1113093000054
2020 M / 1441 H
SKRIPSI
1113093000054
2020 M / 1441 H
i
SKRIPSI
Disusun Oleh:
1113093000054
2020 M / 1441 H
ii
LEMBAR PERSETUJUAN
iii
LEMBAR PENGESAHAN
iv
LEMBAR PERNYATAAN
LEMBAGA APAPUN
Materai
v
ABSTRAK
vi
KATA PENGANTAR
Assalamualaikum Wr.Wb.
semua berkat Allah yang Maha Kuasa atas karunia dan rahmat-Nya. Sholawat dan
kuliah skripsi pada program studi sistem informasi, fakultas sains dan teknologi,
Jakarta”.
diselesaikan berkat dukungan dan bantuan dari berbagai pihak. Pada kesempatan
Bapak A’ang Subiyakto, Ph.D sebagai Ketua Prodi Sistem Informasi dan
sekaligus sebagai Dosen Pembimbing Praktek Kerja Lapangan penulis juga, yang
sangat sabar kepada penulis, menasehati hingga memberi masukan yang ketika
Ibu Fitroh, M.Kom dan Ibu Elsy Rahajeng, M.TI sebagai dosen
pembimbing skripsi yang sabar juga dalam menasehati pada saat berjalannya
vii
K. H. Ahmad Alwasim, Lc. sebagai Direktur Pendidikan Kafila
Bapak Sutomo Joko Santoso dan Ibu Sri Waryani, ayahanda dan ibunda
tercinta yang tidak henti-hentinya sabar kepada penulis. Do’a dan perhatian yang
Latifah yang selalu mengingatkan penulis akan hak dan kewajiban dalam
keseharian penulis.
Teguh Dharmawan yang sudah membantu dalam tata cara penulisan laporan
kebersamaannya.
proses penyelesaian skripsi ini yang belum dapat penulis sebut satu per satu.
Akhir kata, semoga laporan skripsi ini dapat bermanfaat dan mohon maklum
bila ada kekurangan dalam penulisan dan penggunaaan kata yang kurang tepat.
viii
DAFTAR ISI
ix
BAB III METODE PENELITIAN .................................................................... 35
3.1 METODE PENGUMPULAN DATA ............................................................... 35
3.1.1 Kuesioner ............................................................................................ 35
3.1.2 Wawancara.......................................................................................... 35
3.1.3 Studi Literatur ..................................................................................... 36
3.2 METODE ANALISIS DATA ........................................................................ 41
3.3 KERANGKA PENELITIAN .......................................................................... 45
BAB IV PEMBAHASAN.................................................................................... 48
4.1 KAFILA INTERNATIONAL ISLAMIC SCHOOL ............................................. 48
4.1.1 Gambaran Umum ................................................................................ 48
4.1.2 Ruang Lingkup Keamanan Informasi Kafila International Islamic
School ............................................................................................................ 52
4.1.3 Penentuan Kebijakan Sistem Manajemen Keamanan Informasi ........ 53
4.2 PLAN ....................................................................................................... 55
4.2.1 Infrastruktur Jaringan KIIS ................................................................. 55
4.2.2 Arsitektur IT ....................................................................................... 55
4.2.3 Penentuan Resiko (Risk Assessment) ................................................. 56
4.2.4 Identifikasi Resiko .............................................................................. 58
4.3 DO ........................................................................................................... 68
4.3.1 Analisa dan Evaluasi Resiko............................................................... 68
4.4 CHECK ..................................................................................................... 71
4.4.1 Identifikasi dan Evaluasi Pilihan Penanganan Resiko ........................ 71
4.4.2 Pemilihan Obyek Kontrol dan Kontrol untuk Pengelolaan Resiko .... 71
4.4.3 Wawancara.......................................................................................... 73
4.4.4 Mengukur Tingkat Kedewasaan SMKI .............................................. 73
4.5 ACT, USULAN PERBAIKAN SISTEM INFORMASI ....................................... 96
4.5.1 Prosedur dan Dokumentasi ............................................................... 116
4.5.2 Aplikasi Pencadangan ....................................................................... 122
BAB V PENUTUP ............................................................................................. 125
5.1 KESIMPULAN ......................................................................................... 125
5.2 SARAN ................................................................................................... 127
DAFTAR PUSTAKA ........................................................................................ 130
LAMPIRAN ....................................................................................................... 133
x
DAFTAR TABEL
xi
Tabel 4. 40 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.6.2 ........... 75
Tabel 4. 41 Hasil Maturity Level Klausul 6...................................................................... 76
Tabel 4. 42 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.7.1 ........... 77
Tabel 4. 43 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.7.2 ........... 78
Tabel 4. 44 Hasil Maturity Level Klausul 7...................................................................... 78
Tabel 4. 45 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.8.1 ........... 79
Tabel 4. 46 Hasil Maturity Level Klausul 8...................................................................... 80
Tabel 4. 47 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.9.1 ........... 81
Tabel 4. 48 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.9.2 ........... 82
Tabel 4. 49 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.9.3 ........... 83
Tabel 4. 50 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.9.4 ........... 83
Tabel 4. 51 Hasil Maturity Level Klausul 9...................................................................... 85
Tabel 4. 52 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.11.1 ......... 86
Tabel 4. 53 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.11.2 ......... 87
Tabel 4. 54 Hasil Maturity Level Klausul 11.................................................................... 88
Tabel 4. 55 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.12.1 ......... 89
Tabel 4. 56 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.12.2 ......... 90
Tabel 4. 57 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.12.3 ......... 91
Tabel 4. 58 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.12.5 ......... 91
Tabel 4. 59 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.12.6 ......... 91
Tabel 4. 60 Hasil Maturity Level Klausul 12.................................................................... 92
Tabel 4. 61 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.14.1 ......... 94
Tabel 4. 62 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.14.2 ......... 94
Tabel 4. 63 Hasil Maturity Level Klausul 14.................................................................... 95
Tabel 4. 64 Hasil Nilai Kematangan Seluruh Klausul ...................................................... 97
Tabel 4. 65 Hasil Temuan Klausul 5............................................................................... 100
Tabel 4. 66 Hasil Temuan Klausul 6............................................................................... 101
Tabel 4. 67 Hasil Temuan Klausul 7............................................................................... 102
Tabel 4. 68 Hasil Temuan Klausul 9............................................................................... 103
Tabel 4. 69 Hasil Temuan Klausul 11............................................................................. 108
Tabel 4. 70 Hasil Temuan Klausul 12............................................................................. 110
Tabel 4. 71 Hasil Temuan Klausul 14............................................................................. 114
xii
DAFTAR GAMBAR
xiii
xiv
BAB I
PENDAHULUAN
1
Informasi adalah aset dalam bisnis. Karena sifatnya yang penting, maka
macam media, seperti: media digital dan media cetak. Informasi dapat dikirim
data kartu kredit, data riwayat medis, data pribadi, ID login, dan lainnya
yang mulia, kognitif yang tercermin pada daya pikir dan kapasitas berfikir dan
2
dan mendapatkan manfaat dari ilmu pengetahuan, teknologi, seni, dan budaya
dalam upaya meningkatkan kualitas hidup manusia, dan pasal 31 Ayat 1 (satu)
teknologi dan informasi (Sidik & Iriani, 2018). Dengan adanya teknologi
School (KIIS).
setidaknya ada 3 bidang utama, yaitu: Alquran, akademik, dan asrama. Untuk
membantu pihak manajemen KIIS dalam melihat dan mengatur alur informasi,
3
manajemen mutu Pendidikan, tidak menutupi kemungkinan bahwa KIIS
Manusia (SDM) untuk rencana pembaharuan standar manajemen mutu dari ISO
Alwasim. Beliau bahwa KIIS berencana pada Juli 2019, Kafila akan
memperbaharui ISO 9001. Dari ISO 9001:2008 ke ISO 9001:2015. Hasil dari
TahfizApp, perlu pedoman alur dan struktur data yang tepat dalam perancangan
dan pembuatan aplikasi, karena pada ujian tahfidz semester 1 tahun 2019
misalnya, ada beberapa ujian yang gagal dikarenakan kesalahan tipe data (NaN)
penguji ujian Alquran, hanya 15 laptop yang lancar menggunakan aplikasi ini.
Pada akhir semester 2 tahun 2018, terjadi pencurian informasi login guru tahfidz,
4
teknologi dan pencatatan aset-aset jaringan dan CCTV (control room), sering
terjadi kehilangan dan kerusakan aset dan tidak terdokumentasikan dengan baik.
pengembangan sistem aplikasi digital yang kini sudah berjalan di KIIS. Namun,
namun masih ada kekurangan dalam dokumentasi Aset IT. Pada 20 Januari
2020, terjadi kehilangan data pada server sekolah (salah satu hardisk RAID
KIIS. Beliau juga menambahkan, adanya sharing informasi yang tidak pantas,
informasi login akun sekolah (terlampir) dan muncul berbagai kasus di asrama
upaya untuk mengatur aset yang ada serta pengembangannya, hingga kepuasan
5
terdokumentasi dengan baik. Karena beberapa aplikasi yang KIIS pakai yaitu
Semua masalah yang telah terjadi bukan hanya karena upaya tindakan
yang kurang baik, tetapi karena belum adanya standar dari prosedur keamanan
informasi. Misalkan ada beberapa miss fungsi dari SOP bendahara, pengurus
perbandingannya:
International
International Organization
Penerbit Organization for ISACA
for Standarization (ISO)
Standarization (ISO)
6
(ISMS) maupun nilai maupun nilai informasi
perusahaan.
Dari perbandingan SMKI diatas, penulis lebih memilih ISO 27001 karena:
atau belum, sehingga faktor keempat inilah yang akan diteliti lebih
7
dalam, karena berisikan sumber kebijakan yang terjadi pada proses
bisnis pesantren.
IT pada KIIS. Maka dari itu, penulis mengajukan sebuah judul untuk penelitian
School”.
berikut:
a. Terjadi kebocoran informasi login akun guru tahfidz dan muncul berbagai
IT yang ada saat ini hanya membahas pemeliharan situs berita kafila
penyalahgunaan informasi.
c. Pada 20 Januari 2020, terjadi kehilangan data pada server sekolah (salah
8
d. Tidak sinkronnya basis data aplikasi, membuat masing-masing aplikasi
mempunyai basis data yang berbeda. Pada kasus aplikasi Alquran, NaN (not
dengan baik.
tahfidzapp dan aplikasi asrama serta Aset IT milik Pondok Pesantren Kafila
9
c. Narasumber merupakan karyawan/pegawai yang berpengetahuan,
ISO 27000.
27002.
f. Penelitian ini menggunakan metodologi Plan, Do, Check, Act (PDCA) pada
27002. Output yang dihasilkan dari penelitian ini adalah temuan dan
10
1.5 Tujuan dan Manfaat
1.5.1 Tujuan
1.5.2 Manfaat
peningkatan keamanan.
KIIS.
2. Bagi penulis
11
• Menambah pengalaman penerapan ilmu, dalam melakukan
3. Bagi akademik
1. Desain Penelitian
12
2. Metode Pengumpulan Data
responden.
pada penelitian.
13
▪ Study Literature, peneliti akan melakukan kegiatan
27002 yaitu:
a. Plan
b. Do
c. Check
14
Kemudian pada tahap check peneliti akan melakukan
d. Act
Dan pada tahap act peneliti akan penentuan gap dan pemberian
27002 jarang terdengar karena publik lebih mudah unutk memahami ISO
27001, ada perbedaan yang mendasar antara ISO 27001 dan ISO 27002,
yang intinya adalah pada 27001 fokus pada requirement and planning dan
Seperti dirujuk pada situs resmi ISO, ISO 27001 Information Security
Techniques
Sistematika penulisan Skripsi ini disusun dalam lima bab yang saling
berkaitan satu sama lain. Pembagian kelima bab tersebut adalah sebagai
berikut:
15
BAB I PENDAHULUAN
Berisikan latar belakang masalah, rumusan masalah, batasan masalah dan tujuan
ahli, konsep mengenai audit dan keamanan yang berhubungan dengan audit
Bab ini menguraikan langkah-langkah dan metode penulis dalam pengumpulan data
dari Kafila International Islamic School (KIIS), menelaah sumber lain dengan
kerangka penelitian.
Dalam bab ini membahas gambaran Kafila International Islamic School (profil,
sejarah, visi dan misi). Kemudian dilakukan prosedur PDCA yang meliputi proses
Plan (infrastruktur jaringan KIIS, Arsitektur IT, penentuan resiko dan identifikasi
resiko), Do (analisa dan evaluasi resiko), Check (identifikasi dan penanganan resiko,
dan Proses Act (usulan perbaikan sistem). Dalam pembahasan, penulis sedikit
16
banyak mengikuti penulisan/runtutan penelitian yang diberikan dalam buku
BAB V PENUTUP
Bab ini merupakan akhir penelitian, di mana terdapat kesimpulan dari penulis akan
penelitian ini serta saran penulis guna untuk pengembangan aplikasi selanjutnya.
17
18
BAB II
LANDASAN TEORI
2.1.1 Sistem
Sistem merupakan kumpulan elemen/fungsi yang saling terhubung satu sama lain
yang membentuk kesatuan dalam mencapai tujuan yang sama (Nafiudin, 2019),
misalkan dalam sebuah sekolah, yang dimaksud elemen adalah divisi internalnya
penerimaan siswa baru (PSB) dan sebagainya yang semua itu terkait satu sama lain.
2.1.2 Informasi
Beliau, (Nafiudin, 2019) menguraikan, bahwa informasi adalah data yang telah
keputusan (decision). Sistem pengolahan informasi mengolah data dari bentuk tak
umum (raw) menjadi informasi yang berguna untuk menunjang pembuat keputusan
19
lainnya) yang bersifat manajerial untuk dapat menyediakan informasi yang berguna
Dalam kemanan informasi, ancaman (threat) adalah setiap kegiatan yang dapat
ancaman (threat). Tanpa ada kerentanan, maka ancaman tidak akan mempunyai
Piranti lunak sistem operasi modern sangat kompleks struktur maupun arsitekturnya.
membuat sebuah sistem operasi harus dibangun ratusan hingga ribuan modul dan
sub-modul program guna menjalankan berbagai services, ports, dan model akses
kemudian disini sebagai letak kerawanan sistemnya. Seorang pengguna sering kali
parameter lainnya. Tentu saja hal ini berakibat tidak terkonfigurasinya proteksi
20
keamanan terhadap sejumlah services maupun ports, sehingga akan memudahkan
(Indrajit, 2016).
o Virus
o Worms
21
jaringan. Diciptakan dengan algoritma tertentu sehingga
terkendali.
o Trojan Horse
• Web Defacement
dua sistem, membanjiri kanal akses dengan jutaan paket data, menghabiskan
22
memori dengan cara melakukan aktivitas yang tidak perlu dan perlakuan
lainnya.
kecil (bersifat seperti virus, worms, maupun trojan horse) ke dalam suatu
dari pemilik bitnet, seperti: melakukan DDoS secara masif, mengatur sistem
• SQL Injection
23
model penyerangannya adalah “injeksi” karena aktivitasnya berupa
“memasukkan” string khusus untuk bypass filter logika hak akses pada
aplikasi korban.
