AUDIT KEAMANAN TI SISTEM INFORMSI

PEMBANGUNAN DAERAH (SIPD) PADA BAPPEDA

KABUPAEN NAGEKEO MENGGUNAKAN FRAMEWORK
ISO/IEC 27002 DAN COBIT 5

Mario Valentino Ngeo Goa, Pembimbing 1, Pembimbing 2

Jurusan Teknologi Informasi, Fakultas Teknik, Universitas Udayana, Bali
Jalan Raya Kampus Unud, Bukit Jimbaran, Badung, Bali, Indonesia
alangoa02424@gmail.com

Abstrak
SIPD adalah suatu sistem yang mendokumentasikan,
mengadministrasikan, serta mengolah data pembangunan daerah menjadi
informasi yang disajikan kepada masyarakat dan sebagai bahan pengambilan
keputusan dalam rangka perencanaan, pelaksanaan, evaluasi kinerja pemerintah
daerah. Hal tersebut didasari pula karena data-data pembangunan daerah tidak
lengkap dan tersebar di masing-masing SKPD serta tidak diperbaharui secara
berkala, kemudian Instansi yang berfungsi sebagai unit perencanaan pemerintah
dalam hal ini BAPPEDA mengalami kendala dalam mengumpulkan data untuk
kepentingan penyusunan perencanaan pembangunan daerah karena lemahnya
koordinasi antara BAPPEDA dan SKPD di daerah. Kontrol keamanan aset
informasi yang lemah adalah masalah yang harus dicegah dan diatasi untuk
menghindari pihak yang tidak bertanggungjawab dapat mencuri dan menggangu
jalannya aktivitas yang berkaitan dengan pengelolaan data dan informasi. Standar
yang digunakan dalam proses audit adalah ISO/IEC 27002 sebagai kontrol
keamanan dan COBIT 5 untuk mengidentifikasi proses bisnis serta tingkat
kematangan.

Kata Kunci : SIPD, Kontrol Kemanan Aset Informasi, ISO/IEC 27002, COBIT 5
 Abstract
SIPD is a system that documents, administers, and processes regional
development data into information that is presented to the public and as decision-
making material in the context of planning, implementing, evaluating the
performance of local governments. This is also based on the fact that regional
development data are incomplete and scattered in each SKPD and are not
updated regularly, then the agency that functions as a government planning unit,
in this case BAPPEDA, has problems in collecting data for the purposes of
preparing regional development planning because of its weakness. coordination
between BAPPEDA and SKPD in the regions. Weak information asset security
controls are a problem that must be prevented and overcome to prevent
irresponsible parties from stealing and disrupting activities related to data and
information management. The standards used in the audit process are ISO/IEC
27002 as a security control and COBIT 5 to identify business processes and
maturity levels.

Key words : SIPD, Information Asset Security Control, ISO/IEC 27002, COBIT 5
1. Pendahuluan
Kemajuan Teknologi Informasi atau Sistem Informasi di era globalisasi
seperti sekarang ini mengalami perkembangan yanga sangat pesat. Yang mana
perkembangan industri 4.0 membawa pemikiran baru terkait otomasi dibidang
organisasi, salah satu luaran yang sering digaungkan adalah sistem informasi.
Sistem informasi yang terkendali, efisien dan kompetitif dalam suatu perusahaan
atau organisasi dapat diciptakan dengan adanya dukungan teknologi informasi.
Sistem informasi memberikan solusi untuk memudahkan pekerjaan suatu
organisasi di segala bidang (Erista M. S, 2020). Sistem informasi merupakan
penggabungan dari kegiatan input data, proses dan output berupa informasi.
Informasi pada sistem informasi merupakan salah satu aset yang sangat berharga
bagi sebuah organisasi karena merupakan salah satu sumber daya strategis dalam
meningkatkan nilai usaha (Desy Nur Pratiwi, 2020).

