TATA KELOLA TEKNOLOGI INFORMASI

UJIAN AKHIR SEMESTER

OLEH

WILLY MUHAMMAD FAUZI L250210012

MAGISTER TEKNIK INFORMATIKA

UNIVERSITAS LANGLANGBUANA
1. Penjelasan tahapan-tahapan audit SI
a. Perencanaan Audit
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor
eksternal hal ini artinya adalah melakukan investigasi terhadap klien untuk
mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staf
audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang
klien, mengerti tentang masalah hukum klien dan melakukan analisa tentang
prosedur yang ada untuk mengerti tentang bisnis klien dan
mengidentifikasikan resiko audit.
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan,
auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan
praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian
yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam
tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha
untuk memahami pengendalian terhadap transaksi yang diproses oleh
aplikasi tersebut.
Berikut ini merupakan beberapa contoh hasil rencana audit yang disepakati
sebagai rujukan kedua belah pihak yaitu pihak yang di audit dan Pihak Tim
Auditor Independen (Studi Kasus SI Perpustakaan).
1. Tujuan Audit SI
- Menilai Efektifitas Aplikasi Peminjaman dan Pengembalian Buku
yang digunakan di Perpustakaan
- Menilai Efisiensi Sumber Daya dalam penggunaan Aplikasi
Peminjaman dan Pengembalian Buku yang digunakan di
Perpustakaan

2. Ruang Lingkup Audit SI:

a. Objek Audit :
1) Gedung Perpustakaan
2) Ruang Dosen
3) Ruang Pimpinan
b. Yang diaudit :
1) Kepala/Manager Perpustakaan
 2) Staff pengelola Perpustakaan
3) Dosen
4) Mahasiswa
5) Pimpinan
c. Periode : 14 – 16 Desember 2021
3. Metode yang digunakan
Audit Sistem Informasi ini dilaksanakan dengan metode sebagai
berikut :
a. Survei (dengan bantuan Kuisioner)
b. Interview
c. Observasi
d. Review dokumentasi
4. Susunan Anggota Tim Eksternal
5. Jadwal Pelaksanaan
No. Kegiatan Perencan
aan
Persiapan:
1 Melakukan Koordinasi dengan pihak terkait untuk membahas rencana
audit yang akan dilakukan
2 Menyiapkan dokumentasi yang berkaitan dengan audit (Lembar kerja,
survey, wawancara, dll)
Pendahuluan:
3 Melakukan Sosialisasi dengan Pihak Terkait untuk kegiatan Audit yang
akan dilakukan
4 Mengumpulkan dokumentasi berkaitan dengan audit yang akan
dilakukan seperti
 Rencana Strategis (Renstra)
 Rencana Kerja (Renja)
 Struktur Organisasi dan Tata Kerja (SOTK)
 Standar Operasional Prosedur (SOP)
 Pengadaan Aplikasi
 Manual Pengguna Aplikasi
 dll
 No. Kegiatan Perencan
aan
5 Melakukan review terhadap dokumentasi yang berkaitan
Pelaksanaan :
6 Melakukan Wawancara (interview) dengan Manager Perpustakaan,
staff, dosen, dan mahasiswa
7 Melakukan observasi langsung ke perpustakaan untuk melihat proses
peminjaman dan pengembalian buku
8 Mengunpulkan data melalui survey yang dibuat untuk diisi oleh
Manager Perpustakaan, staff, dosen, dan mahasiswa
9 Melakukan penilaian tingkat kedewasaan (maturity level) untuk layanan
aplikasi yang digunakan
10 Melakukan Klarifikasi hasil Audit
Pelaporan:
11 Mebuat Laporan yang berisi:
 Perencanaan dan persiapan Audit SI/TI yg mencakup ruang lingkup
dan tujuan audit (scope dan objective),
 Kondisi sistem informasi/Aplikasi
 Program Audit SI/TI yg dilakukan
 Langkah Audit SI/TI yg dilakukan dan bukti (evidence) Audit SI/TI
yg dikumpulkan,
 Temuan audit (findings) dan tingkat maturity Proses TI
 Kesimpulan dari hasil temuan,
 Laporan-laporan lain terkait sebagai hasil dr pekerjaan Audit SI/TI,
 Rekomendasi untuk perbaikan berkelanjutan.

6. Biaya
7. Lain-lain

b. Pengujian Pengendalian (Test of Control)

Auditor melakukan kontrol test ketika mereka menilai bahwa kontrol resiko
berada pada level kurang dari maksimum, mereka mengandalkan kontrol
sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor
tidak mengetahui apakah identifikasi kontrol telah berjalan dengan efektif,
oleh karena itu diperlukan evaluasi yang spesifik.
Meliputi prosedur-prosedur audit yang dirancang untuk menentukan
aktivitas kebijakan dan prosedur pengendalian yang diterapkan pada
perusahaan klien. Pengujian atas pengendalian dilakukan terhadap kebijakan
dn prosedur pengendalian yang diharapkan dapat mencegah autau
mendeteksi salah saji material dalam laporan keuangan. Pemahaman
struktur pengendalian intern yang diperoleh auditor digunakan dalam
penetapan sisiko atas pengendalian. Jika diyakini bahwa kebijakan dan
prosedur pengendalian itu dirancang dengan efektif, kemudian dijalankan
dengan efisien maka auditor dapat menetapkan risiko pengendalian pada
tingkat yang mencerminkan evaluasi tersebut, dapat pada tingkat rendah,
sedang atau tinggi, yang didukung oleh bahan bukti yang diperoleh.
Pada tahapan ini biasa dilakukan dengan cara kuesioner, dengan
memberikan beberapa pertanyaan-pertanyaan mengenai proses
pengendalian dari beberapa unit proses seperti kuesioner proses
pengendalian intern peminjaman buku, kuesioner pengembalian buku, dll.
Pengujian dan pengendalian (Test of control) memfokuskan pada
pertanyaan-pertanyaan :
- Bagaimana penerapan kebijakan prosedur pengendalian klien ?
- Apakah  kebijakan dan  prosedur diterapkan secara konsisten?
- Oleh siapa kebijakan dan prosedur diterapkan secara konsisten?
Dengan pengujian atas pengendalian (Test of control) tujuan akan menjadi
lebih khusus dan akan lebih ekstensif. Dua jenis bahan bukti yaitu tanya
jawab dan pengendalian intern, pengujian atas pengendalian akan
meneruskan prosedur audit yang telah ada dalam pemahaman pengendalian
intern., atau sebagai tindak lanjut dar i prosedur audit atas pemahaman
pengendalian intern.
Sifat Pengujian
Pengujian atas pengendalian diarahkan kepada efektivitas design dan
operasi pengendalian entitas, yang mencakup jenis bahan bukti :
a. Tanya jawab dengan pegawai (Inquiring)
Pertanyaan yang diajukan pada karyawan dilakukan berkaitan dengan
 evaluasi atas kinerja tugas. Auditor dapat menentukan pengendalian
akses atas aktiva, dokumen, dan catatan akuntansi klien melalui
pengajuan pertanyaan pada karyawan.
b.  Pemeriksaan dokumen dan catatan (Inspecting)
Pengendalian yang meninggalkan jejak bukti dapat dilakukan prosedur
audit melalui inspeksi oleh audit. Auditor melakukan  inspeksi terhadap
dokumen, catatan, dan laporan untuk memastikan bahwa dokumen,
catatan, dan laporan tersebut lengkap, dibandingkan dengan dokumen
lain secara tepat., dan diotorisasi sebagaimana mestinya.
c. Pengamatan aktivitas yang berhubungan dengan pengendalian
(Observing)
Observasi dapat dilakukan auditor terutama pada pengendalian  yang
tidak menghasilkan jejak bukti. Contohnya adalah pemisahan tugas yang
membutuhkan beberapa orang tertentu untuk melaksanakan suatu tugas.
d. Pelaksanaan ulang oleh auditor terhadap prosedur (Reperforming)
Beberapa kegiatan pengendalian yang meninggalkan jejak bukti berupa
dokumen, catatan, dan laporan tetapi isinya kurang mencukupi dalam
menilai kegiatan pengendalian tersebut dapat dilakukan  reperforming.
Prosedur reperforming cenderung merupakan pengujian untuk menilai
akurasi mekanis kegiatan pengendalian.
Berdasarkan kuesioner yang telah dibuat dan dijawab setelah itu hasilnya
akan diproses untuk menunjukkan kekuatan dan kelemahan dalam
pengendalian suatu proses seperti peminjaman buku dan pengembalian buku
atau yang lainnya yang diselenggarakan klien dengan memperhatikan hal-
hal yang berkaitan dengan aktivitas pengendalian yaitu :
1) Pemisahan fungsi yang memadai
2) Prosedur otorisasi yang tepat
3) Dokumen dan catatan yang memadai
4) Pengecekan pekerjaan oleh orang independen
Selain itu, ada beberapa hal yang harus diperhatikan dari kemungkinan
kesalahan yang terjadi akibat kelemahan dalam pengendalian yang
meliputi :
 1) Kesalahan dalam mencatat jumlah transaksi
2) Dokumen transaksi belum dikirim kepada pihak yang berkepentingan
3) Pencatatan transaksi dilakukan pada periode yang salah
4) Transaksi dilakukan dengan pihak yang tidak tepat
5) Kesalaha dalam prosedur otorisasi
6) Kesalahan dalam posting atas transaksi
Hasil evaluasi atas Test of Control disajikan dengan beberapa model, antara
lain :
1) Untuk setiap kekuatan, sebutkan tujuan pengendalian yang cenderung
dapat tercapai
2) Untuk setiap kelemahan, sebutkan kemungkinan
kesalahan/penyimpangan yang mungkin terjadi
c. Pengujian Transaksi (Test of Transaction)
Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah
kesalahan atau proses yang tidak biasa terjadi pada transaksi yang
mengakibatkan kesalahan pencatatan material pada laporan keuangan. Test
transaksi ini termasuk menelusuri jurnal dari sumber dokumen, memeriksa
file dan mengecek keakuratan.
Pengujian atas transaksi (substantive test of transaction) meliputi prosedur-
prosedur audit untuk menguji kecermatan pencatatan transaksi. Tujuan
dilakukanyya pengujian atas transaksi adalah untuk menentukan apakah
transaksi akuntansi klien telah otorisasi dengan pantas, dicatat, dan
diikhtisarkan dalam jurnal dengan benar dan diposting ke buku besar dan
buku pembantu dengan benar.
Untuk menentukan apakah semua transaksi telah memenuhi tujuan audit
untuk transaksi:

- Ekistence

- Completeness

- Accuracy

- Classification

- Timing
- Posting and summarizing
Jika auditor percaya bahwa transaksi percaya bahwa transaksi dicatat
dengan benar dalam jurnal dan diposting dengan benar, maka auditor akan
percaya bahwa total buku besar adalah benar.
Pengujian detail transaksi ini dilakukan untuk menentukan :

a. Ketetapan otorisasi transaksi akuntansi

b. Kebenaran pencatatan dan peringkasan transaksi dalam jurnal

c. Kebenaran pelaksanaan posting atas transaksi dalam buku besar dan

buku pembantu.
Metodologi Perancangan Program Audit untuk Pengujian Atas
Transaksi. Program audit pengujian atas transaksi, biasanya mencakup :

- Bagian penjelasan yang mendokumentasikan pemahaman yang

diperoleh mengenai struktur pengendalian intern.

- Gambaran prosedur yang dilaksanakan untuk memperoleh pemahaman

atas struktur pengendalian intern

- Rencana tingkat risiko pengendalian yang ditetapkan

Baik prosedur yang dijalankan maupun risiko pengendalian yang

direncanakan akan mempengaruhi program audit pengujian atas
pengendalian dan pengujian substantif atas transaksi

a. Melaksanakan prosedur untuk memahami struktur pengendalian

intern

b. Menetapkan risiko pengendalian

c. Mengevaluasi biaya dan manfaat dari pengujian substantif atas

transaksi untuk memenuhi tujuan audit berkait transaksi.

- Prosedur audit

- Besar sampel

- Pos/unsur yang dipilih

- Saat pelaksanaan
 Prosedur audit pengujian atas transaksi akan mencakup baik pengujian atas
pengendalian maupun pengujian substantive atas transaksi dan bercariasi
tergantung kepada rencana risiko pengendalian yang ditetapkan.
Jika pengendalian efektif dan risiko pengndalian yang idrencanakn rendah,
penekanan akan banyak diberikan kepada pengujian atas pengendalian.
Beberapa pengujian substantif atas transaksi juga akan ditekankan.
Jika risiko pengendalian ditetapkan 1, maka hanya pengujian substantive
atas transaksi yang akan digunakan. Prosedur yang juga dilakukan dalam
memperoleh pemahaman pengendalian intern akan mempengaruhi
pengujian atas pengendalian dan pengujian substantive atas transaksi.
Prosedur Audit yang dilakukan dalam pengujian detail transaksi :

- Tracing: pilih satu sampel sales invoice dan telusur ke sales journal.

- Vouching: pilih satu sampel transaksi yang dicatat dalam sales

journal dan telusur ke sales invoice.

- Reperforming: periksa kecermatan perkalian dan penjumlahan pada

sales invoices.

- Inquiring: tanyakan kepada klien apakah ada transaksi-transaksi

related parties.
Pada pengujian detail transaksi, auditor mengarahkan pengujiannya untuk
memperoleh temuan mengenai ada tidaknya kesalahan yang bersifat
moneter. Auditor tidak mengarahkan pengujian detail transaksi untuk
memperoleh temuan tentang penyimpangan kebijakan dan prosedur
pengendalian.
Pengujian ini pada umumnya lebih banyak menyita waktu dibanding
prosedur analitis, oleh karenanya pengujian ini lebih banyak membutuhkan
biaya daripada prosedur analitis.

d. Pengujian Keseimbangan

Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus
diperhatikan adalah pengamatan harta dan kesatuan data. Beberapa jenis
substantif test yang digunakan adalah konfirmasi piutang, perhitungan fisik
persediaan dan perhitungan ulang aktiva tetap.
2. Kebijakan tata kelola data di sebuah organisasi/perusahaan
1. Pendahuluan

Informasi adalah aset bagi organisasi. Karena ini organisasi berkewajiban dan
bertanggung jawab untuk melindunginya. Ketersediaan informasi yang
lengkap dan akurat menipakan hal yang sangat penting untuk mendukung
fungsi organisasi yang terkait dengan penyediaan kebutuhan informasi bagi
pihak internal maupun eksternal organisasi. Dalarn kaitannya memproses
informasi, organisasi memiliki tanggung jawab untuk mengamankan informasi
dan mencegah penyalahgunaan informasi.

Hal penting yang patut dilakukan adalah menselaraskan antara risiko

keamanan informasi dengan risiko bisnis perusahaan secara keseluruhan.
Karena itu dengan penyerasian sistem keamanan informasi dengan strategi
penanganan risiko bisnis dapat menunjang keefektifan manajemen risiko
perusahaan.
2. Tujuan, Iingkup, dan pengguna

Tujuan kebijakan ini adalah untuk mendefinisikan tujuan. prinsip-prinsip

dasar terkait dengan manajemen sistem keanianan informasi. Tujnan
pengendalian keamanan inforniasi adalah melindungi perusahaan maupun
reputasi perusahaan dengan pemeliharaan hal-hal sebagai berikut :
 Confidientiality (kerahasiaan) : mengetahui bahwa data dan
informasi dapat diakses oleh hanya orang-orang yang berhak
melakukannya.
 Integrity (Integritas) : mengetahui bahwa data dan informasi adalah
akurat dan up-to-date (mutakhir) dan tidak terdapat kesengajaan
maupun ketidaksengajaan pemodifikasian data dan informasi dari
versi yang disetujui sebelumnya.
  Avalibility (Ketersediaan) : mengetahui bahwa data dan informasi
dapat diakses kapan saja.
Kebijakan ini diterapkan ke seluruh sistem manajemen keamanan informasi
(SMKI).
Organisasi dan Lokasi :
Seluruh unit kerja terkait di perusahaan dan lokasi kerja yang digunakan
untuk mengelola dan menyediakan layanan internal dan eksternal.
Aset yang dicakup meliputi, tetapi tidak terbatas pada :
 Data dan Informasi

Termasuk data dan informasi meliputi : dokumen pengadaan dan kontrak,

data pelanggan, data gaji, data karyawan, sistem dokumentasi
manajemen, dokumen teknis & konfigurasi jaringan, hasil penetration
test, materi pelatihan, prosedur operasional, business continuity plan,
dan hasil audit;
 Software

Yang termasuk dalam aset perangkat lunak atau software antara lain :
software aplikasi, operating system, development tool, dan software
tool (antivirus. audit tool);
 Hardware

Yang termasuk dalam aset perangkat keras atau hardware misalnya :

Server, PC, Laptop, Media penyimpan data;
 Perangkat Jaringan Komunikasi

Yang termasuk dalam aset perangkat jaringan komunikasi antara lain

Router, Modem, Switch, Kabel, Firewall
 Fasilitas Pendukung

Yang termasuk dalam aset fasilitas pendukung antara lain Ruang Server /
Ruang Data Center, Ruang Kerja, Ruang Disaster Recovery Center
(DRC), UPS, Genset, A/C, CCTV, Fire Extinguisher, Access Door
Electronic, dan sebagainya;
 Sumber Daya manusia
 Yang termasuk dalam aset sumber daya manusia misalnya karyawan tetap,
calon karyawan tetap, karyawan kontrak, mitra, vendor dan pihak
ketiga lainnya yang menyediakan layanan, Jasa, produk serta
produk yang menunjang bisnis Instansi penyelenggara layanan publik.

