Bahan Ksi Nist
Bahan Ksi Nist
p-issn : 2088-2114
Vol. 10, no.1, Juni 2018, hlm. 1-16
e-issn : 2477-2542
http://jurnal.unsur.ac.id/mjinformatika
Abstract
LPSE Unit (Electronic Procurement Service) in Cianjur District is an e-procurement application with Embedded
IT system concept that performs its function as a virtual market that brings together goods / service providers and those
who need goods / services, in order to realize clean and good government in procurement goods / services Government.
Infrastructure in LPSE unit is still a major obstacle in the implementation of information security incidents that often
resulted in disruption of business processes due to lack of awareness of the importance of Information Security. With the
establishment of the ISMS, information can be properly managed, ensuring business continuity, minimizing risks, limiting
the impact of security breaches and safeguarding aspects of confidentiality, integrity, and availability of information. The
design of the ISMS in this study refers to SNI ISO / IEC 27001: 2013 and SNI ISO / IEC 27005: 2013 standards. In the
design of the ISMS, there are several stages of identifying information assets, threats, vulnerabilities, risks, impacts, and
evaluating (Questionnaire) levels of availability based on the selected clauses.This research produces document design
process of ISMS in the form of design of Information Security Manual Document, Work Procedure and Working Form.
Abstrak
Unit LPSE (Layanan Pengadaan Secara Elektronik) Kabupaten Cianjur merupakan aplikasi e-procurement
dengan konsep Embedded IT system yang menjalankan fungsinya sebagai pasar virtual yang mempertemukan penyedia
barang/jasa dan pihak yang membutuhkan barang/jasa, dengan tujuan guna mewujudkan clean and good government
dalam pengadaan barang/jasa Pemerintah. Infrastruktur TI Unit LPSE ini masih menjadi kendala besar dalam
pelaksanaanya yaitu sering terjadi insiden keamanan informasi yang mengakibatkan terganggunya proses bisnis
dikarenakan kurangnya kesadaran akan pentingnya Keamanan Informasi. Dengan dibangunya SMKI, agar informasi
dapat dikelola dengan benar, menjamin kelangsungan bisnis, meminimalisir risiko, membatasi dampak dari pelanggaran
keamanan dan menjaga aspek Kerahasiaan (confidentiality), keutuhan (Integrity), dan ketersediaan (availability) dari
informasi. Perancangan SMKI yang disusun pada penelitian ini mengacu pada standar SNI ISO/IEC 27001: 2013 dan
SNI ISO/IEC 27005: 2013. Dalam perancangan SMKI terdapat beberapa tahap yaitu melakukan identifikasi aset
informasi, ancaman, kerentanan, risiko, dampak, dan mengevaluasi (Kuesioner) tingkat ketersediaan berdasarkan
kalusul yang dipilh. Sehingga penelitian ini menghasilkan dokumen proses perancangan SMKI yaitu perancangan
Dokumen Manual Keamann Informasi, Prosedur Kerja dan Formulir Kerja.
1
MJI Vol.10, No.1, Juni 2018, hlm. 1-16
Dinas Kominfo Kabupaten Cianjur merupakan instansi penyelenggara sistem elektronik dalam penerapan Sistem
Pemerintah yang bertugas menyelenggarakan urusan Manajemen Keamanan Informasi, sehingga dalam
bidang komunikasi dan Informatika. Dalam penelitian ini penulis ingin mengangkat topik salah satu
penyelenggaran dan penerapan manajemen TIK Dinas tindakan supaya tidak terjadi insiden atau ancaman yang
Kominfo Cianjur sudah berjalan dengan pemanfaatan menyebabkan gangguan Keamanan Informasi yaitu
teknologi informasi karena merupakan sebuah tuntutan dengan menerapkan Perancangan Sistem Manjemen
dan peran yang semakin penting sebagai salah satu Keamanan Informasi SMKI, ini diharapkan dapat
realisasi dari lembaga Pemerintahan yang baik. Salah mengamankan aset-aset yang terdapat pada Dinas
satunya Unit kerja penyelenggaraan pelayanan LPSE Kominfo Kabupaten Cianjur dan elemen-elemen lain
(Layanan Pengadaan Secara Elektronik). LPSE yang harus benar-benar diamankan.