• Cross-Site Scripting
GET atau HTTP POST). Cross Site Scripting biasa digunakan oleh pihak-
pihak yang berniat tidak baik dalam upaya mengacaukan konten website
dari teks masukan melalui formulir yang tersedia. Script yang menyisip di
teks yang tampil ini dapat memberi efek dramatis pada tampilan website
24
Pada kenyataannya, masih banyak sekali ditemukan jenis-jenis serangan
B. Social Engineering
dengan kata lain social engineering adalah suatu teknik memperoleh data/informasi
rahasia dengan cara mengeksploitasi kelemahan manusia (Sarno & Iffano, 2009).
• Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau
informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya
• Rasa Percaya – jika seorang individu dimintai data atau informasi dari
teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang
dan
• Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari
25
menjadi korban bencana, atau berada dalam duka, biasanya yang
Pada prinsipnya ada 4 privasi yang harus dijaga (Padli, 2008), yaitu:
kepada publik;
sebuah infrastruktur keamanan yang harus dimiliki oleh sebuah organisasi atau
berisikan tata cara mengamankan informasi, baik secara langsung maupun tidak
Beliau juga menambahkan bahwa secara prinsip ada 2 (dua) peranan penting dari
26
• Untuk mendefinisikan dan memetakan secara detail aset-aset informasi apa
berdasarkan pendekatan risiko bisnis dalam Plan, Do, Check dan Act (Perera, 2008).
terhadap ancaman yang mungkin timbul (Sarno & Iffano, 2009). ISMS merupakan
seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang
A. Perlunya SMKI
Belum ada ketentuan bahwa jika penerapan SMKI, keamanan terjamin 100%.
dikarenakan ancaman dari luar sistem dan kelemahan dari dalam sistem (Sarno &
Iffano, 2009).
Manfaat terbesar Sertifikat ISO 27001 (dan 27002) adalah mengurangi biaya terkait
27
direalisasikan dalam lingkup sistem ini, pengeluaran yang dibuat untuk teknologi
dan kontrak
• Akhirnya Sertifikat ISO 27001 harus diperoleh setelah semua ini selesai
28
2.4 SSE-CMM
Adalah analisis dan interpretasi data hasil pengolahan dan wawancara dengan
(melalui model grafis), gap dilihat dan ditentukan nilai dari kematangan tersebut.
penting dari suatu proses rekayasa keamanan organisasi yang “seharusnya” ada
untuk memastikan teknik keamanan yang baik dengan tidak menganjurkan proses
yang berulang percuma, namun mengambil praktik secara umum yang dapat
29
Manajemen memonitor dan mengukur kepatuhan pegawai dengan
Managed prosedur dan mengambil tindakan terhadap proses yang tampaknya
3,51 – 4.50 and belum berjalan efektif. Proses berada di bawah peningkatan
Measurable konstan dan memberikan latihan yang baik. Otomatisasi dan
peralatan digunakan secara terbatas atau terfragmentasi
Proses telah disempurnakan ke tingkat praktek yang baik,
berdasarkan hasil dari perbaikan berkelanjutan dan model maturity
dari perusahaan lain. TI digunakan secara terintegrasi untuk
4,51 – 5.0 Optimized
mengotomatisasi alur kerja, menyediakan alat-alat untuk
meningkatkan kualitas dan efektivitas, membuat organisasi cepat
beradaptasi
2.5.1 MySchool
B. Jurnal KBM
C. Jadwal Mengajar
G. Kelas Online
H. Cetak Rapot
30
Gambar 2. 1 Antarmuka My School
31
Gambar 2. 2 Antarmuka Aplikasi Portal PSB KIIS
Adalah aplikasi yang digunakan oleh bidang asrama dalam memonitor kegiatan
32
• Ujian tahfidz semester
33
34
BAB III
METODE PENELITIAN
3.1.1 Kuesioner
International Islamic School. Narasumber yang penulis pilih adalah Kepala HRD,
Kepala Labkom dan Kepala Logistik KIIS. Penulis menggunakan metode kuesioner
personal (ahli) dan diisi langsung oleh responden sesuai dengan keadaan sebenar-
benarnya.
3.1.2 Wawancara
struktur organisasi guru KIIS mengenai keamanan informasi yang sudah berjalan
maupun kendala yang dihadapi organisasi guru KIIS. Berikut adalah rincian
kegiatan wawancara:
35
Hari / Tanggal: Selasa, 1 November 2018
antara lain:
Developing an ISO
27001 Information
Department of
Security Management
Computer Engineering,
1. (Itradat et al., 2014). 2014 System for an
Hashemite University,
Educational Institute:
Jordan.
Hashemite University as
a Case Study
36
Fokus penelitian ini adalah mengenai kesiapan aset pada obyek penelitiannya, yaitu Sistem
penelitiannya adalah Sistem Informasi Universitas Hashemite dalam level “Do”, dalam skala
kematangannya, SE-CMM.
Penggunaaan metode yang sama yaitu PDCA dan SE-CMM dalam menentukan level
kematangannya. Perbedaannya dengan penelitian yang dilakukan penulis adalah pada proses
PDCA-nya. Dalam jurnal ini, mereka tidak memulai dari tahap Plan, yaitu langsung pada proses
Do, dimana mereka tidak lagi mengdentifikasi kebijakan dan manajemen, karena sudah ada.
2016 IEEE
An Expert System for
International
Risk Assessment of
Conference on
(Sihwi, Andriyanto, &
2019 Information System
Anggrainingsih, 2016) Knowledge Engineering
Security Based On ISO
and Applications,
27002
ICKEA 2016
Penelitian ini berhasil menciptakan sistem pakar yang mampu untuk memprediksi posisi kondisi
keamanan di berbagai perusahaan, menentukan apakah perusahaan tersebut akan melakukan audit
keputusan dalam menentukan dimana risiko kritis yang harus menjadi prioritas perusahaan yang
berkaitan dengan keamanan sistem informasi. Sistem pakar memiliki hasil yang baik dalam
melakukan penilaian risiko, yaitu 87,72% tingkat kesesuaian hasil penilaian risiko dan 5,26%
terjadinya kesalahan dampak kecil, 7,02% terjadinya kesalahan non-fatal dan 0% terjadinya
Meskipun penelitian ini berbentuk “prediksi”, namun dapat diambil kesimpulan bahwa semakin
besar perusahaan dan karyawannya, semakin tinggi tingkat kerentanan dan resiko terjadinya
37
Security Review Based
Proceedings of
on Iso 27000 / Iso 27001
International
(Tamimi, 2019) 2014 Security Review Based
Conference, Istanbul,
on Iso 27000 / Iso 27001
Dalam studi kasus ini, penelitian ini berkonsentrasi untuk mempraktikkan aktivitas keamanan
dalam ISO 27000 terkait dengan proses manajemen risiko, serta proses peninjauan dan audit atas
ditemukannya klausul yang tidak sesuai dengan perusahaan. Berkenaan dengan ISO 27001,
penelitian ini berkonsentrasi untuk memeriksa aktivitas keamanan untuk dokumentasi perusahaan
yang terkait dengan peran penetapan persyaratan kebijakan keamanan. Terakhir, penelitian ini
3 juga berkonsentrasi pada praktik beberapa aktivitas keamanan di ISO 27002 terkait dengan proses
peninjauan pada kode sumber yang diberikan dalam kaitannya dengan pola keamanan berbasis
kerentanan.
Penggunaan standar ISO 27000 / ISO 27001 / ISO 27002 membantu secara profesional untuk
memenuhi tingkat ISMS yang lebih tinggi dan untuk mendapatkan sertifikat. Penelitian ini
jumlah aktivitas keamanan berdasarkan daftar dan pedoman standar ISO 27000 / ISO 27001 / ISO
27002. Pertama, praktik berdasarkan ISO 27000 menghasilkan terminologi yang ditinjau dari
kebijakan manajemen risiko dan sistem manajemen. Kedua, praktik berdasarkan ISO 27001
menghasilkan persyaratan keamanan yang ditinjau di dokumentasi perusahaan secara tepat untuk
menyelesaikan tanggung jawab manajemen puncak dan batas-batas penetapan ruang lingkup
proyek. Ketiga, praktik berdasarkan ISO 27002 mengakibatkan kesenjangan dalam menyertakan
Digital library
(Han, Huang, Li, & Ren, Risk assessment of
4 2016
2016) digital library information security
38
information security: a
case study
Penelitian ini menggunakan metode perkalian GB/T20984-2007 untuk menilai risiko keamanan
informasi perpustakaan digital sesuai dengan prinsip ISO 27000. Tujuan dari penelitian ini adalah
untuk memberikan pembuktian tentang kelayakan metode ini dan memberikan saran untuk
Secara keseluruhan, 2.792 skor risiko diperoleh. Di antaranya, 282 item (terhitung 10,1 persen dari
total) mencapai tingkat risiko tinggi; 2 (0,1 persen) mencapai tingkat risiko yang sangat tinggi.
Item berisiko tinggi melibatkan 26 jenis ancaman (terhitung 44,1 persen dari semua jenis ancaman)
dan 13 jenis kerentanan (terhitung 22,1 persen dari semua jenis kerentanan). Evaluasi tersebut
mengungkapkan bahwa perpustakaan digital ini menghadapi tujuh bahaya tersembunyi utama
dalam keamanan informasi. Hasil penilaian diterima dengan baik oleh anggota staf perpustakaan
digital ini.
Penelitian ini menggunakan penilainya nilai aset sebagai bahan pertimbangan penilaian, adapun
Management
Sistem informasi dan informasi semakin dihadapkan pada risiko melalui peningkatan dukungan
5 terhadap proses bisnis yang disediakan oleh teknologi informasi serta peningkatan tingkat jaringan
dalam perusahaan dan dengan pihak eksternal. ISMS yang efektif membantu mengurangi risiko
Melalui studi literatur, peneliti mengungkap bagaimana ISO 2700k berkerja dan mengapa peneliti
memberikan kesimpulan bahwa keluarga ISO 27000 dapat meningkatkan proses manajemen lebih
39
Risk-Assessment Based Proceedings of the 2nd
Walaupun menggunakan metode yang berbeda (OCTAVE), penelitian in menggunakan alur yang
sama dengan penulis, yaitu melakukan penilaian aset pada setiap perhitungan aset IT serta
27002 Technology
7
Penelitian ini berkutat pada requirement apa saja untuk menentukan kemampuan dan persyaratan
tindakan koreksi hingga pembangunan kepedulian, pelatihan dan edukasi terhadap manajemen dan
ISO 27002.
Towards a framework
schools
Penelitian ini menggunakan topik yang terkait dengan pengembangan dan inovasi pembelajaran
menggunakan e-sekolah (e-learning). Perlu diingat bahwa hanya lembaga pendidikan tinggi yang
mendukung adopsi teknologi sekolah e-learning, ini. Ketidakcocokan pada level dibawah
40
Measuring BIM Architectural
(Succar, Sher, & Williams,
2012 performance: Five Engineering And
2012)
metrics Design Management
9
Artikel ini berisikan mengenai pemodelan penilaian sistem, didalamnya terdapat beberapa langkah
yaitu: menghitung kapabilitas sistem -> menilai nilai kematangan (CMM) -> competency sets ->
glanurality. Metode ini sangat lengkap dalam pengembangan pemodelan sistem. Penulis
Cyber security
education is as
(Venter et al., 2019) 2019 Heliyon
essential as “the three
R's”
Penelitian ini berkutat pada tren penyerangan social engineering pada generasi muda, termasuk
10 penyerangan menggunakan smartphone. Dikarenakan smartphone adalah bukan lagi sebagai alat
komunikasi, namun alat belanja dan kebutuhan lainnya, seringkali terjadi penyerangan. Dengan
masyarakat Afrika sebagai obyek penelitian, didapatkan bahwa 60% internet diakses oleh
masyarakat yang berumur 40 tahun kebawah. Dalam hal ini, angka tersebut mendominasi trend
penyerangan. Sehingga terlihat betapa pentingnya antisipasi penyerangan yang baik. Termasuk
pembekalan pegawai mengenai bahaya keamanan pada perangkat dan rekayasa sosial (social
engneering).
a) Plan
Islamic School, mempelajari kembali profil, visi dan misi hingga struktur
41
transformasi terbaru Kafila International Islamic School. Dengan informasi
i) Proses Bisnis
iii) Aset
(produk).
iv) Teknologi
v) Alur
School.
b) Do
42
Penulis mengamati secara langsung bagaimana manajemen berjalan pada
i) Mengidentifikasi risiko
(2) Identifikasi pada proses bisnis yang berjalan dan akan berjalan pada
lakukan adalah:
(2) Membuat matriks level risiko untuk menganalisa risiko yang terjadi
dan akan terjadi sehingga nilai dari matriks ini menjadi perhatian
c) Check
43
Proses pengecekan ini adalah pemilihan obyek kontrol dan kontrol
keamanan informasi berdasarkan kondisi dan nilai risiko yang didapat dari
sebagai berikut:
i) Kuesioner
sebanyak 4 orang.
0,51 – 1,50
1 – Initial
2 – Repeteable
1,51 – 2,50
3 – Defined
2,51 – 3,50
4 – Managed
3,51 – 4,50
44
5 – Optimized
4,51 – 5,00
Penghitungan yang dipakai adalah nilai hasil level kematangan rata-rata dari
d) Act
45
Gambar 3. 1 Kerangka Penelitian
46
47
BAB IV
PEMBAHASAN
Kafila International Islamic School ( )معهد كافلة اإلسالمي العالميatau KIIS adalah
mengenal sebagai Pesantren Kafila, ma'had Kafila atau sekadar menyebut Kafila.
perkotaan, tepatnya Jakarta Timur. Peminat pesantren ini selalu meningkat dari
tahun ke tahun. Selain karena beasiswa penuh, masyarakat tertarik dengan program
pendidikan penuh berorientasi pada sinergi akhlak- sains dan tahfidzul qur'an.
Berbagai prestasi pun telah ditorehkan oleh para santri Kafila dalam ajang
untuk anak jalanan dan yatim piatu dan diberi nama Kafila School. Pengusaha
tersebut adalah Ir. H. Abdullah Mas'ud (pembina yayasan), Ust. Masrur Syamhari
dan dibantu oleh H. Agus. Beliau berdua mendirikan Yayasan Kafila karena
memiliki masa kecil yang kurang beruntung dalam bidang ekonomi dan pendidikan,
48
Awalnya anak-anak binaan Kafila School yang berasal dari wilayah Jabodetabek.
Tiga santri berasal dari wilayah Bogor, tiga santri dari kawasan Kalijodo, Jakarta
Utara dan dua santri dari Cililitan, Jakarta Timur. Mereka diasuh oleh Ust.
Sudarisman Ahmad dan Ust. Saifullah sebagai pembina kepribadian dan pelajaran
diniyah (agama). Ust Sudarisman yang ditunjuk sebagai Pimpinan Kafila School
masih berstatus sebagai mahasiswa LIPIA. Selanjutnya pada akhir Desember 2005
didatangkanlah Ust Arifudin Zul Zadani yang saat itu berstatus sebagai mahasiswa
Sekolah Tinggi Ilmu Statistik (STIS) untuk membantu belajar siswa dalam bidang
Agar Kafila School berjalan lebih rapi dan terstruktur, maka dibentuklah Yayasan
Kafila Thoyiba. Juli 2006, Yayasan Kafila Thoyiba memutuskan untuk membuka
pesantren yang menjadikan program Tahfidzul Qur'an dan Bahasa Arab sebagai
Konsep awal pesantren didesain oleh Ust. Sudarisman Ahmad dengan dibantu oleh
Ust. Nurkhamdi sebagai Wali Asrama, Ust. Ahmad Alwasim sebagai Guru Tahfidz
dam Ust. Arifudin Zul Zadani yang berfokus mata pelajaran umum.
