli risiko, [7] membedakan risiko statis dan risiko dinamis.
Risiko statis adalah risiko dari ketidakpastian atas terjadinya
sesuatu dan Risiko dinamis adalah risiko yang timbul karena
terjadinya perubahan dalam masyarakat.
13 Communications security
13.1 Network security management
Untuk menjamin perlindungan informasi dalam jaringan dan
mendukung fasilitas pengolahan informasinya.
13.2 Information transfer
Untuk menjaga keamanan informasi ditransfer dalam suatu
organisasi dan dengan setiap entitas eksternal.
14 System acquisition, development and maintenance
14.1 Security requirements of information systems
Untuk memastikan bahwa keamanan informasi merupakan
bagian integral dari sistem informasi di seluruh siklus hidup.
Ini juga mencakup persyaratan untuk sistem informasi yang
menyediakan layanan melalui jaringan publik.
14.2 Security in development and support processes
Untuk memastikan bahwa keamanan informasi dirancang dan
dilaksanakan dalam siklus hidup pengembangan sistem
informasi
14.3 Test data
Untuk menjamin perlindungan data yang digunakan untuk
pengujian.
15 Supplier relationships
15.1 Information security in supplier relationship
Untuk memastikan perlindungan aset organisasi yang dapat
diakses oleh pemasok.
15.2 Supplier service delivery management
Untuk menjaga tingkat disepakati keamanan informasi dan
pelayanan sesuai dengan perjanjian pemasok.
2.2.10 OCTAVE
2.2.11.2Dokumen SOP
Dalam penyusunan dokumen SOP, menurut perturan pemerintah
(Peraturan Menteri Pendayagunaan Aparatur Negara dan
Reformasi Birokrasi Republik Indonesia Nomor 35 Tahun 2012
Tentang Pedoman Penyusunan Standar Operasional Prosedur
Administrasi Pemerintahan) didasarkan pada format SOP yang
telah disusun. Namun ketidakbakuan format SOP menyebabkan
organisasi dapat menyusun dokumen SOP sesuai dengan
kebutuhannya masing-masing. Format SOP dipengaruhi oleh
tujuan pembuatan SOP. Sehingga apabila tujuan pembuatan SOP
maka format SOP juga dapat berbeda .
2
1
10
b. Bagian Flowchart
35
36
Pada proses ini akan menghasilkan tabel risk register dan daftar
prioritas risiko yang dapat dijadikan bahan dalam melakukan
analisis pembuatan dokumen SOP keamanan aset informasi untuk
CV Cempaka.
43
44
Pada tanggal 1 April 1982 yaitu sejak dikeluarkan surat ijin usaha
dengan dengan nomor : B 79/B2/HO/KDH/AA oleh
pemerintahan Daerah Tingkat II Tulungagung, serta ijin produksi
dari Bea Cukai nomor : 00481/F maka berdirilah perusahaan
rokok dengan nama “PR Cempaka” di tulungagung dengan
bentuk CV.
Menggunakan
aplikasi SIMDATA
1. Tujuan Wawancara
Tujuan wawancara pada tabel 4.2 ditetapkan untuk mendapatkan
informasi yang tepat dari narasumber yang terpercaya dan
menjadi acuan dalam perumusan pertanyaan wawancara.
3. Menentukan Narasumber
Penentuan narasumber dilakukan untuk memudahkan proses
pengumpulan data. Dalam penetapan pihak narasumber, yang
harus diperahtikan adalah kapasitas objek dalam kewenangannya
memberi informasi yang valid, dan apakah pertanyaan yang
dirumuskan relevan dengan pengetahuan pihak narasumber. Pada
tabel 4.4 berikut adalah profil narasumber dalam penelitian.
Tabel 4.4 Narasumber Penelitian
Nama Jabatan
Pak Dadang Kepala bagian produksi
Bu Ida Wahyu Juniarti Kepala divisi personalia
54
RPN = S x O x D
Struktur
Sub-Bab Deskripsi
Bab
Prosedur Deskripsi Merupakan pendefinisian tujuan,
Umum ruang lingkup, referensi kontrol
dan pendefinisian istilah lain yang
terkait dalam prosedur
Rincian Berisi penjabaran aktivitas-
Prosedur aktivitas yang perlu dilakukan dan
ditampilkan dalam bentuk
flowchart
4.6.1 Verifikasi
Verifikasi dilakukan dengan tujuan memastikan kebenaran dari
informasi yang termuat dalam dokumen SOP dan kesesuaiannya
dengan kondisi CV.Cempaka . Metode yang digunakan dalam
melakukan verifikasi adalah melakukan wawancara dengan
bagian CV.Cempaka sebagai pihak yang memiliki kewenangan
dalam keamanan teknologi informasi. Berikut adalah tahapan
yang dilakukan dalam melakukan verifikasi pengujian SOP.
1. Penulis menyerahkan dokumen SOP kepada bagian
personalia umum dan menjelaskan isi dokumen dengan detil.
2. Bagian personalia umum melakukan review dokumen SOP.
3. Penulis mengadakan wawancara secara langsung setelah
Bagian personalia umum selesai mereview dokumen.
Pertanyaan yang dilontarkan terkait struktur SOP, konten
SOP, serta istilah yang digunakan dalam SOP.
4. Bagian personalia umum akan memberikan review dan revisi
dokumen jika ada yg kurang dengan dokumenya
5. Penulis melakukan pembenahan dokumen SOP sesuai saran
dari Bagian personalia umum.
6. Penulis menyerahkan ulang hasil revisi pada bagian
personalia umum.
7. Bagian personalia umum menyetujui dokumen SOP yang
telah diperbaiki.
4.6.2 Validasi
Validasi dilakukan untuk memastikan dokumen SOP dapat
berjalan sesuai dengan kondisi yang ada pada CV.Cempaka dan
untuk menemukan ketidaksesuaian dan kekurangan SOP sehingga
dapat dibenahi sesuai kondisi yang ada. Metode yang digunakan
adalah dengan pengujian SOP dengan pelaksana SOP yaitu pihak
manajemen CV. Cempaka. Berikut merupakan tahapan yang
dilakukan dalam melakukan validasi pengujian SOP.
1. Penulis menyerahkan dokumen SOP yang telah diperbaiki
pada tahap verifikasi.
64
65
66
Data Pemasaran
Bagian personalia
Adanya kontrol rutin
Memonitoring jaringan
untuk memastikan Bagian personalia
keaslian data
Pihak yang
Praktik Keamanan Organisasi Bertanggung
Jawab
Adanya Camera CCTV yang bekerja 24 Bagian personalia
jam
Dilakukan backup data Camera CCTV Bagian personalia
selama 1 bulan 2 kali
Telah dipasang pendingin pada ruang Bagian personalia
server untuk menngurangi terjadinya
overheat
Adanya fire extinguisher untuk Bagian personalia
memadamkan api saat terjadi kebakaran
Adanya genset dan ups untuk mengatasi Bagian personalia
saat tidak mendapat aliran listrik
Dilakukan pengecekan kerusakan ruangan Bagian personalia
setiap 1 bulan sekali
Telah dilakukan dokumentasi data dalam Bagian personalia
bentuk laporan cetak pada setiap sistem Bagian Keuangan
yang dimiliki Bagian Produksi
Bagian Pemasaran
Telah dilakukan backup server 2 hari Bagian personalia
sekali
Ada penguncian/penggembokan pada Bagian personalia
ruang server sehingga tidak dapat
sembarang orang bisa masuk
Data hanya bisa dimasukkan, diganti atau Bagian personalia
dihapus oleh database administrator saja
Dilakukan maintenance rutin setiap 6 Bagian personalia
bulan sekali setiap perangkat TI
Dilakukan maintenance Wifi setiap 2 Bagian personalia
minggu sekali
Membedakan role atau hak akses untuk Bagian personalia
masing masing pegawai sesuai dengan
unit kerja dan fungsinya
Pengaturan kabel dengan melakukan Bagian personalia
76
Pihak yang
Praktik Keamanan Organisasi Bertanggung
Jawab
pelabelan untuk masing masing fungsi
kabel
Adanya log setiap aktivitas dalam sistem Bagian personalia
informasi yang dimiliki
Pendingin keamanan
ruangan
Ruang Server
PC
System of Interest PC yang ada pada kantor CV Cempaka
Komponen Utama Kemungkinan Ancaman
CPU Monitor, Keyboard ataupun mouse
Monitor, mengalami kerusakan
Keyboard dan Firewall ditembus oleh bagian yang
Mouse tidak berwenang
Kabel LAN Kabel LAN putus akibat hewan pengerat
Antivirus Tidak mendapatkan aliran listrik karena
Sistem terjadi pemadaman pada PLN
Operasi UPS tidak berfungsi
Software Virus yang menyerang tidak dapat
Listrik tertangani oleh antivirus
UPS Komponen di curi karena kelalaian pihak
Genset keamanan
Firewall
Data
System of Interest Seluruh data yang dimiliki perusahaan
Komponen Utama Kemungkinan Ancaman
Database Tidak dapat mendapatkan aliran listrik
Server karena terjadi pemadaman pada PLN
Listrik Firewall ditembus oleh bagian yang
PC tidak berwenang
Firewall PC berhenti beroperasi karena terserang
Database virus
Administrator Database Admnistrator salah dalah
(DBA) melakukan pengolahan data (ubah dan
hapus)
Data dicuri karena Database
Administrator kurang melakukan kontrol
keamanan
78
Perangkat Lunak
System of Interest Sistem informasi keuangan, sistem
informasi administrasi, sistem pendataan
dan penjadwalan, Sistem pemasaran
Komponen Utama Kemungkinan Ancaman
Firewall Firewall ditembus oleh bagian yang
Server tidak berwenang
Antivirus Virus yang menyerang tidak dapat
tertangani oleh antivirus
Server mengalami kerusakan sehingga
sistem tidak dapat diakses
Wifi
System of Interest 2 wifi yang terpasang pada bagian
personalia, 2 wifi pada bagian produksi, 2
wifi pada bagian pemasaran dan keuangan
semua berada dalam 1 kantor
Komponen Utama Kemungkinan Ancaman
Listrik Tidak mendapatkan aliran listrik karena
Kabel terjadi pemadaman
Keamanan Kabel rusak akibat gigitan hewan
Jaringan Keamanan jaringan dapat ditembus oleh
pihak yang tidak berwenang
Router
System of Interest 4 Router pada kantor CV Cempaka
Komponen Utama Kemungkinan Ancaman
Listrik Tidak mendapatkan aliran listrik karena
Kabel terjadi pemadaman
Keamanan Kabel rusak akibat digigit hewan
Jaringan pengerat
Komponen dicuri karena kelalaian pihak
keamanan
5.1.7 Hubungan antara Aset Kritis, Kebutuhan Kemanan, Ancaman dan Praktik Keamanan
Organisasi
Berdasarkan hasil analisis terkait aset kritis. Maka perlu dilakukan pemetaan hubungan antara masing
masing aset dengan identifikasi kebutuhan keamanan dan ancaman serta praktik keamanan yang telah
dilakukan. Pemetaan hubungan tersebut berfugsi untuk menganalisis lebih dalam kondisi kekinian dari
praktik keamanan yang telah dilakukan oleh CV Cempaka untuk mengatasi adanya ancaman untuk
setiap aset kritis. Pada tabel 5.7 berikut adalah hubungan antara aset kritis dan masing masing
kebutuhan keamanan, ancaman serta praktik keamanan yang telah diimplementasikan.
