JEISBI: Volume 01 Nomor 01, 2020

(Journal of Emerging Information Systems and Business Intelligence)

Pembuatan Standard Operating Procedure (SOP)

Keamanan Informasi Berdasarkan Framework ISO/IEC
27001:2013 dan ISO/IEC 27002:2013 pada Dinas
Komunikasi dan Informatika Pemerintah Kota Madiun
Sitta Rif’atul Musyarofah1, Rahadian Bisma2
1,2
Program Studi Sistem Informasi, Universitas Negeri Surabaya
1sittamusyarofah16051214030@mhs.unesa.ac.id
2rahadianbisma@unesa.ac.id

Abstrak— Penggunaan teknologi informasi yang semakin pesat dalam maupun dari luar organisasi. Ancaman keamanan
menjadi, dibutuhkan suatu sistem keamanan informasi untuk informasi mencakup aspek teknologi, faktor manusia, dan
menjaga keamanan informasi dan data. Dinas Komunikasi dan faktor proses [4].
Informatika (DISKOMINFO) kota Madiun sebagai instansi Dinas Komunikasi dan Informatika (DISKOMINFO) kota
pemerintahan yang bertanggung jawab atas pengelolaan Madiun merupakan salah satu lembaga otoritas pemerintahan
teknologi informasi pada Pemerintah Daerah kota Madiun sangat
yang bertugas dalam pengelolaan teknologi informasi pada
rentan terhadap ancaman – ancaman dan insiden keamanan
informasi. Oleh karena itu, maka dibutuhkan suatu tata kelola Pemerintah Daerah kota Madiun. Sebagai instansi
berbentuk prosedur kerja untuk membantu melindungi pemerintahan yang telah memanfaatkan teknologi informasi,
keamanan informasi. Pada penelitian ini, pembuatan Strandard Dinas Komunikasi dan Informatika kota Madiun rentan
Operating Procedure (SOP) didasarkan pada kebutuhan Dinas terhadap ancaman – ancaman dan insiden keamanan informasi.
Komunikasi dan Informatika Pemerintah kota Madiun. Permasalahan yang terjadi terhadap keamanan informasi akan
Pembuatan SOP mengacu pada standar keamanan informasi mengakibatkan gangguan dan hambatan pada kinerja
internasional ISO/IEC 27001:2013 dan ISO/IEC 37002:2013 Pemerintah kota Madiun dalam hal melayani dan memberikan
sebagai acuan kontrol keamanan informasi. Pembuatan SOP informasi yang diperlukan oleh masyarakat. Oleh sebab itu
diharapkan dapat mengurangi kerentanan ancaman keamanan
informasi dari dalam maupun dari luar organisasi. Metode yang
dibutuhkan suatu tata kelola terhadap keamanan informasi yang
digunakan yaitu dengan analisis kesenjangan yang dilakukan dapat melindungi dan meminimalisir terjadinya insiden
dengan membandingkan kondisi keamanan Dinas Komunikasi keamanan informasi atau permasalahan pada keamanan
dan Informatika Pemerintah kota Madiun saat ini dengan kondisi informasi [5].
sesuai persyaratan ISO/IEC 27001:2013. Penelitian menghasilkan Berdasarkan permasalahan yang dijelaskan, maka
19 Strandard Operating Procedure (SOP) dan 1 instruksi kerja, dibutuhkan suatu dokumen tata kelola berbentuk Standard
serta 29 formulir untuk melengkapi prosedur. Operating Procedure (SOP) untuk membantu pengelolaan
keamanan informasi Dinas Komunikasi dan Informatika
Kata Kunci— Keamanan Informasi, Standard Operating Pemerintah kota Madiun. Penyusunan Standard Operating
Procedure (SOP), ISO/IEC 27001:2013, Analisis Kesenjangan, Procedure (SOP) mampu mengurangi dan menghindari
ISO/IEC 27002:2013 kerentanan ancaman keamanan informasi [4]. Untuk
menghindari kerentanan keamanan informasi, pembuatan
I. PENDAHULUAN
dokumen SOP harus berdasarkan pada standar operasional dan
Kebutuhan menggunakan teknologi informasi seperti saat ini, kerangka prosedur manajemen keamanan informasi.
telah menjadi kebutuhan bagi setiap individu, dunia pendidikan, Pembuatan dokumen SOP diharapkan dapat menjadi panduan
pemerintahan, maupun pelaku bisnis. Pemanfaatan teknologi penting dalam menjalankan aktivitas yang berkaitan dengan
informasi diperlukan sebagai pendukung kegiatan proses bisnis keamanan informasi, sehingga dapat meningkatkan layanan
dan sebagai penunjang kinerja sebuah organisasi [1]. Dengan teknologi informasi yang yang ada saat ini.
pesatnya penggunaan teknologi informasi saat ini, dibutuhkan Sebelumnya penelitian yang telah membahas mengenai
tata kelola teknologi informasi untuk menjaga keamanan penyusunan prosedur perawatan infrastruktur keamanan
informasi dan data yang bersangkutan dengan hak intelektual informasi pada pemerintah kota Madiun, yaitu penelitian yang
seseorang [2]. Bentuk dari tata kelola teknologi informasi dapat dilakukan oleh Umi Ridhoi yang menyusun panduan (prosedur
berupa kebijakan, instruksi kerja, prosedur, maupun petunjuk dan formulir) perawatan software dan hardware yang mengacu
pedoman kerja untuk membantu mengelola layanan [3]. Oleh pada ISO/IEC 14764:2006 tentang pemeliharaan software dan
karena itu, organisasi harus memiliki kebijakan atau aturan ITIL V3 2011 [6]. Penelitian tersebut menghasilkan usulan
yang dapat mengatur penggunaan teknologi informasi dokumen SOP dan formulir terkait dengan perawatan software
organisasi dengan tujuan agar informasi organisasi dapat dan hardware. Penelitian lain yang telah dilakukan mengenai
terhindar dari ancaman – ancaman keamanan informasi. pembuatan dan penyusunan Standard Operating Procedure
Ancaman dan kerentanan keamanan informasi berasal dari (SOP) terkait keamanan informasi, diantaranya yaitu penelitian

