INFOKAM Nomor II Th.

XIII/SEPTEMBER/2017 21

EVALUASI KEAMANAN INFORMASI MENGGUNAKAN ISO/IEC

27002: STUDI KASUS PADA STIMIK TUNAS BANGSA
BANJARNEGARA
Ferry Febrianto, Dana Indra Sensuse
Magister Teknik Informatika Universitas AMIKOM Yogyakarta
Fakultas Ilmu Komputer Universitas Indonesia
ferry@stb.ac.id, dana@cs.ui.ac.id

ABSTRAK
STIMIK Tunas Bangsa memiliki informasi yang penting dan komplek dalam pengelolaan pendidikan.
Informasi yang dimiliki oleh STIMIK Tunas Bangsa berada pada beberapa bagian yang saling terkait.
Dengan perkembangan informasi yang semakin kompleks, perlu adanya audit keamanan dalam
pengelolaan informasi tersebut. Audit dilakukan untuk mengetahui tingkat kematangan keamanan
pengelolaan informasi. Penelitian dilakukan dengan memetakan keamanan informasi menggunakan
framework ISO/IEC 27002. Kemudian dilakukan audit untuk mengetahui posisi keamanan informasi
pada STIMIK Tunas Bangsa. Hasil penelitian menunjukan tingkat kematangan keamanan informasi
menggunakan framework ISO/IEC 27002 sebesar 2,6 yang menunjukan bahwa STIMIK Tunas
Bangsa telah melakukan pengelolaan keamanan informasi tetapi belum terdefinisi dan
terdokumentasi dengan baik, sehingga perlu ditingkatkan.

Kata kunci : ISO/IEC 27002, Maturity Level, STIMIK Tunas Bangsa, Keamanan Informasi.

1. Pendahuluan
Pengelolaan informasi pada sebuah organisasi memiliki peran yang penting. Semua proses akan
menggunakan informasi sebagai acuan dalam mengambil keputusan. STIMIK Tunas Bangsa merupakan
salah satu perguruan tinggi yang memiliki informasi dengan jumlah yang besar dan komplek. Dalam
mengelola informasi telah digunakan sistem informasi akademik. Pemanfaatan sistem informasi akan
memberikan manfaat yang besar dalam mengelola data yang komplek. Penggunaan sistem informasi
merupakan sarana penting untuk mengurangi kompleksitas yang harus ditangani (Wibowo, 2016). Hal
yang penting dalam penggunaan sistem informasi adalah keamanan informasi yang dimiliki. Data yang
ada harus terjaga keamanannya dari pihak-pihak yang tidak bertanggung jawab ataupun dari kejadian
tidak terduga seperti bencana, pencurian ataupun tindakan merugikan lainnya. Keamanan mutlak
diperlukan untuk menjaga agar data yang tersimpan tidak disalahgunakan.
STIMIK Tunas Bangsa telah memanfaatkan sistem informasi dalam mengelola data perguruan
tinggi. Teknologi yang digunakan memiliki peranan yang penting dalam mengolah data yang dimiliki.
Penerapan teknologi informasi dalam pengolahan data akan memberikan dampak terhadap proses
organisasi (Utomo, 2006).
STIMIK Tunas Bangsa telah menggunakan Sistem Informasi Akademik (SIAKAD) dalam mengelola
data yang dimiliki. Data yang tersimpan dalam SIAKAD antara lain data mahasiswa, dosen, perkuliahan
hingga data nilai. Data tersebut sangat penting sehingga perlu dijaga keamanan serta kerahasiaannya.
Setiap data yang disimpan akan dimanfaatkan dalam mengelola proses pendidikan di STIMIK Tunas
Bangsa. SIAKAD tersebut berada pada server yang dapat diakses melalui semua komputer yang ada
dalam jaringan kampus. Akses kedalam sistem dapat dilakukan oleh Kepala Pengelola PDDIKTI, staff
dan dosen. Untuk setiap orang memiliki hak akses yang berbeda sesuai dengan kewenangan masing-
masing. Akses tertinggi ada pada Kepala Pengelola dan staf yang ditunjuk. Dalam prakteknya, terdapat
beberapa dosen dan staf lain memiliki hak akses yang sama dengan Kepala pengelola. Hal ini akan
menjadi masalah apabila hak akses ini tidak dievaluasi untuk keamanan informasi yang disimpan.
Selain itu, pengelola juga menyimpan data pada file cetak (kertas) yang disimpan dalam lemari
penyimpanan yang dapat diakses oleh dosen dan staf. Data juga disimpan dalam bentuk softcopy pada
komputer yang dapat diakses melalui jaringan oleh semua dosen dan staf. Data yang dapat diakses
dengan mudah ini menjadi rentan terhadap penyalahgunaan.
Dengan demikian, data yang dimiliki belum memiliki keamanan yang cukup. Susanto(2013)
mengatakan bahwa pelanggaran keamanan informasi mengakibatkan biaya investasi yang tinggi dan
 22
INFOKAM Nomor II Th. XIII/SEPTEMBER/2017