Tabel 5.7 Hubungan aset kritis, kebutuhan keamanan, ancaman dan praktik keamanan organsiasi
Kategori Praktik Keamanan
Aset Kritis Kebutuhan Keamanan Ancaman
Aset Organisasi
Dapat diakses 24 jam
Kerusakan Dilakukan maintenance
dalam 7 hari
Komputer rutin setiap 6 bulan
Konfigurasi server
Kerusakan Server sekali untuk perangkat
dilakukan dengan benar
Kerusakan Genset TI
Hardware Server Adanya sumber listrik
dan UPS Telah dilakukan backup
cadangan
Adanya kontrol Kesalahan server 2 hari sekali
konfigurasi Adanya Camera CCTV
keamanan untuk ruang
yang bekerja 24 jam
fisik server
79
80
81
82
Sistem
Informasi
Pemasaran
(SIMPEM)
Data
Kesalahan input Telah dilakukan back
keuangan
Adanya backup data data up server 2 hari sekali
Data
secara rutin Data corrupt/rusak Telah dilakukan
Data Produksi
Adanya pembatasan Pencurian data dokumentasi data
Data
Kepegawaian
hak akses Sharing password dalam bentuk cetak
pada setiap sistem
Data Aset
Kategori Praktik Keamanan
Aset Kritis Kebutuhan Keamanan Ancaman
Aset Organisasi
yang dimiliki
Data hanya dapat
dimasukkan, diganti
dan dihapus oleh
Data database administrator
Pemasaran saja
Adanya perbedaan role
atau hak akses pada
data untuk masing
masing fungsi
Tersedia selama jam
operasional kerja Gangguan pada Telah dipasang anti
organisasi router netcut untuk keamanan
wifi
Wifi Adanya sumber listrik Kerusakan kabel
Dilakukan
Jaringan cadangan Gangguan koneksi
Adanya kontrol rutin maintenance rutin
internet
setiap 6 bulan sekali
Adanya anti netcut Sabotase jaringan
untuk setiap perangkat
Tersedia selama jam internet
Kabel TI
operasional kerja
83
84
87
88
Potensi
Kategori Aset Informasi Potensi Penyebab Potensi Dampak Pemilik
Mode
Aset Kritis Kegagalan Kegagalan Risiko
Kegagalan
Kerugian secara
finansial
maupun non- Bagian
Data Hilang Server rusak
finansial personalia
Terhambatnya
proses bisnis
Kesalahan
Konfigurasi Kerugian secara
Kerusakan finansial Bagian
Hardware Server Tegangan listrik
server Terhambatnya personalia
tidak stabil
proses bisnis
Server overheat
Potensi
Kategori Aset Informasi Potensi Penyebab Potensi Dampak Pemilik
Mode
Aset Kritis Kegagalan Kegagalan Risiko
Kegagalan
Adanya
Sever tidak
Pemadaman listrik Terhambatnya Bagian
berfungsi
Kerusakan pada proses bisnis personalia
(mati)
Genset dan UPS
Kerugian
Kelalaian satuan secara finansial Bagian
Server hilang
keamanan Terhambatnya personalia
proses bisnis
Kesalahan
Konfigurasi Kerugian
Kerusakan secara finansial Bagian
PC
PC Tegangan listrik Terhambatnya personalia
tidak stabil proses bisnis
PC overheat
89
90
Potensi
Kategori Aset Informasi Potensi Penyebab Potensi Dampak Pemilik
Mode
Aset Kritis Kegagalan Kegagalan Risiko
Kegagalan
Kelalaian karyawan
Kerugian
Kelalaian satuan secara finansial Satuan
PC Hilang
keamanan Terhambatnya Keamanan
proses bisnis
Kebocoran data
Sistem
penting dan
Informasi Pembobolan sistem
rahasia
Keuangan
Sistem tidak sehingga Bagian
Software (SISKA)
dapat diakses berdampak personalia
Sistem Username dan
kerugian secara
Informasi password diketahui
finansial
Administrasi oleh pengguna lain
maupun non-
Potensi
Kategori Aset Informasi Potensi Penyebab Potensi Dampak Pemilik
Mode
Aset Kritis Kegagalan Kegagalan Risiko
Kegagalan
(SIADMIN) finansial
Sistem Terhambatnya
Informasi proses bisnis
Pendataan
dan Serangan virus
penjadwalan Kerugian
(SIMDATA) secara finansial
Sistem Sistem tidak
Kesalahan dan non
Informasi berjalan Bagian
Konfigurasi pada finansial
Pemasaran normal personalia
Sistem Terhambatnya
(SIMPEM) (error)
proses bisnis
Bug pada Software
penurunan kinerja
Gangguan Kesalahan sehingga proses Bagian
Jaringan Wifi
koneksi Konfigurasi wifi bisnis terhambat personalia
91
92
Potensi
Kategori Aset Informasi Potensi Penyebab Potensi Dampak Pemilik
Mode
Aset Kritis Kegagalan Kegagalan Risiko
Kegagalan
penurunan kinerja
Kerusakan Kurangnya kontrol sehingga proses Bagian
Kabel
kabel pengamanan kabel bisnis terhambat personalia
Potensi
Level Potensi Penyebab
Mode RPN
Risiko Kegagalan
Kegagalan
Banjir 105
Kerusakan Kerusakan pada
105
Hardware bangunan (bocor)
Overheat 105
Potensi
Level Potensi Penyebab
Mode RPN
Risiko Kegagalan
Kegagalan
Hilangnnya
komponen Kelalaian pegawai 72
TI
Penyalahgua
Penurunan Loyalitas
an data 54
Pegawai
organisasi
Pelanggaran Penurunan Loyalitas
54
hak akses Pegawai
Very
Data Hilang Kelalaian Administrator
High
Data keuangan, Data
Produksi, High Data Hilang Kerusakan Server
Data penjualan,
Data Kepegawaian
High Manipulasi data Username password diketahui orang lain
Level Potensi Mode
Aset Informasi Kritis Poetensial Penyebab Kegagalan
Risiko Kegagalan
97
98
103
104
105
106
Kebijakan keamanan
Informasi
12.4.1 Event logging
Data tidak sesuai Kebijakan pengendalian hak
Kesalahan input data akses
(tidak valid)
12.4.2 Protection of log Kebijakan keamanan
information
Informasi
107
108
113
114
Tabel 6.1 Pemetaan Kontrol ISO 27002 dengan Prosedur dan kebijakan
Pemenuhan Mitigasi Ruang
Kontrol Objektif Prosedur Kebijakan
dari Risiko Lingkup
Kelalaian karyawan
Keamanan
yang memiliki hak
Data
akses Kebijakan
9.1.1 Access
Pengelolaan Pengendalian Hak
control policy Username password
SDM akses
diketahui pengguna
Keamanan
lain
Data
9.2.3
Prosedur
Management of Username password Keamanan
Pengelolaan
privileged access diketahui orang lain Data
Hak akses
rights
Keamanan
9.3.1 Use of
Data
secret Kelalaian Kebijakan Human
authentication Administrator resources security
information Pengelolaan
SDM
Pemenuhan Mitigasi Ruang
Kontrol Objektif Prosedur Kebijakan
dari Risiko Lingkup
9.4.1 Information Username password Keamanan Kebijakan
access restriction diketahui orang lain Data Keamanan Informasi
Keamanan
9.4.2 Secure log- password diketahui Software Kebijakan
on procedures oleh pengguna lain Keamanan Keamanan Informasi
Data
Keamanan
9.4.3 Password Username dan Prosedur
Software Kebijakan
management password diketahui Pengelolaan
Keamanan Keamanan Informasi
system oleh pengguna lain Password
Data
Keamanan
Software Kebijakan
Keamanan Informasi
12.4.1 Event
Kesalahan input data
logging Keamanan Kebijakan
Data pengendalian hak
akses
115
116
Kesalahan konfigurasi
server
Prosedur
11.2.4 Equipment Rusaknya media Keamanan
Pemeliharaan
maintenance penyimpanan Hardware
Hardware Kebijakan
Kesalahan konfigurasi
PC Pengelolaan
Hardware dan
Jaringan
Prosedur
11.2.3 Cabling Kurangnya kontrol Keamanan
Keamanan
security pengamanan kabel Jaringan
Kabel
117
118
Berikut ini merupakan penjelasan dari masing masing prosedur yang akan dibuat untuk mendukung
keamanan aset informasi pada CV Cempaka. Jumlah prosedur yang akan dihasilkan adalah sebanyak
lima prosedur. Penjelasan untuk masing-masing prosedur keterkaitannya dengan proses kekinian akan
dijelaskan pada Tabel 6.2 dibawah ini
Tabel 6.2 Deskripsi prosedur dan kebijakan
Prosedur Penjelasan
Kebijakan ini dibuat untuk menjamin persyaratan mengenai
pemberian hak akses terhadap aset informasi dapat di definisikan
dengan tepat dan benar. Dalam kebijakan ini akan di jelaskan
mengenai peraturan penggunaan hak akses yang diberikan,
tanggung jawab karyawan yang di berikan hak akses, Peraturan
Kebijakan Pengendalian Hak penggunaan aplikasi sistem informasi yang dimiliki perusahaan,
akses kebijakan penggunaan data data penting dan lain sebagainya.
Kebijakan ini juga di keluarkan bertujuan untuk meminimalisir
terjadinya risiko – risiko yang tida di inginkan seperti sharing
password, terjadinya kesalahan input, manipulasi data,
kehilangan data, password diketahui pengguna lain, aplikasi
digunakan oleh orang yang tidak berwenang dan sebagainya
Prosedur Penjelasan
Kebijakan ini dibuat untuk memberikan pedoman pada pengelola
Kebijakan Pengelolaan hardware dan jaringan pada suatu instansi. Pengelola diharapkan
Hardware dan Jaringan mampu menjamin hardware sistem komputer yang dipergunakan
akan dapat dioperasikan tanpa henti.
Kebijakan ini dibuat untuk memberikan pedoman dan peratiran
Kebijakan Keamanan Informasi keamanan informasi yang ada pada perusahaan baik pengamanan
informasi pada sistem aplikasi dan informasi digital berupa data.
Kebijakan ini dibuat untuk memberikan pedoman dan peraturan
Kebijakan Human resources mengenai pengelolaan SDM dalam mengatasi masalah keamanan
security aset informasi.
Prosedur ini di buat untuk menjadi pedoman dalam memberikan
alokasi dan penggunaan hak akses terhadap sistem informasi
Prosedur Pengelolaan Hak yang seharusnya dikontrol dalam rangka melindungi keamanan
akses data baik dari dalam maupun luar lingkungan perusahaan.
Pengamanan
Prosedur Backup dan Restore Data merupakan prosedur yang
bertujuan untuk memastikan backup data yang dilakukans secara
Prosedur Back Up dan Restore
berkala telah sesuai dan data yang di backup telah lengkap
119
120
Prosedur Penjelasan
Prosedur ini dibuat dimaksudkan sebagai pedoman dan acuan
untuk melakukan pengelolaan aset hardware pada perusahaan
Prosedur Perawatan Hardware baik dalam melakukan pengadaan barang , maintenance ,
penggunaan serta keamanan dari hardware itu sendiri
Prosedur ini dibuat untuk memastikan bahwa seluruh kabel
telekomunikasi yang membawa data dan mendukung layanan
Prosedur Pengamanan Kabel
informasi pada perusahaan diatur atau dikelola secara terstruktur
sehingga terlindungi dari kerusakan
Prosedur ini dibuat dengan tujuan untuk memastikan pengelolaan
penggunaan password telah memenuhi kualitas standard strong
Prosedur Pengelolaan Password password dan memastikan password setiap pengguna telah sesuai
dengan syarat kualitas password
Adapun struktur atau konten yang akan dimasukkan ke dalam kerangka dokumen Standard Operating
Procedure (SOP) Keamanan Aset Informasi pada CV Cempaka Tulungagung dapat dilihat pada tabel
6.3.