Pada perekrutan untuk pertama kalinya, diperoleh 15 santri dari daerah: Jakarta,
Untuk lebih memberikan motivasi pada warga pesantren, pada tahun 2007
49
dari Kafila School menjadi Kafila Islamic School yang dikemudian hari
dicita-citakan. Visi dan misi pesantren pun disederhanakan namun lebih berbobot.
sebagai subsidi cost dari pesantren. Unit-unit usaha ini tergabung dalam Kafila
Group yang terdiri dari beberapa perusahaan di berbagai bidang yang berbeda:
travel umrah dan haji, koperasi simpan pinjam, layanan katering dan laundry
perusahaan, bengkel mobil, agen tiket hingga pengeboran dan distribusi migas.
Ust Sudarisman dan Ust Zul Zadani setelah menerima Sertifikat ISO-9001:2008
kepemimpinan Ust. Sudarisman Ahmad selaku direktur pesantren dan Ust Arifudin
50
• Menghafal Al Qur'an atau tahfidzul qur'an
Setiap core process tersebut di atas dipimpin oleh seorang wakil direktur. Tiga
pejabat wakil direktur pertama tersebut adalah: Ust. Nur Hamdi sebagai Wakil
Direktur Bidang Keasramaan; Ust. Arifudin Zul Zadani sebagai Wakil Direktur
Direktur Bidang Tahfidzul Qur'an. Dapat dikatakan bahwa ketiga Wakil Direktur
tersebut yang dipimpin oleh Ust Sudarisman Ahmad dan dibantu oleh Ust Muh.
Qasim Ausath merupakan peletak dasar program pendidikan Pesantren Kafila yang
Madrasah Aliyah (MA) Kafila resmi berdiri pada tahun 2010 dengan kepala sekolah
Ust. Yazid Abdul Alim yang merangkap sebagai pimpinan Pesantren Kafila,
meneruskan tongkat estafet dari Ust. Sudarisman Ahmad yang telah membidani dan
Visi
terpandang.”
Misi
“Mencetak generasi ahlus sunnah wal jama’ah yang berjiwa wirausaha dan
berwawasan global.”
51
D. Struktur Organisasi Kafila International Islamic School
School
standar manajemen pada setiap operasionalnya. Ada beberapa sistem yang berjalan
52
• Aplikasi Ujian Tahfidz
dalam penerapan ISO 9001:2008, dengan adanya rencana evaluasi keamanan ISO
27001 dan ISO 27002 maka akan memberikan feedback yang lebih banyak kepada
sistem yang kini sedang berjalan di KIIS. Domain yang diteliti (setelah proses
wawancara awal) adalah Manajemen Data dan Keamanan Aset Informasi. Berikut
aktifitas proses bisnis sekolah, yaitu: Server Web, Data Center, dan Aplikasi
Internal KIIS.
Perlindungan aset organisasi sangat vital untuk penunjang kesuksesan proses bisnis
sekolah, kebutuhan akan sistem keamanan juga sangat penting agar data terstruktur
dan terjaga. Maka tanggapan dari Manajerial KIIS adalah kebutuhan akan
Surat Edaran Arahan dan Tujuan Kebijakan karena belum adanya pengertian
domain mana saja yang dibutuhkan dalam penelitian ini, maka KIIS berharap
penerapan domain mana saja yang dibutuhkan dalam dokumen kebijakan kemanan
53
informasi. Adapun dokumen yang dapat diberikan adalah Surat Edaran Penerapan
54
4.2 Plan
4.2.2 Arsitektur IT
Infrastruktur IT di KIIS
Location Jalan Raya Bogor KM 22,5 Ciracas Jakarta Timur
Business Application Myschool (akademik), Ehsan (feedback), TahfizApp
(alquran)
Operating System Services Server: Redhat
Desktop: Windows 7 dan Windows 10
Network Services Email & Pop
Security Firewall: default
Communication Infrastructure LAN, WAN, Mikrotik
55
Tabel 4. 2 Spesifikasi Aset IT
IT Assets Specification
Server IBM System x3650 (2016)
Operating System: Redhat RHEL 7.4 (2017)
Firewall: firewalld (default)
Labkom Backup Computer (Server) Operating System: Windows 10
Intel i5 (5th Generation)
8 GB RAM
Labkom Backup Computer (MTS) Operating System: Windows 7 SP1
Intel i5 (5th Generation)
8 GB RAM
Labkom Backup Computer (MA) Operating System: Windows 8
Intel i5 (5th Generation)
8 GB RAM
Labkom Computer (Students) Operating System: Xubuntu vers 20
Intel i5 (5th Generation)
4-8 GB RAM (variated)
Network OS: Mikrotik Vers 6.34 (updated on March 2016)
Switch LAN-hub TP LINK TL-SG1024D (24 PORT) -> Labkom
D-Link DES 1024D (24 Port) -> Control Room
Wifi Router Tp-link TL-WR840N
Ubiquity N2
Metode yang penulis lakukan dalam penilaian resiko adalah metode matematis
56
Resiko dapat diterima organisasi, namun organisasi
Resiko direduksi
mereduksi dampaknya dengan menggunakan kontrol
(risk reduction)
keamanannya
Organisasi perlu menghindari penyebab penyebab
timbulnya resiko dan menghentikan aktifitasnya jika gejala
Resiko dihindari atau ditolak
resiko muncul seperti mematikan manual komputer server
(risk avoidance)
jika tidak dapat dimatikan melalu command
promp/terminal komputer backup server
Organisasi menerima resiko tersebut dengan mengalihkan
Resiko dialihkan pada pihak
kepada pihak ketiga dengan kompensasi sesuai perjanjian
ketiga
dengan perusahaan seperti: vendor asuransi, garansi
(risk transfer)
prosuk dan lainnya.
C. Variabel Penilaian
sebagai berikut:
Matriks diatas menggunakan logika AND (nilai 0 dan 1) dan dijelaskan sebagai
berikut:
57
• Jika nilai biaya pemulihan lebih kecil daripada biaya transfer resiko, maka
• Jika nilai biaya pemulihan lebih besar daripada biaya transfer resiko, maka
• Jika nilai biaya pemulihan sama dengan biaya transfer risiko, maka
pada level dapat diterima oleh organisasi. Apabila tidak, maka resiko ditolak
(avoided).
besar resiko tersebut berdampak pada organisasi dan resiko apa saja yang diterima
58
A. Mengidentifikasi Aset
59
untuk mengembangkan aplikasi
internal
Komputer yang digunakan oleh
Komputer Asrama
bidang asrama
Komputer yang digunakan oleh
Komputer Tahfidz
bidang tahfidz
Komputer yang digunakan admin
dalam pengelolaan data surat
Komputer Admin
menyurat KIIS hingga pengelolaan
data pegawai
CCTV Labkom CCTV keamanan
Pemadam Kebakaran (fire Fitur dalam gedung sebagai
extinguisher dan sensor api dalam detektor panas dan asap, bel darurat,
gedung) dan alat pemadam kebakaran
AC khusus labkom yang harus on
24 jam untuk memastikan sebagai
Pendingin Ruangan (AC) Labkom
pendingin yang baik untuk ruangan
server
Penulis menghitung nilai aset berdasarkan pada prinsip keamanan data, yaitu Aspek
(availability).
60
Berikut adalah penilaian aset pada kriteria ketersediaan.
Tabel 4. 9 Kriteria Availability
Dari ketiga kriteria tersebut, rumus untuk mencari nilai aset adalah sebagai berikut:
Nilai Aset = Nilai Confidentiality + Nilai Integrity + Nilai Availability
dimiliki Aset.
Perlu dibuat tabel identifikasi ancaman yang mungkin akan terjadi terhadap aset
61
Tabel 4. 11 Contoh Tabel Kemungkinan Gangguan Keamanan
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan sumber daya Vulnerable Rendah 0,1
Gangguan perangkat keras Vulnerable Sedang 0,5
Kebakaran Threat Rendah 0,1
Serangan Virus
Threat Tinggi 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,3
(penyusup/hacker/orang luar)
Kerusakan Data (corruption) Vulnerable Sedang 0,4
Data missing recipient
Vulberable Rendah 0,1
(kesalahan pengiriman data)
Gangguan Petir Threat Rendah 0,3
Bencana Alam (gempa, banjir) Threat Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Dengan kriteria penilaian sebagai berikut:
Low = Nilai Rerata 0,1 – 0,3
Medium = Nilai Rerata 0,4 – 0,6
High = Nilai Rerata 0,7 – 1,0
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Data Korup Vulnerable Rendah 0,2
Serangan Virus
Threat Sedang 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,5
(penyusup/hacker/orang luar)
Pencurian Data Threat Sedang 0,5
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Kesalahan input Vulnerable Sedang 0,5
Bug Aplikasi Vulnerable Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,46
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Data Korup Vulnerable Rendah 0,2
Serangan Virus
Threat Sedang 0,5
(virus, trojan, dan worm)
62
Intruder
Threat Sedang 0,5
(penyusup/hacker/orang luar)
Pencurian Data Threat Sedang 0,5
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Kesalahan input Vulnerable Sedang 0,5
Bug Aplikasi Vulnerable Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,46
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Data Korup Vulnerable Rendah 0,2
Serangan Virus
Threat Sedang 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,5
(penyusup/hacker/orang luar)
Pencurian Data Threat Sedang 0,5
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Kesalahan input Vulnerable Sedang 0,5
Bug Aplikasi Vulnerable Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,46
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Data Korup Vulnerable Rendah 0,2
Serangan Virus
Threat Sedang 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,5
(penyusup/hacker/orang luar)
Pencurian Data Threat Sedang 0,5
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Kesalahan input Vulnerable Sedang 0,5
Bug Aplikasi Vulnerable Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,46
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Data Korup Vulnerable Rendah 0,2
Serangan Virus
Threat Sedang 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,5
(penyusup/hacker/orang luar)
Pencurian Data Threat Sedang 0,5
63
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Kesalahan input Vulnerable Sedang 0,5
Bug Aplikasi Vulnerable Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,46
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Data Korup Vulnerable Rendah 0,2
Serangan Virus
Threat Sedang 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,5
(penyusup/hacker/orang luar)
Pencurian Data Threat Sedang 0,5
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Kesalahan input Vulnerable Sedang 0,5
Bug Aplikasi Vulnerable Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,46
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Serangan Virus
Threat Sedang 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,5
(penyusup/hacker/orang luar)
Pencurian Data Threat Sedang 0,5
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Password Buruk Vulnerable Tinggi 0,8
Bug Aplikasi Vulnerable Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 7 Jumlah Rerata Prob. 0,55
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Serangan Virus
Threat Sedang 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,5
(penyusup/hacker/orang luar)
Pencurian Data Threat Sedang 0,5
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Password Buruk Vulnerable Tinggi 0,8
Bug Aplikasi Vulnerable Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 7 Jumlah Rerata Prob. 0,55
64
Tabel 4. 20 Tabel Penghitungan Nilai Ancaman Aplikasi Ujian Quran
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Serangan Virus
Threat Sedang 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,5
(penyusup/hacker/orang luar)
Pencurian Data Threat Sedang 0,5
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Password Buruk Vulnerable Tinggi 0,8
Bug Aplikasi Vulnerable Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 7 Jumlah Rerata Prob. 0,55
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Serangan Virus
Threat Sedang 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,5
(penyusup/hacker/orang luar)
Pencurian Data Threat Sedang 0,5
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Password Buruk Vulnerable Tinggi 0,8
Bug Aplikasi Vulnerable Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 7 Jumlah Rerata Prob. 0,55
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan Listrik Vulnerable Tinggi 0,9
Kerusakan perangkat keras Vulnerable Tinggi 0,9
Kebakaran (arus pendek) Vulnerable Rendah 0,1
Serangan Virus (virus, trojan, dan
Threat Rendah 0,3
worm)
Intruder
Threat Rendah 0,3
(penyusup/hacker/orang luar)
Kerusakan Data (corruption) Vulnerable Sedang 0,4
Data missing recipient
Vulberable Rendah 0,1
(kesalahan pengiriman data)
Akses ilegal (unautorized access) Threat Sedang 0,4
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,42
65
Tabel 4. 23 Perhitungan Nilai Ancaman Jaringan Mikrotik
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan sumber daya Vulnerable Tinggi 0,9
Gangguan perangkat keras Vulnerable Tinggi 0,9
Intruder
Threat Rendah 0,3
(penyusup/hacker/orang luar)
Bencana Alam (petir) Threat Sedang 0,5
Akses ilegal (unautorized access) Threat Sedang 0,4
Jumlah Ancaman = 5 Jumlah Rerata Prob. 0,6
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan sumber daya Vulnerable Tinggi 0,9
Gangguan perangkat keras Vulnerable Tinggi 0,9
Kebakaran (short circuit) Vulnerable Sedang 0,6
Serangan Virus (virus, trojan, dan
Threat Rendah 0,1
worm)
Intruder
Threat Rendah 0,3
(penyusup/hacker/orang luar)
Kerusakan Data (corruption) Vulnerable Sedang 0,4
Bencana Alam (gempa) Threat Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,4
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,5
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan Listrik Vulnerable Tinggi 0,9
Kerusakan perangkat keras Vulnerable Tinggi 0,9
Kebakaran (arus pendek) Vulnerable Rendah 0,1
Serangan Virus (virus, trojan, dan
Threat Rendah 0,3
worm)
Intruder
Threat Rendah 0,3
(penyusup/hacker/orang luar)
Kerusakan Data (corruption) Vulnerable Sedang 0,4
Akses ilegal (unautorized access) Threat Sedang 0,4
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,47
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan Listrik Vulnerable Tinggi 0,9
Kerusakan perangkat keras Vulnerable Tinggi 0,9
Kebakaran (arus pendek) Vulnerable Rendah 0,1
66
Serangan Virus (virus, trojan, dan
Threat Rendah 0,3
worm)
Intruder
Threat Rendah 0,3
(penyusup/hacker/orang luar)
Kerusakan Data (corruption) Vulnerable Sedang 0,4
Data missing recipient
Vulberable Rendah 0,1
(kesalahan pengiriman data)
Akses ilegal (unautorized access) Threat Sedang 0,4
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,42
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan Listrik Vulnerable Tinggi 0,9
Kerusakan perangkat keras Vulnerable Tinggi 0,9
Kebakaran (arus pendek) Vulnerable Rendah 0,1
Serangan Virus (virus, trojan, dan
Threat Rendah 0,3
worm)
Intruder
Threat Rendah 0,3
(penyusup/hacker/orang luar)
Kerusakan Data (corruption) Vulnerable Sedang 0,4
Data missing recipient
Vulberable Rendah 0,1
(kesalahan pengiriman data)
Akses ilegal (unautorized access) Threat Sedang 0,4
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,42
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan Listrik Vulnerable Tinggi 0,9
Kerusakan perangkat keras Vulnerable Tinggi 0,9
Kebakaran (arus pendek) Vulnerable Rendah 0,1
Serangan Virus (virus, trojan, dan
Threat Rendah 0,3
worm)
Intruder
Threat Rendah 0,3
(penyusup/hacker/orang luar)
Kerusakan Data (corruption) Vulnerable Sedang 0,4
Data missing recipient
Vulberable Rendah 0,1
(kesalahan pengiriman data)
Akses ilegal (unautorized access) Threat Sedang 0,4
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,42
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan sumber daya Vulnerable Tinggi 0,9
Gangguan perangkat keras Vulnerable Tinggi 0,8
Intruder
Threat Sedang 0,3
(penyusup/hacker/orang luar)
67
Kerusakan Data (corruption) Vulnerable Sedang 0,4
Jumlah Ancaman = 4 Jumlah Rerata Prob. 0,6
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan sumber daya Vulnerable Tinggi 0,9
Gangguan perangkat keras Vulnerable Tinggi 0,9
Kebakaran Threat Rendah 0,2
Kerusakan fisik Vulnerable Sedang 0,3
Akses ilegal (unautorized access) Threat Sedang 0,5
Jumlah Ancaman = 5 Jumlah Rerata Prob. 0,56
4.3 Do
berikut;
terdampak gangguan pada proses bisnis. Tapi sebelum pembahasan mengenai BAI,
68
<12 jam High critical 61-80
1<1 jam Very high critical 81-100
Dengan pengalaman kerja selama lebih dari 1 tahun pada KIIS, penulis
sebagai berikut;
Setelah ditemukannya nilai aset, nilai ancaman (NT) dan nilai BIA, maka kita dapat
69
membuat matriks level resiko yang variabelnya diambil dari variabel nilai aset, nilai
Penulis mengubah kompabilitas range untuk menyamakan skala pada perhitungan resiko
Dengan kriteria;
Berikut adalah hasil perhitungan resiko pada tiap-tiap aset informasi KIIS;
Tabel 4. 35 Pengukuran Tingkat Resiko
Nama Aset Nilai Aset BIA Nilai Ancaman Risk Value Status
Data Karyawan 9 85 0,46 496,8 High Risk
Data Penerimaan Siswa Baru 9 25 0,46 455,4 High Risk
Data Sekolah 12 90 0,46 455,4 High Risk
Data Keasramaan 11 90 0,46 138 High Risk
Data Tahfidz 11 90 0,46 660 High Risk
Data Laboratorium Komputer 12 25 0,46 220 High Risk
Aplikasi MySchool 12 100 0,55 308 High Risk
Aplikasi PSB 10 40 0,55 605 High Risk
Aplikasi Ujian Quran 8 70 0,55 720 High Risk
Aplikasi Asrama 11 100 0,55 600 High Risk
Mikrotik 12 100 0,6 168 High Risk
Server 12 100 0,5 300,8 High Risk
70
Komputer Laboratorium 8 50 0,42 420 High Risk
Komputer Backup Server 8 80 0,47 268,8 High Risk
Komputer Asrama 10 100 0,42 478,8 High Risk
Komputer Tahfidz 8 80 0,42 648 High Risk
Komputer Admin 12 95 0,42 478,8 High Risk
CCTV Labkom 12 90 0,6 432 High Risk
AC 9 95 0,56 496,8 High Risk
Fire Extinguisher 8 90 0,6 455,4 High Risk
4.4 Check
Setelah penulis melakukan analisa dan evaluasi resiko apasaja yang kerap mungkin
terjadi pada fasilitas IT KIIS, penulis sudah mempunya gambaran apa saja resiko
dapat direncanakan:
3. Resiko yang dapat ditransfer kepada pihak ketiga, akan diatur juga dalam
pasal poin 1.