Pengguna dokumen kebijakan ini adalah seluruh karyawan KAMPUS STT

YBSI TASIKMALAYA dan pihak eksternal yang memiliki peran dalain Sistem
Manajemen Keanianan Informasi. termasuk:
 Karyawan tetap, karyawan paruh waktu (part-time), karyawan magang,
atau karyawan yang bekerja untuk dan atas nama KAMPUS STT YBSI
TASIKMALAYA;
 Mahasiswa yang melakukan penelitian karya tulis di perusahaan;
 Rekanan atau pihak ketiga konsultan yang bekerja untuk dan atas nama
perusahaan;
 Seluruh individu maupun grup yang diberikan akses oleh perusahaan
terhadap jaringan perusahaan maupun layanan teknologi informasi.
3. Dokumen Referensi
- ISO JEC 27001 standard.
- ISO IEC 13335-1:2004
4. Terminologi keamanan informasi*

Confidentiality - the property that information is not made available or

disclosed to unauthorised individuals, entities, or processes

Integrity - the property of safeguarding the accuracy and completeness of

assets

Availability - the property of being accessible and usable upon demand by

an authorized entity

Information seculity - preservation of confidentiality. imegriiy and

availability of information

Information Security Management System - that pan of the overall

management system. based on a business risk approach. to establish.
 implement. operate. monitor, review, maintain and improve information
security

*definitions taken from ISO/IEC 27001:2005

5. Pengorganisasian Keamanan Informasi

Untuk menunjang keberhasilan penerapan sistem keainanan informasi. pihak

manajemen harus mendukung dalam bentuk pengorganisasian keamanan
informasi yang jelas.

5.1. Tujuan dan Ruang lingkup

Tujuan pengorganisasian keamanan informasi adalah untuk mengatur dan

mengelola keamanan informasi di KAMPUS STT YBSI TASIKMALAYA. Ruang
lingkup pengorganisasian keamanan inforinasi ini dibatasi pada divisi
teknologi informasi untuk kemudian dapat dikembangkan di seluruh unit
kerja di KAMPUS STT YBSI TASIKMALAYA.
5.2. Kontrol

Kontrol yang berkaitan dengan pengorganisasian kearnanan informasi

adalah sebagai berikm:
a. Pada setiap unit kerja ditunjuk personil yang bertanggung jawab
untuk memonitor keamanan infonnasi pada unitnya berkoordinasi
dengan security officer
b. Usulan masukan pengamanan informasi dilakukan secara berkala
oleh penanggung jawab keamanan kepada security officer.
c. Jika terjadi pelanggaran keamanan. pengguna dapat melaporkan
kepada penanggung jawab pada bagiannya. Untuk diteruskan
kepada security officer, untuk mendapatkan tindak lanjut.
d. Jika permasalahan tersebut tidak dapat diselesaikan oleh security
officer atau permasalahan tersebut dinilai memilki risiko tinggi
 terhadap sistem keamanan informasi. maka dilaporkan kepada
security head unruk diambil keputusan.
6. Manajemen Risiko

Manajemen risiko merupakan pondasi dan sebuah sistem manajemen

keamanan informasi. Manajemen risiko adalah proses mengidentifikasi
risiko, menilai kemungkinan keterjadiannya, lalu kemuadian mengambil
langkah untuk mengurangi risiko hingga ke level diterima (mitigasi).
Beberapa langkah-langkah manajemen risiko adalah sebagai berikut:
6.1. Kepemilikan dan Pemeliharaan Kebijakan

Kebijakan ini dimiliki oieh divisi teknologi informasi, dipelihara, direview

dan diubah oleh divisi teknologi informasi bersama dengan internal audit
sesuai dengan kebijakan perusahaan, prosedur, dan panduan.

Kebijakan ini akan dilakukan review secara periodik (tahunan) dan

diajukan kepada komite audit bila terjadi perubahan substansial atau
melakukan pemodifikasian konsep kebijakan agar sesuai dengan kebutuhan
yang relevan maupun pengelolaan yang efektif.
6.2. Tujuan dan Ruang Ungkup

Menentukan tujuan dan ruang lingkup manajemen risiko adalah langkah

untuk melakukan penilaian risiko, mengidentifikasi aset, mengidentifikasi
lokasi aset, dan mengidentifikasi detil sistem informasi lain yang akan
dinilai. Hasil dan analisis risiko akan terjadi dasar melakukan proses
manajernen risiko. Elemen utama dari manajernen risiko adalah:
 Pengidentiftkasian aset inforinasi
 Analisis kerentanan (vulnerability)
 Pengidentifikasian ancarnan (threat)
 Penentuan kemungkinan keterjadian (likelihood)
 Penentuan nilai risiko
 Peilihan kontrol untuk memitigasi risiko
 Rencana kegiatan saat genting
Ruang lingkup manajemen risiko ini hanya diimplementasikan pada risiko
yang berhubungan dengan aset informasi.
6.3. Dokumen terkait
 ISO 27001
 Database pengguna
 Prosedur instruksi kerja
6.4. Prosedur
6.4.1. Pengidentifikasian aset informasi
Sehubungan dengan berkembangnya bisnis dan teknlogi, menyebabkan
dapat berubah atau bergantinya aset yang dimiliki. Untuk itu, sangat
penring untuk melakukan monitoring terhadap perkmbangan aset yang
dimiliki. Dafiar aset tersebut memuat informasi sebagai berikut:
 Kelompok Aset
 Nama aset
 Penanggung jawab aset
 Pengguna Aset
 Lokasi Aset
 Dampak terhadap sistem
Menurut ISO 27001. kelompok aset dibagi sebagai berikut :
 Informasi (information);
 Perangkat Iiinak (software);
 Perangkat keras (hardware);
 Perlengkapan umun (services);
 Sumber daya manusia (people); dan
 Aset tak berwujud (intangible assets).
Nama aset harus tertulis dengan jelas. Identifikasi berupa kode barang
inventaris aset dapat ditambahkan. Penanggung jawab aset juga harus
tertulis dengan jelas (meski secara umum aset tersebur adalah aset
perusahaan. Nama pengguna aset harus tertulis dengan jelas termasuk
karyawan, klien, dan rekan bisnis KAMPUS STT YBSI TASIKMALAYA.
Lokasi aset harus menunjukkan dimana aset tersebut berada dalam
Iingkup perusahaan. Keterangan pengguna aset maupun lokasi aset
harus dilakukan pemutakhiran sesuai kondisi terakhir.
Dampak aset terhadap sistem diberikan nilai untuk memperlihatkan
beberapa besar dampak yang mungkin ditimbulkan. Penilaian dampak
aset terhadap sistem dapat dilakukan oleh security officer. Namun
direview secara berkala oleh IT Head. Setiap kali aiialisis risiko
dilakukan. hasil analisis
sebelumya dapat dilakukan evaluasi. Penilaian dampak aset terhadap
sistem dapat dilihat pada tabel berikut :
Nilai Penjelasan
0 Aset bukan merupakan bagian dari sistem menajamen
keamanan informasi. Contoh AC
1 Aset tidak memiliki peran penting dalam sistem keamanan
informasi, tapi jika ada kerusakan harus segera diperbaiki.
Contoh Monitor, keyboard
2 Aset memiliki peran penting terhadap sistem keamanan
informasi, jika rusak harus segera diperbaiki atau diganti
3 Aset sangat penting (critical)
4 Aset sangat sangat penting (super critical)

6.4.2. Analisis kerentanan

Berdasarkan daftar aset yang telah dibuat. Security officer bersama
sistem administraror dan security leader membuat daftar kerentanan
aset. Daftar tersebut harus memuat aspek teknis, aspek organisasi dan
fitur aset yang potensial bagi lolosnya ancaman. Kegiatan peaganalisisan
kerentanan tersebut harus dikerjakan secara hati-hati. Kesalahan dalam
menganalisis akan menyebabkan sistem akan memiliki celah keamanan
(insecure).
6.4.3. Pengidentifikasian ancaman
Daftar aset beserta kerentanannya akan menjadi dasar bagi security
officer dalam membuat daftar ancaman (threat list). Hasil
pengidentifikasian ancaman dapat dipisahkan dalam dokumen katalog
sebagai bahan evaluasi analisis risiko di kemudian hari. Informasi dan
katalog tersebut dapat dipertukarkan dengan kiien dan pihak ketiga
untuk memastikan bahwa sistem keamanan informasi telah terproteksi.
6.4.4. Penentuan kemungkinan keterjadian (likelihood)
Setiap ancaman memiliki kemungkinan keterjadian. Kegiatan ini dapat
dilakukan oleh security officer bersaima security leader dan system
administrator. Nilai yang diberikan antara O sampai dengan 5 yang
menggambarkan jumlah keterjadian. Contoh skoring jumlah keterjadian
dapat dilihat pada tabel berikut.