43
JEISBI: Volume 01 Nomor 01, 2020
(Journal of Emerging Information Systems and Business Intelligence)

yang telah dilakukan oleh Wicaksana, dkk pada tahun 2016 keberlangsungan bisnis organisasi dari ancaman keamanan.
yang menyusun Standard Operating Procedure (SOP) Semakin tinggi informasi suatu organisasi yang dikelola,
mengenai manajemen akses untuk aplikasi E-Performance dibagikan, dan disimpan, maka risiko keamanan informasi akan
Bina Program pada kota Surabaya yang mengacu pada semakin besar seperti terjadinya kehilangan atau tereksposnya
framework ISO 27002 dan ITIL V3 [5] . Selanjutnya penelitian data ke pihak yang tidak diinginkan, dan kerusakan informasi
yang dilakukan oleh Andriana dkk tahun 2020, yang membahas [10]. Oleh karena itu, keamanan informasi merupakan aspek
mengenai penyusunan SOP untuk keamanan sistem informasi yang signifikan dalam memainkan peran penting untuk
studi kasus koperasi simpan pinjam menggunakan standar melindungi bisnis organisasi [11].
ISO/IEC 27002:2013 [4]. Tujuan keamanan informasi pada dasarnya yaitu untuk
Pada penelitian ini acuan standar yang digunakan sebagai melindungi 3 aspek keamanan informasi dengan meyakinkan
pedoman pembuatan Standard Operating Procedure SOP yaitu bahwa kerahasiaan (confidentiality), ketersediaan (availability),
standar ISO/IEC 27001:2013 dan ISO/IEC 27002:2013. dan integritas (integrity) dari pengolahan data dan informasi
ISO/IEC 27001:2013 merupakan standar sistem manajemen pada suatu organisasi terjaga [12]. Kerahasiaan
keamanan informasi yang dikeluarkan oleh International (confidentiality), berarti informasi harus bersifat rahasia serta
Organization for Standarization dan International harus dilindungi dari keterbukaan terhadap pihak yang tidak
Electrotecnical Comission pada bulan Oktober 2013 yang berwenang atau proses yang tidak sesuai. Ketersediaan
merupakan pembaharuan dari versi 2005. ISO/IEC 27001:2013 (availability), berarti informasi lengkap dan tidak dirubah, serta
berisi persyaratan-persyaratan yang dibutuhkan untuk informasi tersedia saat dibutuhkan kapanpun dan dimanapun.
membantu organisasi dalam mencapai keamanan informasi [7]. Integritas (integrity), berarti informasi harus terjamin dan
Sedangkan, ISO/IEC 27002:2013 merupakan standar tersedia hanya untuk pihak yang berwenang saat informasi atau
keamanan informasi yang berisi tentang kode praktik umtuk layanan diperlukan.
kontrol keamanan informasi [8].
Dalam penyusunan dan pembuatan SOP dilakukan metode B. ISO/IEC 27001:2013
analisis gap (kesenjangan) dengan cara mengetahui bagaimana ISO/IEC 27001:2013 yaitu acuan standar sistem manajemen
kondisi keamanan Dinas Komunikasi dan Informatika keamanan informasi yang dikeluarkan oleh “International
Pemerintah kota Madiun terhadap kondisi ideal sesuai standar Organization for Standarization dan International
acuan ISO/IEC 27001:2013, dengan tujuan untuk mengetahui Electrotecnical Comission” pada bulan Oktober 2013 yang
bagaimana kebutuhan Dinas Komunikasi. Dokumen SOP merupakan pembaharuan dari versi 2005. ISO/IEC 27001:2013
(Standar Operating Procedure) yang dibuat disesuaikan merupakan standar sistem manajemen keamanan informasi
dengan kontrol keamanan yang ada pada ISO/IEC 27001:2013 dalam keluarga standar ISO/IEC 27000. ISO/IEC 27001:2013
dan disesuaikan dengan kebutuhan keamanan informasi pada memberikan kerangka untuk pembangunan, penerapan,
pemerintah Kota Madiun. Proses penyusunan kriteria dan pengoperasian, pemantauan, peninjauan dan peningkatan
format Standard Operating Procedure (SOP) mengacu pada Sistem Manajemen Keamanan Informasi (SMKI) [13].
"Peraturan Menteri Pendayagunaan Aparatur Negara dan ISO/IEC 27001:2013 memiliki 10 klausul serta memiliki 14
Reformasi Birokrasi Republik Indonesia Nomor 35 Tahun domain kontrol keamanan, 35 kontrol objektif, dan 114
2012 tentang Pedoman Penyusunan Standar Operasional kontrol [7].
Prosedur Administrasi Pemerintahan” [9]. Namun, tidak semua
isi struktur konten akan digunakan pada pembuatan SOP C. ISO/IEC 27002:2013
keamanan informasi Pemerintah Kota Madiun, tetapi ISO/IEC 27002:2013 yaitu acuan standar keamanan
disesuaikan dengan kondisi dan kebutuhan instansi saat ini. informasi yang dikeluarkan oleh “International Organization
Untuk menjamin pengumpulan data penelitian agar memiliki for Standarization dan International Electrotecnical Comission”
korelasi dan kualitas yang valid, maka pertanyaan – pertanyaan pertama kali dengan nama ISO/IEC 17799:2005 yang
untuk pengambilan data disusun berdasarkan persyaratan kemudian berubah penamaan menjadi ISO/IEC 27002 pada
keamanan informasi ISO/IEC 27001. bulan Juli 2007 sebagai penyesuaian dengan penamaan seri
standar ISO/IEC 27000. Standar ISO/IEC 27002:2013
II. DASAR TEORI
menyajikan panduan/kode praktik untuk penerapan standar
Bagian dasar teori menjelaskan mengenai dasar landasan keamanan informasi untuk suatu organisasi dan praktik
teori apa saja yang digunakan sebagai acuan dalam proses manajemen keamanan informasi [13]. Dalam ISO/IEC
penelitian. Berikut dijelaskan teori yang digunakan dalam 27002:2013 memperkenalkan subjek dari panduan yang
penelitian. diberikan dalam ISO 27001 karena menjelaskan ratusan kontrol
A. Keamanan Informasi (Information Security) yang dapat diimplementasikan.
Keamanan informasi adalah suatu usaha pengamanan aset - D. Strandard Operating Procedure (SOP)
aset informasi organisasi terhadap kerentanan ancaman Standard Operating Procedure (SOP) merupakan
informasi dan data yang mungkin akan timbul, sehingga serangkaian pedoman yang tersusun atau instruksi tertulis yang
keamanan informasi dapat menjamin dan melindungu dicatat, dibukukan, atau diarsipkan sehubungan dengan