Tabel 6.3 Deskripsi prosedur dan kebijakan
Sturktur Bab Sub-Bab Konten
Tujuan Deskripsi umum dokumen SOP
Ruang Lingkup Keamanan Aset Informasi
Overview Keamanan Data Aspek Kemanan Aset Informasi
Pendahuluan
Evaluasi Penilaian Risiko
Tabel Daftar Prioritas Risiko
Keamanan Aset Informasi pada CV
Keamanan Aset Informasi
Cempaka
121
122
125
126
127
128
Instruksi backup
IN – 03
data
Instruksi restore
IN – 04
Prosedur backup data
PO – 03
and restore Formulir
FM – 06
klasifikasi data
Formulir Log
FM – 07
backup data
Kebijakan
pengelolaan
FM – 08
hardware dan
jaringan
Kebijakan
pengelolaan
KB – 03
hardware dan
jaringan
Formulir
FM – 09 pemeliharaan
Prosedur
perangkat TI
PO – 04 perawatan
Formulir berita
hardware FM – 10
acara kerusakan
Formulir laporan
evaluasi
FM – 11 penggunaan
fasilitas TI
130
Klasifikasi Keterangan
Data
Data yang apabila didistribusikan secara
tidak sah atau jatuh ke tangan yang tidak
Terbatas sah atau tidak berhak akan mengganggu
(Internal Use kelancaran kegiatan tetapi tidak akan
Only) mengganggu citra dan reputasi perusahaan
CV Cempaka
Pengguna sistem
meminta perubahan
Prosedur
password pada 5 Januari
2 pengelolaan Dilakukan dengan baik
administrator dan 2017
password
administrator
menyetujuinya
143
144
145
146
7.1. Kesimpulan
Kesimpulan yang dibuat adalah jawaban dari perumusan masalah
yang telah didefinisikan sebelumnya dan berdasarkan hasil
penelitian yang telah dilakukan. Kesimpulan yang didapat dari
tahap analisis hingga perancangan dan validasi dokumen produk
adalah :
147
148
7.3. Saran
Saran yang dapat peneliti sampaikan terkait dengan pengerjaan
tugas akhir ini meliputi dua hal, yaitu saran untuk pihak
manajemen CV Cempaka Tulungagung dan saran untuk
penelitian selanjutnya.
[1] IBM, IBM survey of 224 Business Leaders, s.l: IBM, 2009.
[2] Doughty, Business Continuity Planning: Protecting Your
Organization's Life, Auerbach, 2000.
[3] R. Stup, Standart Operating Procedures : Managing The Human
Variables, Pennsylvania: Pennsylvania State University, 2002.
[4] ISO/IEC:27002, Information Technology - Security Techniques,
Geneva, 2013.
[5] S. M. IKIT, Akutansi Penghimpun Dana Bank Syariah,
Yogyakarta: CV Budi Utama, 2015.
[6] D. Ariyus, Pengantar Ilmu Kriptografi ; Teori analisis dan
implementasi, Yogyakarta: CV ANDI OFFSET, 2008.
[7] H. Siahaan, Manajemen Risiko, Jakarta: PT Elex Media
Comoutindo, 2007.
[8] Hughes, "Ancaman dalam IT," 2006. [Online]. Available:
http://xondis.blogspot.com/2015/03/pengukuran-risiko-teknologi-
informasi.html.
[9] A. Standards, "Pengertian Manajemen Risiko," 1999. [Online].
Available: http://kangnas.blogspot.com/2013/05/pengertian-
manajemen-risiko-menurut-para-ahli.html.
[10] D. Stiawan, Sistem Keamanan Komputer, Jakarta: PT Elex Media
Komputindo, 2005.
[11] E. Humphreys, Implementing the ISO/IEC 27002 ISMS Standart,
Norwood: Artech House, 2015.
[12] B. Supradono, "MANAJEMEN RISIKO KEAMANAN
INFORMASI," p. 5, 2009.
[13] P. Haapanen and A. Helminen, "Failure Mode and Effect Analysis
Of Software Base Automation System," stuk-yto-tr 190, p. 37,
2002.
[14] M. Budihardjo, Panduan Praktis Menyusun SOP, Yogyakarta:
Gadjah Mada University Press, 2014.
[15] M. H. Indonesia.Indonesia Patent 35 Tahun 2012 Tentang pedoman
penyusunan SOP Administrasi Pemerintahan, 2012.
155
156
157
LAMPIRAN A
INTERVIEW DENGAN BAGIAN OPERASIONAL
CV CEMPAKA
I. Informasi Interview
Nama : Ibu Wahyu Juniarti
Jabatan : Kepala Divisi Operasional
Jenis Kelamin : Perempuan
Tanggal dan Waktu : 25 Oktober 2016, Pukul 09.00 WIB
1. Informasi Narasumber
A- 1 -
permintaan pasar,selain itu ada juga pencatatan administrasi
seperti pencatatan pegawai, pencatatan fasilitas antor,
pengelolaan kas, pencatanan piutang, promosi produk dan
sebagainya
A- 2 -
3. Apa saja ancaman yang pernah terjadi terhadap asset
informasi kritikal tersebut?
Ancaman yang pernah terjadi bisa dari beberapa faktor
seperti dari lingkungan, dari manusia, atau dari
infrastruktur. Kalau dari lingkungan ya bencana alam, lalu
yang berasal dari SDM seperti kelalaian pegawai sehingga
data yang diinputkan tidak valid. Bisa juga ancaman yang
berasal dari kerusakan computer atau kesalahan konfigurasi
4. Apa saja praktek pengamanan yang telah dilakukan oleh
CV Cempaka terhadap asset informasi kritikal tersebut?
Menurut saya CV Cempaka sudah melakukan beberapa
usaha yang lumayan banyak untuk mengamankan asset
informasi yang ada, seperti contohnya memiliki antivirus
dan diupdate secara berkala, melakukan dokumentasi data
dalam bentuk laporan cetak, melakukan backup server 2
minggu sekali, dan cempaka juga memiliki fire extinguisher
untuk memadamkan api saat terjadi kebakaran
A- 3 -
2. Adakah perbedaan hak akses bagi setiap pemilik hak
akses?
Sudah ada, jadi tiap role masing-masing pegawai dibedakan
sesuai dengan unit kerjanya
3. Apakah CV Cempaka telah memiliki prosedur dalam
pencegahan (preventing) terhadap kerusakan pada asset
informasi yang dimiliki saat ini?
Sudah ada, namun masih belum terdokumentasi sama
seperti yang sudah saya sebutkan tadi. Mengenai bagaimana
sebaiknya pengelolaan pada software maupun hardware
seperti server seperti itu, namun pada ruangan server sendiri
kondisinya sudah ada penataan kabel, sudah ada detektor
asap dan hal hal lain yang pada umumnya ada untuk
pengamanan
4. Siapa saja yang bertanggung jawab mengenai aset
informasi pada perusahaan?
Ya saya, khususnya bagian personalia karena hampir semua
proses baik perawatan maupun pengadaan kami yang
bertanggung jawab dan menjalankan, Cuma jobdesknya di
bagi ada beberapa divisi di bagian personalia ada juga
administrator yang mengurus server dan aplikasi di
perusahaan
4. Identifikasi Ancaman serta kebutuhan keamanan
A- 4 -
data yang penting itu ada kesalahan input maka jumlah
produksinya juga akan salah lalu berpengaruh ke proses-
proses setelahnya dan itu bisa merugikan perusahaan secara
financial walaupun mungkin tidak banyak. Kalau ancaman
yang bersifat fisik seperti kerusakan server atau wifi
dampaknya mungkin akan sedikit mengganggu proses bisnis
karena memakan waktu yang tidak sedikit untuk
maintenance
2. Kebutuhan keamanan seperti apa yang dibutuhkan
berdasarkan masing masing ancaman (yang disebutkan
sebelumnya)?
Mungkin kebutuhan keamanan yang dibutuhkan CV
Cempaka ya seperti, adanya kebijakan dan prosedur yang
tertulis, keamanan ruangan server diperketat, log kegiatan
harus dicatat dan hak akses setiap aplikasi harus dibatasi
soalnya data sering tidak sesuai jadi itu dibutuhkan sehingga
informasi yang penting sebisa mungkin tidak jatuh ke orang
yang tidak bertanggung jawab.