menjalankan fungsi sebagai pasar virtual yang
mempertemukan penyedia barang/jasa dan pihak yang
membutuhkan barang/jasa. 1.2 Rumusan Masalah
LPSE merupakan unit pelaksana yang memfasilitasi Berdasarkan uraian dari latar belakang diatas maka
unit layanan pengadaan (ULP) Pejabat pengadaan pada rumusan masalah yang dibuat yaitu:
proses pengadaan barang/jasa secara elektronik dimana 1. Bagaimana cara melakukan Perancangan SMKI
tujuannya dalam rangka untuk percepatan pelaksanaan berbasis risiko dengan standar SNI ISO/IEC 27001:
pembangunan infarstruktur daerah itu sendiri. Sistem 2013 dan SNI ISO/IEC 27005 : 2013 untuk prosedur
informasi untuk LPSE ini disimpan dalam sebuah server keamanan informasi
SPSE secara mandiri (khusus) tidak ada unit-unit kegiatan 2. Bagaimana cara melakukan Manajemen Risiko
yang lain bahkan pengelolaanya langsung dibawah Keamanan Informasi di LPSE Kominfo Kabupaten
pengawasan Koordinator LPSE. Cianjur
Infrastruktur Teknologi Informasi LPSE Kominfo 3. Bagaimana cara pemetaan kontrol keamanan terhadap
Kabupaten Cianjur masih menjadi kendala besar dalam standar SNI ISO/IEC 27001: 2013 berdasarkan hasil
pelaksanaanya yaitu sering terjadi insiden keamanan dari proses Manajemen Risiko keamanan Informasi
informasi yang mengakibatkan terganggunya proses
bisnis, terjadinya kegagalan pengiriman ketika penyedia 1.3 Batasan Masalah
melakukan apload penawaran, Informasi melalui e-mail Adapun batasan masalah dari pembahasan penelitian
tidak bisa terkirim, server kadang tidak menerima ini. Agar pembahasan tidak terlalu luas antara lain
transaksi dari penyedia barang/jasa, meskipun pada saat 1. Menyusun perancangan Sistem Manajemen
ini infrastruktur jaringan sudah terinstalasi seperti Keamanan Informasi pada Dinas Komunikasi dan
Firewall, Froxy dan mikrotik seperti layanan Informatika Kabupaten Cianjur menggunakan standar
wifi/Hotspot. Selain itu penerapan langkah pengamanan ISO/IEC 27001:SNI 2013 dengan tahapan Plan-do-
masih bersifat reaktif tidak mengacu pada keseluruhan check-act, untuk manajemen Risiko keamanan
risiko yang ada, tidak ada komunikasi dan kewenangan informasi menggunakan satandar SNI ISO/IEC
yang jelas dan tanpa pengawasan, kelemahan teknis dan 27005:2013
non teknis tidak teridentifikasi dengan baik 2. Rencana klausul yang digunakan adalah Anek A
serta pihak yang terlibat tidak menyadari tanggung jawab. Klausul : A 7 Sumber Daya manusia, Klausul A8
Dalam penyelenggaraan sistem manajemen TIK faktor Manajemen Aset, Klausul A9 Kontrol Akses, Klausul
Keamanan informasi merupakan aspek yang sangat A 11 Keamanan Fisik dan lingkungan dan Klausul
penting pada LPSE di Kominfo Kabupaten Cianjur, A13 Keamanan Komunikasi.
sangat diperlukan mengingat jika informasi mengalami 3. Perancangan SMKI yang dibangun terdiri dari
masalah yang menyangkut kerahasiaan, keutuhan dan perancangan Manual Keamanan Informasi, Prosedur
ketersediaan. Terutama bahwa data-data di LPSE banyak dan Formulir keamanan informasi.
yang merupakan data-data rahasia yang harus diamankan
dan keamanan ini hal penting untuk diterapkan.