44
JEISBI: Volume 01 Nomor 01, 2020
(Journal of Emerging Information Systems and Business Intelligence)

berbagai proses dan langkah – langkah yang digunakan untuk A. Mendefinisikan Objek Penelitian
menyelenggarakan administrasi instansi, bagaimana dan kapan Mendefinisikan objek penelitian dilaksanakan dengan
proses harus dilaksanakan, serta dimana dan oleh siapakah tujuan untuk mempelajari dan mengetahui objek penelitian
proses dilaksanakan [14]. Dengan adanya Standard Operating yang dijadikan tempat penelitian untuk mempermudah peneliti
Procedure (SOP), maka aktivitas organisasi dapat saat melaksanakan penelitian atau pengambilan data. Objek
terstandarisasi dan dijalankan secara transparansi, sehingga penelitian yaitu keamanan informasi di Pemerintah kota
dapat meminimalisir risiko keamanan informasi yang akan Madiun.
terjadi. Manfaat penerapan Standard Operating Procedure
(SOP) antara lain, yaitu : 1. Aktivitas yang dilakukan oleh B. Perumusan masalah penelitian
organisasi dapat terstandarisasi, 2. Pelaksanaan tugas dan Perumusan masalah penelitian digunakan untuk
wewenang menjadi efisien dan efektif, 3. Mengurangi memfokuskan langkah – langkah penyelesaian penelitian,
kesalahan yang mungkin terjadi saat melakukan aktivitas atau membantu peneliti dan pembaca agar fokus dengan masalah
tugas, 4. Kegiatan dalam suatu proses dapat dijelaskan secara yang dikaji pada penelitian. Masalah pada penelitian yaitu
lebih rinci [5]. bagaimana pembuatan Standard Operating Procedure (SOP)
keamanan informasi pada Dinas Komunikasi dan Informatika
E. Analisis Kesenjangan
Pemerintah Kota Madiun.
Analisis kesenjangan yaitu alat atau metode yang berfungsi
untuk mengetahui kinerja dari sistem yang sedang dijalankan C. Variabel Penelitian
dengan sistem standar yang ditetapkan. Tujuan dari analisis Variabel penelitian yang digunakan pada penelitian ini
kesenjangan yaitu untuk mencapai kondisi yang diharapkan ditunjukkan pada Tabel I sebagai berikut.
organisasi sesuai dengan standar acuan yang digunakan [5].
TABEL I
Analisis kesenjangan keamanan informasi merupakan metode VARIABEL PENELITIAN
atau alat yang digunakan dengan tujuan untuk mengetahui
kinerja dari sistem manajemen keamanan informasi aktual yang No Variabel Penelitian
sedang berjalan dengan acuan sistem standar keamanan 1 A.5 Kebijakan keamanan informasi
informasi yang ditetapkan. 2 A.6 Organisasi keamanan informasi
3 A.7 Keamanan sumber daya manusia
4 A.8 Manajemen asset
III. METODE PENELITIAN 5 A.9 Kontrol akses
6 A.11 Keamanan fisik dan lingkungan
Metode penelitian merupakan sebuah alur tahapan 7 A.12 Keamanan operasi
penelitian yang berguna untuk memperoleh dan 8 A.13 Keamanan komunikasi
mengumpulkan data yang diperlukan pada penelitian. Tahapan 9 A.14 Akuisisi, pengembangan, dan pemeliharaan sistem
penelitian yang digunakan pada penelitian ini ditunjukkan pada 10 A.15 Hubungan pemasok
Gbr. 1 sebagai berikut. 11 A.16 Manajemen insiden keamanan informasi
Mendefinisikan Objek Perumusan Masalah 12 A.17 Aspek keamanan informasi dari manajemen
Mulai
Penelitian Penelitian kelangsungan bisnis
13 A.18 Kepatuhan