A- 5 -
LAMPIRAN B
PENILAIAN RISIKO PADA CV CEMPAKA
Potensi Potensi
Kategori Potensi Mode Proses Kontrol Saat
RPN
Occ
Sev
Det
Aset Dampak Penyebab Level Pemilik Risiko
Aset Kegagalan Ini
Kegagalan Kegagalan
Telah dipasang
pendingin pada ruang
Bagian
Overheat 5 server untuk 3 105 Medium
Operasional
menngurangi
terjadinya overheat
Dilakukan
Kerusakan pada
pengecekan Bagian
bangunan 5 3 105 Medium
kerusakan ruangan Operasional
(bocor)
setiap 2 minggu sekali
B-1-
Potensi Potensi
Kategori Potensi Mode Proses Kontrol Saat
RPN
Occ
Sev
Det
Aset Dampak Penyebab Level Pemilik Risiko
Aset Kegagalan Ini
Kegagalan Kegagalan
Kesalahan Dilakukan
Bagian
konfigurasi 4 maintenance rutin 5 140 High
Operasional
server setiap 6 bulan sekali
Terhambatnya
Server mati 7
proses bisnis
Dilakukan
Kerusakan pada Bagian
3 maintenance rutin 5 105 Medium
Genset dan UPS Operasional
setiap 6 bulan sekali
RAM mengalami
kelebihan Dilakukan
Bagian
memori 3 maintenance rutin 5 90 Medium
Operasional
setiap 6 bulan sekali
Terhambatnya
Server down 6
proses bisnis
Dilakukan
(Harddisk) Bagian
3 maintenance rutin 5 90 Medium
penuh Operasional
setiap 6 bulan sekali
B-2-
Potensi Potensi
Kategori Potensi Mode Proses Kontrol Saat
RPN
Occ
Sev
Det
Aset Dampak Penyebab Level Pemilik Risiko
Aset Kegagalan Ini
Kegagalan Kegagalan
Telah dipasang
Bagian
Overheat 5 pendingin pada 3 105 Medium
Operasional
ruangan
B-3-
Potensi Potensi
Kategori Potensi Mode Proses Kontrol Saat
RPN
Occ
Sev
Det
Aset Dampak Penyebab Level Pemilik Risiko
Aset Kegagalan Ini
Kegagalan Kegagalan
Dilakukan
Kerusakan pada
pengecekan Bagian
bangunan 5 3 105 Medium
kerusakan ruangan Operasional
(bocor)
setiap 2 minggu sekali
Dilakukan
Kesalahan Bagian
4 maintenance rutin 5 140 High
konfigurasi PC Operasional
setiap 6 bulan sekali
B-4-
Potensi Potensi
Kategori Potensi Mode Proses Kontrol Saat
RPN
Occ
Sev
Det
Aset Dampak Penyebab Level Pemilik Risiko
Aset Kegagalan Ini
Kegagalan Kegagalan
kerugian secara
finansial perawatan
Sistem tidak dapat Bagian
7 Server Down 4 maintenance pada 4 112
diakses Terhambatnya Medium Operasional
server 6 bulan sekali
proses bisnis
kerugian secara
Sistem tidak Adanya antivirus dan
finansial dan Bagian
berjalan normal 7 Serangan virus 7 diupdate secara 2 98 Medium
menghambat Operasional
(error) berkala
proses bisnis
B-5-
Potensi Potensi
Kategori Potensi Mode Proses Kontrol Saat
RPN
Occ
Sev
Det
Aset Dampak Penyebab Level Pemilik Risiko
Aset Kegagalan Ini
Kegagalan Kegagalan
Dilakukan
Kesalahan
maintenance rutin Bagian
Konfigurasi pada 5 2 70 Low
setiap 6 bulan sekali Operasional
Sistem
setiap perangkat TI
Dilakukan
Bug pada maintenance rutin Bagian
6 2 84 Medium
Software setiap 6 bulan sekali Operasional
setiap perangkat TI
B-6-
Potensi Potensi
Kategori Potensi Mode Proses Kontrol Saat
RPN
Occ
Sev
Det
Aset Dampak Penyebab Level Pemilik Risiko
Aset Kegagalan Ini
Kegagalan Kegagalan
proses bisnis
Telah dilakukan
Rusaknya media Bagian
3 backup server 2 hari 5 120 High
penyimpanan Operasional
sekali
menyebabkan
kerugian dan Adanya update patch
Bagian
Pencurian data sangat 8 Adanya hacker 3 dan firewall secara 3 72 Low
Operasional
menghambat berkala
proses bisnis
B-7-
Potensi Potensi
Kategori Potensi Mode Proses Kontrol Saat
RPN
Occ
Sev
Det
Aset Dampak Penyebab Level Pemilik Risiko
Aset Kegagalan Ini
Kegagalan Kegagalan
penurunan
Dilakukan
Gangguan kinerja sehingga Kesalahan Bagian
6 4 maintenance Wifi 4 96 Medium
koneksi proses bisnis Konfigurasi wifi Operasional
setiap 2 minggu sekali
terhambat
Wifi
penurunan
kinerja sehingga Adanya genset dan Bagian
Internet mati 6 Listrik mati 6 3 108 Medium
proses bisnis ups Operasional
terhambat
Jaringan
Dilakukan
Adanya hewan maintenance rutin Bagian
8 4 192 High
pengerat setiap 6 bulan sekali Operasional
penurunan setiap perangkat TI
Kerusakan kabel kinerja sehingga
Kabel 6
LAN proses bisnis
terhambat Kurangnya Dilakukan
kontrol maintenance rutin Bagian
6 4 144 High
pengamanan setiap 6 bulan sekali Operasional
kabel setiap perangkat TI
penurunan Dilakukan
Router Kesalahan
kinerja sehingga maintenance rutin Bagian
Router mengalami 6 Konfigurasi 4 4 96 Medium
proses bisnis setiap 6 bulan sekali Operasional
gangguan router
terhambat setiap perangkat TI
B-8-
Potensi Potensi
Kategori Potensi Mode Proses Kontrol Saat
RPN
Occ
Sev
Det
Aset Dampak Penyebab Level Pemilik Risiko
Aset Kegagalan Ini
Kegagalan Kegagalan
penurunan
Adanya Camera
Hilangnnya kinerja sehingga Kelalaian Satuan
6 4 CCTV yang bekerja 3 72 Low
komponen TI proses bisnis pegawai Keamanan
24 jam
terhambat
penurunan Dilakukan
Router Kesalahan
kinerja sehingga maintenance rutin Bagian
mengalami 6 Konfigurasi 4 4 96 Medium
proses bisnis setiap 6 bulan sekali Operasional
gangguan router
terhambat setiap perangkat TI
Switch
penurunan
Adanya Camera
Hilangnnya kinerja sehingga Kelalaian Satuan
6 4 CCTV yang bekerja 3 72 Low
komponen TI proses bisnis pegawai Keamanan
24 jam
terhambat
Membedakan role
atau hak akses untuk
penurunan Penurunan masing masing
Penyalahguaan Semua bagian
kinerja dan 6 Loyalitas 3 pegawai sesuai 3 54 Low
data organisasi dengan unit kerja dan pada perusahaan
sedikit kerugian Pegawai
fungsinya
SDM Karyawan
Membedakan role
penurunan Penurunan atau hak akses untuk
Pelanggaran hak Semua bagian
kinerja dan 6 Loyalitas 3 masing masing 3 54 Low
akses pada perusahaan
sedikit kerugian Pegawai pegawai sesuai
dengan unit kerja dan
B-9-
Potensi Potensi
Kategori Potensi Mode Proses Kontrol Saat
RPN
Occ
Sev
Det
Aset Dampak Penyebab Level Pemilik Risiko
Aset Kegagalan Ini
Kegagalan Kegagalan
fungsinya
Membedakan role
menyebabkan atau hak akses untuk
kerugian dan Kelalaian masing masing Semua bagian
Password shared 7 5 4 140 High
menghambat pegawai pegawai sesuai pada perusahaan
proses bisnis dengan unit kerja dan
fungsinya
B - 10 -
LAMPIRAN C
PEMETAAN DAN JUSTIFIKASI KONTROL
Kategori
Potensi
Aset Aset Informasi Potensi Mode Kontrol
Penyebab Justifikasi
Informasi Kritis Kegagalan ISO27002:2013
Kegagalan
Kritis
Server Kesalahan Kontrol yang memastikan pemeliharaan alat atau aset yang dimiliki
Kerusakan konfigurasi 11.2.4 Equipment
Hardware kegunaanya untuk memastikan alat dapat digunakan selama proses
Hardware maintenance
bisnis berjalan
PC
9.3.1 Use of secret Kontrol yang memastikan administrator atau pengguna memiliki
authentication hak akses harus mengikuti praktek-praktek dalam menggunakan
information informasi penting
Data keuangan,
Data Produksi, Kontrol untuk memastikan aktivitas sistem administrator dan sistem
Kelalaian operasi selalu tercatat dalam sebuah log dan selalu terkendali.
Data Data penjualan, Data Hilang 12.4.3 Administrator
Administrator Sehingga apabila adanya kesalahan yang diakibatkan human error
& Operator Logs
Data maka dapat dilakukan audit trail untuk melacak kesalahan yang
Kepegawaian terjadi.
7.2.2 Information
security awareness,
education and
training
C-1-
Kategori
Potensi
Aset Aset Informasi Potensi Mode Kontrol
Penyebab Justifikasi
Informasi Kritis Kegagalan ISO27002:2013
Kegagalan
Kritis
9.1.1 Access control Kontrol yang memastikan suatu penetapan sebuah kebijakan akses
policy harus ditinjau dan sesuai dengan persyaratan keamanan informasi
12.3.1 Information Kontrol yang memastikan adanya salinan cadangan informasi yang
Backup diambil dan diuji secara teratur
Rusaknya media
Data Hilang
penyimpanan
Kontrol yang memastikan pemeliharaan alat atau aset yang dimiliki
11.2.4 Equipment
kegunaanya untuk memastikan alat dapat digunakan selama proses
maintenance
bisnis berjalan
9.2.3 Management
Kontrol yang memastikan pembatasan alokasi dan penggunaan hak
of privileged access
akses
rights
9.1.1 Access control Kontrol yang memastikan suatu penetapan sebuah kebijakan akses
policy harus ditinjau dan sesuai dengan persyaratan keamanan informasi
Seluruh sistem Aplikasi diakses Username dan 9.4.1 Information Kontrol yang memastikan pembatasan akses ke fungsi dalam sistem
Software
aplikasi yang oleh pihak yang password access restriction aplikasi yang harus sesuai dengan kebijakan dari kontrol akses
C-2-
Kategori
Potensi
Aset Aset Informasi Potensi Mode Kontrol
Penyebab Justifikasi
Informasi Kritis Kegagalan ISO27002:2013
Kegagalan
Kritis
dimiliki tidak berwenang diketahui oleh Kontrol yang memastikan prosedur akses pada sistem aplikasi
9.4.2 Secure log-on
perusahaan pengguna lain kegunaanya adalah menghindari akses oleh orang luar (tidak
procedures
memiliki hak akses)
9.1.1 Access control Kontrol yang memastikan suatu penetapan sebuah kebijakan akses
policy harus ditinjau dan sesuai dengan persyaratan keamanan informasi
Kurangnya
Kerusakan kabel kontrol 11.2.3 Cabling Kontrol yang memastikan adanya proses cabling yang mampu
Jaringan Kabel
LAN pengamanan security melindungi dari kerusakan atau gangguan
kabel
C-3-
Kategori
Potensi
Aset Aset Informasi Potensi Mode Kontrol
Penyebab Justifikasi
Informasi Kritis Kegagalan ISO27002:2013
Kegagalan
Kritis
9.1.1 Access control Kontrol yang memastikan suatu penetapan sebuah kebijakan akses
policy harus ditinjau dan sesuai dengan persyaratan keamanan informasi
C-4-
LAMPIRAN D
PEMETAAN HASIL REKOMENDASI PENGENDALIAN RISIKO
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
7.1.2 Perjanjian kontrak Semua karyawan yang akan Perusahaan memberikan Membuat kontrak perjanjian untuk
Terms and conditions dengan karyawan diberi akses informasi rahasia tanggung jawab hak akses yang semua karyawan yang akan
of employment yang menyatakan harus menandatangani akan di kelola untuk masing diberikan tanggung jawab dan hak
bahwa mereka perjanjian non-disclosure masing pegawai sesuai dengan akses pada pengolahan informasi
bertanggung jawab sebelum diberi akses pada unit kerja dan fungsinya
atas keamanan pengolahan informasi Adanya tanggung jawab secara
informasi Perusahaan memberlakukan hukum untuk karyawan yang
perusahaan Adanya Tanggung jawab punishment terhadap karyawan menandatangani perjanjian perihal
hukum untuk hak hak dari yang melanggar peraturan hak perlindungan data
karyawan, misalnya hukum akses seperti pengurangan gaji
hak cipta atau undang undang dan pergantian hak akses Adanya Tanggung jawab untuk
perlindungan data klasifikasi informasi dan manajemen
aset perusahaan terkait dengan
Adanya Tanggung jawab informasi, fasilitas pengolahan
untuk klasifikasi informasi informasi dan layanan informasi
dan manajemen aset yang ditangani oleh karyawan
perusahaan terkait dengan
informasi, fasilitas pengolahan Adanya tanggung jawab karyawan
informasi dan layanan untuk penanganan informasi yang
informasi yang ditangani oleh diterima dari perusahaan lain atau
karyawan pihak eksternal
D-1-
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
diambil jika karyawan atau
mengabaikan persyaratan
keamanan organisasi
D-2-
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
7.2.2 Semua karyawan Program awareness Adanya pemberitahuan dan Membuat Program kesadaran seperti
Information security harus memiliki (peringatan kesadaran) terkait peringatan setiap karyawan training dan seminar secara terjadwal
awareness, education kesadaran, keamanan informasi membuat saat diberikan tanggung jawab untuk setiap karyawan yang
and training edukasi, dan para karyawan menyadari hak akses maupun tugas agar menggunakan aset informasi baik
pelatihan terkait akan tanggung jawab mereka mengerjakan dengan teliti dan karyawan baru, karyawan lama, dan
kebijakan dan untuk keamanan informasi benar. karyawan sementara atau magang
prosedur perusahaan dan supaya
perusahaan sesuai mereka tidak mengabaikannya Adanya pemberitahuan dan Membuat poster mengenai kesadaran
dengan fungsi peringatan setiap karyawan keamanan informasi pada setiap
kerja mereka Program awareness mengenai betapa pentingnya bagian perusahaan yang
(peringatan kesadaran) terkait data yang dikerjakan maupun menggunakan aset informasi
keamanan informasi harus yang berada di bawah
ditetapkan sesuai dengan tanggung jawabnya. Membuat perencanaan dan konten
kebijakan dan prosedur program kesadaran yang sesuai
perusahaan. Adanya training setiap adanya dengan kebutuhan dengan
software baru maupun update mempertimbangkan peran dari
Program awareness software. karyawan
(peringatan kesadaran) harus
direncanakan dengan Adanya training untuk Membuat reward dan punishment
mempertimbangkan peran karyawan magang ataupun untuk karyawan yang menjalankan
karyawan dalam organisasi. karyawan baru. program kesadaran dengan sesuai
Kegiatan ini harus
dijadwalkan dari waktu ke
waktu secara teratur sehingga
kegiatan ini mampu diikuti
oleh karyawan yang baru.