Nilai Penjelasan
0 Dapat diabaikan
1 Kemungkinan keterjadiannya kecil
2 Kemungkinan keterjadiannya sedang
3 Kemungkinan keterjadiannya besar
4 Kemungkinan keterjadiannya sangat besar dalam
segala situasi
5 Dapat diabaikan

6.4.5. Penentuan nilai resiko

Nilai risiko adalah hasil perkalian antara nilai aset dengan kemungkinan
keterjadian (likelihood). Dan hasil perkalian tersebut dapat ditentukan
mana risiko yang tinggi, sedang, dan rendah. Jika risiko dinilai tinggi
maka tindakan pencegahan harus dilakukan, jika risiko dinilai sedang,
maka tindakan pengamanan dapat diturunkan, namun tetap dilakukan.
Jika risiko dnilai rendah, maka tidak perlu ada tindakan pengamanan,
namun tetap mengontrolnya. Tabel nilai risiko tersebut dapat dilihat
pada tabel berikut.
Skoring Likelihood
1 Sangat kecil Dapat diabaikan
2 Kecil Kemungkinan keterjadiannya kecil
3 Sedang Kemungkinan keterjadiannya sedang
4 Besar Kemungkinan keterjadiannya besar
 5 Sangat besar Kemungkinan keterjadiannya sangat besar
dalam segala situasi