D. Pengumpulan Data
Studi Literatur Sejenis Proses pengumpulan data dilaksanakan peneliti untuk
Pengumpulan Data
mendapatkan informasi yang diperlukan dan digunakan dalam
pencapaian tujuan penelitian. Pengumpulan data pada
Studi Lapangan
penelitian ini dilakukan dengan cara observasi dan pengisian
kuesioner. Contoh pertanyaan yang digunakan dalam
pengumpulan data ditunjukkan pada Tabel II sebagai berikut.
TABEL III
CONTOH PERTANYAAN KUESIONER
Analisis Kondisi Existing
A.5 Kebijakan keamanan informasi
Analisis Data Analisis kondisi Aktual
berdasarkan ISO/IEC 27001:2013
A.5.1 Arahan A.5.1.1 Kebijakan Apakah ada kebijakan atau
Analisis Kesenjangan
manajemen untuk keamanan serangkaian kebijakan yang
untuk informasi disetujui dan
keamanan dikomunikasikan?
informasi A.5.1.2 Tinjauan Apakah secara berkala
Pembuatan Dokumen Kesimpulan dan
Selesai kebijakan untuk kebijakan keamanan
SOP Saran
keamanan informasi ditinjau?
Gbr. 1 Tahapan Pelitian informasi

45
JEISBI: Volume 01 Nomor 01, 2020
(Journal of Emerging Information Systems and Business Intelligence)

A.6 Organisasi keamanan informasi Area Kesenjangan Rekomendasi

Prosedur
A.6.1 A.6.1.1 Peran dan Apakah semua orang yang
seluler dan kebijakan
Organisasi tanggung jawab terlibat memiliki tanggung
teleworkingnya
internal keamanan jawab yang jelas untuk
A.7 Keamanan Berdasarkan kontrol SOP pelatihan dan
informasi keamanan informasi?
sumber daya 7.1.1 diperlukan prosedur pengembangan
A.6.1.2 Apakah tugas dipisahkan
manusia yang berfungsi untuk SDM
Pemisahan tugas jika perlu?
memastikan calon SOP penyaringan
A.6.1.3 Kontak Apakah saluran komunikasi pegawai memiliki pegawai
dengan pihak dengan otoritas yang kemampuan melakukan
berwenang relevan sesuai? peran keamanan
F. Analisis Data informasi
A.8 Berdasarkan kontrol SOP Klasifikasi
Analisis data adalah langkah yang dilakukan setelah Manajemen 8.1.3 dan 8.2.3 Informasi
kegiatan pengumpulan data. Analisis data dilakukan dengan aset diperlukan prosedur SOP Penanganan
cara analisis kondisi terkini keamanan informasi Dinas penanganan aset Aset
Komunikasi dan Informatika Pemerintah kota Madiun dengan Berdasarkan kontrol SOP Pelabelan
membandingkan dengan standar acuan ISO/IEC 27001:2013, 8.3.1 diperlukan adanya Informasi
sehingga ditemukan analisis kesenjangan. prosedur penggunaan SOP Transfer
media yang dapat dilepas Media Fisik
G. Pemetaan kontrol ISO/IEC 27001:2013 pada Standard (removable media) SOP untuk
Operating Proedure (SOP) Berdasarkan kontrol Mengelola
8.3.3 diperlukan prosedur Perangkat yang
Pembuatan dokumen SOP (Standar Operating Procedure) transfer media fisik Hilang atau Dicuri
disesuaikan dengan kontrol keamanan yang ada pada ISO/IEC SOP Pembuangan
27001:2013 yang disesuaikan dengan kebutuhan keamanan Media
informasi pada pemerintah Kota Madiun. Proses penyusunan SOP untuk
kriteria dan format Standard Operating Procedure (SOP) Manajemen Media
mengacu pada “Peraturan Menteri Pendayagunaan Aparatur yang Dapat
Negara dan Reformasi Birokrasi Republik Indonesia Nomor 35 Dilepas
Tahun 2012 tentang Pedoman Penyusunan Standar Operasional
A.9 Kontrol Berdasarkan kontrol SOP pengelolaan
Prosedur Administrasi Pemerintahan” [9]. Struktur konten akses 9.2.3 diperlukan adanya hak akses
yang digunakan pada pembuatan SOP keamanan informasi prosedur mengenai SOP penghapusan
Pemerintah Kota Madiun disesuaikan dengan kondisi dan pengelolaan hak akses dan pembatasan
kebutuhan instansi saat ini. pengguna dan hak akses akses
ditinjau secara berkala SOP permintaan
IV. HASIL DAN PEMBAHASAN sesuai kontrol 9.2.5 akses
Bab hasil dan pembahasan berisi hasil penelitian yang telah
dilaksanakan sebagai proses pembuatan dokumen SOP A.11 Berdasarkan kontrol SOP keamanan
keamanan informasi Keamanan fisik 11.1.5 diperlukan adanya kabel
dan lingkungan prosedur bekerja pada SOP perawatan
A. Analisis Kesenjangan area yang aman peralatan TI
Berdasarkan kontrol SOP Membawa
Hasil analisis kesenjangan berupa rekomendasi usulan SOP 11.2.3 diperlukan adanya ase keluar lokasi
yang diperoleh dari hasil analisis kondisi saat ini dengan prosedur keamanan kabel SOP untuk
kondisi ideal berdasarkan persyaratan ISO/IEC 27001:2013. Berdasarkan kontrol Bekerja di Area
TABEL IIIII
11.2.6 diperlukan adanya yang Aman
HASIL ANALISIS KESENJANGAN DAN REKOMENDASI prosedur membawa aset
keluar kantor
Area Kesenjangan Rekomendasi
Prosedur A.12 Berdasarkan kontrol SOP Backup dan
A.5 Kebijakan Berdasarkan kontrol Tidak terdapat Keamanan 12.2.1 diperlukan Restore
keamanan 5.1.2 diperlukan suatu usulan prosedur operasi kebijakan dan prosedur
informasi tinjauan kebijakan cadangan
keamanan informasi A.13 Berdasarkan kontrol SOP pertukaran
yang terdokumentasi Keamanan 13.2.1 diperlukan data dan informasi
A.6 Organisasi Berdasarkan kontrol Tidak terdapat komunikasi prosedur transfer
keamanan 6.2.1 dan 6.2.2 usulan prosedur informasi
informasi diperlukan dokumentasi A.14 Akuisisi, Berdasarkan kontrol Tidak terdapat
kebijakan perangkat pengembangan, 14.2.1 dibutuhkan usulan prosedur
dan dokumentasi kebijakan