Program ini juga harus
diperbarui secara berkala
sehingga tetap sejalan dengan
kebijakan dan prosedur
organisasi, dan juga dapat
diperbarui dari insiden
keamanan informasi yang
pernah terjadi.
D-3-
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
D-4-
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
pemisahan peran kontrol akses hanya berisikan aplikasi- Membuat peraturan mengenai
Requirement untuk otorisasi aplikasi yang menunjang pembatasan akses data maupun
permintaan akses kinerja perusahaan sistem aplikasi yang dimiliki,
Requirement untuk mereview o Pemisahan peran kontrol akses
hak akses Data perusahaan hanya bisa
Penghapusan hak akses dimasukkan, diganti atau o Roles terkait privileged akses
Pengarsipan catatan semua dihapus oleh database
peristiwa penting mengenai administrator saja. Sehingga o Requirement otorisasi hak akses
penggunaan dan pengelolaan para staff tidak dapat
identitas pengguna dan memodifikasi data yang o Requirement mereview hak
informasi otentikasi rahasia sifatnya rahasia akses
Roles terkait privileged akses
9.2.3 Management of Alokasi dan Hak akses privilaged yang Perusahaan telah membedakan Adanya Membedakan role atau hak
privileged access penggunakan hak terkait dengan setiap system role atau hak akses untuk akses untuk masing masing pegawai
rights akses privileges atau proses (ex. sistem masing masing pegawai sesuai sesuai dengan unit kerja dan
harus dibatasi dan manajemen database dan dengan unit kerja dan fungsinya
di kontrol masing-masing aplikasi dan fungsinya
pengguna operasi kepada o Setiap system memiliki user Membuat aturan dan prosedur
siapa mereka harus level. Direktur, kepala tertulis mengenai penggunaan hak
dialokasikan harus bagian, dan staff memiliki akses privileges
diidentifikasi) user interface system yang o Proses otorisasi dan catatan hak
Hak akses privileged harus berbeda privileged yang dialokasikan
dialokasikan kepada harus didokumentasikan
pengguna berdasarkan Data perusahaan hanya bisa
kebutuhan yang digunakan dimasukkan, diganti atau o Kebutuhan untuk hak akses
dan sejalan dengan kebijakan dihapus oleh database privileged harus didefinisikan
kontrol akses administrator saja. Sehingga
Proses otorisasi dan catatan para staff tidak dapat o Hak akses privileged harus
hak privileged yang memodifikasi data yang diserahkan kepada pengguna ID
dialokasikan harus sifatnya rahasia yang berbeda dari yang
didokumentasikan digunakan untuk kegiatan bisnis
Kebutuhan untuk hak akses Adanya prosedur yang telah dengan yang biasa
privileged harus didefinisikan berjalan untuk melakukan o Peninjauan pengguna atau
D-5-
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
Hak akses privileged harus pergantian password karyawan yang diberikan hak
diserahkan kepada pengguna o Setiap 3 bulan sekali, system akses secara teratur unruk
ID yang berbeda dari yang secara otomatis meminta memverifikasi apakah sudah
digunakan untuk kegiatan administrator untuk sesuai dengan tugas yang di
bisnis biasa melakukan perubahan berikan
kompetensi pengguna dengan password o Adanya otentikasi rahasia dari
hak akses privilaged harus ID administrasi maupun pemilik
ditinjau secara teratur untuk hak akses seperti Sering
memverifikasi apakah mereka mengubah password dan log out
sejalan dengan tugas mereka sesegera mungkin ketika
prosedur tertentu harus pengguna hak privileged
ditetapkan dan dimaintenance meninggalkan atau mengubah
untuk menghindari pekerjaan
penggunaan yang tidak sah
dari ID pengguna
untuk ID administrasi
pengguna generik,
kerahasiaan informasi
otentikasi rahasia harus dijaga
saat bersama (ex. Sering
mengubah password dan
menghapus sesegera mungkin
ketika pengguna hak
privileged meninggalkan atau
mengubah pekerjaan)
9.3.1 Use of secret Pengguna harus Menyimpan otentikasi Perusahaan telah membedakan Adanya penyimpanan otentikasi
authentication diminta untuk informasi rahasia, role atau hak akses untuk rahasia khusus untuk memastikan
information mengikuti praktek- memastikan bahwa tidak masing masing pegawai sesuai bahwa dokumen tidak di bocorkan
praktek organisasi dibocorkan kepada pihak lain dengan unit kerja dan kepada pihak lain
dalam penggunaan Menjaga kerahasiaan catatan fungsinya Mengubah otentikasi informasi
informasi otentikasi informasi o Setiap system memiliki user rahasia setiap terjadinya indikasi
otentikasi rahasia Mengubah otentikasi level. Direktur, kepala masalah
informasi rahasia setiap kali bagian, dan staff memiliki Diharuskan menggunakan password
D-6-
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
ada indikasi masalah yang user interface system yang yang berkualitas dengan panjang
mungkin terjadi berbeda minimum 8 dan alfanumeric
Ketika password digunakan Tidak membagikan otentikasi rahasia
sebagai otentikasi informasi Adanya prosedur yang telah dengan individu lain
rahasia, pilih password yang berjalan untuk melakukan Adanya pemastian password yang di
berkualitas dengan panjang pergantian password gunakan adalah strong dan
minimum 8 dan bebas o Setiap 3 bulan sekali, system keamanan penyimpanan dari
karakter yang identik (semua secara otomatis meminta password aman
abjad atau semua angka) administrator untuk Tidak menggunakan informasi
Tidak berbagi otentikasi melakukan perubahan otentikasi yang sama untuk tujuan
informasi rahasia dengan password bisnis atau non-bisnis
individu lain
memastikan perlindungan Adanya pemberitahuan dan
yang tepat dari password peringatan setiap karyawan
ketika password yang mengenai betapa pentingnya
digunakan sebagai informasi data yang dikerjakan maupun
otentikasi rahasia otomatis yang berada di bawah
log-on disimpan tanggung jawabnya
tidak menggunakan informasi
otentikasi yang sama untuk
tujuan bisnis dan non-bisnis
9.4.1 Information Akses untuk fungsi menyediakan menu untuk Perusahaan telah membedakan Adanya menu khusus pada sistem
access restriction informasi dan control akses ke fungsi role atau hak akses untuk aplikasi untuk mengubah kontrol
system aplikasi system aplikasi masing masing pegawai sesuai akses yang ada
harus dibatasi pengendalian data yang dapat dengan unit kerja dan Adanya pengendalian data yang
sesuai dengan diakses oleh pengguna fungsinya dapat diakses oleh pengguna tertentu
kebijakan kontrol tertentu o Setiap system memiliki user Mengontrol penyesuaian
akses mengontrol hak akses level. Direktur, kepala penggunaan hak akses oleh
pengguna, (Ex. read, create, bagian, dan staff memiliki pengguna (Ex. read, create, delete
delete and excute) user interface system yang and excute) Pada sistem aplikasi
mengontrol hak akses dari berbeda Membedakan hak akses dari aplikasi
aplikasi lain; lain
membatasi informasi yang Data perusahaan hanya bisa Adanya kontrol akses fisik atau
D-7-
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
terkandung dalam output dimasukkan, diganti atau logika untuk isolasi aplikasi sensitif,
menyediakan kontrol akses dihapus oleh database aplikasi data, atau sistem (Ex.
fisik atau logika untuk isolasi administrator saja Camera CCTV, pengggembokan
aplikasi sensitif, aplikasi data, o Sehingga para staff tidak ruangan, dll)
atau sistem dapat memodifikasi data
yang sifatnya confidential
Perusahaan memberlakukan
peraturan tidak dapat
menginstal aplikasi lain dalam
PC selain admin
o PC yang ada di perusahaan
hanya berisikan aplikasi-
aplikasi yang menunjang
kinerja perusahaan
9.4.2 Secure log-on Akses ke system Tidak menampilkan system Adanya autentikasi untuk login Adanya proses log-on pada setiap
procedures dan aplikasi harus atau aplikasi pengenal hingga pengguna sistem aplikasi
dikontrol dengan proses log-on terselesaikan o Setiap akan menggunakan Adanya notifikasi yang
prosedur Menampilkan pemberitahuan system yang ada pada memperingatkan bahwa komputer
keamanan log-on umum yang memperingatkan perusahaan, pengguna harus ataupun sistem aplikasi hanya dapat
bahwa computer hanya bisa memasukkan username dan diakses oleh pengguna yang
diakses oleh pengguna yang password yang sesuai terlebih berwenang
berwenang dahulu Tidak adanya hint atau bantuan
Tidak memberikan bantuan Data perusahaan hanya bisa dalam proses log on sehingga hanya
pesan selama proses log-on dimasukkan, diganti atau dapat diakses oleh pihak yang
Memvalidasi log-on hanya dihapus oleh database berwenang saja
pada proses input data administrator saja. Sehingga Tidak adanya pemberitahuan
terselesaikan. Jika ada para staff tidak dapat penulisan input data yang benar
kesalahan, system tidak harus memodifikasi data yang selama proses log-on
menunjukkan bagaimana data sifatnya rahasia Adanya perlindungan terhadap brute
yang benar Perusahaan memiliki catatan force
log setiap aktivitas dalam Meningkatkan keamanan jika terjadi
Melindungi terhadap upaya sistem informasi yang dimiliki potensi pelanggaran yang mulai
D-8-
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
brute force log-on misalkan log login siapa saja terdeteksi
Percobaan log unsuccess dan yang akses aplikasi, apa saja Menampilkan informasi proses log-
log success data yang baru dimasukan, di on antara lain :
Meningkatkan keamanan jika ubah, maupun di hapus o Tanggal dan waktu sukse log on
terdapat potensi pelanggaran o Log-on berhasil hingga log-on
yang terdeteksi terakhir
Menampilkan informasi Tidak menampilkan password yang
berikut pada proses log-on di inputkan
selesai : Tidak bisa mencopas password
o tanggal dan waktu dari dalam bentuk teks
sukses log-on sebelumnya; Membatasi sesi log-on dalam
o rincian dari setiap berhasil periode tertentu jika sistem aplikasi
log-on upaya sejak sukses sudah tidak digunakan
log-on terakhir; Membatasi koneksi internet untuk
tidak menampilkan password memberikan keamanan tambahan
yang dimasukkan pada aplikasi maupun komputer
tidak mengirimkan password yang di gunakan
dalam bentuk teks melalui
jaringan
mengakhiri sesi aktif setelah
periode tertentu tidak aktif,
terutama di lokasi berisiko
tinggi seperti area public
membatasi koneksi untuk
memberikan keamanan
tambahan untuk aplikasi
berisiko tinggi
9.4.3 Password sistem manajemen Menerapkan penggunaan user Data perusahaan hanya bisa Adanya prosedur untuk melakukan
management system password harus ID dan password untuk dimasukkan, diganti atau pergantian password.