Teknologi informasi menjadi kebutuhan bagi organisasi sebagai alat

komunikasi, pengolahan data dan informasi serta sebagai upaya meningkatkan
efektivitas kinerja organisasi (Nadiza Lediwara, 2020). Dengan adanya sistem tata
pemerintah yang baik atau good governance, pemerintahan perlu untuk
mengembangkan teknologi informasi agar pemerintah dapat dengan mudah untuk
mengakses, mengelola dan mendayagunakan informasi secara tepat, cepat dan
akurat. Maka pemerintah berkewajiban untuk mengembangkan dan
memanfaatkan kemajuan teknologi informasi untuk meningkatkan kemampuan
mengelola keuangan, dan menyalurkan informasi keuangan kepada pelayanan
publik baik itu untuk pemerintahan pusat maupun pemerintahan daerah (Dewi,
2020). Kontrol keamanan aset informasi yang lemah adalah masalah yang harus
dicegah dan diatasi untuk menghindari pihak yang tidak bertanggungjawab dapat
mencuri dan menggangu jalannya aktivitas yang berkaitan dengan pengelolaan
data dan informasi (Riadi, 2020). Salah satu instansi yang membutuhkan
keamanan terhadap perlindungan aset informasi adalah sistem informasi
pembangunan daerah (SIPD) Kabupaten Nagekeo Provinsi Nusa Tenggara Timur.

SIPD adalah suatu sistem yang mendokumentasikan,

mengadministrasikan, serta mengolah data pembangunan daerah menjadi
informasi yang disajikan kepada masyarakat dan sebagai bahan pengambilan
keputusan dalam rangka perencanaan, pelaksanaan, evaluasi kinerja pemerintah
daerah. Sementara itu, tujuannya untuk mengoptimalkan pemanfaatan data dan
informasi pembangunan daerah. Apabila disimpulkan, data dan informasi
memiliki peran yang penting dalam upaya mencapai keberhasilan pembangunan
di Indonesia. Oleh karena itu, pemerintah terus mendorongnya dengan
menerbitkan beberapa payung hukum untuk mendukung pengadaan data dan
informasi yang valid dan bisa dipertanggungjawabkan (Prameswara).

Pembangunan Sistem Informasi tersebut dilatarbelakangi lemahnya

pemanfaatan data-data pembangunan. Hal itu didasari pula karena data-data
pembangunan daerah tidak lengkap dan tersebar di masing-masing SKPD serta
tidak diperbaharui secara berkala, kemudian Instansi yang berfungsi sebagai unit
perencanaan pemerintah dalam hal ini BAPPEDA mengalami kendala dalam
mengumpulkan data untuk kepentingan penyusunan perencanaan pembangunan
daerah karena lemahnya koordinasi antara BAPPEDA dan SKPD di daerah.

Oleh Karena itu Audit keamaman TI dilakukan untuk memastikan bahwa

keamanan informasi dan pengelolaan data yang diterapkan pada Sistem Informasi
Pembangunan Daerah (SIPD) Kabupaten Nagekeo telah sesuai dengan prosedur
serta mengetahui tingkat kematangan teknologi informasi yang diterapkan.
Standar yang digunakan dalam proses audit adalah ISO/IEC 27002 sebagai
kontrol keamanan dan COBIT 5 untuk mengidentifikasi proses bisnis serta tingkat
kematangan(Ananda, 2020). Melalui kombinasi standar tersebut maka tujuan
bisnis organisasi dapat didefinisikan dan di identifikasi lebih rinci berdasarkan
kontrol yang telah disediakan COBIT 5 serta dengan ISO 27002 penilaian tingkat
keamanan TI yang diterapkan di lingkungan organisasi dapat dilakukan dengan
tepat sasaran karena standar ISO 27002 sangat fleksibel untuk dikembangkan
tergantung kepada kebutuhan, tujuan bisnis, proses bisnis organisasi serta di
khususkan untuk audit di bidang keamanan teknologi informasi (Heri Wahyudi,
2020). Audit ini dilakukan untuk mengetahui maturity level keamanan sistem TI
yang diterapkan pada Sistem Informasi Pembangunan Daerah (SIPD) Kabupaten
Nagekeo Provinsi Nusa Tenggara Timur.
2. Metodelogi Penelitian
2.1 Metodelogi Penelitian
Dalam melakukan audit keamanan Sistem Informasi Pembangunan Daerah
(SIPD) Kabupaten Nagekeo, menggunakan standar SNI ISO/IEC 27002 dan Cobit
5. Berikut ini adalah gambar bagan alur metodelogi penelitian dalam menyusun
audit.