46
JEISBI: Volume 01 Nomor 01, 2020
(Journal of Emerging Information Systems and Business Intelligence)

Area Kesenjangan Rekomendasi Nama Prosedur Kontrol ISO/IEC 27002:2013

Prosedur 9.2.1 User registration and de-
pemeliharaan pengembangan aplikasi registration
sistem yang aman SOP permintaan akses 9.2.1 User registration and de-
A.15 Berdasarkan kontrol Kebijakan registration
Hubungan 15.1.1 diperlukan keamanan 9.2.2 User access provisioning
pemasok kebijakan untuk informasi untuk SOP pengelolaan password 10.1.2 Key management
keamanan informasi hubungan SOP keamanan kabel 11.2.3 Cabling Security
untuk hubungan pemasok pemasok SOP perawatan peralatan TI 11.2.4 Equipment maintenanc
SOP Membawa aset keluar 11.2.6 Security of equipment and
A.16 Berdasarkan kontrol Tidak terdapat lokasi assets off-premises
Manajemen 16.1.6 diperlukan catatan usulan prosedur SOP untuk Bekerja pada Area 11.1.5 Working in secure areas
insiden pembelajaran dari Aman
keamanan insiden keamanan SOP pertukaran data dan 13.2.1 Information transfer
informasi informasi yang telah informasi policies and procedures
terjadi 13.2.2 Agreements on information
A.17 Aspek Berdasarkan kontrol Tidak terdapat transfer
keamanan 17.2.1 diperlukan adanya usulan prosedur SOP penilaian dan 16.1.2 Reporting information
informasi dari doumentasi kebijakan penanganan risiko security events
manajemen redudansi 16.1.3 Reporting information
kelangsungan security weaknesses
bisnis 16.1.4 Assessment of and decision
A.18 Berdasarkan kontrol SOP Persyaratan on information security events
Kepatuhan 18.1.1 diperlukan adanya Hukum, Peraturan
16.1.5 Response to information
prosedur persyaratan dan Kontrak security incidents
hukum dan peraturan SOP audit internal
SOP Persyaratan Hukum, 18.1.1 Identification of applicable
Berdasarkan kontrol
Peraturan dan Kontrak legislation and contractual
18.2.1 diperlukan adanya
requirements
prosedur audit internal
SOP audit internal 12.7.1 Information systems audit
B. Pemetaan kontrol ISO/IEC 27002: 2013 dengan Standard controls
Operating Procedure (SOP) C. Pembuatan Standard Operating Proedure (SOP)
Setelah diketahui hasil dari proses analisis kesenjangan dan Setelah melakukan pemetaan kontrol ISO/IEC 27002:2013
rekomendasi prosedur yang diusulkan. Selanjutnya yaitu dengan SOP yang akan dibuat, penulis melakukan penyusunan
melakukan pemetaan kontrol ISO/IEC 27002:2013 dengan struktur dan konten SOP. Pada Tabel V ditunjukkan daftar
SOP yang ditunjukkan pada Tabel IV. formulir yang melengkapi SOP keamanan informasi yang
TABEL IVV dibuat.
PEMETAAN KONTROL ISO/IEC 27002: 2013 DENGAN SOP
TABEL V
Nama Prosedur Kontrol ISO/IEC 27002:2013 SOP DAN FORMULIR SOP
SOP pelatihan dan 7.2.2 Information security
No. SOP No. Formulir Formulir
pengembangan SDM awareness, education and training
SOP
SOP penyaringan pegawai 7.1.1 Screening
SOP- SOP FORM- Formulir Evaluasi
SOP Klasifikasi Informasi 8.2.1 Classification of information Keaman pelatihan Keamanan- Pelatihan dan
SOP Penanganan Aset 8.2.3 Handling of Assets an-001 dan 001 Pengembangan SDM
SOP Pelabelan Informasi 8.2.2 Labelling of information pengemban FORM- Formulir kehadiran
SOP Transfer Media Fisik 8.2.3 Handling of Assets gan SDM Keamanan- pegawai
8.3.3 Physical Media Transfer 002
FORM- Formulir Permintaan
SOP untuk Mengelola 8.2.3 Handling of Assets Keamanan- Pelatihan dan
Perangkat yang Hilang atau 003 Pengembangan SDM
Dicuri SOP- SOP FORM- Formulir permintaan