Upaya yang dapat dilakukan oleh Kementrian 1.4 Tujuan Penelitian
Kominfo adalah menyelenggarakan sosialisasi dan Menghasilkan dokumen proses perancangan Sistem
bimbingan teknis (Bimtek) Sistem Manajemen Keamanan manajemen keamanan informasi untuk Infrastruktur TI
Informasi (SMKI), hasilnya bahwa mayoritas instansi LPSE Dinas Komunikasi dan Informatika Kabupaten
peserta belum memiliki atau sedang menyusun kerangka Cianjur menggunakan standar SNI ISO/IEC 27001:2013
kerja keamanan informasi yang memenuhi standar SNI yang terdiri dari :
ISO/IEC 27001:2013. Beberapa instansi yang telah a. Perancaangan dokumen manual sistem manajemen
memiliki dokumentasi sistem manajemen keamanan keamanan Informasi
informasi juga belum mengetahui apakah kerangka kerja b. Perancangan Prosedur sistem manajemen keamanan
yang mereka bangun telah memenuhi persyaratan standar Informasi
SNI ISO/IEC 27001:2013 c. Perancangan Formulir
Hingga saat ini, Dinas Kominfo Kabupaten Cianjur
belum mempunyai kerangka kerja keamanan informasi
yang memenuhi standar SNI ISO/IEC 27001:2013. Selain 1.5 Metode Penelitian
itu pemerintah melalui PerMenKominfo no 4 Tahun 2016 Dalam melakukan penelitian ini, terdapat beberapa
telah mengarahkan penggunaan SNI ISO/IEC tahap yang akan dilakukan oleh penyusun, yaitu :
27001:2013 untuk data-data yang penting wajib bagi
2
Fuad Nasher, Perancangan Sistem Manajemen Keamanan Informasi Layanan Pengadaan Barang/Jasa Secara
Elektronik (LPSE)
1. Studi Literatur dan referensi baik dari buku atau Definisi lain keamanan informasi menurut (SMKI
sumber-sumber dari internet terkait dengan keamanan dalam Sarno dan iffano, 2009:45) adalah suatu upaya
Informasi untuk mengamankan aset informasi terhadap ancaman
2. Membuat Daftar Kuesioner. Daftar kuesioner ini di yang mungkin timbul. Maka keamanan informasi secara
susun untuk semua level manajemen yang terlibat tidak langsung dapat menjamin kontinuitas bisnis,
dalam sistem dengan tujuan mengumpulkan informasi mengurangi risiko-risiko yang terjadi, mengoftimalkan
seputar praktek praktek keamanan informasi dengan pengembalian investasi (return on investment).
tujuan untuk memperoleh pemahaman organisasi Bahwa ini berarti Kemanan informasi berkaitan upaya
tentang keamanan informasi kemudian data tersebut perlindungan atau mengamankan aset yang berharga
dianalisis terhadap kehilangan, pengungkapan penyalahgunaan,
3. Melakukan Analisis terhadap objek penelitian yang atau kerusakan yang mungkin terjadi upaya dalam
didalamnya menganalisis aset, risiko dan dampak menjamin kelangsungan bisnis (business continuity),
4. Menyusun Kerangka Kerja sistem manajemen meminimalkan risiko bisnis (reduce business risk) dan
Keamanan informasi kemudian akhirnya menjadi memaksimalkan pengembalian investasi dan peluang.
sebuah dokumen SMKI berdasarkan hasil penelitian Keamanan bisa dicapai dengan beberapa cara atau