interaktif dan menjaga akuntabilitas dihapus oleh database o Setiap 2 bulan sekali, system
harus memastikan memungkinkan pengguna administrator saja. Sehingga secara otomatis meminta
kualitas password untuk memilih dan mengubah para staff tidak dapat administrator untuk melakukan
password mereka sendiri dan memodifikasi data yang perubahan password
D-9-
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
menerapkan prosedur sifatnya rahasia memungkinkan pengguna untuk
konfirmasi untuk kesalahan memilih dan mengubah password
input; Adanya prosedur yang telah mereka sendiri dan menerapkan
menegakkan pilihan berjalan untuk melakukan prosedur konfirmasi untuk kesalahan
password berkualitas pergantian password. input;
memaksa pengguna untuk o Setiap 3 bulan sekali, system Mewajibkan staff menggunakan
mengubah password mereka secara otomatis meminta password yang berkualitas
pada pertama log-on administrator untuk o Panjang minimal 8 karakter
menegakkan perubahan melakukan perubahan o Wajib menggunakan huruf
password secara teratur dan password Kapital, Angka dan symbol
sesuai kebutuhan tidak menampilkan password di
mempertahankan catatan layar ketika sedang masuk
password yang digunakan menyimpan dan mengirimkan
sebelumnya dan mencegah password dalam bentuk enkripsi
penggunaan kembali Mencegah penggunaan password
tidak menampilkan password yang sama dengan sebelumnya saat
di layar ketika sedang masuk pergantian password
menyimpan dan mengirimkan
password dalam bentuk
enkripsi
11.2.3 Cabling Listrik dan kabel Listrik dan telekomunikasi Adanya pengaturan kabel Membuat perlindungan alternative
security telekomunikasi sebaiknya ditanam dibawah dengan melakukan pelabelan yang memadai seperti penanaman
yang membawa tanah dan diberi perlindungan untuk masing masing fungsi kabel bawah tanah
data atau alternative yang memadai kabel Pemisahan kabel telekomunikasi
mendukung kabel listrik harus dipisahkan o Adanya label di setiap dengan kabel listrik untuk
layanan informasi dari kabel komunikasi untuk ujung kabel menghindari terjadinya konsleting
harus mencegah gangguan o Adanya Pembedaan warna Pembuatan pelindung kabel agar
dilindungi dari untuk sistem sensitif atau kritis, kabel tidak ada hewan pengerat maupun
intersepsi, kontrol yang dipertimbangkan Perusahaan memastikan akses dari orang yang tidak
gangguan atau seperti : peletakan kabel yang teratur berwenang
kerusakan o instalasi saluran lapis baja dan tidak berantakan Melakukan pemeriksaan fisik secara
dan mengunci kotak pada berkala untuk menghindari perangkat
inspeksi tidak sah yang terhubung
D - 10 -
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
o menggunakan perisai Mengontrol akses pada panel patch
elektromagnetik untuk dan kabel pada ruangan secara rutin
melindungi kabel
o pemeriksaan fisik untuk
perangkat yang tidak sah
yang melekat pada kabel
o Mengontrol akses ke patch
panel dan kabel room.
11.2.4 Equipment Perlengkapan Equipment harus dipelihara Perusahaan melakukan Pemeliharaan equipment harus
maintenance harus dipelihara sesuai dengan spesifikasi dan maintenance rutin setiap 6 sesuai dengan spefikasi dan interval
dengan benar interval servis yang bulan sekali pada perangkat TI servis yang telah di rekomendasikan
untuk memastikan direkomendasikan pemasok; o Setiap Staff dapat Adanya hak akses khusus untuk
integritas dan Hanya personil yang melaporkan setiap melakukan pemeliharaan dan
ketersediaan berwenang yang boleh terjadinya kerusakan pada perbaikan pada equipment
secara terus melakukan pemeliharaan dan perangkat TI yang di perusahaan
menerus perbaikan gunakan pada Bagian Membuat form catatan pada semua
catatan harus disimpan dari Operasional kendala dan pemeliharaan prefentive
semua aktual kesalahan, dan o Bagian Operasional maupun korektif
semua pemeliharaan preventif Mencatat setiap kejadian Adanya penyimpanan catatan
dan korektif kerusakan dan melaporkan pelaporan kerusakan dan
Kontrol yang tepat harus pada teknisi perusahaan pemeliharaan secara preventif
dilaksanakan bila maintenance maupun pihak eksternal maupun korektif
equipment telah dijadwalkan. o Teknisi perusahaan Adanya penjadwalan yang tepat atau
Dengan mempertimbangkan maupun eksternal sesuai dengan rekomendasi dari
apakah maintenance ini diwajibkan mencatat setiap pihak pemasok equipment
dilakukan oleh pihak eksternal, komponen yang di ganti Membuat kontrol yg sesuai dengan
bila perlu maka informasi maupun setiap merubah kebutuhan untuk merekomendasi
rahasia harus dibersihkan konfigurasi pada perangkat sebelum melakukan maintenance
terlebih dahulu dari equipment TI dengan pihak eksternal
Semua kebutuhan maintenance o Bagian Operasional Memastikan equipment dengan
yang dikenakan asuransi harus memastikan perangkat TI benar equipment dapat digunakan
dipenuhi sudah dapat digunakan kembali dalam operasional setelah
Sebelum meletakkan dengan baik dan dilakukan maintenance baik
memastikan tidak adanya
D - 11 -
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
equipment kembali kedalam data yang dicuri maintenance pihak internal dan
operasi setelah dimaintenance, Adanya penguncian pada ruang eksternal
harus dipastikan bahwa server sehingga tidak dapat
peralatan tersebut berfungsi sembarang orang bisa masuk
dan tidak rusak Perusahaan melakukan
maintenance Wifi setiap 2
minggu sekali
Adanya anggota satuan
keamanan yang berkeliling
selama 24 jam penuh
Adanya Camera CCTV yang
bekerja 24 jam yang memantau
perlengkapan
Perusahaan melakukan
pengecekan kerusakan ruangan
setiap 1 bulan sekali
12.3.1 Information Backup cadangan Dokumentasi yang akurat dan Perusahaan melakukan backup Membuat prosedur atau aturan
Backup dari informasi lengkap dari Salinan backup data Camera CCTV selama 1 backup yang lengkap dan sesuai
penting, software dan prosedur dokumentasi bulan 2 kali kebutuhan
dan system image harus dibuat Adanya dokumentasi data o Dilakukan dokumentasi setiap
harus diambil dan Frekuensi backup harus dalam bentuk laporan cetak melakukan backup
diuji secara mencerminkan kebutuhan pada setiap sistem yang o Frekuensi melakukan backup
berkala sesuai bisnis organisasi dimiliki harus sesuai dengan kepntingan
dengan kebijkana Backup harus disimpan di o Penyimpanan laporan cetak dan kebutuhan sebuah data bagi
yang disepakati. lokasi terpencil, pada jarak dilakukan dengan perusahaan
yang cukup untuk menghindari terstruktur o Backup data harus disimpan
bencana pada lokasi utama Perusahaan melakukan backup pada tempat yang aman dari
Informasi backup harus diberi server 2 hari sekali terjadinya bencana
tingkat perlindungan fisik dan o Lokasi backup harus di beri
lingkungan yang konsisten pengamanan fisik dan
Media backup harus diuji lingkungan yang aman
secara teratur untuk o Melakukan pengujian lokasi
memastikan bahwa mereka backup secara berkala
D - 12 -
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
dapat diandalkan o Backup data harus dilindungi
Backup harus dilindungi dengan enkripsi
dengan cara enkripsi
12.4.1 Event logging Event log Merekam aktivitas berikut : Perusahaan memiliki catatan Adanya log kegiatan pada setiap
merekam aktivitas User ID log setiap aktivitas dalam sistem aplikasi maupun kegiatan
pengguna, System Activities sistem informasi yang dimiliki yang dilakukan
exceptions, tanggal, waktu dan rincian misalkan log login siapa saja Pada dokumen log harus terekam
kesalahan dan peristiwa penting, misalnya yang akses aplikasi, apa saja beberapa aktivitas berikut :
kejadian keamanan log-on dan log-off data yang baru dimasukan, di o Adanya User ID
informasi harus identitas perangkat atau lokasi ubah, maupun di hapus o Sistem apa yang sedang
diproduksi, jika mungkin dan sistem beraktivitas
disimpan secara pengenal Adanya dokumentasi data
berkala Dokumentasi upaya success dalam bentuk laporan cetak o tanggal, waktu dan rincian
dan reject akses system pada setiap sistem yang peristiwa penting, misalnya log-
perubahan konfigurasi system dimiliki on dan log-off
Penggunaan hak akses
privileged o Penyimpanan laporan cetak o Dokumentasi upaya success dan
penggunaan sistem utilitas dan dilakukan dengan reject akses system
aplikasi terstruktur
file diakses dan jenis akses o perubahan konfigurasi system
alamat jaringan dan protocol
o Penggunaan hak akses
Meningkatkan alarm pada
privileged
control akses
aktivasi dan de-aktivasi sistem o penggunaan sistem utilitas dan
perlindungan, seperti sistem aplikasi
anti-virus
Dokumentasi transaksi yang o file diakses dan jenis akses
dilakukan oleh pengguna pada
aplikasi o aktivasi dan de-aktivasi sistem
D - 13 -
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
perlindungan, seperti sistem
anti-virus
12.4.2 Protection of Fasilitas logging Memiliki dokumentasi Perusahaan memiliki catatan Adanya perlindungan khusus pada
log information dan log informasi terhadap perubahan jenis pesan log setiap aktivitas dalam file log yang akan diedit maupun di
harus dilindungi Melingungi file log yang sistem informasi yang dimiliki hapus
terhadap gangguan sedang diedit atau dihapus misalkan log login siapa saja Adanya pengecekan secara berkala
dan akses yang Menghindari kapasitas yang akses aplikasi, apa saja pada kapasitas database untuk
tidak sah penyimpanan media File log data yang baru dimasukan, di penyimpanan media file logging
yang sudah berlebih, sehingga ubah, maupun di hapus yang sudah berlebih, untuk
gagal untuk melakukan mengurangi terjadinya kegagalan
penyimpanan Adanya dokumentasi data dalam pencatatan log atau kegiatan
dalam bentuk laporan cetak dalam setiap aktivitas yang
pada setiap sistem yang dilakukan
dimiliki
D - 14 -
Kontrol ISO Control Objective Petunjuk pelaksanaan Pelaksanaan keamanan yang Hasil Rekomendasi
27002:2013 ISO 27002:2013 dilakukan perusahaan
fungsinya
o Setiap system memiliki user
level. Direktur, kepala
bagian, dan staff memiliki
user interface system yang
berbeda
D - 15 -
LAMPIRAN E
HASIL VERIFIKASI DAN VALIDASI
Pertanyaan Jawaban
Menurut Ibu dan bapak Narasumber I : Karena secara
apakah kebijakan yang di spesifik belum ada kebijakan
rekomendasikan telah sesuai khusus mengenai Teknologi
dengan kondisi pada CV Informasi dan Komunikasi di
Cempaka? Atau adakah CV Cempaka, saya rasa
kebijakan yang kurang kebijakan sudah cukup tapi
sesuai dan perlu diubah? saya rasa untuk kebijakan
pengendalian hak akses dan
keamanan informasi dipisah
saja karena biar lebih spesifik
mengenai hak akses dan
kemanan informasi,
E- 1 -
kebijakan human resource
security soalnya disini kurang
ada peraturan maupun
pedoman untuk SDM itu
sendiri terkait dalam
keamanan informasi
Menurut Bapak dan Ibu Secara keseluruhan sudah
apakah ada istilah yang tepat.
kurang tepat yang digunakan
dalam dokumen SOP ini?