Gambar 1 merupakan rancangan bagan dari alur proses penelitian yang

akan dilakukan. Penelitian yang dilakuan yaitu audit keamanan Sistem Informasi
Pemangunan Daerah (SIPD) yang ada di Kabupaten Nagekeo. Metode
pengumpulan data yang dilakukan pada penelitian ini akan dilakukan dengan
melakukan observasi, wawancara dan penyebaran kuisioner. Studi literature yang
dilakukan pada penelitian ini berfokus pada identifikasi bisnis, indentifikasi IT
proses. Tahapan audit tersebut akan menghasilkan analisis tingkat kepentingan
dan juga menentukan matury level pada layanan manajemen sistem informasi
pembangunan daerah yang ada di Kabupaten Nagekeo.

2.2 Audit Sistem Informasi

Audit ialah proses atau aktivitas yang sistematik, independen dan
terdokumentasi untuk menemukan suatu bukti (audit evidence) dan dievaluasi
secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan
(audit) yang ditetapkan. Tujuan dari audit adalah untuk memberikan gambaran
kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai
pemenuhan terhadap sekumpulan standar yang terdefinisi (ISACA, 2006). Tujuan
utama dari audit sistem informasi adalah memberikan panduan pengelolaan,
menyediakan manajemen, dan khususnya bagi petugas keamanan teknologi
informasi sebagai pihak yang mendukung implementasi dan optimasi keamanan
informasi.

2.3 ISO/IEC 27002:2005

ISO 27000 merupakan serangkaian standar yang disediakan oleh
International Standards Organization (ISO) dan International Electrotechnical
Commission (IEC) dalam penanganan keamanan informasi. Standard ISO 27000
Series secara spesifik telah ditetapkan oleh ISO untuk urusan yang terkait dengan
information security. ISO 27000 Series memberikan rekomendasi tentang
information security management, risks dan controls di dalam konteks
Information Security Management System (ISMS) secara keseluruhan
(27002:2005, 2007). ISO 27002 merupakan Code of practice for ISMS. Terkait
dengan dokumen ISO 27001, yang mana berisi panduan praktis (code of practice)
teknik keamanan informasi. ISMS bukanlah produk melainkan suatu proses yang
dilakukan untuk penentuan bagaimana (how-to) mengelola (merencanakan,
mengimplementasikan, menggunakan, memonitor, memperbaiki dan
mengembangkan) informasi agar menjadi aman. Struktur organisasi ISO/IEC
27002:2005 dibagi 2 bagian yaitu: 1. Klausul: Mandatory Process Klausul (pasal)
adalah persyaratan yang harus dipenuhi jika organisasi menerapkan ISMS dengan
menggunakan standar ISO/IEC 27001. 2. Annex A: Security Control Security
control adalah dokumen referensi yang disediakan dan dapat dijadikan rujukan
untuk menentukan kontrol apa saja yang perlu diimplementasikan dalam ISMS.
Terdiri dari 11 klausul kontrol keamanan, 39 objektif kontrol dan 133 kontrol.

2.4 COBIT 5
COBIT 5 merupakan sebuah kerangka menyeluruh yang dapat membantu
perusahaan dalam mencapai tujuannya untuk tata kelola dan manajemen TI
perusahaan. Secara sederhana, COBIT 5 membantu perusahaan menciptakan nilai
optimal dari TI dengan cara menjaga keseimbangan antara mendapatkan
keuntungan dan mengoptimalkan tingkat risiko dan penggunaan sumber daya.
COBIT 5 memungkinkan TI untuk dikelola dan diatur dalam cara yang lebih
menyeluruh untuk seluruh lingkup perusahaan, meliputi seluruh lingkup bisnis
dan lingkup area fungsional TI, dengan mempertimbangkan kepentingan para
stakeholder internal dan eksternal yang berhubungan dengan TI. COBIT 5 bersifat
umum dan berguna untuk segala jenis ukuran perusahaan, baik itu sektor
komersial, sektor non profit atau pada sektor pemerintahan / publik. COBIT 5
didasarkan pada lima prinsip kunci untuk tata kelola dan manajemen TI
perusahaan. Kelima prinsip ini memungkinkan perusahaan untuk membangun
sebuah kerangka tata kelola dan manajemen yang efektif, yang dapat
mengoptimalkan investasi dan penggunaan TI untuk mendapatkan keuntungan
bagi para stakeholder .