Dengan adanya beberapa kerentanan dalam data, aplikasi dan fasilitas fisik IT,
maka penulis menemukan kontrol obyek dalam ISO 27002 yang berhubungan
71
A. Information security policies (klausul 5), untuk memberikan arahan
hingga penyebarannya.
informasi.
kewenangannya.
72
H. System acquisition development and maintenance (klausul 14), untuk
4.4.3 Wawancara
A. Penentuan Narasumber
Tabel 4. 36 Narasumber
C. Pembuatan Pertanyaan
73
Pihak Manajemen KIIS memberikan arahan dan dukungan untuk keamanan
informasi
A.5.1.1 Kebijakan kontrol keamanan informasi
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Pihak Manajemen memberikan
1 implementasi visi dan misi Kafila 1 √ 4
International Islamic School
Kontrak dan aturan penerimaan
kepegawaian yang jelas dan terukur
2 1 √ 4
dibawah payung hukum (dilengkapi
materai)
Total Bobot 2 Tingkat Kemampuan 4
tentang kebijakan keamanan informasi berada pada tingkat yang sudah teratur, nilai
posisi 4 yang berarti keamanan informasi terkini sudah baik (managed) dan dapat
ditingkatkan bukan hanya sebagai prosedur tertulis, hasil maturity ditunjukkan pada
Rata-rata /
Kontrol Tingkat
Klausul Objektif Kontrol Objektif
Keamanan Kemampuan
Kontrol
5.1 Manajemen 5.1.1 Kebijakan
5. Kebijakan
Arahan Keamanan Kontrol Keamanan 4 4
Keamanan
Informasi Informasi
Informasi
Maturity Level Klausul 5 4
74
Klausul 5
75
No Pertanyaan Bobot 0 1 2 3 4 5 Nilai
KIIS memberikan penyuluhan
1 1 √ 4
mengenai backup data.
KIIS memberikan penyuluhan
2 1 √ 3
mengenai malware pada smartphone.
KIIS memberikan penyuluhan
mengenai aplikasi-aplikasi yang
3 1 √ 3
berbahaya yang dapat mengancam
penyalahgunaan data.
KIIS memberikan penyuluhan
mengenai aplikasi-aplikasi
4 1 √ 4
keamanan/enkripsi untuk memperkuat
keamamanan data.
Total Bobot 4 Tingkat Kemampuan 3,5
tentang Keamanan Informasi Organisasi berada pada tingkat yang sudah teratur,
nilai posisi 4 yang berarti keamanan informasi terkini sudah baik (managed and
dan mengambil tindakan terhadap proses yang tampaknya tidak dapat bekerja
manajemen memberikan latihan yang baik kepada guru. Otomatisasi dan peralatan
digunakan masih terbatas, hasil maturity ditunjukkan pada Tabel dibawah ini;
76
Klausul 6
6.1.1 Peran dan tanggung
jawab keamanan
informasi
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
6.2.1 Keamaman
Perangkat Seluler
77
Tabel 4. 43 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.7.2
Ketika Bekerja
A.7.2 Untuk memastikan bahwa karyawan dan kontraktor menyadari dan memenuhi
tanggung jawab keamanan informasi mereka.
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Karyawan diberi pengarahan yang
tepat tentang peran dan tanggung
1 jawab keamanan informasi mereka 1 √ 5
sebelum diberikan akses ke informasi
rahasia atau sistem informasi.
Karyawan diberikan pedoman untuk
menyatakan harapan keamanan
2 1 √ 4
informasi tentang peran mereka dalam
organisasi.
Mematuhi syarat dan ketentuan kerja,
yang mencakup kebijakan keamanan
3 1 √ 5
informasi organisasi dan metode kerja
yang sesuai
Total Bobot 3 Tingkat Kemampuan 4,7
tentang Keamanan Sumber Daya Manusia berada pada tingkat yang sudah teratur,
nilai posisi 4,35 yang berarti keamanan informasi terkini sudah baik (managed and
dan mengambil tindakan terhadap proses yang tampaknya tidak dapat bekerja
manajemen memberikan latihan yang baik kepada guru. Otomatisasi dan peralatan
digunakan masih terbatas, hasil maturity ditunjukkan pada Tabel dibawah ini;
78
7.2 Ketika 7.2 Ketika
4,7 4,7
Bekerja Bekerja
KLAUSUL 7
7.1 Dalam Penerimaan
Pegawai
4,8
4,6
4,4
4,2
4
3,8
3,6
79
Adanya perbaikan dan pemeliharaan
2 berkala terhadap semua aset di KIIS. 1 √ 3
Misalkan per semester/per bulan.
A.8.1.2 Kepemilikan Aset
Berdasarkan perhitungan nilai tingkat kematangan yang diperoleh pada proses 8 tentang
Manajemen Aset berada pada tingkat yang sudah teratur, nilai posisi 3,75 yang berarti
keamanan informasi terkini sudah baik (managed and measurable) Manajemen memonitor
dan mengukur kepatuhan dengan prosedur dan mengambil tindakan terhadap proses
yang tampaknya tidak dapat bekerja secara efektif. Proses berada di bawah peningkatan
yang konstan dan manajemen memberikan latihan yang baik kepada guru. Otomatisasi
dan peralatan digunakan masih terbatas, hasil maturity ditunjukkan pada Tabel dibawah
ini;
Rata-rata /
Kontrol Tingkat
Klausul Objektif Kontrol Objektif
Keamanan Kemampuan
Kontrol
8.1
8. 8.1.1 Inventarisasi
Pertanggungjawaban 3.75 3.75
Manajemen Pengendalian aset
Aset
Aset
80
Klausul 8
8.1.1 Inventarisasi
Pengendalian aset
4
3,5
3
2,5
2
1,5
1
0,5
0
81
Adanya SOP akses jaringan (internet
1 1 √ 2
maupun LAN) di KIIS
Adanya manajemen untuk mengontrol
2 siapa saja yang dapat mengakses 1 √ 2
jaringan
Adanya prosedur tertulis penggunaan
jaringan KIIS pada pihak yang
3 diharuskan tidak mengakses (seperti 1 √ 2
orang luar, maupun yang bukan
termasuk keluarga besar KIIS dll)
Adanya laman login untuk otentikasi
4 setiap pengguna yang mengakses 1 √ 2
jaringan
Total Bobot 8 Tingkat Kemampuan 2,3
82
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya identifikasi terhadap
1 pengguna yang memiliki hak akses 1 √ 4
master (istimewa)
Pengecekan otorisasi dan catatan
2 1 √ 4
seluruh pemberian hak akses istimewa.
Penerapan ID pengguna hak akses
3 istimewa berbeda dengan ID pengguna 1 √ 4
yang digunakan pada akun biasa.
Memastikan secara berkala
4 penggunaan hak akses istimewa 1 √ 4
TIDAK disalahgunakan.
Adanya prosedur yang spesifik dalam
5 penggunaan akun master (siapa dan 1 √ 4
kapan saja boleh dipakai).
A.9.2.6 Pengelolaan hak akses
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya aturan terkait penghapusan
1 1 √ 3
atau pengubahan mengenai hak akses.
Adanya dokumen yang
2 mengidentifikasi hak akses pegawai 1 √ 3
dan kontraktor.
Total Bobot 15 Tingkat Kemampuan 3,5
83
Adanya kebijakan pengendalian akses
yang membatasi akses sesuai dengan
1 perannya dalam aplikasi (tidak boleh 1 √ 3
membagikan informasi akun antar
divisi).
Adanya pengendalian hak akses
2 pengguna (seperti read, write, delete 1 √ 4
dan execute).
Menyediakan pengendalian akses fisik
3 dan logical untuk pemisahan aplikasi 1 √ 4
yang sensitif, data aplikasi atau sistem.
A.9.4.2 Prosedur keamanan akses sistem (aplikasi)
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Menggunakan teknik otentikasi yang
1 1 √ 4
sesuai untuk mengidentifikasi user.
Adanya aturan yang berguna untuk
meminimalisir akses dari pihak yang
2 tidak berwenang, seperti tidak 1 √ 4
menampilkan password saat diinput ke
aplikasi.
A.9.4.3 Sistem manajemen password
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya menu manajemen password di
1 1 √ 4
akun pengguna.
Adanya fitur manajemen password
2 yang memungkinkan pengguna untuk 1 √ 4
mengubah password mereka sendiri.
Adanya fitur yang menguji kualitas
3 1 √ 0
password.
Adanya fitur yang berisi peraturan
4 tentang pengguna harus merubah 1 √ 0
password ketika PERTAMA log-in.
Adanya fitur yang bersisi perubahan
5 password secara teratur dan sesuai 1 √ 0
kebutuhan.
Adanya fitur yang tidak dibolehkannya
6 menampilkan password dilayar 1 √ 0
monitor.
Total Bobot 11 Tingkat Kemampuan 2,5
tentang kontrol akses berada pada tingkat yang sudah teratur, nilai posisi 3,03 yang
berarti keamanan informasi sudah sudah berbentuk prosedur yang jelas dan
84
belum canggih tetapi sudah dipraktikan, hasil maturity ditunjukkan pada Tabel
dibawah ini;
Rata-rata
Tingkat
Klausul Objektif Kontrol Kontrol Keamanan / Objektif
Kemampuan
Kontrol
9.3.1 Penggunaan
9.3 Tanggung jawab
informasi rahasia 3,3 3,5
pengguna
otentikasi
85
Klausul 9
9.3.1 Penggunaan
9.2.3 Manajemen hak
informasi rahasia
akses master
otentikasi
9.2.6 Pengelolaan hak
akses
86
Fasilitas jaringan dan data ditempatkan
1 pada lokasi yang sesuai untuk 1 √ 2
menghindari akses oleh publik.
Melakukan pengaturan fasilitas untuk
mencegah informasi atau kegiatan
2 1 √ 3
rahasia diketahui oleh pihak luar
sekolah.
Adanya peraturan terkait penyimpanan
3 internal didalam server (data dalam 1 √ 1
server sensitif).
A.11.1.4 Pengamanan terhadap ancaman dan lingkungan eksternal
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Mengadakan penyuluhan dari ahli
tentang bagaimana cara untuk
menghindari kerusakan dari
1 kebakaran, banjir, gempa bumi, 1 √ 5
ledakan dan dari
bentuk lain dari bencana alam atau
buatan manusia.
Tingkat
Total Bobot 6 2,3
Kemampuan
Keamanan Peralatan
A.11.2 Untuk mencegah kerugian, kerusakan, pencurian atau kompromi aset dan gangguan
terhadap proses bisnis organisasi.
A.11.2.1 Penempatan peralatan dan perlindungannya
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Peralatan ditempatkan pada lokasi
yang seharusnya untuk meminimalisir
1 1 √ 4
penggunaan yang tidak berwenang
dalam area kerja.
Adanya pengamanan pada fasilitas
2 1 √ 3
penyimpanan (server).
Melakukan pemantauan terhadap
kondisi lingkungan yang dapat
3 1 √ 4
mempengaruhi pengoperasian fasilitas
pengolahan informasi.
Menerapkan perlindungan antibanjir
4 dan antipetir pada semua bangunan 1 √ 5
dan semua jalur komunikasi.
A.11.2.4 Pemeliharaan Peralatan
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya aturan mengenai peralatan
1 yang harus dipelihara sesuai dengan 1 √ 4
jadwal waktu service (AC, PC, dll).
Perawatan dan perbaikan peralatan
2 hanya dilakukan oleh personel yang 1 √ 4
berwenang.
Adanya aturan yang berisi tentang
3 1 √ 4
sebelum meletakkan peralatan
87
kembali ke dalam operasi setelah
dilakukan perawatan atau service,
peralatan harus ada pemeriksaan ulang
sebelum diinventariskan lagi.
Tingkat
Total Bobot 7 4
Kemampuan
tentang kontrol akses berada pada tingkat yang sudah teratur, nilai posisi 2,9 yang
berarti keamanan informasi sudah sudah berbentuk prosedur yang jelas dan
canggih tetapi sudah dipraktikan, hasil maturity ditunjukkan pada Tabel dibawah
ini;
Rata-rata /
Objektif Tingkat
Klausul Kontrol Keamanan Objektif
Kontrol Kemampuan
Kontrol
11.1.1 Pembatasan
1,5
keamanan fisik
11.1
Pembatas 11.1.3 Keamanan kantor,
2 2,5
keamanan ruangan dan fasilitas
fisik
11.1.4 Pengamanan
11. Keamanan
terhadap ancaman dan 5
fisik dan
lingkungan eksternal
lingkungan
11.2.1 Penempatan
peralatan dan 4
11.2 perlindungannya
Keamanan 3,35
Peralatan
11.2.4 Pemeliharaan
2,7
Peralatan
88
Klausul 11
11.1.1 Pembatasan
keamanan fisik
5
4,5
4
3,5
3
2,5
11.2.4 Pemeliharaan 2 11.1.3 Keamanan kantor,
Peralatan 1,5 ruangan dan fasilitas
1
0,5
0
89
Adanya aturan untuk pemindahan
1 software dari status beta ke status 2 √ 4
normal aman dipakai.