6.4.6. Pemilihan kontrol untuk memitigasi risiko

Berdasarkan nilai risiko di atas. harus disusun Iangkah-langkah untuk
mengimplimentasikan perlindungan terhadap risiko secara spesifik.
Risiko tinggi harus ditekan hingga risiko tersebut dapat diterima
(accepted risk). Untuk risiko sedang dan rendah, harus ditentukan juga
kontrol yang tepat
untuk menanganinya.
6.4.7. Rencana kegiatan saat genting
Dan hasil analisis risiko pada prosedur di atas, dapat disusun rencana
kegiatan saat genting (contingency plan). Rencana tersebut menjelaskan
mengenai tindakan apa yang mesti diambil pada saat kritis agar
organisasi dapat terus melangsungkan operasionalnya. Rencana
tersebut harus
menginformasikan nama-nama orang atau institusi yang harus
dihubungi ketika terjadi hal genting. Selain itu. dapat dibuat daftar aset
penting dan bersama IT Head menentukan dimana menempatkan aset
penting tersebut agar aman dan terjamin hingga masa-masa kritis
terlewati.
7. Kebijakan Keamanan Personil
7.1. Tujuan dan Ruang Lingkup
Tujuan kebijakan keamanan personil adalah untuk memastikan bahwa
karyawan, klien, dan pihak ketiga memahami tugas dan tanggung jawabnya
sesuai dengan kepentingannya untuk meminimalisasi risiko pencurian
informasi dan penyalahgunaan wewenang. Ruang lingkup pengorganisasian
keamanan informasi ini dibatasi pada divisi teknologi informasi untuk
kemudian dapat dikembangkan di seluruh unit kerja di KAMPUS STT YBSI
TASIKMALAYA.
Untuk keperluan tujuan pengguna dan kebijakan ini adaiah pengguna dan
layanan teknologi informasi yang disediakan oleh perusahaan yang menjadi
salah satu kelompok berikut:
 Karyawan atau Staff Kampus: yaitu orang-orang yang menjadi
karyawan tetap perusahaan.
 Karyawan magang : yaitu orang yang mendapat izin magang bekerja
di perusahaan.
 Mahasiswa : yaitu orang yang sedang menimba ilmu di kampus
 Dosen : yaitu orang-orang yang menjadi pengajar dikampus
 Tamu : yaitu orang-orang yang mendapatkan izin sementara untuk
mengakses layanan maupun fasilitas teknologi informasi dan
perusahaan.
 Pengguna eksternal : yaitu pihak ketiga rekanan kontrakor yang
diberikan izin akses pada sistem TI perusahaan untuk keperluan
pengembangan aplikasi, pemeliharaan data center, jaringan
perusahaan.
Terkait dengan pegawai baru atau pihak-pihak dari luar perusahaan yang
bekerja sementara diperusahaan, maka divisi sumber daya manusia harus
memastikan agar :
 Perjanjian kerahasiaan menjadi bagian dan syarat dan ketentuan
perjanjian kerja.
 Informasi atas latar belakang karyawan diperiksa dan tersimpan
dengan baik.
 Untuk uraian pekerjaan yang spesifik akan peran keamanan
informasi, dilakukan peineriksaan yang mendalam atas calon
karyawan.
 Calon karyawan mengerti akan pentingnya keamanan informasi,
dan bagi calon karyawan yang belum pernah mendapat training
keamanan informasi, diberikan jadwal pelatihan bagi mereka.
 Untuk pihak luar seperti auditor diberikan jangka waktu akses ke
sistem dan jaringan teknologi informasi sepanjang waktu
penugasannya di perusahaan.
Terkait dengan pegawai yang meninggalkan perusahaan. maka divisi
teknologi informasi haru memastikan agar:
 Seluruh IT account ditutup bagai karyawan yang berhenti
meninggalkan perusahaan.
 Seluruh files, folder segera dihapus setelah pengguna selesai masa
tugasnya di perusahaan.
 Bila seorang user ditingkatkan accountnya menjadi lebih tinggi,
maka IT account yang lama segera dihapus, dan unnik migrasi
account tersebut harus seizin tertulis dan atasannya atan seizin dan
kepala divisi IT.
7.2. Kontrol
Kontrol yang berkaitan dengan kebijakan keamanan personil adalah
sebagai berikut :
a. Selurih karyawan, klien dan pihak ketiga yang menggunakan fasilitas
yang berhubungan dengan aset informasi harus menandatangani
perjanjian kerahasiaan (non disclosure agreement).
b. Seluruh karyawan mesti tunduk pada syarat dan ketentuan-ketentuan
tertulis perusahaan ketika mereka mendaftar untuk memperoleh IT
account. Prosedur pendaftaran untuk memperoleh IT account dilakukan
oleh subdivisi layanan dukungan TI. Dokumentasi atas persetujuan
tersebut disimpan oleh team administrasi subdivisi layanan dukungan
TI.
c. Pelatihan prosedur keamanan dan penggunaan aset yang berhubungan
informasi dilakukan secara berkala atau disosialisasikan melalui media
intranet perusahaan.
d. Bagi karyawan, klien maupun pihak ketiga yang telah selesai
menggunakan aset informasi perusahaan harus menyerahkan kembali
aset tersebut dengan menggunakan berita acara pengembalian aset.
e. Bagi karyawan, klien dan pihak ketiga yang melanggar perjanjian
kerahasiaan maupun prosedur keamanan perusahaan dapat ditindak
sesuai dengan ketentuan perusahaan.
 f. Bagi tamu yang datang harus mengisi daftar buku yang tamu (minimal
berisi informasi nama, tanggal, dan keperluan). Dokumentasi buku tamu
tersebut harus dikelola oleh team administrasi subdivisi dukungan
layanan TI.
g. Akses yang dilarang untuk digunakan oleh tamu meliputi : sistem
jaringan perusahaan. Sumber daya elektronik yang sensitif, e-mail
server perusahaan, akses file dan folder di PC perusahaan.
h. Untuk tamu dibedakan PC dan jaringan (contoh wifi khusus guest).
8. Kebijakan kemanan fisik dan lingkungan
8.1. Tujuan dan Ruang Lingkup
Tujuan kebijakan keamanan fisik dan lingkungan adalah untuk memastikan
bahwa aset informasi bebas dan masuknya piliak yang tidak berhak.
pencegahan terhadap kerusakan dan kehilangan aset informasi. Ruang
lingkup pengorganisasian keamanan informasi ini dibatasi pada divisi
teknologi informasi untuk kemudian dapat dikembangkan di seluruh unit
kerja di KAMPUS STT YBSI TASIKMALAYA.
8.2. Kontrol
Kontrol yang berkaitan dengan kebijakan keamanan fisik dan lingkungan
adalah sebagai berikut :
a. Akses untuk memasuki infrastruktur informasi KAMPUS STT YBSI
TASIKMALAYA hanis dikontrol. Karena itu, Personil maupun vendor
yang ditunjuk dan diotorisasi oleh security manager yang dapat
mengakses area fisik informasi yang sifatnya sensitif.
b. Penganianan area fisik meliputi batas fisik antara ruang kerja dan
ruang publik (ruang rapat, ruang tunggu tamu, ruang kerja pihak
ketiga, ruang darurat).
c. Karyawan, klien dan pihak ketiga diberi otorisasi tertentu untuk
mengakses tempat kerja dan data center.
d. Berkaitan dengan akses terhadap area yang sensitif terhadap
kerentanan gangguan informasi hanya diberikan kepada personil
tertentu dengan izin tertulis security head.
 e. Peralatan CCTV terpasang pada area yang sensitif terhadap
kerentanan gangguan informasi terpasang sesuai dengan standar.
Peralatan tersebut harus diuji secara berkala unruk memastikan
operasionalnya dengan baik.
f. Buku petunjuk internal yang menginformasikan area aset-aset
informasi yang sensitif dipastikan agar tidak terakses oleh publik
dengan mudah.
g. Personil pihak ketiga dapat diberikan akses terbatas ke area aset
informasi yang sensitif jika diberikan izin oleb security head
h. Verifikasi terhadap latar belakang pihak ketiga yang dipekerjakan oleb
divisi IT antara lain: ijazah, transkrip nilai, tanda pengenal.
Pengenalan yang baik akan latar belakang pihak ketiga akan
mengurangi risiko pelanggaran keamanan informasi.
i. Saluran listrik dan telekomunikasi ke area aset-aset informasi yang
sensitif banus dipantau secara berkala.
j. Dokumentasi petunjuk perlindungan dan penyedia aset informasi
terinformasi dengan baik.
9. Kebijakan manajemen aset
9.1. Tujuan dan Ruang Lingkup
Tujuan kebijakan manajemen aset adalah memastikan kelengkapan dan
kebenaran data untuk aset perangkat keras dan aset jaringan komunikasi
yang digunakan oleh divisi IT.
9.2. Kontrol
Kontrol yang berkaitan dengan manajemen aset adalag sebagai berikut :
a. Menennikan orangfungsi yang bertanggung jawab atas pengelolaan aset
di divisi IT.
b. Menghitung jumlah aset yang menjadi tanggung jawab divisi IT yang
terdaftar di database register aset
c. Mengumpulkan data aset perangkat keras dan aset jaringan komunikasi
yang terdaftar di database aset.
 d. Melakukan pengecekan dengan observasi ke masing-masing personil
dengan melihat apakah kepemilikan aset telah sesuai dengan database
aset.
e. Melakukan pengecekan fisik dengan observasi ke personil pihak ketiga
yang dipekerjakan divisi IT dengan melihat apakah penguasaan aset
oleh pihak ketiga sesuai dengan database aset.
10.Kebijakan penanganan media
10.1. Tujuan dan Ruang lingkup
Tujuan kebijakan penanganan media ini unrnk menghindari rusak dan
hilangnya disks, tapes dan removable media Iainnya yang dapat merugikan
perusahaan. Ruang Iingkup penanganan media ini dibatasi pada divisi IT.
10.2. Kontrol
Kontrol yang berkaitan dengan penanganan media adalah sebagai berikut :
a. Media yang tidak diperbolehkan adalab yang mempunyai port USB.
b. Media penyimpanan yang di dalaninya terdapat informasi perusahaan.
diburuhkan untuk tujuan bisnis tertentu.
c. Bila tujuan bisnis telah terpenuhi maka informasi dalam mnedia
penyimpan harus dimusnahkan dan tidak dapat dipulilikan kembali.
d. Media penyimpan secara fasik sehanisnya dilindungi dan kehilangan,
kerusakan, penyalahgunaan ketika digunakan.
e. Kegiatan audit perlu dilakukan untuk memastikan dilakukannya
kebijakan ini. Pelanggaran akan kebijakan tersebut akan dilaporkan
pada atasan langsung dan diproses sesuai dengan peraturan perjanjian.
f. Semua insiden yang melibatkan media penyimpan harus dilaporkan
kepada security manager dan diproses sesuai dengan prosedur
pelaporan insiden.
11.Kebijakan pertukaran informasi
11.1. Tujuan dan Ruang Lingkup
Tujuan kebijakan pertukaran informasi adalah untuk memberikan petunjuk pada
seluruhh karyawan, klien, maupun pihak ketiga dalam kaitannya dengan
perlindungan informasi rahasia milik perusahan, klien, dan pihak ketiga. Ruang
lingkup manajemen aset ini dibatasi pada divisi IT, klien dan pihak ketiga yang
berhubungan dengan divisi IT.
11.2. Kontrol
a. Pertukaran informasi melalui jaringan harus dilengkapi dengan kontrol
untuk memastikan bahwa semua informasi yang dikirim dapat diterima dan
setiap modifikasi selama transmisi dapat dideteksi dan dilaporkan.
b. Semua pengiriman informasi pada pihak ketiga, tidak hanya penerima yang
harus memiliki otorisasi untuk menerima informasi tersebut, tetapi
prosedur pengamanannya harus dapat diyakini.
12.Kontrol akses jaringan
12.1. Tujuan dan Ruang Lingkup
Tujuan kontrol akses jaringan ini adalah untuk menjamin pengguna yang memiliki
akses ke jaringan tidak menyalahgunakan sistem keamanan jaringan. Ruang
lingkup manajemen aset ini dibatasi pada pengguna di divisi IT dan dapat
dikembangkan pada seluruh pengguna di perusahaan.
12.2. Kontrol
Kontrol yang berkaitan dengan akses jaringan adalah sebagai berikut:
a. Pengguna dilarang melakukan instalasi router, akses wireless ke jaringan
tanpa persetujuan tertulis nemork administrator.
b. Pengguna dilarang mengunduh, menginstall aplikasi atau tools tanpa izin
tertulis network administrator.
13.Kebijakan kontrol kriptografi
13.1. Tujuan dan Ruang Lingkup
Tujuan kebijakan kontrol kriptografi untuk melindungi kerahasiaan,keaslian, dan
keutuhan informasi. Ruang lingkup kriptografi ini dibatasi pada divisi IT untuk
kemudian dapat dikembangkan di seluruh unit kerja di perusahaan
13.2. Kontrol
a. Informasi atau data sensitif harus selalu ditransmisikan dalam keadaan
terenkripsi. Pertimbangan harus selalu dilakukan pada prosedur yang
digunakan antara pihak yang mengirimkan dan menerima dan setiap
kemungkinan permasalahan hukum atas penggunaan teknik enkripsi.
b. Semua message sebaiknya diproteksi dengan berbagai teknik kontrol untuk
memastikan confidentiality, integrity dan availibility.
14.Kebijakan Monitoring dan Information Security Incident Management
14.1. Tujuan dan Ruang Lingkup
Tujuan monitoring adalah untuk mendeteksi apakah terdapat
perbedaan/ketidaksesuaian antara kontrol yang diteranpkan dengan keadaan
yang terjadi di lapangan. Selain itu, monitoring bertujuan untuk mencegah
pelanggaran keamanan yang benilang. Pencatatan setiap kejadian menjadi hal
penting, karena bisa menampilkannya secara kronologis mencatat semua kegiatan
yang dilakukan tiap user dalam suatu tabel log secara rinci. Selain itu, hal tersebut
akan menjadi bukti/masukan bagi pengembangan kebijakan keamanan di masa
mendatang.
Tujuan manajemen insiden dan event adalah untuk memastikan bahwa setiap
event tercatat dan setiap insiden terkelola dengan baik.
Ruang lingkup manajemen aset ini dibatasi pada aset yang menjadi tanggung
jawab divisi IT.
14.2. Kontrol
Kontrol yang berkaitan dengan monitoring adalah sebagai berikut:
a. Membuat audit logs, informasi minimal dalam audit logs: identitas
pengguna, waktu log on dan log off lokasi. data maupun jaringan yang
diakses, lokasi.
b. Audit logs harus disimpan dalam jangka waktu terentu untuk kepentingan
analisis. Periode yang disarankan adalah tiap satu tahun.
c. Membuat administrator dan operator logs, informasi minimal dalam
administrator dan operator logs: identitas pengguna, waktu log on dan log
off, detil system error dan tindakan yang diambil.
d. Review terhadap audit logs dan adminisrraror dan operator log dilakukan
secara berkala terkait dengan manajemen risiko keamanan informasi
maupun oleh internal audit.
e. Peyimpanan audit logs dan administrator dan operator log harus dilakukan
dengan mekanisme memadai.
15. Manajemen Kesinambungan Bisnis
15.1. Tujuan dan Ruang Lingkup
Tujuan Manajemen Kesinambungan Bisnis atau Business Continuity Management
(BCM) adalah untuk memastikan dimulainya kembali kegiatan bisnis dalam hal
terjadi suatu gangguan atau kegagalan utama sistem informasi dan memastikan
keberlanjutannya secara tepat waku, Ruang lingkup kebijakan ini pada aktivitas
yang memberikan aktivitas signifikan pada pencapaian tiljuan stratejik maupun
reputasi perusahaan (Kampus STT YBSI Tasikmalaya)
15.2. Tanggung Jawab
Penanggung jawab manajemen kesinambungan bisnis ini adalah General Manager
perusahaan, dengan bertanggung jawab pada komite audit perusahaan.
Terkait dengan orang yang bertanggung jawab pada pengembangan dan
pengelolaan renacana kesinambungan bisnis, ditanggungjawabi Oleh para
manager/kepala divisi.
15.3. Rencana kesinambungan bisnis
Rencana kesinambungan bisnis diusulkan mencakup berikut:
- Rencana manajemen krisis (untuk selunlh manajemen krisis)
- Rencana keadaan-keadaan luar biasa/khusus (contoh: keadaan pandemik)
- Rencanan pemulihan bencana IT (fokus pada perencanaan teknologi)
- Rencana tanggap darurat (untuk keamanan karyawampihak ketiga dalam
keadaan darurat).
Kepala unit dukungan teknologi informasi bersama system administrator yang
terkait meyakinkan bahwa kesinambungan bisnis dan rencana pemulihan bencana
(disaster recoverv plan) telah dibuat pada informasi-informasi kritis, aplikasi.
sistem dan jaringan. System administrators memiliki tanggung jawab untuk
menjaga dan mengelola integritas sistem rencana kesinambungan berikutnya
dalam area mereka.
16. Information Systems Audit Control
16.1. Tujuan dan Ruang Lingkup
Perusahaan harus memiliki pengendalian umum dan pengendalian aplikasi yang
efektif untuk mencapai confidentiality,inregrity, dan availibility dari informasi
kritikal dan sistem informasi. Pada dasarnya dengan memiliki serta menjalankan
serangkaian kebijakan dan prosedur pada lingkup pemsahaan yang lebih luas.
maka pengendalian umum telah dilakukan. Tanpa pengendalian umum, maka
pengendalian aplikasi menjadi rentan akan gangguan yang tidak diinginkan.
Ruang lingkup pengendalian ini dilakukan di divisi IT dan direview kembali agar
bisa berjalan pada
selunlh perusahaan.
16.2. Kontrol
Kontrol yang berkaitan dengan manajemen keamanan sistem informasi dapat
berupa:
a. Perencanaan manajemen keamanan yang efektif;
b. Penilaian dan validasi risiko secara periodik;
c. Pengimplementasian prosedur dan kebijakan keamanan;
d. Melakukan training kesadaran keamanan informasi dan isu keamanan lain
terkait personil;
e. Melakukan penguiandan evaluasi atas efektivitas kebijakan keamanan
informasi, prosedur dan instruksi kerja;
f. Melakukan remediasi atas kelemahan keamanan informasi;
g. Jaminan keamanan atas kegiatan yang dilakukan oleh pihak ketiga.
Kontrol yang berkaitan dengan akses
a. Mekanisme identifikasi dan Otensifikasi;
b. Pengendalian otorisasi;
c. Perlindungan atas sumber-sumber daya yang sensitif;
d. Melakukan audit dan pemantauan kapabilitas termasuk penanganan
insiden.
17.Kebijakan manajemen password
17.1. Tujuan dan Ruang Lingkup
Tujuan kebijakan manajemen password adalah mencegah masuknya pihak-pihak
yang tidak berhak ke dalam sistem. Ruang lingkup manajemen password ini
dibatasi pada pengguna, dan pihak ketiga di divisi IT dan dapat diterapkan ke
selu:uh pengguna di perusahaan.
17.2. Kontrol
Kontrol yang berkaitan dengan manajemen password adalah sebagai berikut:
a. Masing-Masing pengguna diberikan password sesuai otoritas untuk
mengakses sistem maupun aplikasi.
 b. Untuk memasuki area yang sensitif, pengguna harus masuk dengan
menggunakan smartcard/biometric/token.
c. Memastikan password memiliki kriteria yang kuat. Kriteria password yang
kuat dapat berupa:
- Minimal 6 karakter dimana 3 karakter diantaranya adalah: karakter
humf kecil, karakter hunlf besar, angka, tanda baca, karakter khusus
(misalnya @#$%^&+<>)
- minimal 15 karakter alphanumeric. Alphanumeric adalah kombinasi
abjad A-Z dan angka 0-9 (misalnya: 5664hws32sy65tg)
d. Kebijakan manajemen password ini harus dipublikasikan ke selumh
ka:yawan di pemsahaan, di dalamnya termasuk:
- Agar tidak memberikan password kepada siapapun
- Kriteria password yang kuat/aman
- Arahan agar mengganti password secara berkala
- Prosedur ketika karyawan lupa password
e. Password akses ke wireless tidak boleh ditempelkan di ruang publik.
f. Akses terhadap audit logs terbatas pada internal audit.
18. Kebijakan keamanan jaringan
18.1. Tujuan dan Ruang Lingkup
Tujuan kebijakan keamanan jaringan adalah untuk memastikan perlindungan
informasi dalam jaringan dan perlindungan infrastruktur pendukung. Ruang
lingkup manajemen aset ini dibatasi pada aset yang menjadi tanggung jawab divisi
IT.
18.2. Kontrol
19.Kebijakan Keamanan Aplikasi
19.1. Tujuan dan Ruang Lingkup
Tujuan keamanan aplikasi adalah untuk memastikan bahwa perangkat lunak dan
informasi di dalamnya terlindungi dari perangkat lunak berbahaya serta
memastikan . Ruang lingkup manajemen aset ini dibatasi pada aset yang menjadi
tanggung jawab divisi IT. Selain itu, sehubungan dengan banyaknya aplikasi di
perusahaan yang dibangun oleh pihak ketiga, maka harus ada design keamanan
yang bisa diterapkan secara menyeluruh pada aplikasi-aplikasi yang sedang
dibangun maupun yang sedang ada perubahan.
Ruang lingkup kebijakan ini ditujukan pada seluruh aplikasi yang dibangun dan
dikembangkan oleh KAMPUS STT YBSI TASIKMALAYA dalam hal ini
direpresentasikan oleh divisi IT sebagai IT Lead di peruahaan.
19.2. Kontrol
Kontrol yang berkaitan dengan perencanaan keamanan aplikasi adalah sebagai
berikut:
a. Melakukan review alas kebutuhan bisnis sekarang dan masa depan dan
tujuan keamanan;
b. Menganalisis aset sistem terkait dengan nilai dan sensivitasnya terhadap
data.
c. Menganalisis aplikasi tersebut terkait dengan risiko potensial terhadap
aset.
d. Mereview kebutuhan aplikasi terkait dengan keamanan dan kerahasiaan
data.
e. Menganalisis baik internal maupun eksternal terkait dengan ancaman
terhadap keamanan.
Kontrol pada tahap pengerjaan proyek
a. Membuat penilaian risiko secara tertulis yang dibahas antara pemilik
proyek dan develpoer IT untuk menentukan kebutuhan bisnis serta level
security yang dibutuhkan
b. Dalam menganalisis risiko. pemimpin proyek harus mempertimbangkan
hal-hal seperti: kecurangan, pencurian, pengrusakan, pelanggaran privasi,
penolakan layanan.
Kontrol pada tahap implementasi
a. Pemimpin proyek bersama dengan pihak developer melakukan review
bersama atas semua aspek keamanan untuk memverifikasi apakah semua
analisa risik0 sudah didokumentasikan.
b. Mereview kontrol-kontrol yang direkomendasikan untuk meminimalisasi
risiko.
c. Melakukan testing yang diperlukan untilk menguji keamanan aplikasi
secara keseluruhan.
 d. Membuat dokumentasi bahwa aplikasi telah melalui proses pengujian dan
dinyatakan sesuai dengan kebutuhan bisnis.
20.Kebijakan penggunaan internet/intranet
20.1. Tujuan dan Ruang Lingkup
Tujuan kebijakan penggunaan internet/intranet ini adalah menentukan parameter
akses internet/intranet yang yang diberikan izin, pembatasan, dan pemantauan.
Ruang lingkup kebijakan ini kepada seluruh pegawai yang mengakses
internet/intranet sebagai bagian dari tugas sehari-hari maupun bagi orang yang
telah diberikan otorisasi.
20.2. Kontrol
Karyawan/pegawai maupun orang-orang yang diberikan otorisasi untuk
mengakses internet/intranet, harus setuju dengan ketentuan-ketentuan internal
perusahaan terkait dengan tugasdan tanggung jawab mereka. Secara formal, setiap
orang harus mengkonfirmasi bahwa mereka menerima ketentuan tersebut
sebelum diberikan account access oleh divisi IT.
Kontrol yang berkaitan dengan kebijakan penggunaan internet/intranet adalah
sebagai berikut:
a. Karyawan dan pegawai yang diberikan akses ke internetintranet tidak
diperbolehkan melakukan hal-hal berikut:
 Aktivitas yang melanggar hukum.
 Mempromosikan bisnis ilegal.
 Mengunduh piranti lunak ilegal atau yang tidak terdaftar.
 Berpartisipasi dalam global chat room.
 Mengakses situs yang berisikan materi dewasa atau kekerasan.
 Mempublikasikan informasi rahasia.
 Melakukan promo siliklan produk atau partai politik.
 Menyebarluaskan materi produk komersial.
b. Sehubungan dengan keamanan protokol jaringan, maka pengguna yang
mengakses internet/intranet :
 Tidak memberitahukan passwordnya kepada pihak lain.
 Memutakhirkan account dan password bila dibutuhkan.
  Tidak membuka atau memfonvard email dari sumber yang tidak
dikenal.
 Meyakinkan bahwa ketika pengguna tidak sedang di depan
komputernya, orang lain tidak dapat menggunakan internet/intranet
dengan account mereka sendiri.
21. Kebijakan penggunaan Electronic Mail
21.1. Tujuan dan Ruang Lingkup
Tujuan kebijakan ini yaitu menginformasikan kepada pengguna bentuk
penggunaan surat elektronik dan dokumen disamakan perlakuannya dengan
dokumen lain yang bentuknya tertulis, menyediakan panduan kepada para
pengguna bahwa tanggung jawab untuk menjaga confidentiality terletak pada tiap
pengguna. Kebijakan ini ditujukan kepada seluruh karyawan baik yang tetap
maupun yang sementara selta selunlh vendor yang mendapat otorisasasi.
21.2. Kontrol
Masing-masing pengguna memperoleh alamat email dengan akhiran @xyz.co.id
dan hanya dapat diakses dari lingkungan kantor.
Kontrol yang berkaitan dengan penggunaan electronic mail adalah sebagai berikut:
a. Masing-masing pengguna tidak diperbolehkan menampilkan informasi
dalam surat elektronik seperti bal-hal berikut:
 Propaganda politik
 Materi seks, kekerasan, diskriminasi,
 Materi ilegal
 Pencemaran nama baik
b. Penggunaan email hanya untuk keperluan pemsahaan, dilarang untuk
kepeluan pribadi.
c. Pengguna dilarang mengeset autofonvard pada settingan surat
elektroniknya ke alamat surat elektronik ekstemal atau ke jaringan publik
lainnya.
d. Pengguna dilarang mengeset autoforward pada settingan surat
elektroniknya ke alamat surat elektronik pribadi
e. Fasilitas surat elektronik tidak diperbolehkan untuk menyebarkan content
komersial selain bisnis pensahaan.
f. Melakukan audit secara periodik untuk memastikan tidak adanya file yang
sensitif yang disimpan dalam area publik.
g. Untuk mengurangi beban kerja hindari mengirim email dengan file yang
berukuran lebih dari 2 MB.
Referensi
[1] ISO/IEC 27001
[2] SNI ISO/IEC 27001 :2009
[3] Federal Information System Controls Audit Manual. GAO. 2009
[4] State of Vermont Minimum Security Standards for Application Development
Policy, 2010
[5] Australian National Audit Office Business Continuity Management. Building
resilience in public sector entities. Better Practice Guide June 2009
3. Menurut pendapat Saudara, kapan kita melakukan proses Audit,
Inspeksi dan Komputer Forensik ! Sertakan juga pendapat-pendapat
dari para ahli dan atau referensi yang mendukung pendapat saudara.