5. Menyusun Kesimpulan dan saran strategi yang biasa dilakukan secara simultan atau
dilakukan dalam kombinasi satu dengan lainnya. Strategi
2. Tinjauan Pustaka – strategi dari keamanan informasi masing – masing
memiliki fokus dan dibangun dengan tujuan tertentu yang
2.1 Pentingnya Keamanan Informasi sesuai kebutuhan.
Pada era globalisasi berbagai organisasi dihadapakan Keamanan informasi merupakan aspek penting dalam
dengan Sejumlah ancaman Keamanan Informasi dari usaha melindungi aset informasi dari seoluruh ancaman
berbagai sumber. Hal ini diperlihatkan sejumlah kasus yang mungkin terjadi dalam upaya untuk memastikan
kejahatan komputer secara disengaja. Seperti pencurian atau menjamin kelangsungan bisnis, meminimasi risiko
data, spionase, hacking atau ancaman yang diakibatkan bisnis dan memaksimalkan atau mempercepat
bencana alam. Dengan demikian dari keseluruhan pengembalian investasi dan peluang bisnis dalam sebuah
ancaman merupakan risiko yang dihadapi oleh organisasi organisasi. Jenis-jenis keamanan informasi dapat dibagi
bersangkutan. menjadi beberapa bagian sebagai berikut :
Penjagaan Keamanan Informasi diperlukan usaha 1. Keamanan Fisik (Physical Security)
dalam memperhatikan faktor keamanan dan keseluruhan Merupakan strategi untuk mengamankan individu atau
piranti pendukung yang terkait langsung atau tidak anggota organisasi, aset fisik dan tempat kerja dari
langsung dengan proses pengolahan Informasi. Dengan berbagai ancaman meliputi bahaya kebakaran, akses
amannya keseluruhan lingkungan tempat informasi tanpa otorisasi dan bencana alam yang terjadi.
berada maka kerahasiaan, integritas, dan ketersedian
Informasi akan dapat secara efektif. 2. Keamanan Pribadi (Personal Security)
Keamanan yang baik dapat dicapai diantaranya: Merupakan bagian dari keamanan fisik yang
- Penerapan sejumlah upaya teknis yang didukung berhubungana dengan melindungi personil/SDM pada
oleh berbagai kebijakan dan prosedur manajemen yang organisasi yang memiliki akses terhadap informasi yang
sesuai, yang dimulai dari pengidentifikasian sejumlah biasanya saling berhubungan dengan ruang linkup
Kontrol yang relevan untuk diterapkan dalam organisasi. Phisical security.
- Sosialisasi keseluruhan piranti ke segenap
lapisan manajemen dan karyawan organisasi untuk 3. Keamanan Operasional (Operation Security)
mendapatkan dukungan dan komitmen. Keamanan Informasi Fokus yang membahas bagaimana
- Para pihak berkepentingan lain yang berada di strategi untuk mengamankan kemampuan organisasi
luar organisasi harus dilibatkan dalam proses sosialisasi untuk beroperasi tanpa ada gangguan.
karena mereka merupakan bagian yang tidak terpisahkan
dari keamanan Informasi yang dibangun. 4. Keamanan Komunikasi (Communication Security)
- Keterlibatan para ahli dari luar organisasi untuk Bertujuan mengamankan media komunikasi, teknologi
membantu organisasi menyusun kebutuhan dan komunikasi beserta isinya, serta kemampuan untuk
mengidentifikasikan Kontrol yang dibutuhkan, sehingga memanfaatkan media dan teknologi komunikasi untuk
keamanan Informasi yang dibangun dapat lebih efektif mencapai tujuan organisasi.
dan ekonomis.
2.2 Keamanan Informasi 5. Keamanan Jaringan (Network Security)
Definisi Keamanan Informasi menurut (ISO 27001 Fokus pada pengamatan peralatan jaringan data
dalam Sarno dan Iffano, 2009: 27) adalah penjagaan organisasi, jaringan beserta isinya, serta kemampuan
informasi dari seluruh ancaman yang mungkin terjadi untuk menggunakan jaringan dalam memenuhi fungsi
dalam upaya untuk memastikan atau menjamin komunikasi data organisasi.
kelangsungan bisnis (business continuity), meminimasi
risiko bisnis (reduce business risk) dan memaksimalkan Demikian Pentingnya sistem manajemen keamanan
atau mempercepat pengembalian investasi dan peluang Informasi ini sehingga berbagai Regulasi telah
bisnis dikeluarkan hal ini akan di bahas di sub Bab 2.6.8.