Software dalam masa pengembangan
2 dan operasional dijalankan dalam 1 √ 4
sistem yang berbeda.
Perubahan pada sistem dan aplikasi
operasional sudah di uji pada
3 1 √ 4
lingkungan testing sebelum diterapkan
pada sistem operasional.
Penggunaan user profiles yang
4 berbeda untuk sistem operasional dan 1 √ 4
sistem testing
Tingkat
Total Bobot 8 3,5
Kemampuan
90
Tingkat
Total Bobot 6 3,5
Kemampuan
Backup
A.12.3
Untuk melindungi hilangnya data.
A.12.3.1 Informasi Pencadangan
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya catatan (log) yang akurat dan
1 lengkap dari salinan backup dan 1 √ 2
dokumentasi prosedur pemulihan.
Pelaksanaan backup data berkala pada
2 1 √ 2
setiap bidang/divisi.
Data backup disimpan pada lokasi
yang berbeda (partisi maupun hdd)
3 1 √ 2
untuk menghindari kerusakan seperti
kerusakan pada lokasi utama.
Melakukan pengujian secara teratur
4 pada media backup untuk memastikan 1 √ 2
kehandalannya (system checking).
5 Data backup dienkripsi. 1 √ 0
Tingkat
Total Bobot 5 1,6
Kemampuan
91
Untuk mencegah pemanfaatan teknik vulnerability dan perusakan lainnya.
A.12.6.1 Manajemen teknik vulnerability
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya aturan terkait peran dan
tanggung jawab yang berhubungan
1 dengan manajemen teknik 1 √ 1
vulnerability seperti penilain risiko
vulnerability.
Melakukan identifikasi terhadap aset
informasi yang dimiliki untuk
2 1 √ 2
mengetahui potensi teknik
vulnerability pada aset yang dimiliki
Melakukan pengamatan dan evaluasi
pada manajemen teknik vulnerability
3 1 √ 2
untuk memastikan prosesnya berjalan
dengan efektif dan efisien.
Tingkat
Total Bobot 3 1,7
Kemampuan
tentang Keamanan Operasi berada pada tingkat yang sudah teratur, nilai posisi 2,34
yang berarti keamanan informasi terkini sudah mulai berjalan (repeatable). Proses
kemampuan individu sangat tinggi, sehingga kesalahan yang sama sering kali
Rata-rata /
Tingkat
Klausul Objektif Kontrol Kontrol Keamanan Objektif
Kemampuan
Kontrol
12.1.1 Pemisahan
12. 12.1 Prosedur dan
lingkungan
Keamanan tanggung jawab 4 2,65
pengembangan, testing
operasi operasional
dan operasional Informasi
92
12.1.4 Dokumen prosedur
1,3
operasi
1,6
12.3 Backup 12.3.1 Informasi backup 1,6
12.5 Pengaturan
12.5.1 Dokumen prosedur
operasional 2,25 2,25
operasi
perangkat lunak
12.6 Manajemen
12.6.1 Manajemen teknik
teknik 1,7 1,7
vulnerability
vulnerability
Maturity Level Klausul 12 2,34
Klausul 12
12.1.1 Pemisahan
lingkungan
pengembangan, testing
dan operasional
Informasi
4
3,5
3
12.6.1 Manajemen teknik 2,5 12.1.4 Dokumen
vulnerability 2 prosedur operasi
1,5
1
0,5
0
93
Tabel 4. 61 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.14.1
94
Adanya pemberitahuan perubahan
platform operasi yang tepat waktu
2 1 √ 2
sehingga dapat dilakukan testing dan
review sebelum implementasi.
A.14.2.9 Menguji penerimaan sistem
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Melakukan pengujian penerimaan
1 sistem yang mencakup pengujian 1 √ 3
persyaratan keamanan informasi.
Melakukan pengujian dalam
lingkungan yang realistis sehingga
2 1 √ 2
dapat diketahui ancaman yang
dihadapi oleh sistem.
Tingkat
Total Bobot 8 2,35
Kemampuan
tingkat yang sudah teratur, nilai posisi 3,5 yang berarti keamanan informasi terkini
peningkatan yang konstan dan manajemen memberikan latihan yang baik kepada
95
14.2.3 Pemeriksaan
teknis dari aplikasi
2
setelah perubahan
platform operasi
14.2.9 Menguji
2,5
penerimaan sistem
Klausul 14
14.2.3 Pemeriksaan
teknis dari aplikasi
setelah perubahan
platform operasi
berdasarkan pada hasil observasi sistem keamanan di KIIS, baik melalui wawancara,
96
penyebaran kuisioner dan penilaian langsung pada maturity level setiap objektif
kontrol dan kontrol keamanan berdasarkan ISO 27002:2013 ketika dalam tahapan
sebelumnya telah dilakukan penilaian maturity level. Berikut adalah perolehan dari
seluruh klausul:
Maturity
Klausul
Level
5. Kebijakan Keamanan Informasi 4
6. Keamanan Informasi Organisasi 4
7. Keamanan Sumber Daya (pekerjaan) 4
8. Manajemen Aset 4,35
9. Kontrol Akses 3,75
11. Keamanan fisik dan lingkungan 3,03
12. Keamanan operasi 2,9
14. Akusisi sistem informasi, pembangunan dan pemeliharaan 3,5
Berikut adalah representasi dari hasil maturity level seluruh klausul pada penelitian
ini.
97
5. Kebijakan Keamanan
Informasi
4,5
4
14. Akusisi sistem
3,5 6. Keamanan Informasi
informasi, pembangunan
3 Organisasi
dan pemeliharaan
2,5
2
1,5
1
0,5
7. Keamanan Sumber
12. Keamanan operasi 0
Daya (pekerjaan)
9. Kontrol Akses
penilaian maturity level, KIIS memperoleh nilai maturity level sebesar 4 dan berada
pada tingkat managed, ini menunjukan bahwa pihak manajemen sudah memonitor
dan mengukur proses-proses dalam KIIS sesuai prosedur yang telah disepakati dan
sudah dapat mengambil tindakan terhadap proses-proses yang tidak dapat bekerja
secara efektif. Otomasi proses masih berjalan sesuai prosedur dan peraturan yang
penilaian maturity level, KIIS memperoleh nilai maturity level sebesar 4 dan berada
98
pada tingkat managed, ini menunjukan bahwa pihak manajemen sudah memonitor
dan mengukur proses-proses dalam KIIS sesuai prosedur yang telah disepakati dan
sudah dapat mengambil tindakan terhadap proses-proses yang tidak dapat bekerja
secara efektif. Otomatisasi proses masih berjalan sesuai prosedur dan peraturan
dilakukan penilaian maturity level, KIIS memperoleh nilai maturity level sebesar 4
dan berada pada tingkat managed, ini menunjukan bahwa pihak manajemen sudah
memonitor dan mengukur proses-proses dalam KIIS sesuai prosedur yang telah
disepakati dan sudah dapat mengambil tindakan terhadap proses-proses yang tidak
dapat bekerja secara efektif. Otomatisasi proses masih berjalan sesuai prosedur dan
maturity level, KIIS memperoleh nilai maturity level sebesar 4,35 dan berada pada
tingkat managed, ini menunjukan bahwa pihak manajemen sudah memonitor dan
mengukur proses-proses dalam KIIS sesuai prosedur yang telah disepakati dan
sudah dapat mengambil tindakan terhadap proses-proses yang tidak dapat bekerja
secara efektif. Otomatisasi proses masih berjalan sesuai prosedur dan peraturan
Pada klausul 9 terkait kebijakan akses kontrol setelah dilakukan penilaian maturity
level, KIIS memperoleh nilai maturity level sebesar 3,75 dan berada pada tingkat
99
mengukur proses-proses dalam KIIS sesuai prosedur yang telah disepakati dan
sudah dapat mengambil tindakan terhadap proses-proses yang tidak dapat bekerja
secara efektif. Otomatisasi proses masih berjalan sesuai prosedur dan peraturan
Pada klausul 11 terkait kebijakan keamanan fisik dan lingkungan setelah dilakukan
penilaian maturity level, KIIS memperoleh nilai maturity level sebesar 3,03 dan
berada pada tingkat defined process, ini menunjukan bahwa Terdapat standarisasi
Proses wajib ditaati sesuai standar. Penyimpangan sulit dideteksi. Prosedur yang
Hasil temuan pada KIIS objektif kontrol 5 tentang persyaratan bisnis untuk kontrol
100
Tabel 4. 66 Hasil Temuan Klausul 6
101
dan permintaan
hak akases ilegal
pada perangkat
pada perangkat
komunikasi yang
menimbulkan
kerugian data pada
korbannya
Berdasarkan
KIIS memberikan klausul 6.2.1
penyuluhan bahwa penyuluhan
mengenai aplikasi- perlu untuk
aplikasi √ memberikan rasa
keamanan/enkripsi aman terhadap
untuk memperkuat penguncian data
keamamanan data. sehingga tersimpan
dengan baik
Hasil temuan pada KIIS objektif kontrol 6 tentang keamanan informasi organisasi,
diperoleh hasil 4 dari 6 proses belum didokumentasikan oleh KIIS, terlihat dalam
klausul 6 KIIS belum memiliki dokumentasi yang baik, yang berakibat keamanan
terganggu keamanannya.
102
7.2 Ketika Bekerja
Dilakukan
Kontrol Petunjuk Penggunaan Bukti Gap
Ya Tidak
Karyawan diberi
pengarahan yang tepat Adanya
tentang peran dan pembatasan
Sesuai
tanggung jawab keamanan informasi antara
√ dengan
informasi mereka sebelum pihak divisi yang
Standar
diberikan akses ke satu dengan
Untuk memastikan informasi rahasia atau lainnya.
bahwa karyawan sistem informasi.
dan kontraktor Karyawan diberikan Terdapat rapat
menyadari dan pedoman untuk manajemen
Sesuai
memenuhi menyatakan harapan setiap pekan
√ dengan
tanggung jawab keamanan informasi untuk
Standar
keamanan tentang peran mereka penyampaian
informasi mereka. dalam organisasi. informasi
Mematuhi syarat dan
ketentuan kerja, yang Adanya dokumen
Sesuai
mencakup kebijakan rekam jejak dan
√ dengan
keamanan informasi penilaian guru
Standar
organisasi dan metode oleh sesama guru
kerja yang sesuai
Hasil temuan pada KIIS objektif kontrol 7 tentang keamanan sumber daya,
diperoleh hasil semua proses sudah didokumentasikan, artinya KIIS sudah berusaha
maksimal dalam dokumentasi proses ini artinya keamanan karyawan (guru) sudah
sangat baik.
9. Kontrol Akses
9.1 Kontrol Akses Kebutuhan Bisnis
Dilakukan
Kontrol Petunjuk Penggunaan Bukti Gap
Ya Tidak
Pembatasan akses
aplikasi bagi setiap
Terdapat status
aplikasi yang ada di
hak akses pada
Membatasi KIIS (seperti: aplikasi
setiap aplikasi. Sesuai dengan
akses ke perizinan, hanya bagian √
Pada divisi apa Standar
informasi pada asrama yang boleh
akun mereka
fasilitas mengakses, aplikasi
itu.
informasi dan musyrif hanya musyrif
jaringan. yang boleh akses)
Belum pernah Kontrol 9.1.1
Harus ada izin formal
√ terjadi difungsikan
(resmi) untuk divisi
pengaksesan sebagai limitasi
103
yang berbeda ilegal pada agar pengguna
mengakses aplikasi aplikasi yang lain tidak
melakukan
diluar hak
aksesnya
Kontrol 9.1.1
difungsikan
sebagai limitasi
Belum ada
Adanya SOP akses agar admin
dalam SOP
jaringan (internet √ dapat me-
pemeliharaan
maupun LAN) di KIIS review siapa
aplikasi
saja yang telah
mengakses
sistem
Adanya manajemen
untuk mengontrol siapa Laporan log Sesuai dengan
√
saja yang dapat jaringan Standar
mengakses jaringan
Adanya prosedur Kontrol 9.1.2
tertulis penggunaan mengontrol agar
jaringan KIIS pada KIIS dapat
pihak yang diharuskan mereview log
Tidak ada
tidak mengakses √ akses, karena
dokumen
(seperti orang luar, akan timbul
maupun yang bukan ancaman baru
termasuk keluarga besar jika tidak
KIIS dll) diantisipasi
Adanya laman login
Ada login akses
untuk otentikasi setiap Sesuai dengan
√ pada setiap
pengguna yang Standar
akses jaringan
mengakses jaringan
Kontrol 9.1.2
mengontrol agar
KIIS dapat
Adanya SOP akses mereview log
Tidak ada
jaringan (internet √ akses, karena
dokumen
maupun LAN) di KIIS akan timbul
ancaman baru
jika tidak
diantisipasi
9.2 Manajemen Akses Pengguna
Dilakukan
Kontrol Petunjuk Penggunaan Bukti Gap
Ya Tidak
Menggunakan akun Manajemen
Sesuai dengan
Untuk dengan ID yang √ Akun pada
Standar
memastikan berbeda; Aplikasi
akses pengguna Langsung menghapus
yang sah dan ID pengguna yang baru Sesuai dengan
√
untuk saja keluar dari Standar
mencegah akses kepegawaian KIIS
ilegal ke dalam Secara periodik,
sistem dan mengidentifikasi dan Sesuai dengan
√
layanan KIIS menghilangkan ID yang Standar
sama (redudan)
104
Memastikan akun
Sesuai dengan
redudan TIDAK dipakai √
Standar
oleh pengguna lain
Memverifikasi bahwa
tingkat akses pengguna
sesuai dengan kebijakan Sesuai dengan
√
akses dan sesuai dengan Standar
persyaratan lain seperti
pemisahan tugas.
Memastikan bahwa hak
akses tidak aktif
√
sebelum prosedur
otorisasi selesai.
Melakukan penyesuaian
hak akses dari pengguna
yang peran atau
pekerjaan berubah dan Sesuai dengan
√
segera menghapus hak Standar
akses pengguna yang
meninggalkan
organisasi.
Secara rutin meninjau
ulang hak akses dengan Sesuai dengan
√
pemilik sistem Standar
informasi atau layanan.
Kontrol 9.2
diharapkan
Adanya identifikasi dapat me-
terhadap pengguna yang review
√ -
memiliki hak akses keamanan
master (istimewa) sistem dengan
lebih baik pada
log-log aplikasi
Kontrol 9.2
diharapkan
Pengecekan otorisasi dapat me-
dan catatan seluruh review
√ -
pemberian hak akses keamanan
istimewa. sistem dengan
lebih baik pada
log-log aplikasi
Kontrol 9.2
Penerapan ID pengguna diharapkan
hak akses istimewa dapat me-
berbeda dengan ID review
√ -
pengguna yang keamanan
digunakan pada akun sistem dengan
biasa. lebih baik pada
log-log aplikasi
Memastikan secara
berkala penggunaan hak Sesuai dengan
√
akses istimewa TIDAK Standar
disalahgunakan.