reputasi organisasi yang menurun. Pelanggaran keamanan ini dapat menimbulkan kerugian bagi STIMIK
Tunas Bangsa. Data tersebut dapat diambil dan disalahgunakan oleh pihak yang tidak bertanggung
jawab. Apabila hal ini tidak segera diatasi dapat menimbulkan masalah pada kerahasiaan dan keamanan
informasi.
ISO/IEC 27002 telah menyediakan rekomendasi yang baik dalam manajemen keamanan informasi
bagi mereka yang bertanggung jawab terhadap keamanan informasi. Menyediakan standar dan
prosedur berkaitan dengan keamanan dan kontrol terhadap informasi. ISO/IEC 27002 memungkinkan
setiap pengguna untuk menerapkan kontrol sesuai dengan kebutuhan organisasinya. Keamanan
informasi tidak hanya dilihat pada aspek teknologi saja tetapi keamanan informasi berbentuk fisik seperti
kertas hingga berbentuk softcopy. ISO/IEC 27002 akan memberikan rekomendasi terbaik terhadap
manajemen keamanan informasi pada organisasi.
Masalah seperti penyalahgunaan data, pembobolan data dan akses yang tidak berhak terhadap
sistem dan informasi dapat mengganggu kelancaran proses pendidikan pada STIMIK Tunas Bangsa.
Perlu diupayakan pengelolaan yang baik akan segala informasi yang dimiliki demi tercapainya
pengelolaan organisasi yang baik. Diperlukan framework evaluasi keamanan informasi menggunakan
framework ISO/IEC 27002 guna mengatasi masalah tersebut.
2. Landasan Teori
2.1. Informasi
Informasi yang dihasilkan dari pengolahan data pada sebuah sistem memiliki peranan penting
dalam pengelolaan sebuah organisasi. Informasi merupakan aset yang sangat berharga sehingga perlu
dijamin keamanan oleh setiap organisasi (Agustina, 2009). Setiap bagian dalam organisasi akan
bergantung pada informasi yang dimiliki. Informasi tersebut diolah dari berbagai sumber yang ada, baik
internal maupun eksternal organisasi. Kemudian disebarkan kepada setiap bagian organisasi sesuai
dengan peruntukannya.
Informasi yang ada akan membantu dalam proses bisnis organisasi. Setiap keputusan akan
mengacu pada informasi yang dihasilkan tersebut. Informasi yang dimiliki harus berkualitas dan akurat.
Selain sistem yang baik, kualitas informasi juga harus diperhatikan. Informasi harus memiliki kualitas
yang tinggi dari sumber, cara pengolahan hingga sampai pada pemakai informasi.
Untuk dapat digunakan dengan baik, kualitas informasi saja tidak cukup. Diperlukan keamanan
informasi dari pihak-pihak yang tidak bertanggung jawab untuk mengganggu pengolahan dan
pamakaian informasi.
2.2. Keamanan Informasi
Pemanfaatan teknologi informasi guna mendukung pelayanan yang optimal menjadi kebutuhan
dasar organisasi yang harus dijamin dengan pengelolaan layanan dan keamanan yang baik (Sakinah,
2014). Ciptaningrum (2015) juga menerangkan bahwa keamanan informasi saat ini menjadi masalah
yang mendasar untuk bisnis, organisasi dan pemerintahan sehingga audit keamanan informasi menjadi
kebutuhan.
Informasi berkualitas yang telah dihasilkan memerlukan tindakan pengamanan dari segala
ancaman dan gangguan. Ancaman terhadap keamanan informasi dapat datang dari mana saja dan akan
mengganggu kestabilan proses bisnis organisasi. Beberapa aspek perlu dilihat untuk mengamankan
data seperti dikemukakan oleh Whitman dan Mattord (2011) sebagai berikut:
 Physical security : pengamanan fisik sistem yang dimiliki dari bahaya yang dapat mengganggu
pengolahan data menjadi informasi. Seperti bencana alam, akses tidak berhak ke fasilitas fisik,
hingga pencurian.
 Personal security : melindungi orang-orang dalam organisasi dari masalah yang dapat timbul
sehingga mengganggu proses yang ada.
 Operation security : mengamankan kemampuan organisasi dalam proses menghasilkan
informasi.
 Communication security : melindungi media komunikasi dan teknologi komunikasi serta
memanfaatkan teknologi untuk kepentingan organisasi.
 Network security : mengamankan jaringan dalam rangka sharing informasi.
 INFOKAM Nomor II Th. XIII/SEPTEMBER/2017 23