Jika bertanya mengenai kapan kita harus melakukan proses Audit, Audit dapat
dilakukan kapan saja dalam selama setahun, namun ada baiknya dilakukan pada saat awal
tahun. Dengan melakukannya pada awal tahun, perusahaan dapat mengetahui hasil kinerja
perusahaan. Waktu yang tepat untuk melakukan audit adalah pada bulan Januari sampai
Maret. Ini juga akan mempermudah perusahaan dalam menyiapkan data-data yang
dibutuhkan untuk audit. Audit internal sebaiknya dilakukan paling tidak 6 bulan sekali
untuk melakukan evaluasi perusahaan. Semakin sering dilakukannya audit internal,
perusahaan akan terbiasa ketika ada audit eksternal. Namun, kembali lagi tidak ada
standar tertentu kapan audit harus dilakukan. Perkembangan teknologi telah
mengakibatkan perubahan pengolahan data yang dilakukan perusahaan dari sistem manual
menjadi secara mekanis, elektromekanis, dan selanjutnya ke sistem elektronik atau
komputerisasi. Peralihan ke sistem yang terkomputerisasi memungkinkan data yang
kompleks dapat diproses dengan cepat dan teliti, guna menghasilkan suatu informasi.
Dalam mendukung aktivitas sebuah organisasi, informasi menjadi bagian yang sangat
penting baik untuk perkembangan organisasi maupun membaca persaingan pasar. Dalam
hal proses data menjadi suatu informasi merupakan sebuah kegiatan dalam organisasi
yang bersifat repetitif sehingga harus dilaksanakan secara sistematis dan otomatis.