Adanya prosedur yang Diterapkannya
√
spesifik dalam manajemen
105
penggunaan akun akses kontrol
master (siapa dan kapan 9.2 diharapkan
saja boleh dipakai). dapat membuat
dokumentasi
lebih baik
Diterapkannya
manajemen
Adanya aturan terkait
akses kontrol
penghapusan atau
√ 9.2 diharapkan
pengubahan mengenai
dapat membuat
hak akses.
dokumentasi
lebih baik
Diterapkannya
manajemen
Adanya dokumen yang
akses kontrol
mengidentifikasi hak
√ 9.2 diharapkan
akses pegawai dan
dapat membuat
kontraktor.
dokumentasi
lebih baik
9.3 Tanggung jawab pengguna
9.3.1 Penggunaan informasi rahasia otentikasi
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Pengguna
menyimpan
kerahasiaan
informasi akun dan F.A.Q
Untuk √ Sesuai dengan Standar
tidak Aplikasi
membuat
membocorkannya
setiap
kepada pihak/orang
karyawan
lain.
KIIS
Merubah informasi
bertanggung
rahasia otentikasi
jawab
ketika ada F.A.Q
terhadap √ Sesuai dengan Standar
perubahan/perintah Aplikasi
perlindungan
yang telah disetujui
informasi
bersama.
terhadap
Memastikan
otentikasi
perlidungan yang
akun mereka
tepat pada password
sendiri. F.A.Q
ketika password √ Sesuai dengan Standar
Aplikasi
digunakan sebagai
informasi rahasia
otentikasi.
9.4 Tanggung jawab pengguna
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Untuk Akses Kontrol 9.4
Adanya kebijakan
mencegah mencegah akses dari
pengendalian akses
akses dari pihak yang tidak
yang membatasi
pihak yang berewenang masuk
akses sesuai dengan √
tidak kedalam aplikasi secara
perannya dalam
berewenang tertulis, sehingga
aplikasi (tidak
ke sistem dan dokumen tersebut dapat
boleh membagikan
aplikasi dipertanggungjawabkan
106
informasi akun
antar divisi).
Adanya
pengendalian hak Menu
akses pengguna √ Pengguna Sesuai dengan Standar
(seperti read, write, pada aplikasi
delete dan execute).
Adanya
Menyediakan
aturan siapa
pengendalian akses
saja yang
fisik dan logical
dapat masuk
untuk pemisahan √ Sesuai dengan Standar
dan
aplikasi yang
menggunakan
sensitif, data
ruang kepala
aplikasi atau sistem.
labkom
Menggunakan
teknik otentikasi
yang sesuai untuk √ Sesuai dengan Standar
mengidentifikasi
user.
Adanya aturan yang
berguna untuk
meminimalisir
akses dari pihak
yang tidak √ Sesuai dengan Standar
berwenang, seperti
tidak menampilkan
password saat
diinput ke aplikasi.
Adanya menu
Menu
manajemen
√ Pengguna Sesuai dengan Standar
password di akun
pada aplikasi
pengguna.
Adanya fitur
manajemen
password yang
Menu
memungkinkan
√ Pengguna Sesuai dengan Standar
pengguna untuk
pada aplikasi
mengubah
password mereka
sendiri.
Akses Kontrol 9.4
memastikan keamanan
Adanya fitur yang password benar-benar
menguji kualitas √ terjaga dengan
password. meminimalisir
terjadinya ancaman dari
luar
Adanya fitur yang
berisi peraturan
tentang pengguna
√ Sesuai dengan Standar
harus merubah
password ketika
PERTAMA log-in.
107
Adanya fitur yang
bersisi perubahan
password secara √ Sesuai dengan Standar
teratur dan sesuai
kebutuhan.
Adanya fitur yang
tidak
dibolehkannya
√ Sesuai dengan Standar
menampilkan
password dilayar
monitor.
Hasil temuan pada KIIS objektif kontrol 9 tentang akses kontrol, diperoleh hasil
didokumentasikan oleh KIIS, namun belum maksimal karena ada 13 proses yang
Akses jaringan yang masih bisa terancam dan masuknya pengguna yang tidak sah
108
Melakukan pengaturan
fasilitas untuk Labkom bersifat
Sesuai
mencegah informasi tertutup, hanya teknisi
√ dengan
atau kegiatan rahasia dan staf labkom yang
Standar
diketahui oleh pihak dapat masuk ke dalam
luar sekolah.
Adanya peraturan
Semua data aplikai
terkait penyimpanan Sesuai
internal wajib
internal didalam server √ dengan
disimpan dalam server
(data dalam server Standar
lokal
sensitif).
Mengadakan
penyuluhan dari ahli
tentang bagaimana
cara untuk
menghindari Meski tidak setiap
Sesuai
kerusakan dari waktu, minimal setiap
√ dengan
kebakaran, banjir, setahun sekali KIIS
Standar
gempa bumi, ledakan mengadakan acara P3
dan dari
bentuk lain dari
bencana alam atau
buatan manusia.
11.2 Keamanan Peralatan
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Peralatan ditempatkan
Adanya gudang
pada lokasi yang
khusus peralatan yang
seharusnya untuk Sesuai
sudah tidak dipakai
meminimalisir √ dengan
namun masih dapat
penggunaan yang tidak Standar
digunakan kembali
berwenang dalam area
(tidak rusak)
Untuk mencegah kerja.
kerugian, Adanya ruangan
kerusakan, khusus, AC 24 jam dan
Adanya pengamanan Sesuai
pencurian atau kunci lab yang hanya
pada fasilitas √ dengan
kompromi aset dipegang oleh
penyimpanan (server). Standar
dan gangguan beberapa orang saja
terhadap proses dan tidak dipinjamkan
bisnis organisasi. Melakukan
pemantauan terhadap
kondisi lingkungan Sesuai
yang dapat √ Ceklis Logistik dengan
mempengaruhi Standar
pengoperasian fasilitas
pengolahan informasi.
Menerapkan
Untuk mencegah
perlindungan
kerugian, Antipetir sudah Sesuai
antibanjir dan antipetir
kerusakan, √ dipasang pada setiap dengan
pada semua bangunan
pencurian atau gedung Standar
dan semua jalur
kompromi aset
komunikasi.
dan gangguan
Adanya aturan Sesuai
terhadap proses
mengenai peralatan √ Ceklis Logistik dengan
bisnis organisasi.
yang harus dipelihara Standar
109
sesuai dengan
jadwal waktu service
(AC, PC, dll).
Adanya Pelayanan
Satu Pintu (PSP) yang
Perawatan dan sudah berjalan,
perbaikan peralatan sehingga semua Sesuai
hanya dilakukan oleh √ masalah akan di dengan
personel yang simpulkan pada divisi Standar
berwenang. tertentu dan informasi
tidak menyebar ke
divisi yang lain
Adanya aturan yang
berisi tentang
sebelum meletakkan
peralatan
kembali ke dalam Sesuai
operasi setelah √ Ceklis Logistik dengan
dilakukan perawatan Standar
atau service, peralatan
harus ada pemeriksaan
ulang sebelum
diinventariskan lagi.
Hasil temuan pada KIIS objektif kontrol 11 tentang keamanan fisik dan lingkungan,
diperoleh hasil semua proses sudah didokumentasikan artinya KIIS sudah maksimal
110
merupakan formal dokumen prosedur
dokumen dan perubahan untuk aktivitas
hanya dapat dilakukan sistem untuk
oleh manajemen atau memastikan bahwa
pemegang otoritas fasilitas beroperasi
(kepala labkom). dan aman
Adanya aturan untuk
pemindahan software Sesuai dengan
√
dari status beta ke status Standar
normal aman dipakai.
Software dalam masa
pengembangan dan
Sesuai dengan
operasional dijalankan √
Standar
dalam sistem yang
berbeda.
Perubahan pada sistem
dan aplikasi operasional
sudah di uji pada Sesuai dengan
√
lingkungan testing Standar
sebelum diterapkan pada
sistem operasional.
Penggunaan user profiles
yang berbeda untuk Sesuai dengan
√
sistem operasional dan Standar
sistem testing
12.2 Perlindungan dari Malware
Dilakukan
Kontrol Petunjuk Penggunaan Bukti Gap
Ya Tidak
Adanya kebijakan yang
melarang instalasi
software yang tidak Sesuai dengan
√
dikenal/tidak digunakan Standar
secara resmi oleh
organisasi.
Mengimplementasikan
kontrol yang mencegah
Sesuai dengan
atau mendeteksi √
Untuk Standar
penggunaan software
memastikan
yang tidak dikenal.
bahwa
Adanya kebijakan resmi
informasi dan
untuk perlindungan
fasilitas
terhadap risiko yang
pengolahan
terkait dengan pertukaran Sesuai dengan
informasi √
file dan perangkat lunak, Standar
dilindungi
baik melalui jaringan
terhadap
eksternal ataupun
malware.
melalui media lainnya.
Melakukan peninjauan
rutin pada perangkat
lunak dan konten data Ceklis Sesuai dengan
√
dari sistem yang Labkom Standar
mendukung proses bisnis
organisasi.
Menginstal dan Sesuai dengan
√
melakukan update rutin Standar
111
perangkat lunak yang
berfungsi untuk
mendeteksi malware.
(karena labkom memakai
linux, pertanyaan ini
diganti dengan
melakukan update rutin
OS dengan perintah apt-
update dan apt-upgrade)
Kontrol 12.1
membantu prosedur
Adanya prosedur dalam
operasi dan
perlindungan sistem
dokumen prosedur
terhadap malware seperti
√ untuk aktivitas
pelatihan pengguna,
sistem untuk
pelaporan dan pemulihan
memastikan bahwa
dari serangan malware.
fasilitas beroperasi
dan aman
12.3 Backup
Dilakukan
Kontrol Petunjuk Penggunaan Bukti Gap
Ya Tidak
Adanya catatan (log)
yang akurat dan lengkap
Sesuai dengan
dari salinan backup dan √
Standar
dokumentasi prosedur
pemulihan.
Pelaksanaan backup data
Sesuai dengan
berkala pada setiap √
Standar
bidang/divisi.
Data backup disimpan
pada lokasi yang berbeda
(partisi maupun hdd)
Sesuai dengan
untuk menghindari √
Standar
kerusakan seperti
kerusakan pada lokasi
utama.
Untuk
Kontrol 12.3
melindungi
Melakukan pengujian membantu dalam
hilangnya
secara teratur pada media melakukan
data.
backup untuk pengujian secara
√
memastikan teratur pada media
kehandalannya (system backup untuk
checking). melindungi
hilangnya data
Kontrol 12.3
membantu dalam
Data backup dienkripsi. √ enkripsi pada media
backup untuk
melindungi data
Adanya catatan (log) Kontrol 12.3
yang akurat dan lengkap membantu
dari salinan backup dan √ pencatatan log
dokumentasi prosedur backup untuk
pemulihan. dokumentasi catatan
112
dalam proses
backup
12.5 Pengaturan operasional perangkat lunak
Dilakukan
Kontrol Petunjuk Penggunaan Bukti Gap
Ya Tidak
Adanya prosedur untuk
pengendalian instalasi Manual Sesuai dengan
√
perangkat lunak pada Aplikasi Standar
sistem operasi.
Pengimplementasian
perangkat lunak aplikasi
dan sistem operasi Sesuai dengan
√
dilakukan setelah melalui Standar
Untuk
tahap pengujian yang
memastikan
sukses.
integritas dari
Adanya sistem kontrol
sistem
konfigurasi yang
operasi pada
digunakan untuk Sesuai dengan
komputer √
menjaga kontrol semua Standar
kantor.
perangkat lunak yang
diimplementasikan.
Biasanya
Adanya catatan atau log disampaikan
terkait semua pembaruan secara Sesuai dengan
√
aplikasi atau sistem yang langsung Standar
dilakukan. (presentasi)
ke guru
12.6 Pengaturan operasional perangkat lunak
Dilakukan
Kontrol Petunjuk Penggunaan Bukti Gap
Ya Tidak
Adanya aturan terkait Kontrol 12.6
peran dan tanggung diimplementasikan
jawab yang berhubungan sebagai bentuk
dengan manajemen √ pencegahan
teknik vulnerability perusakan sistem
seperti penilain risiko dengan penilaian
vulnerability. resiko
Untuk
Melakukan identifikasi Kontrol 12.6
mencegah
terhadap aset informasi diimplementasikan
pemanfaatan
yang dimiliki untuk sebagai bentuk
teknik √
mengetahui potensi pencegahan
vulnerability
teknik vulnerability pada perusakan sistem
dan
aset yang dimiliki secara formatif
perusakan
Kontrol 12.6
lainnya. Melakukan pengamatan
diimplementasikan
dan evaluasi pada
sebagai bentuk
manajemen teknik
pencegahan
vulnerability untuk √
perusakan sistem
memastikan prosesnya
dan memastikan
berjalan dengan efektif
proses berjalan
dan efisien.
efisien
113
Hasil temuan pada KIIS objektif kontrol 12 tentang keamanan operasi diperoleh
hasil 17 dari 26 proses sudah dilaksanakan artinya sebagian besar proses sudah
114
pengembangan Adanya panduan
sistem informasi. tentang keamanan √ F.A.Q Aplikasi
dalam aplikasi.
Kontrol 14.2
memastikan
bahwa
Mengidentifikasi identifikasi
persyaratan keamanan
keamanan dalam dalam fase
√
fase perancangan perancangan
(Early Access, Beta dapat
dll). membantu
memastikan
keamanan
aplikasi
Melakukan tinjauan
kembali pada
kontrol bahwa
Sesuai dengan
perubahan pada √
Standar
platform operasi
dapat berjalan
dengan baik.
Adanya
pemberitahuan
perubahan platform
operasi yang tepat
Sesuai dengan
waktu sehingga √
Standar
dapat dilakukan
testing dan review
sebelum
implementasi.
Kontrol 14.2
Melakukan memastikan
pengujian bahwa
penerimaan sistem pengujian
yang mencakup penerimaan
√
pengujian sistem dapat
persyaratan membantu
keamanan memastikan
informasi. keamanan
aplikasi
Melakukan
pengujian dalam
Pengujian
lingkungan yang
dalam server
realistis sehingga Sesuai dengan
√ lokal sebelum
dapat diketahui Standar
dipublikasikan
ancaman yang
daring
dihadapi oleh
sistem.
Hasil temuan pada KIIS objektif kontrol 14 tentang keamanan pada proses
keamanan dalam proses pengembangan dan bantuan diperoleh hasil 7 dari 10 proses
115
sudah dilaksanakan artinya sebagian proses sudah didokumentasikan oleh KIIS,
namun masih perlu ditingkatkan, karena akibat dari belum adanya 3 kebijakan yang
Berdasarkan hasil penelitian pada tahap pengukuran maturity level dan identifikasi
hasil temuan, ada beberapa klausul yang belum didokumentasikan, yang ditaksir
oleh penulis sebagai best practice dalam perbaikan keamanan informasi pada Kafila
Secara garis besar, klausul yang bermasalah adalah: klausul 6.2 pada Perangkat
seluler dan teleworking, klausul 9 pada Kontrol Akses, klausul 12.3 pada prosedur
Backup dan klausul 12.6 pada Pengaturan operasional perangkat lunak. Berikut
adalah rekomendasi penulis mengenai klausul yang bermasalah sesuai pada best
umum, ruangan kerja dan area lain yang tidak terlindungi. Perlindungan
116
Perangkat seluler juga harus dilindungi secara fisik terhadap pencurian.