Apakah menurut Bapak dan Narasumber I : Ada beberapa
Ibu ada aktivitas dalam SOP koreksi untuk prosedur di
yang perlu diperbaiki atau pengelolaan hak akses untuk
ditambahkan? peninjauan kinerja pegawai
saya rasa di hapus saja karen
untuk peninjauan kinerja kita
sudah ada prosedur sendiri
untuk melakukan penilaian
kinerja.
Narasumber II : untuk
prosedur perawatan hardware
pada poin 1.5 sepertinya
untuk melakukan perbaikan
tidak perlu melakukan
pengelolaan hak akses lagi
karena untuk vendor kita
sudah ada perjanjian
tersendiri
Narasumber II : pelaksana
pada prosedur pergantian
password di kerucutkan
langsung saja pegawai divisi
operasional digantikan dengan
E- 2 -
administrator saya baca dari
flownya itu flow untuk bagian
saya dan tim
Narasumber I : Untuk
prosedur keamanan kabel
yang bertanggung jawab
bagian personalia tapi untuk
yang melakukan pelaksanaan
dari divisi keamanan jadi di
ganti saja pelaksana untuk itu
Terakait dengan formulir Secara keseluruhan sudah
dalam mendukung setiap lengkap dan cukup, mungkin
prosedur yang dihasilkan lebih lanjut kesesuiannya bisa
apakah ada koreksi? dilihat pada saat simulasi
prosedurnya saja.
E- 3 -
Tabel E.1 Tabel validasi pemberian hak akses
No Aktivitas Keterangan
Proses pemberian hak akses
Mempersiapkan formulir Proses persiapan
pengelolaan hak akses, untuk melakukan
1
formulir log hak akses, dan prosedur pengelolaan
formulir perjanjian hak akes hak akses
Disini calon pengguna
mengisikan form
Calon pengguna sistem mengisi untuk penambahan
2
formulir pengelolaan hak akses hak akses baru pada
sistem aplikasi
perusahaan
Dalam tahap ini
administrator
melakukan
Administrator melakukan
persetujuan kepada
3 persetujuan dan menyiapkan
kepala bagian
hak akses baru untuk pengguna
personalia dan
menyiapkan hak akses
baru
Form perjanjian
penggunaan hak akses
ini bertujuan untuk
memberikan
peraturan2 terkait
Setelah persetujuan dilakukan informasi yang boleh
administrator memberikan digunakan dan
4
form perjanjian penggunaan disimpan oleh calon
hak akses pengguna dimana
tertera beberapa pasal
di dalamnya dan ada
punisment jika
pengguna sistem
melanggar
E- 4 -
Adminisrator
Pengguna membaca dan menandatangani
5 mengisi formulir perjanjian dan sehingga kontrak
menandatanganinya perjanjian sudah di
verifikasi
Setelah itu administrtor Pencatatan di perlukan
6 mencatat pada log hak akses untuk data
menambahkan hak akses baru pengelolaan hak akses
Pada proses ini
penguuna sudah dapat
Administrator mengabarkan
menggunakan hak
hak akses baru sudah dapat di
7 akses yang
gunakan oleh pengguna dan
dimilikinya pada
hak akses pn dapat di gunakan
sistem yang sudah
disepakati.
E- 5 -
Berikut merupakan gambar validasi pemberian hak akses yang
di lakukan :
E- 6 -
Gambar E.2 Log pengelolaan hak akses
E- 7 -
Gambar E.3 Perjanjian hak akses
E- 8 -
2. Pengujian prosedur pengelolaan password
Tanggal Pengujian : 5 Januari 2017
Pelaksana : Budi Hartanto, Administrator
Dheni Indra, Mahasiswa Peneliti
Hasil simulasi pengujian secara rinci dijelaskan dalam tabel
berikut :
Tabel E.2 tabel proses pergantian password
No Aktivitas Keterangan
Proses permintaan pergantian password
Mempersiapkan formulir Proses persiapan
permintaan pergantian untuk melakukan
1
password, formulir log hak prosedur pengelolaan
akses password
Pengguna sistem mengisi Dilakukan dengan
2 formulir permintaan pergantian baik
password
Administrator melakukan Dilakukan dengan
persetujuan dan menyiapkan baik
3 pembukaan sistem untuk
pergantian password pada akun
milik pengguna
Administrator memberi kabar Dilakukan dengan
pada pengguna jika sudah baik
dapat menggantikan
4 passwordnya sistem ini akan
menutup sendiri jika password
tidak segera di ganti oleh
pengguna
Pengguna mengganti password Dilakukan dengan
sesuai ketentuan jika tidak baik
5
sesuai dengan ketentuan maka
akan muncul alert pada sistem
E- 9 -
Setelh pergantian password Dilakukan dengan
selesai administrator baik
6
melakukan pencatatan pada log
pengelolaan hak akses
Berikut merupakan gambar validasi formulir permintaan
pergantian password yang di lakukan :
E- 10 -
3. Pengujian prosedur backup dan restore
Tanggal Pengujian : 5 Januari 2017
Pelaksana : Budi Hartanto, Administrator
Ida Wahyu Yuniarti, Kasie personalia
Hasil simulasi pengujian secara rinci dijelaskan dalam tabel
berikut :
No Aktivitas Keterangan
Proses Uji Coba Back up Data secara berkala
1 Melakukan uji back up data Uji coba back up
dilakukan dengan
baik dengan
menggunakan
aplikasi Putty dan
data yang di
backup adalah
database
pemasaran pada
media back up
dbpemasaran
2 Melakukan set up persiapan uji Dilakukan dengan
coba back up data baik pada aplikasi
Putty dan
penjadwalan back
up pada aplikasi
crowntab sesuai
dengan Intruksi
kerja Back up dan
Inturksi kerja
Restore
3 Melakukan uji coba back up data Dilakukan pada
pada media back up yang telah media back up
disiapkan dbpemasaranuji
E- 11 -
Proses Restore data
Dilakukan dengan
baik yaitu pada
Menentukan database yang akan database
1
dilakukan restore pemasaran pada
media back up
dbpemasaran
Dilakukan dengan
Menentukan jadwal pelaksanaan
2 baik pada aplikasi
restore data
crowntab
Proses dalam
3 Melakukan proses restore data sistem berjalan
dengan baik
Menganalisa hasil restore data Hasil restore data
Successful successful,
Adminitrator mendokumentasikan sehingga lanjut
pelaksanaan retore data dengan pada poin 5
4 mengisi Formulir Restore Data
Failed
Administrator melakukan kembali
proses restore data (kembali ke
poin 3)
Mendokumentasikan pelaksanaan Dilakukan dengan
4a retore data dengan mengisi baik pada formulir
Formulir Restore Data restore data
E- 12 -
Berikut merupakan gambar validasi formulir restore dan backup
yang di lakukan :
E- 13 -
Gambar E.6 Formulir restore data
E- 14 -
4. Pengujian prosedur perawatan hardware
Tanggal Pengujian : 5 Januari 2017
Pelaksana : Budi Hartanto, Administrator
Wahyu, pegawai bagian produksi
Hasil simulasi pengujian secara rinci dijelaskan dalam tabel
berikut :
No Aktivitas Keterangan
Proses pemeliharaan parsial
Mempersiapkan formulir berita Proses persiapan
acara kerusakan, formulir untuk melakukan
1
pemeliharaan, dan formulir log prosedur pengelolaan
pengelolaan perangkat TI password
Mas wahyu melaporkan Dilakukan dengan
2 kerusakan printer pada divisi baik
personalia
Mas budi membuat berita acara Dilakukan dengan
3
kerusakan baik
Setelah itu pegawai melapor Dilakukan dengan
pada kabag personalia untuk baik
4
persetujuan melakukan
maintenance
Pegawai divisi personalia Dilakukan dengan
5
melakukan maintenance baik
Melakukan pencatatan Dilakukan dengan
6
pemeliharaan hardware baik
Pegawai divisi personalia
7 memastikan hardware dapat
digunakan dengan baik kembali
E- 15 -
Berikut merupakan gambar validasi formulir restore dan backup
yang di lakukan :
E- 16 -
Gambar E.8 Formulir pemeliharaan perangkat TI
E- 17 -
Gambar E.9 Formulir laporan pengelolaan TI
E- 18 -
LAMPIRAN F
KEBIJAKAN
Kebijakan berikut ini dibuat untuk menjamin persyaratan pengendalian hak akses
terhadap informasi dan fasilitas informasi yang dimiliki agar dapat di definisikan
dengan tepat.
2. RUANG LINGKUP
Kebijakan ini berlaku untuk pihak-pihak yang terkait dengan pengguna dalam
menggunakan sistem informasi. sistem informasi yang dimaksud dalam kebijakan
tersebut meliputi :
Sistem Informasi Keuangan
Sistem Informasi Administrasi
Sistem Informasi Pendataan dan Penjadwalan
Sistem informasi Pemasaran
3. REFERENSI
4. KEBIJAKAN
5. DOKUMEN TERKAIT
F- 2 -
2. KEBIJAKAN KEAMANAN INFORMASI
1. TUJUAN
Kebijakan berikut ini dibuat untuk menjamin keamanan dari informasi penting
baik informasi digital dan fisik yang dimiliki perusahaan.
2. RUANG LINGKUP
Kebijakan ini berlaku untuk pihak-pihak yang terkait dengan pengguna dalam
menggunakan sistem aplikasi dan menjaga keamanan informasi yang berupa
data elektronik. Data elektronik yang dimaksud dalam kebijakan tersebut
meliputi :
Basis Data
Aplikasi
Sistem Operasi
File
3. REFERENSI
4. KEBIJAKAN
F- 3 -
4.1.2. Pada setiap sistem aplikasi wajib adanya log-event atau
pencatatan kegiatan.
4.1.3. Menghindari terjadinya kapasitas penyimpanan media file
log yang sudah berlebih, dengan melakukan backup
teratur.
4.1.4. Log-event yang ada pada setiap sistem wajib di
dokumentasikan atau di cetak setiap 2 minggu sekali untuk
melakukan peninjauan dari kegiatan pengguna pada
sistem tersebut.
4.1.5. Dokumentasi Log pada sistem wajib di sertai dengan :
4.1.5.1. User ID,
4.1.5.2. Aktivitas pada sistem,
4.1.5.3. tanggal dan waktu,
4.1.5.4. waktu peristiwa,
4.1.5.5. jenis hak akses,
4.1.5.6. file yang diakses,
4.1.5.7. Nyala dan tidaknya kontrol pengamanan
pada sistem (seperti antivirus, firewall)
4.1.5.8. transaksi yang dilakukan pada sistem.
4.2. Pengelolaan sistem Log-on
4.2.1. Tidak menampilkan pengidentifikasi sistem atau tampilan
aplikasi sampai proses log-on sudah berhasil dan selesai.