 Setiap aspek memiliki peranan dalam menjaga keamanan informasi. Dengan menjaga aspek-
aspek diatas maka informasi akan terjaga dari setiap bahaya yang akan mengganggu.
2.3. Tata Kelola Teknologi Informasi
Tata kelola teknologi informasi merupakan sebuah cara untuk memastikan teknologi informasi
dapat mendukung kinerja organisasi (ITGI, 2007). Dengan tata kelola yang baik, penggunaan TI dapat
meningkatkan kinerja organisasi. Dampak yang signifikan menjadi tujuan dalam penggunaan TI di
organisasi. Dalam prakteknya, perlu penyiapan divisi TI yang baik agar TI yang dipakai sesuai dengan
strategi organisasi.
Teknologi informasi yang dimiliki akan memberikan manfaat yang besar bagi organisasi apabila
dikelola secara baik dan berkesinambungan. Pengelolaan yang baik dengan melihat berbagai aspek
yang terkait akan meningkatkan hasil yang diinginkan. Setiap bagian organisasi memiliki kontribusi
untuk menopang daya saing. Salah satu bagian tersebut adalah penggunaan teknologi informasi.
Penggunaan teknologi informasi akan memberi dampak yang baik dalam menghasilkan informasi dan
meningkatkan kinerja organisasi.
Penggunaan teknologi informasi memerlukan evaluasi guna menjaga agar tetap menghasilkan
informasi yang berkualitas. Berbagai kerangka dapat digunakan untuk melakukan evaluasi.
2.4. ISO/IEC 27002
ISO/IEC 27002 dikembangkan untuk memberi panduan penerapan keamanan informasi. ISO/IEC
27002 banyak digunakan dalam mengatasi masalah yang berkaitan dengan keamanan informasi
(Gehrmann, 2012). ISO 27002 mampu memberikan panduan dalam merencanakan dan implementasi
program untuk melindungi aset informasi (Rahman, 2016). Yang jika dikaitkan dengan ITIL dapat
membantu terciptanya proses terkait pengiriman dan dukungan IT (Simonsson dan Johnson, 2008).
ISO/IEC 27002 menyediakan rekomendasi manajemen keamanan informasi yang baik. Dimana
informasi merupakan objek penting dalam proses bisnis di organisasi. Standar dan prosedur yang
berkaitan dengan keamanan dan kontrol informasi memungkinkan organisasi menerapkan keamanan
yang baik pada informasi yang dimiliki. ISO/IEC 27002 tidak hanya mengamankan informasi berbasis
IT saja, tetapi informasi yang tersimpan dalam bentuk fisik seperti kertas menjadi perhatian dalam
penggunaanya.
3. Metodologi Penelitian
3.1. Metode Penelitian
Penelitian yang dilakukan pada STIMIK Tunas Bangsa menggunakan metode penelitian kualitatif
dengan pendekatan maturity level. Penelitian dimulai dengan menyusun asumsi dasar dan aturan
berpikir untuk digunakan. Penelitian dilakukan dengan mengambil data dari pengelola data dan bagian
administrasi yang terlibat dalam pengolahan data.
3.2. Metode Pengumpulan Data-data
a. Wawancara
Dalam mengumpulkan data peneliti melakukan wawancara dengan narasumber. Nara sumber
yang diwawancarai adalah Kaprodi Sistem Informasi, bagian pengelola PDDIKTI, staff dan dosen
yang terlibat dalam penggunaan sistem dan pengelola data. Pertanyaan wawancara berkaitan
dengan kebijakan, aset informasi, hingga akses terhadap informasi. Selain itu juga ditanyakan
mengenai bagaimana menjaga informasi yang ada dari segala bentuk ancaman. Bagaimana bentuk
pengamanan informasi yang telah dilakukan hingga bagaimana mengatasi masalah pada kemanan
informasi apabila terjadi ancaman.
Diharapkan dengan wawancara tersebut dapat diketahui lebih detail mengenai bagaimana
kondisi keamanan informasi yang ada pada STIMIK Tunas Bangsa. Dengan diketahui kondisi saat
ini, akan menjadi dasar dalam pengembangan selanjutnya. Yang pada akhirnya keamanan
informasi di STIMIK Tunas Bangsa menjadi baik dan memiliki tata kelola yang baik.
b. Kuisioner
Kuisioner adalah alat riset atau survey yang terdiri atas serangkaian pertanyaan tertulis,
bertujuan mendapatkan tanggapan dari kelompok orang terpilih melalui daftar pertanyaan.
Kuisioner diberikan pada narasumber seperti yang telah disebutkan yang terlibat dalam pengolahan
 24
INFOKAM Nomor II Th. XIII/SEPTEMBER/2017