2.5 SSE-CMM
SSE-CMM adalah Capability Maturity Model (CMM) untuk System
Security Engineering (SSE). CMM adalah kerangka untuk mengembangkan
proses, seperti proses teknis baik formal maupun informal. SSE-CMM terdiri dari
dua bagian, yaitu: 1. Model untuk teknik keamanan proses, proyek dan organisasi,
dan 2. Metode penilaian untuk mengetahui kematangan proses. SSE-CMM
mempunyai lima tingkat kemampuan untuk menunjukkan tingkat kematangan
proses. Tingkat 0 menandakan tidak semua praktek dasar dilakukan. Tingkat 1
menandakan semua praktek dasar dilakukan namun secara informal, yang artinya
tidak ada dokumentasi, tidak ada standar dan dilakukan secara terpisah. Tingkat 2
planned & tracked yang menandakan komitmen merencanakan proses standar.
Tingkat 3 well defined yang berarti proses standar telah berjalan sesuai dengan
definisi. Tingkat 4 dikendalikan secara kuantitatif, yang berarti peningkatan
kualitas melalui monitoring setiap proses. Tingkat 5 ditingkatkan terusmenerus
yang menandakan standar telah sempurna dan fokus untuk beradaptasi terhadap
perubahan. Metode SSE-CMM digunakan dengan memberikan skor penilaian
pada setiap area proses yang dipilih antara 0 sampai 5 untuk setiap area proses.

3. Hasil dan Pembahasan

Progres TA masih belum mencapai tahap ini

4. Kesimpulan
Prograes TA masih belum mencapai tahap ini
 DAFTAR PUSTAKA

Ananda, D. T. (2020). AUDIT KEAMANAN SISTEM INFORMASI

MANAJEMEN BAZNAS MENGGUNAKAN FRAMEWORK COBIT 5
(Studi Kasus : Badan Amil Zakat Nasional Provinsi Sumatera Selatan).
Jurnal Ilmiah Merpati, 50- 62.

Desy Nur Pratiwi, Y. A. (2020). Analisis Penggunaan Siskeudes dalam

Pengolahan Dana Desa. Jurnal Akutansi dan Pajak, 50-64.

Dewi, N. C. (2020). Analisis Sistem Informasi Manajemen Daerah (SIMDA)

Keuangan pada Kota Pariman. Jurnal Lembaga Keuangan dan Perbankan,
52- 64.

Erista M. S, P. S. (2020). Analisis Penilaian Resiko pada Keamanan Informasi :

Studi Literatur. Jurnal Informatika dan Sistem Informasi, 46-58.

Febryandhie Ananda, M. P. (2020). Pengaruh Implementasi Sistem Informasi

Manajemen Daerah (SIMDA) KeuanganTerhadap Kualitas Laporan
Keuangan (Studi pada Lingkungan Dinas Kesehatan Kabupaten Padang
Pariaman). Jurnal Pundi, 46-58.

Heri Wahyudi, A. Z. (2020). Audit Keamanan Sistem Informasi Manajemen

Akademik dan Kemahasiswaan Menggunakan SNI ISO/IEC 27000 : 2013
(Studi Kasus : STIMIK Mardira Indonesia). Journal Computech dan
Bisnis, 14, 40-46.

Nadiza Lediwara, T. A. (2020). ANALISIS IT GOVERNANCE

MENGGUNAKAN FRAMEWORK COBIT 5 DOMAIN DSS, MEA
DAN BAI. Lontar Komputer : Jurnal Pseudecode, 45-60.

Prameswara, A. (n.d.). SIPD Bagian Integral Dokumen Perencanaan

Pempangunan
Daerah.https://bangda.kemendagri.go.id/berita/baca_kontent/52/sipd_bagia
n_integral_dokumen_perencanaan_pembangunan_daerah.
Riadi, I. (2020). Security Analysis of Grr Rapid Response Network using COBIT
5 Framework. LONTAR KOMPUTER , 50-62.