Dengan demikian, sangat diperlukan adanya pengelolaan yang baik dalam sistem yang
mendukung proses pengolahan data tersebut. Dalam sebuah organisasi tata kelola sistem
dilakukan dengan melakukan audit. Menurut Juliandarini (2013) Audit sistem informasi
(Information Systems (IS) audit atau Information technology (IT) audit) adalah bentuk
pengawasan dan pengendalian dari infrastruktur sistem informasi secara
menyeluruh.Menurut Romney (2004) audit sistem informasi merupakan tinjauan
pengendalian umum dan aplikasi untuk menilai pemenuhan kebijakan dan prosedur
pengendalian internal serta keefektivitasannya untuk menjaga asset.

Sehingga menurut uraian teori diatas, maka penulis dapat simpulkan bahwa audit sistem
informasi adalah suatu proses pengumpulan dan pengevaluasian bahan bukti audit untuk
menentukan apakah sistem komputer perusahaan telah menggunakan asset sistem
informasi secara tepat dan mampu mendukung pengamanan asset tersebut memelihara
kebenaran dan integritas data dalam mencapai tujuan perusahaan yang efektif dan efisien.
Menurut Weber (1999) terdapat beberapa alasan mendasar mengapa organisasi perlu
melakukan audit sebagai evaluasi dan pengendalian terhadap sistem yang digunakan oleh
organisasi :

1. Pencegahan terhadap biaya organisasi untuk data yang hilang

Kehilangan data dapat terjadi karena ketidakmampuan pengendalian terhadap pemakaian

komputer. Kelalaian dengan tidak menyediakan backup yang memadai terhadap file data,
sehingga kehilangan file dapat terjadi karena program komputer yang rusak, adanya
sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat diperbaiki
sehingga akhirnya membuat kelanjutan operasional organisasi menjadi terganggu.

2. Pengambilan keputusan yang tidak sesuai

Membuat keputusan yang berkualitas tergantung pada kualitas data yang akurat dan
kualitas dari proses pengambilan keputusan itu sendiri. Pentingnya data yang akurat
bergantung kepada jenis keputusan yang akan dibuat oleh orang – orang yang
berkepentingan di suatu organisasi.

3. Penyalahgunaan komputer

Penyalahgunaan komputer memberikan pengaruh kuat terhadap pengembangan EDP

audit maka untuk dapat memahami EDP audit diperlukan pemahaman yang baik
terhadap beberapa kasus penyalahgunaan komputer yang pernah terjadi.

4. Nilai dari perangkat keras komputer, perangkat lunak dan personel

Disamping data, hardware dan software serta personel komputer juga merupakan

sumber daya yang kritikal bagi suatu organisasi, walaupun
investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi
kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat
mengakibatkan gangguan. Jika software rusak akan mengganggu jalannya operasional
dan bila software dicuri maka informasi yang rahasia dapat dijual kepada kompetitor.
Personel adalah sumber daya yang paling berharga, mereka harus dididik dengan baik
agar menjadi tenaga handal dibidang komputer yang profesional.

5. Biaya yang tinggi untuk kerusakan komputer

Saat ini pemakaian komputer sudah sangat meluas dan dilakukan juga terhadap fungsi
kritis pada kehidupan kita. Kesalahan yang terjadi pada komputer memberikan
implikasi yang luar biasa, sebagai contoh data error mengakibatkan jatuhnya pesawat
di Antartika yang menyebabkan 257 orang meninggal atau seseorang divonis masuk
 penjara karena kesalahan data di komputer.

6. Kerahasiaan

Banyak data tentang diri pribadi yang saat ini dapat diperoleh dengan cepat, dengan
adanya komputerisasi kependudukan maka data mengenai seseorang dapat segera
diketahui termasuk hal – hal pribadi.

7. Pengontrolan penggunaan komputer

Teknologi adalah hal yang alami, tidak ada teknologi yang baik atau buruk. Pengguna
teknologi tersebut yang dapat menentukan apakah teknologi itu akan menjadi baik atau
malah menimbulkan gangguan. Banyak keputusan yang harus diambil untuk
mengetahui apakah komputer digunakan untuk suatu hal yang baik atau buruk.

Menurut Weber (1999) terdapat empat tujuan utama mengapa perlu dilakukannya audit
sistem informasi yaitu :

1) Mengamankan asset

Asset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup:

perangkat keras, perangkat lunak, fasilitas, manusia, file data, dokumentasi sistem,
dan peralatan pendukung lainnya. Sama halnya dngan aktiva – aktiva lainnya, maka
aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat
keras bisa rusak karena unsur kejahatan ataupun sebab-sebab lain. Perangkat lunak
dan isi file data dapat dicuri. Peralatan pendukung dapat dihancurkan atau
digunakan untuk tujuan yang tidak diotorisasi. Karena konsentrasi aktiva tersebut
berada pada lokasi pusat sistem informasi, maka pengamanannya pun menjadi
perhatian dan tujuan yang sangat penting.

2) Menjaga integritas data

Integritas data merupakan konsep dasar audit sistem informasi. Integritas data
berarti data memiliki atribut: kelengkapan (completeness), sehat dan jujur
(soundness), kemurnian (purity), ketelitian (veracity). Tanpa menjaga integritas
data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar akibatnya,
keputusan maupun langkah-langkah penting di organisasi salah sasaran karena
tidak didukung dengan data yang benar.

3) Menjaga efektivitas sistem

Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai
tujuannya. Untuk menilai efektivitas sistem, auditor sistem informasi harus tahu
 mengenai kebutuhan pengguna sistem atau pihak-pihak pembuat keputusan yang
terkait dengan layanan sistem tersebut. Selanjutnya, untuk menilai apakah sistem
menghasilkan laporan / informasi yang bermanfaat bagi penggunanya, auditor perlu
mengetahui karakteristik user berikut proses pengambilan keputusannya.

4) Mencapai efisiensi sumber daya

Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia

menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang
dibutuhkan. Efisiensi sistem pengolahan data menjadi penting apabila tidak ada lagi
kapasitas sistem yang menganggur.

Dari alasan dan tujuan tersebut sangat jelas bahwa penting bagi sebuah organisasi untuk
melakukan audit sistem informasi guna melihat kembali apakah sistem yang
berjalansudah tepat dan terpenting sistem mampu untuk mendukung tercapainya tujuan
organisasi.

Kapan kita harus melakukan inspeksi?

Pengertian inspeksi menurut T. Hani Handoko adalah Kegiatan implementasi kualitas
utama yang berjalan dengan basis hari kehari. Waktu pelaksanaan inspeksi dilaksanakan
berdasarkan jenis atau tipe inspeksi itu sendiri, diantaranya :

a. Inspeksi tidak terencana

Waktu pelaksanaan inspeksi ini tidak menentu, sehingga umumnya bersifat dangkal
dan tidak sistematis. Inspeksi tidak terencana mencakup beberapa hal berikut ini:

- Umumnya hanya memeriksa kondisi tidak aman (kondisi tidak aman yang
memerlukan perhatian besar yang sering terlewati)

- Fokus lebih besar pada kepentingan produksi

- Tidak tercatat atau tidak didokumentasikan

- Tindakan perbaikan dan pencegahan tidak sampai mendetail.

b. Inspeksi terencana, terbagi dua yaitu :

1) Inspeksi rutin atau umum

Inspeksi rutin biasanya dilakukan minimal satu bulan sekali, tetapi ada juga yang
melakukannya setiap enam bulan sekali hingga setahun sekali, tergantung
kebijakan perusahaan. Inspeksi harus dilakukan sesuai jadwal yang telah
 ditentukan manajemen K3.