data. Dengan kuisioner tersebut dapat diperoleh data tentang kondisi pengelolaan keamanan
informasi saat ini. Data tersebut akan menggambarkan kondisi keamanan informasi saat ini.
4. Pembahasan
Keamanan informasi dalam penelitian ini antara lain mencakup hal-hal berikut: Kebijakan
keamanan informasi, pengamanan aset informasi, akses terhadap informasi, hingga keamanan fisik dan
fasilitas informasi.
ISO/IEC 27002 menyediakan framework yang lengkap untuk kemanan informasi. Dilakukan
pemetaan kontrol keamanan informasi pada ISO/IEC 27002. Seperti pada tabel berikut :
Tabel 1 Pemetaan Keamanan Informasi
ISO/IEC 27002
5.1.1 Kebijakan untuk keamanan informasi
6.1.1 Peran dan tanggung jawab keamanan informasi

7.1.2 Syarat dan kondisi pekerjaan

8.2.1 Klasifikasi informasi

8.2.3 Penanganan aset

8.3.1 Manajemen removable media

8.3.2 Pembuangan media

9.1.1 Kebijakan Access Control

9.4.1 Pembatasan akses informasi

9.4.2 log aman pada prosedur
11.1.1 perimeter keamanan fisik
11.1.3 Mengamankan kantor, kamar dan fasilitas
11.1.4 Melindungi terhadap ancaman eksternal dan lingkungan
11.2.1 Peralatan tapak dan perlindungan
11.2.2 mendukung utilitas
12.1.1 prosedur operasi didokumentasikan
12.1.3 Manajemen kapasitas
18.1.3 Perlindungan catatan
18.2.2 Sesuai dengan kebijakan dan standar keamanan
Pengukuran dilakukan menggunakan metode maturity level yang merupakan metode untuk
mengukur level pengembangan manajemen proses sejauh mana kapabilitas manajemen. Maturity
model digunakan untuk memetakan status pengelolaan TI di organisasi saat ini, status standar TI saat
ini dan standar pengelolaan TI yang ada saat ini.
Diperoleh nilai kematangan keamanan informasi pada STIMIK Tunas Bangsa sebagai berikut:
'5.1.1

'18.1.3
4
'18.2.2 '6.1.1
'7.1.2
'12.1.3 '8.2.1
2
'12.1.1 '8.2.3
Nilai Kematangan

'11.2.2 0 '8.3.1
Nilai yang diharapkan
'11.2.1 '8.3.2

'11.1.4 '9.1.1
'11.1.3 '9.4.1
'11.1.1 '9.4.2

Gambar 1 Nilai Kematangan Keamanan Informasi

 INFOKAM Nomor II Th. XIII/SEPTEMBER/2017 25

Keseluruhan nilai kematangan keamanan informasi pada STIMIK Tunas Bangsa adalah 2,6 yang
menunjukan organisasi telah melakukan tata kelola tetapi belum terdefinisi dengan baik. Pengelolaan
dilakukan oleh masing-masing pemangku kepentingan sendiri tanpa pedoman dari organisasi. Seperti
pada tabel dibawah ini :
Tabel 2 Nilai Kematangan Keamanan Informasi STIMIK Tunas Bangsa
Nilai