3
MJI Vol.10, No.1, Juni 2018, hlm. 1-16
4
Fuad Nasher, Perancangan Sistem Manajemen Keamanan Informasi Layanan Pengadaan Barang/Jasa Secara
Elektronik (LPSE)
tingkstsn tertinggi dalam organisasi untuk periode lembaga, pemerintahan dan lembaga nirlaba. ISO/IEC
yang lama, biasanya lima tahunan atau lebih 27001 adalah sebuah metode khusus yang terstruktur
b. Tactical palnning (berhubungan dengan tentang pengamanan informasi yang diakui secara
rencana jangka pendek) : memfokuskan diri pada internasional. ISO/IEC 27001 merupakan dokumen
pembuatan perencanaan dan mengintegrasi standar sistem manajemen keamanan informasi atau
sumber daya organisasi pada tingkat yang lebih Information Security Management Syestem, biasa disebut
rendah dlam periode yang lebih singkat ISMS, yang memberikan gambaran secara umum
c. Operational planning (berhubungan dengan mengenai apa saja yang harus dilakukan oleh sebuah
rencana apa yang dilakukan dari hari ke hari): perusahan dalam usaha mereka untuk mengevaluasi,
memfokuskan diri pada kinerja harian organisasi. mengimplementasikan dan memelihara keamanan
2. Kebijakan yaitu : peran dukungan kebijakan dari informasi diperusahan berdasarkan “best practise” dalam
manajemen akan memberikan arahan dan dukungan pengamanan informasi. Standar ini menjelaskan syarat
sumber daya untuk mencapai tujuan SMKI, tanpa ada untuk membuat, menerapkan, memonitor, menganalisa
dukungan kebijakan dari pihak managemen organisasi dan memelihara serta mendokumentasikan SMKI dalam
SMKI tidak dapat dilakukan. kontek risiko keamanan informasi organisasi
3. Program, dalam penyusunan SMKI didukung dengan keseluruhan. Standar ini menjelaskan pula bagaimana
pembangunan suatu prosedur dan proses secara detail mendidkripsikan menetapkan, mengimplementasikan,
tentang operasi-operasi dalam SMKI salah satunya adalah mengoprasikan, mengamati, meninjau memelihara dan
program pelatihan Keamanan Informasi mengembangkan sistem.
4. Penilaian Risiko yaitu : organisasi harus memahami ISO/IEC 27001 mendefinisikan pula keperluan-
seberapa besar dampak yang akan diterima oleh keperluan untuk SMKI, sehingga SMKI yang baik akan
organisasi jika terjadi insiden keamanan Informasi. membantu memberikan perlindungan terhadap gangguan
Penilaian risiko dilaksanakan berdasarkan serangkaian pada aktivitas-aktivitas bisnis dan melindungi proses
manajemen risiko meliputi Penilaian risiko (risk bisnis yang penting agar terhindar dari risiko dan
asessment). kegagalan pengamanan sistem informasi, serta
5. Sumber Daya Manusia yaitu keamanan personil memberikan jaminan pemulihan operasi bisnis akibat
secara individu pada saat bekerjadan keamanan personil kerugian yang timbulkan.
dalam organisasi ISO/IEC 27001 diterapkan tidak selalu harus digunakan
6. Tanggung Jawab yaitu tanggung jawab manajemen dari keseluruhan kontrol melainkan disesuaikan dengan
dalam penerapan SMKI, baik individu maupun tanggung kebutuhan kontrol dari organisasi masing-masing.
jawab seluruh sumber daya organisasi untuk menjalankan
dan memelihara SMKI.
2.4.1 Pemilihan SNI ISO/IEC 27001:2013
Beberapa alasan yang patut dijadikan
2.3.2 Perlunya SMKI pertimbangan kenapa dipilih standar SNI ISO/IEC
Secara praktis memang tidak ada ketentuan bahwa 27001:2013 diantaranya:
menerapan terhimpuan teknik keamanan saja menjamin 1. Sudah diadopsi oleh Indonesia melalui BSN
100% aman. Meskipun teknik-teknik keamanan secara (Badan Standardisasi Nasional).
menyeluruh, belum cukup untuk memberikan jaminan 2. Sudah ditetapkan oleh Kementrian Komunikasi
keamanan. dan Informatika mengenai standar dengan diterbitkan
Penerapan SMKI tidak bisa dilakukan secara Permen (Peraturan Kementrian).
terpisah yang berarti Keamanan Informasi adalah 3. Menyediakan model lengkap terkait
penerapan secara menyeluruh baik teknik keamanan yang bagaimana melakukan : membangun,
terhimpun Teknologi Keamanan Informasi serta implementasi, operasional, memonitor, mengkaji ulang,
penjagaan aspek keamanan Informasi melalui proses- memelihara dan mengembangkan SMKI.