SOP Pembuangan Media 8.2.3 Handling of Assets Keaman penyaringan Keamanan- tenaga kerja
8.3.2 Disposal of media an-002 pegawai 004
SOP untuk Manajemen Media 8.3.1 Management of Removable FORM- Formulir hasil
yang Dapat Dilepas Media Keamanan- wawancara
SOP pengelolaan hak akses 9.2.3 Management of privileged 005
access rights SOP- SOP FORM- Formulir daftar
SOP penghapusan dan 9.2.6 Removal or adjustment of Keaman Klasifikasi Keamanan- informasi
pembatasan akses access rights an-003 Informasi 006

47
JEISBI: Volume 01 Nomor 01, 2020
(Journal of Emerging Information Systems and Business Intelligence)

No. SOP No. Formulir Formulir No. SOP No. Formulir Formulir
SOP SOP
SOP- SOP FORM- Formulir log daftar SOP- SOP FORM- Formulir berita acara
Keaman Penanganan Keamanan- aset Keaman keamanan Keamanan- kerusakan perangkat
an-004 Aset 007 an-014 kabel 021 TI
FORM- Formulir log FORM- Formulir laporan
Keamanan- pemeliharaan aset Keamanan- pengelolaan peralatan
008 022 TI
FORM- Formulir log SOP- SOP FORM- Formulir berita acara
Keamanan- perbaikan aset Keaman perawatan Keamanan- kerusakan perangkat
009 an-015 peralatan TI 021 TI
SOP- SOP FORM- Formulir daftar FORM- Formulir
Keaman Pelabelan Keamanan- informasi Keamanan- pemeliharaan
an-005 Informasi 010 023 peralatan TI
FORM- Formulir pelabelan FORM- Formulir laporan
Keamanan- informasi Keamanan- pengelolaan peralatan
011 022 TI
SOP- SOP FORM- Formulir transfer SOP- SOP FORM- Formulir permintaan
Keaman Transfer Keamanan- media fisik Keaman Membawa Keamanan- membawa aset keluar
an-006 Media Fisik 012 an-016 aset keluar 024 kantor
lokasi FORM- Formulir log aset
SOP- SOP untuk FORM- Formulir laporan Keamanan- keluar kantor
Keaman Mengelola Keamanan- ketidaksesuaian dan 025
an-007 Perangkat 013 insiden SOP- SOP FORM- Formulir risk register
yang Hilang FORM- Formulir log Keaman Penilaian Keamanan-
atau Dicuri Keamanan- ketidaksesuaian dan an-017 dan 026
014 insiden Penanganan
SOP- SOP FORM- Formulir pemusnahan Risiko
Keaman Pembuanga Keamanan- media SOP- SOP FORM- Formulir permohonan
an-008 n Media 015 Keaman pertukaran Keamanan- pertukaran data dan
SOP- SOP untuk FORM- Formulir log daftar an-018 data dan 027 informasi
Keaman Manajemen Keamanan- aset informasi
an-009 Media yang 007 SOP- SOP FORM- Formulir Persyaratan
Dapat FORM- Formulir Keaman Persyaratan Keamanan- Hukum, Peraturan dan
Dilepas Keamanan- pemeliharaan an-019 Hukum, 028 Kontrak
016 perangkat TI Peraturan
SOP- SOP FORM- Formulir pengelolaan dan Kontrak
Keaman pengelolaan Keamanan- untuk hak akses SOP- SOP audit FORM- Formulir temuan audit
an-010 hak akses 017 Keaman internal Keamanan- internal
FORM- Formulir log untuk an-020 029
Keamanan- pengelolaan hak akses
018 Setelah menentukan formulir yang dibutuhkan untuk
SOP- SOP FORM- Formulir pengelolaan pembuatan SOP, maka kemudian disusun format pembuatan
Keaman penghapusa Keamanan- untuk hak akses
an-011 n dan 017
SOP. Sebagai contoh pada gampar di bawah ini merupakan
pembatasan SOP Pelatihan dan Pengembangan SDM yang diusulkan
akses kepada Dinas Komunikasi dan Informatika Pemerintah kota
SOP- SOP FORM- Formulir pengelolaan Madiun
Keaman permintaan Keamanan- untuk hak akses 1. Bagian Identitas SOP
an-012 akses 017
FORM- Formulir log Formulir
Keamanan- log untuk pengelolaan
018 hak akses
FORM- Formulir kontrak hak
Keamanan- akses
019
SOP- SOP FORM- Formulir permohonan
Keaman pengelolaan Keamanan- penggantian password
an-013 password 020