Perangkat yang berisikan konten informasi bisnis yang penting dan sensitif
tidak boleh ditinggalkan tanpa pengawasan dan jika perlu harus diamankan
secara fisik.
file. Pengguna biasanya tidak sadar akan rekayasa sosial yang sering terjadi,
keperluan kantor.
117
• Pencabutan wewenang dan hak akses, dan pengembalian peralatan
Pada klausul 9.1 mengenai Kontrol Akses Kebutuhan Bisnis, KIIS harus
menentukan aturan kontrol akses yang sesuai, misalkan saja pada hak akses
• Pengelolaan hak akses yang tepat sesuai bidang dalam sekolah, pada
semua jenis koneksi yang disediakan KIIS, dalam hal ini adalah
akses Mikrotik.
administrator.
didokumentasikan.
118
• Pengarsipan catatan semua peristiwa penting terkait dalam
hak akses, proses penyediaan akses atau pencabutan hak akses untuk semua
jakun dalam sistem informasi KIIS, alokasi dan penggunaan hak akses
pada evaluasi akun-akun yang nantinya akan tetap dipelihara atau bahkan
dihapus dari sistem. Nah, ini merupakan proses yang sangat panjang. KIIS
Hal yang sering terjadi adalah ketika sudah menjalani tahun ajaran baru,
didokumentasikan;
119
• Segera menonaktifkan atau menghapus ID pengguna dari pengguna
yang disepakati.
harus disediakan untuk memastikan bahwa semua data & informasi penting
120
uji restorasi data. Melakukan backup tanpa overwrite data yang
cara enkripsi.
Inventarisasi aset saat ini adalah adalah langkah untuk suksesnya klausul
ini. Tindakan yang tepat dan tepat waktu harus diambil dalam menanggapi
masing;
dilakukan;
121
• Proses manajemen kerentanan teknis ini harus diselaraskan dengan
Aplikasi yang dikembangkan KIIS sudah cukup aman dan multifungsi, sudah
sangat terintegrasi dengan baik, namun belum menyentuh mengenai backup data.
Mengingat data yang banyak memerlukan penyimpanan yang banyak, penulis tetap
menganjurkan bahwa aplikasi backup yang dipakai adalah aplikasi linux server dan
mempunyai fitur backup secara berkala. Linux mempunyai sistem sekuriti yang
aplikasi bawaan.
122
Gambar 4. 13 Bacula
Gambar 4. 14 Amanda
123
124
BAB V
PENUTUP
5.1 Kesimpulan
ini yaitu:
b. Pada pengukuran tingkat resiko, semua aset yang diukur mempunyai high
risk, artinya hampir semua aset sangat penting dan berpengaruh pada
mempunyai dokumentasi (log) yang cukup baik. Hanya ada 3 klausul yang
125
- pada klausul keamanan fisik/lingkungan, sangat kurang pada kebijakan
(seperti ruang labkom dan ruang kontrol) tanpa izin dan belum adanya
penggunaan aplikasi hingga belum adanya log yang rapih dan pengawasan
Islamic School.
f. Rata-rata penilaian dari semua klausul yang diteliti adalah managed, artinya
126
yang berhubungan dengan Aset IT dan Aplikasi KIIS, seperti pada
5.2 Saran
menilai sampai sejauh itu (gap pasti akan sangat jauh). Diharapkan dengan
127
4. Penggunaan model juga bisa ditingkatkan menggunakanan CMMI atau
RACI Chart untuk memodelkan sistem agar lebih beragam dan terlihat
kompleksitas keamanannya.
128
129
DAFTAR PUSTAKA
130
Jufri, M. T., Hendayun, M., & Suharto, T. (2018). Risk-assessment based
academic information System security policy using octave Allegro and ISO
27002. Proceedings of the 2nd International Conference on Informatics and
Computing, ICIC 2017, 2018-Janua, 1–6.
https://doi.org/10.1109/IAC.2017.8280541
Kurniawan, E., & Riadi, I. (2018). Analisis Tingkat Keamanan Sistem Informasi
Akademik Berdasarkan Standard ISO/IEC 27002:2013 Menggunakan SSE-
CMM. INTENSIF: Jurnal Ilmiah Penelitian Dan Penerapan Teknologi
Sistem Informasi, 2(1), 12. https://doi.org/10.29407/intensif.v2i1.11830
Mauladani, F., & Siahaan, D. O. (2018). Perancangan SMKI Berdasarkan SNI
ISO/IEC27001:2013 dan SNI ISO/IEC27005:2013 (Studi Kasus DPTSI-
ITS). CSRID (Computer Science Research and Its Development Journal),
10(1), 32. https://doi.org/10.22303/csrid.10.1.2018.32-43
Nafiudin, S. (2019). Sistem Informasi Manajemen. Penerbit Qiara Media.
Nugroho Saputro, F. E., Utami, E., & Al Fatta, H. (2018). Konferensi Nasional
Sistem Informasi 2018 STMIK Atma Luhur Pangkalpinang. 8–9.
Padli, M. I. (2008). Urgensi Keamanan Dalam Sistem Informasi. Iqra’, 2(2).
Perera, D. (2008). ISO / IEC 27001 Information Security Management System.
31(Dec 2007), 9–10.
Santosa, I., & Kuswanto, D. (2016). Analisa Manajemen Resiko Keamanan
Informasi pada Kantor Pelayanan Pajak Pratama XYZ. Rekayasa, 9(2), 108.
https://doi.org/10.21107/rekayasa.v9i2.3347
Saputra, G. W. (2018). Usulan Tata Kelola Keamanan Informasi Berdasarkan
Standar ISO 27001:2013 pada Instalasi Sistem Informasi Rumah Sakit RSUP
Fatmawati (UIN Syarif Hodayatullah Jakarta; Vol. 10).
https://doi.org/10.1542/peds.2006-2099
Sarno, R., & Iffano, I. (2009). Sistem Manajemen Keamanan Informasi (A.
Herdiyanti, Ed.). Surabaya: ITSPress.
Sidik, M., & Iriani, A. (2018). Audit Manajemen Keamanan Teknologi Informasi
Menggunakan Standar ISO 27001 : 2005 Di PerguruanTinggi XYZ. 3(2), 99–
106.
Sihwi, S. W., Andriyanto, F., & Anggrainingsih, R. (2016). An expert system for
risk assessment of information system security based on ISO 27002. 2016
IEEE International Conference on Knowledge Engineering and Applications,
ICKEA 2016, (September 2017), 56–61.
https://doi.org/10.1109/ICKEA.2016.7802992
Succar, B., Sher, W., & Williams, A. (2012). Measuring BIM performance : Five
metrics. ARCHITECTURAL ENGINEERING AND DESIGN
MANAGEMENT, 8, 120–142.
131
Tamimi, M. (2019). SECURITY REVIEW BASED ON ISO 27000 / ISO 27001 /
ISO 27002 STANDARDS : SECURITY REVIEW BASED ON ISO 27000 /
ISO 27001 / ISO 27002 STANDARDS : A CASE STUDY RESEARCH.
Proceedings of Researchfora 48th International Conference, Istanbul,
Turkey, (August).
TÜRCERT. (2018). Apa itu Sistem Manajemen Keamanan Informasi ISO 27001.
Retrieved June 10, 2020, from ISO website:
https://www.belge.com/id/belgelendirme/sistem/iso-27001/
Venter, I. M., Blignaut, R. J., Renaud, K., & Venter, M. A. (2019). Cyber security
education is as essential as “the three R’s.” Heliyon, 5(12), 0–7.
https://doi.org/10.1016/j.heliyon.2019.e02855
Vorster, J., & Goosen, L. (2018). Towards a framework for partnerships between
higher education institutions and E-learning schools. Proceedings of the
International Conference on E-Learning, ICEL, 2018-July(July), 525–533.
Ward, J., & Peppard, J. (2002). Strategic Planning for Information Systems John
Ward and Joe Peppard Wiley, 2002, 3.
132
LAMPIRAN
133
LAMPIRAN 1
WAWANCARA
134
Wawancara 1
Jawaban :
Wa’alaikumsalam
Jawaban :
Jawaban:
Kami ada pak Hassan sebagai di bidang peralatan dan pengadaaan aset, ada pak
begitu. Ada juga pak Abdurrahim yang mengurus aplikasi tahfidz, ada pak Teguh yang
mengurus aplikasi MySchool buat sekolahan. Nanti saya kasih kontaknya saja ya,
135
Jawaban:
Jika pertanyaannya tentang ISO, bisa bertanya kepada Bapak Dhani, beliau adalah
9001:2013 dan karena beberapa waktu ini divisi IT sedang ada masalah, kami juga
berniat untuk melakukan tambahan prosedur baru untuk penerapan ISO 27001, itu
kata MR. Tapi ya nanti dilihat lagi kebutuhan kita, tapi surat edaran sudah dibuat
Jawaban:
• Terima kasih bapak, apakah dalam surat edaran ini juga diberitahu juga mengenai
Jawaban:
• Baik, jika berkenan, dapatkah bapak menyebutkan beberapa masalah IT saat ini?
Jawaban:
Ya kemarin ada masalah di aplikasi tahfidz, terus juga penggunaan yang salah di
aplikasi myschool. Untuk lebih teknisnya bisa langsung ke PJ IT saja ya. Baik, mungkin
cukup dulu ya mas, saya ada rapat dengan Yayasan setelah ini. Langsung hubungi
• Baik, terima kasih atas waktunya Pak, saya undur diri, Assalamu’alaikum
warohmatullah
136
Jawaban:
Wa’alaikumsalam warohmatullah.
137
Wawancara 2
Narasumber: Abdurrohim
Jawaban :
di UIN Syarif Hidayatullah Jakarta, dengan bapak Abdurrohim, apakah bersedia saya
wawancarai?
Jawaban :
Iya , silahkan.
Jawaban:
Betul, kebetulan memang saya selain menjadi admin tahfidz, saya juga ikut
wawancara dengan Pak Ahmad, bahwa ada beberapa masalah yang terjadi ketika
Jawaban:
Betul, beberapa semester ini memang terjadi banyak masalah, tapi sudah di cover
138
karena memang aplikasi yang di convert dengan electron punya library yang harus di
custom ulang, tidak semua bisa otomatis. Nah, kemarin aplikasi Tahfidz berantakan.
Di beberapa komputer normal, ada juga yang tidak. Kalau dihitung, ada 20
laptop/komputer yang dipakai ujian, 5 komputer belum bisa dipakai karena error,
Not a Number (NAN). Ada juga masalah tentang pencurian data oleh salah satu siswa,
• Saya tertarik dengan yang kedua, bagaimana informasi login bisa dicuri?
Jawaban:
Sebenarnya bukan dicuri, lebih pada kelalaian guru tidak menclose aplikasi tahfidz.
• Artinya aplikasi tahfidz tidak punya fitur close/clear cache jika sudah tidak dipakai?
Jawaban:
Itu fitur yang canggih, kami belum sampai kesana, karena memang kejadian itu
terjadi ketika aplikasi baru-baru jadi, dan memang pada saat itu aplikasi tahfidz
Jawaban:
Perlu pedoman alur dan struktur data yang tepat dalam perancangan dan
pembuatan aplikasi,.
Assalamu’alaikum warohmatullah
Jawaban:
Wa’alaikumsalam warohmatullah.
139
Wawancara 3
Jawaban :
Wa’alaikumsalam, silahkan.
di UIN Syarif Hidayatullah Jakarta, dengan bapak Rifki Baisa, apakah bersedia saya
Jawaban :
Silahkan, tapi mungkin ada hal yang tidak 100% saya utarakan jika berhubungan
dengan privasi dan keamanan, karena memang saya orang keamanan mas.
• Apakah benar bapak yang mengurus jalur komunikasi internet dan CCTV?
Jawaban:
Jawaban:
Jika memang hacking dari luar belum ada, karena memang data kita tidak terlalu
dibutuhkan orang luar, tapi jika dari dalam, banyak. Kemarin aja baru ada satu siswa
yang memanipulasi nilai ujiannya. Ada juga karyawan yang memakai akun orang lain
140
untuk usil mungkin karena password belum diganti dari password default-nya, Untuk
jaringan aman sih, tapi kalau Labkom kemarin bermasalah di server, listrik stop, aliran
listrik ke server mati, kondisi UPS rusak, yasudah server sempet rusak, hdd error.
Jawaban:
Sekali sih, Alhamdulillah, setelah itu aman. Tapi sebenarnya menurut saya bukan itu
yang terpenting.
• Maksud bapak?
Jawaban:
aset-aset jaringan dan CCTV (control room), sering terjadi kehilangan dan
kerusakan aset dan tidak terdokumentasikan dengan baik. Itu sering banget alat
• Artinya perlu peraturan manajerial yang mengatur pendataan dan pengecekan aset
pak?
Jawaban:
• Baik, terima kasih atas waktunya Pak, saya cukupkan wawancaranya, saya
Jawaban:
Wa’alaikumsalam warohmatullah.
141
Wawancara 4
Narasumber: Taufiqurrahman
Jawaban :
Jawaban :
Betul, bukan cuma saya develop, tapi tim juga. Saya bantu-bantu dan koordinir
pemeliharaan data dan pengembangan sistem aplikasi digital yang kini sudah
berjalan di KIIS.
• Apakah ISO 9001 sudah cukup untuk manajemen pemeliharaan aset labkom?
Jawaban:
ISO 9001 (yang sudah dilengkapi ISO 31000) mengenai manajemen mutu
sudah dirasa cukup untuk pengendalian mutu laboratorium, namun masih ada
142
Jawaban:
Pada 20 Januari 2020, terjadi kehilangan data pada server sekolah (salah satu
yang tidak pantas, karena berdampak buruk dalam keamanan informasi, terjadi
kebocoran informasi login akun sekolah (terlampir) dan muncul berbagai kasus
Jawaban:
Dari luar belum, dari dalam iya, karena belum adanya SOP atau peraturan, atau
Jawaban:
Sesekali sih, kita memang men-develop aplikasi, kita juga yang coba testing sendiri
dan coba sendiri, namanya juga aplikasi internal. Ada kalanya fitur belum maksimal,
terutama keamanannya.
• Baik, terima kasih atas waktunya Pak, saya cukupkan wawancaranya, saya
Jawaban:
143
Wawancara 5
Jawaban :
jurusan sistem informasi di UIN Syarif Hidayatullah Jakarta, dengan bapak Dhani,
Jawaban :
upaya untuk mengatur aset yang saat ini, makanya saya membuat aplikasi
Jawaban:
Hehehe, sepertinya belum, karena konsepnya nambah aset, nambah aturan, kan
seperti itu. Missal kita sekarang tidak punya apa-apa, pasti gak punya aturan
apa-apa, jika kita punya barang, mulai tuh mikirin apdetan, aksersoris dan lain-
lain lah.
144
Jawaban:
Maksudnya bagaimana? Jika memang diperlukan standar lain sih saya kira ISO
sudah cukup. Paling standar buat SOP aplikasi sih, Perlu adanya standar
aplikasi yang KIIS pakai yaitu aplikasi UKS, aplikasi pengaduan daring yang
• Baik, terima kasih atas waktunya Pak Dhani, saya kira cukup untuk wawancaranya,
Jawaban:
145
LAMPIRAN 2
FORMULIR EVALUASI
146
KUESIONER
Kuesioner ini merupakan instrumen penelitian mahasiswa Program Studi Sistem Informasi,
Universitas Islam Negeri Syarif Hidayatullah Jakarta, tujuan kuesioner ini adalah untuk
memperoleh data dari para staff Instalasi Sistem Informasi Kafila International Islamic School.