proses yang terhimpun dalam SMKI. Dengan demikian 4. SNI ISO/IEC 27001:2013 Implementasi SMKI
bahwa penerapan SMKI sangatlah penting karena didesain menjadi fleksibel karena tergantung dari :
ancaman terhadap aspek Keamanan Informasi semakin kebutuhan organisasi, tujuan organisasi yang dicapai,
meningkat. Organisasi menghadapi ancaman terhadap persyaratan keamanan yang diperlukan, proses bisnis
informasi yang dimilikinya sehingga diperlukan langkah- yang ada, jumlah pegawai dan ukuran struktur organisasi.
langkah yang tepat untuk mengamankan dalam SMKI. Dengan kata lain bahwa menggunakan SNI ISO/IEC
27001:2013 dalam implementasinya bisa sangat
tergantung kebutuhan organisasi.
2.4 ISO/IEC 27001 5. SNI ISO/IEC 27001:2013 menyedikan sertifikat
ISO (International Organization for Standardization) implementasi SMKI yang diakui secara internasional
adalah pengembang terbesar di dunia standar yang disebut ISMS Sertification.
international secara sukarela. Standar international
memberikan keamanan yang lebih spesifik, layanan yang
baik, membantu industri lebih efisien dan efektif. 2.4.2 Struktur SNI ISO/IEC 27001:2013
ISO/IEC 27001 merupakan standar keamanan Dalam membangun SMKI menggunakan
informasi yang diterbitkan pada bulan Oktober 2005 oleh standar SNI ISO/IEC 27001:2013 perlu diperhatikan dan
ISO dan IEC ( The International Electrotechnical dipahami bahwa struktur organisasi SNI ISO/IEC
Commission ). implementasi ISO/IEC 27001 mencakup 27001:2013 memiliki dua bagian yaitu;
pada semua organisasi seperti perusahaan swasta,
5
MJI Vol.10, No.1, Juni 2018, hlm. 1-16
6
Fuad Nasher, Perancangan Sistem Manajemen Keamanan Informasi Layanan Pengadaan Barang/Jasa Secara
Elektronik (LPSE)
Risiko yang timbul diukur pada skala 0 sampai 8 yang Tindakan yang dilakukan adalah Kontrol untuk
dapat dievaluasi terhadap kriteria penerimaan risiko. mengurangi, mempertahankan, menghindari, atau
Skala risiko ini juga bisa dipetakan ke peringkat risiko mentransfer risiko harus dipilih dan rencana penanganan
keseluruhan yang sederhana, ditetapkan dan langkah-langkah pelaksanaan yaitu Ada
empat pilihan yang tersedia untuk penanganan risiko yaitu
Tabel 2.2 Matriks kemungkinan skenario insiden dan
mengurangi risiko mempertahankan risiko, menghindari
dampak bisnis
risiko dan mentransfer risiko.
Rendah
Sedang
Sangat
Sangat
rendah
Tinggi
tinggi
Kemungkina
n 3. Metode Penelitian
Metode penelitian yang digunakan dalam penelitian ini
Sangat merupakan metodologi kualitatif dengan
0 1 2 3 4
rendah
mendeskripsikan bagaimana Perancangan Mnajemen
Dampak
Rendah 1 2 3 4 5
keamanan informasi berdasarkan manajemen resiko yang
Sedang 2 3 4 5 6 terjadi di LPSE Kabupaten Cianjur.
Tinggi 3 4 5 6 7
4
Sangat tinggi 5 6 7 8 3.1 Kerangka Penelitian
(sumber BSN SNI ISO/IEC 27005:2013)
Kerangka penelitian merupakan alur yang dibangun
secara terstruktur dan sistematis sebagai suatu acuan
2.6.5 Identifikasi Ancaman tahapan dalam menyelesaikan masalah penelitian.
Ancaman memiliki potensi untuk membahayakan aset Tahapan pada kerangka penelitian ini akan saling
seperti informasi, proses dan sistem dan oleh karena itu berkaitan antara satu proses dengan proses yang lainnya.
organisasi. Ancaman mungkin berasal dari alam atau Hasil dari suatu tahapan akan digunakan sebagai
manusia, dan bisa tidak disengaja atau disengaja. masukkan untuk tahapan selanjutnya.