Inspeksi rutin biasanya dilakukan untuk memeriksa sumber-sumber bahaya di

tempat kerja atau kegiatan identifikasi terhadap bahaya, tugas-tugas, proses
operasional, peralatan, mesin-mesin yang memiliki risiko tinggi dan alat pelindung
diri.

2) Inspeksi khusus

Inspeksi khusus biasanya dilakukan untuk mengidentifikasi dan mengevaluasi

potensi bahaya terhadap objek-objek kerja tertentu yang memiliki risiko tinggi
atau setiap kali ada proses atau mesin baru yang diperkenalkan di tempat kerja,
yang hasilnya digunakan sebagai dasar untuk pencegahan dan pengendalian risiko
di tempat kerja.

Perbedaan antara inspeksi umum dan khusus adalah inspeksi umum direncanakan
dengan cara walk-through survey ke seluruh area kerja dan bersifat komprehensif,
sedangkan inspeksi khusus direncanakan untuk fokus kepada kondisi-kondisi
tertentu, seperti mesin, peralatan, atau area kerja yang memiliki risiko tinggi.

Menurut pendapat dari T. Hani Handoko ( 1992 : 427 ) mengatakan bahwa : "Tujuan
utama inspeksi seharusnya pencegahan ( prevention ) bukan perbaikan. Tujuannya adalah
menghentikan pembuatan-pembuatan komponen-komponen rusak atau menghentikan jasa
yang tidak berguna"

Kapan Komputer forensik dilakukan?

Sebelum kita menyebutkan kapan komputer forensik/digital forensik dilakukan, kita harus
mengetahui dulu apa itu komputer forensik. Beberapa pengertian mengenai komputer
forensik menurut para ahli :

a) Judd Robin

Komputer forensik merupakan penerapan sederhana dari penyidikan komputer dan

teknik analisisnya dalam menentukan berbagai bukti hukum yang memungkinkan.

b) Noblett

Menurutnya komputer forensik sangat berperan dalam mengambil, menjaga,

mengambil dan menyajikan data yang sudah diproses secara elektronik dan disimpan
 didalam media komputer.

c) Ruby Alamsyah

Mengatakan bahwa komputer forensik atau digital forensik ialah suatu ilmu yang
menganalisis barang bukti secara digital hingga dapat dipertanggungjawabkan di
pengadilan. Yang termasuk barang bukti digital tersebut antara lain: laptop,
handphone, notebook, dan alat teknologi lain yang memiliki tempat penyimpanan dan
dapat dianalisa.
Landasan dari Digital Forensic itu sendiri ialah praktik pengumpulan, analisis, dan
pelaporan data digital. Investigasi Digital Forensic memiliki penerapan yang sangat
beragam. Penggunaan paling umum adalah untuk mendukung atau menyanggah asumsi
criminal dalam pengadilan pidana dan perdata.
Semakin majunya teknologi digital, semakin banyak cara yang digunakan pelaku
kecurangan untuk menghilangkan barang bukti digital yang menurut mereka bisa menutupi
jejak perbuatan. Padahal barang bukti merupakan kunci pengungkapan kebenaran sebuah
kasus di pengadilan. Di sinilah investigasi sebuah kasus membutuhkan investigator digital
forensic untuk membawa bukti-bukti digital yang legal di depan pengadilan. Lalu, apa saja
yang bisa dilakukan oleh investigator digital forensic? Diantaranya :

1. Melacak dokumen yang dihapus

2. Mengungkapkan Riwayat Pencarian Internet dan Email

3. Bersinergi untuk mengungkap hal-hal yang berkaitan dengan komputer

Adapun tujuan komputer forensik yaitu mengamankan dan menganalisis bukti digital, serta
memperoleh berbagai fakta yang objektif dari sebuah kejadian atau pelanggaran keamanan
dari sistem informasi. Berbagai fakta tersebut akan menjadi bukti yang akan digunakan
dalam proses hukum. Contohnya, melalui Internet Forensik, kita dapat megetahui siapa saja
orang yang mengirim email kepada kita, kapan dan dimana keberadaan pengirim. Dalam
contoh lain kita bisa melihat siapa pengunjung website secara lengkap dengan informasi IP
Address, komputer yang dipakainya dan keberadaannya serta kegiatan apa yang dilakukan
pada website kita tersebut.
Terdapat empat fase dalam komputer forensik, antara lain yaitu :

1. Pengumpulan Data, Pengumpulan data yang tujuannya mengidentifikasi berbagai

sumber daya yang dianggap urgent dan bagaimana seluruh data dapat terhimpun
dengan baik.

2. Pengujian, Pengujian mencakup suatu proses penilaian dan memilah berbagai

 informasi yang sesuai dari semua data yang telah dikumpulkan, juga bypassing proses
atau meminimalisasi berbagai fitur dalam sistem operasi dan aplikasi yang bisa
menghilangkan data, seperti enkripsi, kompresi, akses mekanisme kontrol, mengalokasi
file, pemeriksanan pemetaanmeta data, mengekstrak file,dan lain – lain.

3. Analisis, Yang dapat dilakukan dengan berbagai pendekatan metode. Tugas dari
analisis ini mencakup banyak kegiatan, seperti mengidentifikasi user (pengguna) yang
terlibat secara tak langsung, lokasi, kejadiaan, perangkat, dan mempertimbangkan
bagaimana caranya agar semua komponen itu saling terhubung sampai mendapatkan
kesimpulan akhir.

4. Dokumentasi dan Laporan, Beberapa faktor yang dapat mempengaruhi hasil

dokumentasi dan laporan, antara lain sebagai berikut :

a) Penjelasan Alternatif (Alternative Explanations) – Seorang analis pada dasarnya

harus mampu menggunakan pendekatan yang berupa metode untuk menyetujui
ataupun menolak setiap penjelasan dari sebuah kasus atau perkara yang diajukan.

b) Pertimbangan Penilik (Audience Consideration) – Yaitu menyediakan data ataupun

informasi kepada audience yang sangat berguna dan diperlukan. Dalam sebuah
kasus yang melibatkan sejumlah aturan sangat dibutuhkan laporan yang spesifik
berkaitan dengan informasi data yang dikumpulkan. Selain itu juga sangat
dibutuhkan kopian dari setiap fakta yang diperoleh. Karena ini dapat menjadikan
pertimbangan yang sangat beralasan.

c) Actionable Information – Merupakan sebuah proses dokumentasi dan laporan yang

mencakup tentang identifikasi actionable information yang diperoleh dari
sekumpulan jumlah data terdahulu. Dengan bantuan sejumlah data tersebut, maka
kita dapat memperoleh dan mengambil informasi terbaru.
Fungsi komputer forensik :

a) Untuk membantu memulihkan (merecovery), menganalisa, dan mempresentasikan

materi/entitas berbasis digital atau elektronik sedemikian rupa sehingga dapat
dipergunakan sebagai alat buti yang sah di pengadilan; dan

b) Untuk mendukung proses identifikasi alat bukti dalam waktu yang relatif cepat, agar
dapat diperhitungkan perkiraan potensi dampak yang ditimbulkan akibat perilaku jahat
yang dilakukan oleh kriminal terhadap korbannya, sekaligus mengungkapkan alasan
dan motivitasi tindakan tersebut sambil mencari pihak-pihak terkait yang terlibat
secara langsung maupun tidak langsung dengan perbuatan tidak menyenangkan
 dimaksud.

c) Adapun aktivitas forensik komputer biasanya dilakukan dalam dua konteks utama.
Pertama adalah konteks terkait dengan pengumpulan dan penyimpanan data berisi
seluruh rekaman detail mengenai aktivitas rutin yang dilaksanakan oleh organisasi
atau perusahaan tertentu yang melibatkan teknologi informasi dan komunikasi. Dan
kedua adalah pengumpulan data yang ditujukan khusus dalam konteks adanya suatu
tindakan kejahatan berbasis teknologi.

Referensi :

1. Handoko, T. Hani. 2009. Manajemen. Yogyakarta: BPFE-Yogyakarta.

2. Juliandarini. Handayaningsih, Sri. Audit Sistem Informasi pada Digilib Universitas
XYZ Menggunakan Kerangka Kerja COBIT 4.0. Jurnal Sarjana Teknik Informatika.
Volume 1 Nomor 1, Juni 2013. Pp. 276-286. e-ISSN: 2338-5197

3. Romney, Marshall B., Steinbart, Paul John. (2004). Accounting Information Systems.
9th edition.

4. Weber, Ron. (1999). Information Systems Control and Audit. Prentice-Hall, Inc.,
New Jersey.

5. http://www.seputarpengetahuan.com/2014/11/komputer-forensik-pengertian-dan-
tujuan.html

6. https://www.academia.edu/7069638/IT_Forensic

7. Indrajit, R. E. (2011). Forensik Komputer. Artikel, 1(C), 1–11.