4.2.2. Menampilkan peringatan pemberitahuan umum bahwa
komputer hanya bisa diakses oleh pengguna yang
berwenang.
4.2.3. Tidak menyediakan pesan bantuan selama prosedur secure
log-on berlangsung yang bisa memberikan bantuan kepada
pengguna yang tidak berwenang.
4.2.4. Validasi informasi log-on hanya jika seluruh data yang
dibutuhkan diisi secara lengkap dan benar. Jika sebuah
kondisi error muncul, sistem tidak boleh menunjukkan
bagian data mana yang benar dan yang salah.
4.2.5. Batasi jumlah kesempatan log-on gagal yang diizinkan.
4.2.6. Wajib mencatat berapa kali gagal log-on untuk
menghindari akses tidak berwenang.
4.2.7. Adanya pesan pengingat untuk maksimal percobaan login.
4.2.8. Karakter password disembunyikan.
4.3. Pengelolaan password pengguna
4.3.1. Menerapkan user id dan password pada setiap sistem
untuk menjaga akuntabilitas
4.3.2. Pengguna dapat merubah password mereka sendiri tetapi
dengan syarat dan ketentuan yang ada
4.3.3. Password yang digunakan wajib menggunakan password
yang berkualitas.
F- 4 -
4.3.4. Perubahan password dilakukan dengan teratur selama 3
minggu sekali.
4.3.5. Tidak menggunakan password yang sama saat pergantian
password
4.3.6. Tidak menampilkan password ketika melakukan login pada
sistem
4.3.7. Password yang dikirimkan ke database akan dikirim dalam
bentuk enkripsi.
4.4. Pengelolaan backup dan restore informasi
4.4.1. Backup hanya dapat dilakukan oleh DB Administrator.
4.4.2. Adanya dokumentasi lengkap dari backup maupun restore
data yang dilakukan.
4.4.3. Frekuensi backup dilakukan secara teratur dan sesuai
kebutuhan bisnis dari organisasi
4.4.4. Data atau Informasi hasil backup dan dokumentasi
disimpan dalam tempat yang aman untuk menghindari
terjadinya bencana pada lokasi sebelumnya.
4.4.5. Informasi backup harus diberi tingkat perlindungan fisik
dan lingkungan yang konsisten.
4.4.6. Media untuk melakukan ackup wajib di uji secara teratur
4.4.7. Data backup wajib dilindungi dengan enkripsi.
5. DOKUMEN TERKAIT
F- 5 -
3. KEBIJAKAN PENGELOLAAN HARDWARE DAN JARINGAN
1. TUJUAN
Kebijakan berikut ini dibuat dengan tujuan untuk menjamin fasilitas perangkat
hardware dan jaringan agar dapat selalu beroperasi selama proses bisnis
berlangsung.
2. RUANG LINGKUP
Kebijakan ini berlaku untuk pihak-pihak yang terkait dalam pengelolaan baik
pemeliharaan maupun pengamanan hardware dan jaringan yang ada pada
kantor CV Cempaka. Hardware dan jaringan yang dimaksud dalam kebijakan
tersebut meliputi :
Server
Perangkat PC
Printer
Kamera CCTV
Router
Kabel listrik
Kabel Lan
3. REFERENSI
4. KEBIJAKAN
F- 6 -
4.1.5. Setiap kerusakan, kendala perangkat hardware IT pada setiap unit
bisnis, wajib segera dilaporkan kepada kepala divisi dan melaporkan
kepada pihak divisi personalia selaku penanggung jawab.
4.1.6. Dilarang melakukanmaintenance maupun mengotak atik perangkat
hardware tanpa adanya izin dari pihak divisi personalia
4.1.7. Dilarang menambahkan perangkat lain ke perangkat hardware yang
ada pada perusahaan.
4.1.8. Dilarang mengambil atau membawa pulang perangkat hardware yang
dimiliki perusahaan tanpa izin dari kepala divisi personalia
4.1.9. Setiap 3 bulan sekali wajib dilakukan maintenance perangkat
hardware oleh pihak ketiga yang sudah menjalin kerjasama dan
persetujuan dari kepala bagian operasional.
4.1.10. Maintenance yang dilakukan harus mengikuti ketentuan dan
peraturan perusahaan CV cempaka.
4.1.11. Divisi personalia wajib memastikan perangkat hardware yang
dimaintenance dapat digunakan kembali dalam kegiatan operasinal
perusahaan.
4.1.12. Setiap kerusakan, kendala, peminjaman, maintenance hardware wajib
di dokumentasikan.
4.2. Pengelolaan Jaringan
4.2.1. Dibuatkan perlindungan alternative untuk seluruh kabel yang ada
pada CV Cempaka.
4.2.2. Dilakukan pelabelan sesuai fungsinya di setiap kabel pada CV
Cempaka.
4.2.3. Dilakukan Pembedaan warna kabel untuk mempermudah proses
maintenance dan pemasangan kabel.
4.2.4. Kabel telekomunikasi dan kabel listrik di tempatkan pada tempat
berbeda untuk menghindari terjadinya konsleting.
4.2.5. Setiap kerusakan, kendala perangkat jaringan pada setiap unit bisnis,
wajib segera dilaporkan kepada kepala divisi dan melaporkan kepada
pihak divisi personalia selaku penanggung jawab.
4.2.6. Setiap 3 bulan sekali wajib dilakukan maintenance perangkat jaringan
seperti wifi oleh pihak ketiga yang sudah menjalin kerjasama dan
persetujuan dari kepala bagian personalia.
4.2.7. Setiap kerusakan, kendala, maintenance hardware wajib di
dokumentasikan.
F- 7 -
4. KEBIJAKAN HUMAN RESOURCES SECURITY
1. TUJUAN
2. RUANG LINGKUP
Kebijakan ini berlaku untuk pengguna yang menggunakan seluruh fasilitias aset
informasi yang ada di CV Cempaka. Pengguna yang dimaksudkan tersebut antara
lain :
Pegawai CV Cempaka
Pegawai magang
Asosiasi / Pihak Ketiga
3. REFERENSI
4. KEBIJAKAN
F- 8 -
4.1.6. Setiap pegawai akan dilakukan evaluasi kinerja secara berkala pada
tiap akhir bulan oleh kepala divisi pada masing2 unit bisnis
4.1.7. Setiap pegawai yang hak aksesnya di ganti ataupun dihentikan wajib
mengisi form pengelolaan hak akses kembali yang di setujui kepala
bagian masing-masing unit bisnis
5. DOKUMEN TERKAIT
F- 9 -
LAMPIRAN G
PROSEDUR
H- 1 -
G- 2 -
G- 3 -
G- 4 -
G- 5 -
G- 6 -
G- 7 -
2. Prosedur pengelolaam password
G- 8 -
G- 9 -
G- 10 -
G- 11 -
G- 12 -
4. Prosedur backup dan restore
G- 13 -
G- 14 -
G- 15 -
G- 16 -
6. Prosedur perawatan hardware
G- 17 -
G- 18 -
G- 19 -
8. Prosedur keamanan kabel
G- 20 -
G- 21 -
9. Prosedur pelatihan dan pengembangan
G- 22 -
G- 23 -
G- 24 -
LAMPIRAN H
INSTRUKSI KERJA
Administrator
1. Tahap perubahan hak akses pada sistem informasi yang dimiliki perusahaan
dimulai dengan login pada panel admin yang sudah disediakan.
a. Masukan username dan password administrator
b. Klik login
c. Muncul tampilan form untuk kode rahasia masukan kode rahasia
administrator
2. Setelah berhasil masuk pada pada panel home, pilih menu management
user setelah ikuti langkah berikut sesuai dengan perubahan yang diinginkan
:
2.1 Penambahan hak akses baru
a. Pilih menu tambah user (New user)
b. Muncul tampilan form isikan form tersebut
c. Masukan nama
d. Masukan nip
e. Masukan jabatan
f. Masukan email
g. Pilih akses yang diminta
h. Setelah itu klik lanjutkan
i. Setelah itu pilih akses pada aplikasi yang diminta
j. Klik lanjutkan setelah itu muncul kolom kode aplikasi masukan
kode aplikasi
k. Klik simpan dan lanjutkan (save and continue) menunggu
sampai muncul notifikasi penambahan user berhasil.
l. Setelah itu akan muncul username dan password awal yang
sesuai ketentuan.
2.2 Penggantian hak akses
I- 1 -
a. Pilih menu edit (Edit user)
b. Muncul tampilan tabel user yang sudah terdaftar, pilih user
yang akan digantikan lalu klik edit
c. Muncul tampilan form yang sudah terisi, ganti isian form
dengan user baru
d. Masukan nama
e. Masukan nip
f. Masukan jabatan
g. Masukan email
h. Pilih akses yang diminta
i. Klik simpan dan lanjutkan menunggu sampai muncul notifikasi
pergantian berhasil.
j. Setelah itu akan muncul username dan password awal yang
sesuai ketentuan.
2.3 Penghapusan hak akses
a. Pilih menu hapus (Delete user)
b. Muncul tampilan tabel user yang sudah terdaftar, pilih user
yang akan dihapus lalu klik delete
c. Muncul tampilan notifikasi pilih ya
d. Muncul tampilan form untuk kode rahasia masukan kode
rahasia administrator klik simpan dan lanjutkan (save and
continue)
e. Menunggu sampai muncul notifikasi penghapusan berhasil.
H- 2 -
2. Instruksi backup data dan file
1. Pelaksana
Administrator
1. Back up Database
a. Mengaktifkan aplikasi Putty
b. Login dengan menggunakan IP database
c. Masukan port : 22
d. Pilih connection SSH
e. Lalu pilih OPEN
f. Login dengan username dan password root
g. Layar akan menampilkan user dan last login
h. Kemudian masukan script back up secara berurutan terdiri dari
- Password
- Lokasi direktori
- Pesan berhasil
i. Database akan ter back up pada file yang telah dibuat
j. Selanjutnya lakukan penjadwalan back up data
- Aktifkan aplikasi Crowntab
- Masukan jadwal penjadwalan secara otomatis
k. Klik Enter
2. Back up File
a. Aktifkan software WDsmartware pada media back up
b. Tekan tombol Back up
c. Proses back up file akan secara otomatis berlangsung
H- 3 -
3. Instruksi Restore data
1. Pelaksana
Administrator
H- 4 -
4. Instruksi reset password
1. Pelaksana
Administrator
H- 5 -
LAMPIRAN I
FORMULIR
I- 1 -
Formulir kontrak perjanjian hak akses
I- 2 -
I- 3 -
Formulir log pengelolaan hak akses
I- 4 -
Formulir perbaikan sistem informasi
I- 5 -
Formulir permintaan pergantian password
I- 6 -
Formulir klasifikasi data
I- 7 -
Formulir log backup data
I- 8 -
Formulir restore data
I- 9 -
Formulir pemeliharaan perangkat TI
I- 10 -
Formulir berita acara kerusakan
I- 11 -
Formulir laporan evaluasi pengelolaan perangkat TI
I- 12 -
Formulir data pegawai
I- 13 -
Formulir evaluasi kegiatan pengembangan kompetensi
I- 14 -
I- 15 -
LAMPIRAN J
KONFIRMASI VERIFFIKASI DAN VALIDASI
J- 1 -
Gambar J.1 konfirmasi verifikasi validasi hasil prosedur
J- 2 -
Gambar J.2 Konfirmasi verifikasi validasi hasil kebijakan
J- 3 -
Gambar J.3 Surat pernyataan melakukan penelitian pada perusahaan
rokok CV Cempaka
J- 4 -