Sumber ancaman baik tidak disengaja dan disengaja harus Langkah Kerangka pada penelitian ini sebagai berikut:
diidentifikasi. Ancaman mungkin timbul dari dalam
atau dari luar organisasi. Ancaman harus diidentifikasi 1. Dukungan Manajemen
secara umum dan menurut jenis (misalnya tindakan 2. Pengumpulan data
yang tidak sah, kerusakan fisik, kegagalan). Hasilnya Daftar
Sebuah daftar ancaman dengan identifikasi jenis Wawancara/Kuesioner Observasi
Pustaka
ancaman dan sumbernya. 3. Ruang lingkup
2.6.6 Identifikasi Kerentanan 4. Identifikasi Aset
Sebuah daftar ancaman yang diketahui, daftar aset 5. Inventarisasi informasi
dan kontrol yang ada. Kerentanan yang dapat 6. Pengelolaan Risiko
dieksploitasi oleh ancaman untuk membahayakan aset - Identifikasi Risiko
atau organisasi harus diidentifikasi. Kerentanan dapat Ancaman Kelemahan Dampak
diidentifikasi dalam bidang-bidang berikut: Organisasi, - Analisis Risiko
Proses dan prosedur, Rutinitas manajemen, Personel, - Mengukur Risiko
Lingkungan, fisik, Konfigurasi sistem Informasi, 7. Risk treatment
Perangkat keras, perangkat lunak atau peralatan 8. Membuat rencana implementasi SMKI
komunikasi, Ketergantungan pada pihak luar 9. Kesimpulan dan saran
Kemudian hasilnya adalah daftar kerentanan dalam Gambar 3.1 Tahapan Penelitian
kaitannya dengan aset, ancaman dan kontrol; daftar
kerentanan yang tidak berhubungan dengan ancaman 3.2 Dukungan Manajemen
diidentifikasi untuk ulasan. Dalam membangun SMKI Dukungan manajemen
adalah persyaratan ISO/IEC 27001 jadi Sebelum SMKI
2.6.7 Evaluasi Risiko dibangun pihak manajemen harus memberikan dukungan
Sebuah daftar risiko dengan tingkat nilai yang kepada organisasi dalam melaksanakan SMKI yaitu :
diberikan dan kriteria evaluasi risiko sifat dari 1. Persyaratan komitmen
keputusan yang berkaitan dengan evaluasi risiko dan 2. Membuat dan menentukan kebijakan SMKI
kriteria evaluasi risiko yang akan digunakan untuk 3. Bertanggungjawab dan memonitor pelaksanaan
membuat keputusan telah diputuskan ketika menentukan SMKI
konteks. Keputusan dan konteks ini harus ditinjau 4. Menyediakan atau memberikan pasilitas yang
kembali secara lebih rinci pada tahap ini ketika telah diperlukan dalam melaksanakan SMKI
mengetahui lebih dalam tentang risiko tertentu yang Bentuk dari Dukungan manajemen berupa pernyataan
teridentifikasi. Hasilnya adalah Sebuah daftar risiko dokumen komitmen yang telah disetujui dari pihak
yang diprioritaskan menurut kriteria evaluasi risiko manajemen.
dalam kaitannya dengan skenario insiden yang mengarah Pada tahap ini peneliti melakukan permohonan ijin
ke risiko tersebut. penelitian melalui surat perihal ijin permohonan dengan
Sebuah daftar risiko yang diprioritaskan menurut diterbitkan surat No 379/UNLA/PPs/VIII/2017 yang
risiko kriteria evaluasi dalam kaitannya dengan skenario ditujukan kepada Kepala Dinas Komunikasi dan
insiden yang mengarah ke risiko tersebut. Adapun Informatika Kabupaten Cianjur. Seterusnya dari pihak
7
MJI Vol.10, No.1, Juni 2018, hlm. 1-16
Dinas Komunikasi dan Informatika atau dari Kepala a. Seleksi Calon Pegawai, penyeleksian kualifikasi
Dinas melalui surat balasan menyatakan mendukung calon karyawan dari mulai syarat pendaftaran, jenjang
untuk melakukan penelitian sesuai dengan judul Tesis akademik , tes tulis tentang kompetensi keahlian sampai
Peneliti, dan diterbitkan surat no pada tes akhir (wawancara) sudah diselenggarakan
070/519/Diskominfo/X/2017. b. Tanggung jawab karyawan (job description)
secara umum terhadap keamanan informasi sudah
direalisasikaan seperti ada statment dilarang masuk tanpa
3.3 Pengumpulan Data ada ijin petugas , setiap karyawan ditempatkan pada posisi
Pada tahap ini akan dilakukan pengumpulan data-data ruang masing-masing sudah ditentukan dengan
terkait Tesis yang akan dikerjakan. Dimana Data yang pemberian label informasi.