No Point Audit Keamanan Informasi
Kematangan
1 5.1.1 Kebijakan Keamanan Informasi 1,7
2 6.1.1 Peran dan Tanggung Jawab 2,6
3 7.1.2 Syarat dan Kondisi Pekerjaan 2,8
4 8.2.1 Klasifikasi Informasi 1,5
5 8.2.3 Penanganan Aset 2
6 8.3.1 Manajemen Removable Media 2,8
7 8.3.2 Pembuangan Media 2,6
8 9.1.1 Kebijakan Akses Kontrol 3,1
9 9.4.1 Pembatasan akses Informasi 3,4
10 9.4.2 Log Sistem 3,1
11 11.1.1 Keamanan Fisik 2,8
12 11.1.3 Keamanan Fasilitas 2,4
13 11.1.4 Perlindungan Ancaman Luar 2,7
14 11.2.1 Penempatan dan Perlindungan Peralatan 2,8
15 11.2.2 Dukungan Utilitas 2,3
16 12.1.1 Prosedur Operasi Didokumentasikan 2,4
17 12.1.3 Manajemen Kapasitas 2,4
18 18.1.3 Perlindungan Catatan 2,9
19 18.2.2 Kebijakan dan Standar Keamanan 2,8
Rata-rata 2,6
Setiap point keamanan memiliki nilai yang berbeda yang menunjukan nilai kematangannya. Nilai
kematangan yang ingin dicapai yaitu level 3, yang berarti organisasi telah memiliki prosedur
terdokumentasi dan telah disosialisasikan. Dari nilai yang diperoleh point kebijakan akses kontrol,
pembatasan akses informasi dan log sistem telah memenuhi nilai yang diharapkan.
Point keamanan yang belum memenuhi nilai yang diharapkan perlu dilakukan perbaikan agar
semua asapek keamanan informasi dapat terpenuhi.
5. Penutup
5.1. Kesimpulan
Secara keseluruhan nilai kematangan yang diperoleh dalam audit keamanan informasi di STIMIK
Tunas Bangsa sebesar 2,6 yang menunjukan sudah dilakukan pengelolaan informasi tetapi belum
terdefinisi dan terdokumentasi.
Dari keseluruhan proses audit keamanan informasi yang dilakukan pada STIMIK Tunas Bangsa
dalam mengelola informasi belum memiliki pedoman organisasi. Pedoman yang digunakan oleh
pemangku kepentingan dalam mengelola informasi bukan merupakan pedoman yang dimiliki organisasi
melainkan yang biasa dikerjakan oleh para pengelola informasi sendiri itu sendiri.
Dengan demikian, pengelolaan informasi di STIMIK Tunas Bangsa masih memerlukan perbaikan
untuk memastikan keamanan informasi terjaga dengan baik.
5.2. Saran
Saran yang dapat diberikan dalam penelitian ini antara lain:
1. Cakupan penelitian dapat diperluas tidak hanya pada pengelola informasi tetapi mencakup
penyedia hingga pengguna informasi.
2. Penelitian tidak hanya pada keamanan informasi, audit dilakukan mencakup keseluruhan
organisasi untuk memperoleh audit TI yang lengkap.
 26
INFOKAM Nomor II Th. XIII/SEPTEMBER/2017