48
JEISBI: Volume 01 Nomor 01, 2020
(Journal of Emerging Information Systems and Business Intelligence)

Konten Keterangan
Peringatan Keterangan mengenai kemungkinan apa
saja yang terjadi saat SOP dilakdanakan,
dan saat SOP tidak dilaksanakan

2. Alur Prosedur
Bagian alur prosedur berisi uraian mengenai langkah-
langkah (prosedur) kegiatan beserta keterangan dokumen yang
diperlukan. berikut merupakan contoh bagian alur prosedur
SOP yang dibuat.

Gbr. 2 Bagian Identitas SOP Pelatihan dan Pengembangan SDM

Pada bagian Identitas SOP, struktur konten dijelaskan pada

Tabel VI sebagai berikut.
TABEL VV
STRUKTUR KONTEN BAGIAN IDENTITAS SOP

Konten Keterangan
Nama SOP Berisi nama prosedur
Nomor SOP Nomor SOP sesuai dengan tata naskah
dinas yang berlaku di instansi
Tanggal pembuatan Tanggal pertama kali pembuatan SOP
yang berupa tanggal selesainya
pembuatan SOP
Tanggal revisi Tanggal revisi dari SOP atau tanggal
rencana di tinjau ulang Gbr. 3 Alur Prosedur SOP Pelatihan dan Pengembangan SDM
Tanggal efektif Tanggal mulai diberlakukannya SOP /
tanggal SOP ditandatangani
Disahkan oleh Pengesahan SOP oleh pejabat yang 3. Formulir
bertanggung jawab Dalam SOP yang diusulkan terdapat beberapa formulir
Dasar hukum Peraturan perundang-undangan yang yang harus diisi sebagai pemenuhan dokumentasi kegiatan
mendasari pembuatan prosedur pada prosedur. Berikut ditunjukkan contoh formulir
Kualifikasi pelaksana Penjelasan mengenai kualifikasi permintaan pelatihan dan pengembangan SDM. Formulir ini
pelaksana yang dibutuhkan digunakan untuk mendokumentasikan permintaan pelatihan
Keterkaitan Keterkaitan dengan dokumen lain dan pengembangan pegawai. Formulir diisi oleh divisi
Referensi Referensi isian prosedur kepegawaian.
Peralatan/perlengkapan Keterangan mengenai daftar
perlengkapan dan peralatan yang
dibutuhkan untuk melaksanakan
prosedur
Pencatatan Pencatatan dan pendataan yang
diperlukan dalam pelaksanaan SOP