Kuesioner Maturity level ini dikembangkan dari standar ISO 27001:2013 untuk mengetahui
tingkat kematangan pada proses pengelolaan keamanan informasi padda kondisi yang saat ini (as
is) yang selanjutnya dapat dijadikan dasar yang cukup untuk identifikasi prioritas peningkatan
(improvement).
Petunjuk Pengisian
Untuk jawaban responded, diberikan 6 (enam) pilihan jawaban yang menunjukan tingkat
kematangan terhadap atribut tertentu pada proses Pengelolaan Keamanan Informasi. Pilihan
pilihan jawaban tersebut dari 0 sampai 5, yang secara berturut-turut merepresentasikan tingkat
kapabilitasnya, dimana (0) Non-Existent, (1) Initial, (2) Repeatable, (3) Defined, (4) Managed,
dan (5) Optimised.
Pada kolom “Tanggapan”, responden dapat memilih salah satu jawaban yang dianggap bisa
mewakili kondisi kondisi saat ini, dengan memberikan tanda ( ) pada tempat yang tersedia.
Dengan mengetahui kondisi kematangan saat ini (as is) selanjutnya akan dilakukan analisa untuk
menjadi dasar dalam rancangan solusi dalam rangka perbaikan proses pengelolaan keamanan
informasi.
Untuk kebutuhan informasi, diharapkan Bapak/Ibu sebagai responden dapat memberikan
tanggapan atas pertanyaan-pertanyaan yang diberikan dalam kuesioner ini.
Level 0
Non-Existent artinya terdapat kekurangan menyeluruh terhadap proses tersebut. Sekolah bahkan
147
Level 1
Initial artinya terdapat bukti bahwa perusahaan mengetahui adanya permasalahan yang harus
diatasi. Bagaimanapun juga tidak terdapat proses standar, namun menggunakan pendekatan ad
Level 2
Repeatable artinya proses dikembangkan ke dalam tahapan di mana prosedur serupa diikuti oleh
pihak-pihak yang berbeda untuk pekerjaan yang sama. Tidak terdapat pelatihan
Level 3
melalui pelatihan. Kemudian diamanatkan bahwa proses-proses tersebut harus diikuti. Namun
penyimpangan tidak mungkin dapat terdeteksi. Prosedur sendiri tidak lengkap namun sudah
Level 4
Managed artinya manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan
mengambil tindakan jika proses tidak dapat dikerjakan secara efektif. Proses
berada dibawah peningkatan konstan (sedikit/banyak namun teratur) dan penyediaan praktek
yang baik.
Level 5
Optimised artinya proses telah dipilih ke dalam tingkat praktek yang baik, berdasarkan hasil dari
informasi digunakan sebagai cara terintegrasi untuk mengotomatisasi alur kerja, penyediaan alat
untuk peningkatan kualitas dan efektivitas serta membuat perusahaan cepat beradaptasi.
Nama Responden
148
Jabatan Responden
Bidang
149
Verifikasi yang lebih terperinci, seperti
2 peninjauan kredit atau peninjauan 1
catatan kriminal.
Bahwa semua karyawan yang diberi
akses ke informasi rahasia harus
3 menandatangani perjanjian kerahasiaan 1
atau non-pengungkapan sebelum
diberikan akses informasi.
Ketika Bekerja
A.7.2 Untuk memastikan bahwa karyawan dan kontraktor menyadari dan memenuhi
tanggung jawab keamanan informasi mereka.
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Karyawan diberi pengarahan yang tepat
tentang peran dan tanggung jawab
1 keamanan informasi mereka sebelum 1
diberikan akses ke informasi rahasia
atau sistem informasi.
Karyawan diberikan pedoman untuk
menyatakan harapan keamanan
2 1
informasi tentang peran mereka dalam
organisasi.
Mematuhi syarat dan ketentuan kerja,
yang mencakup kebijakan keamanan
3 1
informasi organisasi dan metode kerja
yang sesuai
A.8 Manajemen Aset
Pertanggungjawaban Aset
A.8.1 Mengidentifikasi aset organisasi dan menetapkan tanggung jawab perlindungan yang
sesuai
A.8.1.1 Inventarisasi Pengendalian aset
150
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Pembatasan akses aplikasi bagi setiap
aplikasi yang ada di KIIS (seperti:
1 aplikasi perizinan, hanya bagian asrama 1
yang boleh mengakses, aplikasi musyrif
hanya musyrif yang boleh akses)
2 Konsistensi dari poin 1 diatas 1
Harus ada izin formal (resmi) untuk
3 1
divisi yang berbeda mengakses aplikasi
Perlunya evaluasi berkala semua log
4 1
akses pada aplikasi
A.9.1.2 Akses Jaringan
151
Melakukan penyesuaian hak akses dari
pengguna yang peran atau pekerjaan
3 berubah dan segera menghapus hak 1
akses pengguna yang meninggalkan
organisasi.
Secara rutin meninjau ulang hak akses
4 dengan pemilik sistem informasi atau 1
layanan.
A.9.2.3 Manajemen hak akses master
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya identifikasi terhadap pengguna
1 yang memiliki hak akses master 1
(istimewa)
Pengecekan otorisasi dan catatan
2 1
seluruh pemberian hak akses istimewa.
Penerapan ID pengguna hak akses
3 istimewa berbeda dengan ID pengguna 1
yang digunakan pada akun biasa.
Memastikan secara berkala penggunaan
4 hak akses istimewa TIDAK 1
disalahgunakan.
Adanya prosedur yang spesifik dalam
5 penggunaan akun master (siapa dan 1
kapan saja boleh dipakai).
A.9.2.6 Pengelolaan hak akses
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya aturan terkait penghapusan atau
1 1
pengubahan mengenai hak akses.
Adanya dokumen yang mengidentifikasi
2 1
hak akses pegawai dan kontraktor.
Tanggung jawab pengguna
A.9.3 Untuk membuat setiap karyawan KIIS bertanggung jawab terhadap perlindungan
informasi terhadap otentikasi akun mereka sendiri.
A.9.3.1 Penggunaan informasi rahasia otentikasi
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Pengguna menyimpan kerahasiaan
informasi akun dan tidak
1 1
membocorkannya kepada pihak/orang
lain.
Merubah informasi rahasia otentikasi
2 ketika ada perubahan/perintah yang 1
telah disetujui bersama.
Memastikan perlidungan yang tepat
pada password ketika password
3 1
digunakan sebagai informasi rahasia
otentikasi.
Kontrol akses sistem dan aplikasi
A.9.4
Untuk mencegah akses dari pihak yang tidak berewenang ke sistem dan aplikasi
A.9.4.1 Pembatasan akses informasi
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya kebijakan pengendalian akses
1 1
yang membatasi akses sesuai dengan
152
perannya dalam aplikasi (tidak boleh
membagikan informasi akun antar
divisi).
Adanya pengendalian hak akses
2 pengguna (seperti read, write, delete dan 1
execute).
Menyediakan pengendalian akses fisik
3 dan logical untuk pemisahan aplikasi 1
yang sensitif, data aplikasi atau sistem.
A.9.4.2 Prosedur keamanan akses sistem (aplikasi)
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Menggunakan teknik otentikasi yang
1 1
sesuai untuk mengidentifikasi user.
Adanya aturan yang berguna untuk
meminimalisir akses dari pihak yang
2 tidak berwenang, seperti tidak 1
menampilkan password saat diinput ke
aplikasi.
A.9.4.3 Sistem manajemen password
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya menu manajemen password di
1 1
akun pengguna.
Adanya fitur manajemen password yang
2 memungkinkan pengguna untuk 1
mengubah password mereka sendiri.
Adanya fitur yang menguji kualitas
3 1
password.
Adanya fitur yang berisi peraturan
4 tentang pengguna harus merubah 1
password ketika PERTAMA log-in.
Adanya fitur yang bersisi perubahan
5 password secara teratur dan sesuai 1
kebutuhan.
Adanya fitur yang tidak dibolehkannya
6 1
menampilkan password dilayar monitor.
153
Fasilitas jaringan dan data ditempatkan
1 pada lokasi yang sesuai untuk 1
menghindari akses oleh publik.
Melakukan pengaturan fasilitas untuk
mencegah informasi atau kegiatan
2 1
rahasia diketahui oleh pihak luar
sekolah.
Adanya peraturan terkait penyimpanan
3 internal didalam server (data dalam 1
server sensitif).
A.11.1.4 Pengamanan terhadap ancaman dan lingkungan eksternal
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Mengadakan penyuluhan dari ahli
tentang bagaimana cara untuk
menghindari kerusakan dari
1 kebakaran, banjir, gempa bumi, 1
ledakan dan dari
bentuk lain dari bencana alam atau
buatan manusia.
Keamanan Peralatan
A.11.2 Untuk mencegah kerugian, kerusakan, pencurian atau kompromi aset dan gangguan
terhadap proses bisnis organisasi.
A.11.2.1 Penempatan peralatan dan perlindungannya
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Peralatan ditempatkan pada lokasi
yang seharusnya untuk meminimalisir
1 1
penggunaan yang tidak berwenang
dalam area kerja.
Adanya pengamanan pada fasilitas
2 1
penyimpanan (server).
Melakukan pemantauan terhadap
kondisi lingkungan yang dapat
3 1
mempengaruhi pengoperasian fasilitas
pengolahan informasi.
Menerapkan perlindungan antibanjir
4 dan antipetir pada semua bangunan dan 1
semua jalur komunikasi.
A.11.2.4 Pemeliharaan Peralatan
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya aturan mengenai peralatan
1 yang harus dipelihara sesuai dengan 1
jadwal waktu service (AC, PC, dll).
Perawatan dan perbaikan peralatan
2 hanya dilakukan oleh personel yang 1
berwenang.
Adanya aturan yang berisi tentang
sebelum meletakkan peralatan
kembali ke dalam operasi setelah
3 1
dilakukan perawatan atau service,
peralatan harus ada pemeriksaan ulang
sebelum diinventariskan lagi.
154
A.12 Keamanan operasi
Prosedur dan tanggung jawab operasional
A.12.1
Memastikan operasi yang benar dan aman pada fasilitas pengolahan informasi.
A.12.1.1 Dokumen prosedur operasi
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya dokumen prosedur untuk
aktivitas operasional yang berkaitan
1 1
dengan pemprosesan informasi dan
fasilitas komunikasi.
Adanya prosedur pengoperasian yang
2 menjelaskan instruksi operasional 1
secara spesifik (buku manual).
Prosedur operasi dan dokumen
prosedur untuk aktivitas sistem
merupakan formal dokumen dan
3 1
perubahan hanya dapat dilakukan oleh
manajemen atau pemegang otoritas
(kepala labkom).
A.12.1.4 Pemisahan lingkungan pengembangan, testing dan operasional
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya aturan untuk pemindahan
1 software dari status beta ke status 2
normal aman dipakai.
Software dalam masa pengembangan
2 dan operasional dijalankan dalam 1
sistem yang berbeda.
Perubahan pada sistem dan aplikasi
operasional sudah di uji pada
3 1
lingkungan testing sebelum diterapkan
pada sistem operasional.
Penggunaan user profiles yang
4 berbeda untuk sistem operasional dan 1
sistem testing
Perlindungan dari Malware
A.12.2 Untuk memastikan bahwa informasi dan fasilitas pengolahan informasi dilindungi
terhadap malware.
A.12.2.1 Pengendalian melawan malware
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya kebijakan yang melarang
instalasi software yang tidak
1 1
dikenal/tidak digunakan secara resmi
oleh organisasi.
Mengimplementasikan kontrol yang
mencegah atau mendeteksi
2 1
penggunaan software yang tidak
dikenal.
Adanya kebijakan resmi untuk
perlindungan terhadap risiko yang
terkait dengan pertukaran file dan
3 1
perangkat lunak, baik melalui jaringan
eksternal ataupun melalui media
lainnya.
155
Melakukan peninjauan rutin pada
perangkat lunak dan konten data dari
4 1
sistem yang mendukung proses bisnis
organisasi.
Menginstal dan melakukan update
rutin perangkat lunak yang berfungsi
untuk mendeteksi malware.
5 (karena labkom memakai linux, 1
pertanyaan ini diganti dengan
melakukan update rutin OS dengan
perintah apt-update dan apt-upgrade)
Adanya prosedur dalam perlindungan
sistem terhadap malware seperti
6 1
pelatihan pengguna, pelaporan dan
pemulihan dari serangan malware.
Backup
A.12.3
Untuk melindungi hilangnya data.
A.12.3.1 Informasi Pencadangan
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya catatan (log) yang akurat dan
1 lengkap dari salinan backup dan 1
dokumentasi prosedur pemulihan.
Pelaksanaan backup data berkala pada
2 1
setiap bidang/divisi.
Data backup disimpan pada lokasi
yang berbeda (partisi maupun hdd)
3 1
untuk menghindari kerusakan seperti
kerusakan pada lokasi utama.
Melakukan pengujian secara teratur
4 pada media backup untuk memastikan 1
kehandalannya (system checking).
5 Data backup dienkripsi. 1
Pengaturan operasional perangkat lunak
A.12.5
Untuk memastikan integritas dari sistem operasi pada komputer kantor.
A.12.5.1 Dokumen prosedur operasi
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya prosedur untuk pengendalian
1 instalasi perangkat lunak pada sistem 1
operasi.
Pengimplementasian perangkat lunak
aplikasi dan sistem operasi dilakukan
2 1
setelah melalui tahap pengujian yang
sukses.
Adanya sistem kontrol konfigurasi
yang digunakan untuk menjaga kontrol
3 1
semua perangkat lunak yang
diimplementasikan.
Adanya catatan atau log terkait semua
4 pembaruan aplikasi atau sistem yang 1
dilakukan.
Manajemen teknik vulnerability
A.12.6
Untuk mencegah pemanfaatan teknik vulnerability dan perusakan lainnya.
A.12.6.1 Manajemen teknik vulnerability
156
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Adanya aturan terkait peran dan
tanggung jawab yang berhubungan
1 dengan manajemen teknik 1
vulnerability seperti penilain risiko
vulnerability.
Melakukan identifikasi terhadap aset
informasi yang dimiliki untuk
2 1
mengetahui potensi teknik
vulnerability pada aset yang dimiliki
Melakukan pengamatan dan evaluasi
pada manajemen teknik vulnerability
3 1
untuk memastikan prosesnya berjalan
dengan efektif dan efisien.
157
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Melakukan tinjauan kembali pada
kontrol aplikasi dan prosedur integritas
1 untuk memastikan bahwa perubahan 1
pada platform operasi dapat berjalan
dengan baik.
Adanya pemberitahuan perubahan
platform operasi yang tepat waktu
2 1
sehingga dapat dilakukan testing dan
review sebelum implementasi.
A.14.2.9 Menguji penerimaan sistem
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Melakukan pengujian penerimaan
1 sistem yang mencakup pengujian 1
persyaratan keamanan informasi.
Melakukan pengujian dalam
lingkungan yang realistis sehingga
2 1
dapat diketahui ancaman yang
dihadapi oleh sistem.
158
LAMPIRAN 3
SURAT-SURAT
159
160
161
162
163
LAMPIRAN 4
FOTO DOKUMENTASI
164
Gambar 1 Control Room Gambar 2 Server
165
166