DAFTAR PUSTAKA
Agustina, E.R.: Kurniati, A., 2009, Pemanfaatan Kriptografi Dalam Mewujudkan Keamanan Informasi
Pada e-Voting Di Indonesia, SemnasIF UPN “Veteran” Yogyakarta, Yogyakarta
Ciptaningrum, D.; Nugroho, E.: Adhipta, D., 2015, COBIT 5 Sebagai Alternatif Bagi Audit Keamanan
Sistem Informasi (Sebuah Usulan Untuk Diterapkan di Pemerintah Kota Yogyakarta),
Seminar Nasional Teknologi Informasi dan Multimedia STMIK AMIKOM, Yogyakarta
Gehrmann, M., 2012, Combining ITIL, COBIT and ISO/IEC 27002 For Structuring Comprehensive
Information Technology For Management In Organizations, Navus, Florianopolis
ITGI, 2007, COBIT 4.1, IT Governance Institute, USA
Rahman, A.N.: Tanuwijaya, H.: Sutomo, E., 2016, Audit Keamnan Sistem Informasi Manajemen Rumah
Sakit Berdasarkan ISO 27002:2005 Pada Rumah Sakit Islam Jemursari, JSIKA Vol. 5, No.
9, Surabaya
Sakinah, F.; Setiawan, B., 2014, Indeks Penilaian Kematangan (Maturity) Manajemen Keamanan
Layanan TI, Jurnal Teknik POMITS Vol. 3, No. 2, Surabaya
Simonsson, M.; Johnson, P., 2008, The IT Organization Modeling and Assessment tool: Correlating IT
Governance Maturity With The Effect of IT. IEEE Transaction on Systems, Man and
Cybernetics. Part B, Cybernetics, Unated states
Susanto, B.M., 2013, Mengukur Keamanan Informasi: Studi Komparasi ISO 27002 Dan NIST 800-55,
SENTIKA 2013, Yogyakarta
Utomo, A.P., 2006, Dampak Pemanfaatan Teknologi Informasi Terhadap Proses Auditing Dan
Pengendalian Internal, Jurnal Teknologi Informasi DINAMIK Vol. XI, No. 2, Semarang
Whitman, M.E.; Mattord, H., 2011, Principles Of Information Security, Fourth Edition, Course
Technology, US
Wibowo, A.S.; Selo; Adipta, D., 2016, Kombinasi Framework COBIT 5, ITIL Dan ISO/IEC 27002 Untuk
Membangun Model Tata Kelola Teknologi Informasi Di Perguruan Tinggi, SENTIKA,
Yogyakarta