49
JEISBI: Volume 01 Nomor 01, 2020
(Journal of Emerging Information Systems and Business Intelligence)

REFERENSI

[1] P. Prasetya, A. F. Rochim dan I. P. Windasari, “Desain dan Implementasi

Standar Operasional Prosedur (SOP) Keamanan Sistem Informasi
Fakultas Teknik Universitas Diponegoro Menggunakan Standar ISO
27001,” Jurnal Teknologi dan Sistem Komputer, vol. 3, no. 3, pp. 387-
392, 2015.
[2] B. Albrecht och J. Pirani, ”Using an IT Governance Structure to Achieve
Alignment at the University of Cincinnati,” EDUCAUSE, Colorado,
2004.
[3] E. Chintia, H. M. Astuti, F. Samopa, S. dan A. Filiazsanti, “Pembuatan
Standard Operating Procedure (SOP) Layanan Domain dan Hosting
Menggunakan Metode Analisis Kesenjangan (Studi Kasus: DPTSI
ITS),” SEBATIK, pp. 59-67.
[4] M. Andriana, I. Sembiring dan K. D. Hartomo, “SOP of Information
System Security on Koperasi Simpan Pinjam Using ISO/IEC
27002:2013,” TRANSFORMATIKA, vol. 18, no. 1, pp. 25-35, 2020.
[5] W. R. Wicaksana, A. Herdiyanti dan T. D. Susanto, “Pembuatan Standar
Operasional Prosedur (SOP) Manajemen Akses Untuk Aplikasi E-
Performance Bina Program Kota Surabaya Berdasarkan Kerangka Kerja
ITIL V3 dan ISO 27002,” Jurnal Sisfo, vol. 6, no. 1, pp. 101-116, 2016.
[6] U. Ridhoi, “Penyusunan Panduan (Prosedur Dan Formulir) Perawatan
Software dan Hardware Berdasarkan ISO/IEC 14764:2006 dan ITIL V3
2011 (Studi Kasus: Pemerintahan Kota Madiun),” Departemen Sistem
Informasi Institut Teknologi Sepuluh Nopember, Surabaya, 2019.
[7] I. 2. Information technology - Security techniques - Information security
management systems - Requirements, ISO/IEC, 2013.
[8] I. 2. Information technology - Security techniques - Codes of practice for
information security controls, ISO/IEC, 2013.
[9] K. P. A. N. d. R. R. I. Pedoman Penyusunan Standar Operasional
Gbr. 4 Formulir Permintaan Pelatihan dan Pengembangan SDM Prosedur Administrasi Pemerintahan, Jakarta, 2012.
[10] R. Sarno dan I. Iffano, Sistem Manajemen Keamanan Informasi,
V. KESIMPULAN Surabaya: Itspress, 2009.
Pembuatan dokumen SOP keamanan informasi pada Dinas [11] S. AlGhamdi, K. T. Win dan E. Vlahu-Gjorgievska, “Information
security governance challenges and critical success factors: Systematic
Komunikasi dan Informatika Pemerintah kota Madiun review,” Computers & Security 99, pp. 1-39, 2020.
berdasarkan pada standar ISO/IEC 27001:2013 dengan [12] M. M. Maulana, Audit Keamanan Sistem Informasi Pada Dinas
mengacu pada kontrol ISO/IEC 27002:2013. Pembuatan SOP Komunikasi dan Informatika Kabupaten Bogor Menggunakan Standar
juga disesuaikan dengan kebutuhan Dinas Komunikasi dan ISO/IEC 27001:2013 dan COBIT 5, Jakarta: Universitas Islam Negeri
Informatika Pemerintah kota Madiun saat ini berdasarkan Syarif Hidayatullah, 2019.
analisis kesenjangan yang telah dilakukan pada penelitian. [13] I. Meriaha dan L. B. Arfa Rabaia, “Comparative Study of Ontologies
Based ISO 27000 Series Security Standards,” Procedia Computer
Berdasarkan hasil analisis kesenjangan didapatkan 20 prosedur Science 160, p. 85–92, 2019.
keamanan informasi dengan 1 prosedur berupa instruksi kerja
[14] W. A. Pratiwi, “Perencanaan Sitem Manajemen Keamanan Informasi
yaitu prosedur untuk bekerja di area yang aman. Selain SOP Berdasarkan Standar ISO 27001:2013 Pada KOMINFO Provinsi Jawa
yang dihasilkan, dalam pembuatan SOP dilengkapi dengan Timur,” Institut Bisnis dan Informatika STIKOM, Surabaya, 2019.
formulir – formulir sebagai instrumen pendukung SOP. [15] W. Apriandari och . A. Sasongko, ”Analisis Sistem Manajemen
Saran yang dapat diberikan terkait dengan penelitian yaitu, Keamanan Informasi Menggunakan SNI ISO/IEC 27001:2013 Pada
agar dokumen SOP dan formulir yang telah dibuat untuk diuji, Pemerintahan Daerah Kota Sukabumi (Studi Kasus: Di Diskominfo Kota
Sukabumi),” Jurnal Ilmiah SANTIKA , vol. 8, nr 1, pp. 715-729, 2018.
diimplementasikan, dan diaudit secara internal guna untuk
[16] I. 2. Information technology - Security techniques - Information security
mengetahui sejauh mana dampak penerapan SOP terhadap management systems - Overview and vocabulary, ISO/IEC, 2018.
keamanan informasi pada Diskominfo kota Madiun. Selain itu,
[17] A. Rachmi, T. D. Susanto dan A. Herdiyanti , “Pembuatan Standard
penelitian ini hanya sebatas pembuatan dokumen SOP Operating Procedure (SOP) Service Desk Berdasarkan Kerangka Kerja
beserta formulir dan isntruksi kerja, untuk penelitian Itil V3 dengan Menggunakan Metode Analisis Gap Layanan (Studi
selanjutnya mungkin dapat dilakukan evaluasi keefektifan Kasus: PT. XYZ , Tangerang,” Jurnal Teknik POMITS , vol. 3, no. 2, pp.
A175-A180, 2014.
dokumen SOP yang telah dibuat terhadap keamanan informasi
Diskominfo kota Madiun. [18] I. Santosa, “Pengembangan Prosedur Pelaporan Insiden Keamanan
Informasi Menggunakan Standarisasi ISO/IEC 27001 dan 27002,”
Jurnal Ilmiah Edutic, vol. 2, no. 1, pp. 1-8, 2015.

50