diperoleh dari Dinas Komunikasi dan Informatika 2. Apakah di instansi anda sudah memiliki
Kabupaten Cianjur di bagian LPSE. Data diperoleh dokumen kebijakan tentang prosedur keamanan informasi
selama melakukan wawancara dan observasi secara terhadap aset yang dimiliki ?
langsung oleh peneliti. Data ini adalah sebagi bukti Belum memiliki, baru tahap menginventalisir aset
pendukung berupa dokumen-dokumen yang dapat yang ada berupa tabel aset dalam dokumen excel yang
memperkuat pernyataan dari pihak yang diwawancara. disebut kartu inventarisasi barang, pelabelan hanya untuk
Peneliti melakukan wawancara dengan Kepala Unit mengidentifikasi aset yang dimiliki belum di buat skema
LPSE, Kabid-Kabid Administrasi, Registrasi dan klasifikasi informasi dan penanganan informasi, serta
Verifikasi, Layanan Pengguna dan Pelatihan. belum menspesifikasikan tingkat risiko dari setiap aset
Dokumen-dokumen/informasi yang didapat dari jika terjadi insiden.
narasumber tidak lepas dari area ISO/IEC 27001 SNI 3. Apakah pada instansi anda sudah memiliki
2013 sesuai dengan klausul yang direncanakan yaitu: dokumen kebijakan terkait keamanan informasi terhadap
Area : Kalusul A 7 Sumber Daya manusia, Klausul A8 pengendalian akses kontrol ?
Manajemen Aset, Klausul A9 Kontrol Akses, Klausul A a. Secara keseluruhan belum memiliki ada
11 Keamanan Fisik dan lingkungan dan Klausul A13 beberapa bagian tertentu aturan sudah tertulis seperti
Keamanan Komunikasi aturan pembuatan User ID dan password, registari dan
verifikasi pendaftaran pengguna. Sehingga dengan
keterbatasan ini sering muncul penggunaan akses
3.3.1 Instrumen Wawancara disalahgunakan yaitu pengguna memanfaatkan akses
Wawancara menurut Creswell (2012) merekam untuk main game secara on-line, membuka jejaring sosial
jawaban atas pertanyaan yang diberikan kepada (Facebook, Chatting, on-line shop, you tube).
responden, dimana peniliti mengajukan pertanyaan b. Selain itu kekurangan dari pelaksanaan
kepada responden dengan pedoman wawancara, pengelolaan aset informasi yaitu belum adanya undang-
mendengarkan atas jawaban, mengamati prilaku dan undang yang digunakan untuk klasifikasi aset, tanggung
merekam semua respon dari yang disurvei. Selanjutnya jawab per individu belum dijabarkan secara
menurut larry Cristensen (2004) mengatakan wawancara keseluruhan.
merupakan teknik pengumpulan data dimana pewancara c. Tidak ada tata tertib terkait penggunaan e-mail
dalam mengumpulkan data mengajukan suatu pertanyaan dan komputer
kepada yang diwawancarai. (sugiono, 2013:188) d. Tidak ada kebijakan tertulis untuk pengelolaan
Dari kedua pernyataan di atas maka dapat disimpulkan password dan username
bahwa wawancara merupakan suatu teknik pengumpulan e. Prosedur untuk mutasi user masih dalam
data dimana peniliti harus menyiapkan Instrumen perencanaan.
wawancara berupa daftar pertanyaan yang akan diajukan f. Belum adanya mekanisme pengamanan fisik
pada saat wawancara dengan narasumber. instrumen dalam pengiriman aset
wawancara yang digunakan ada dua kategori yaitu dalam 4. Apakah pada instansi anda sudah memiliki
bentuk pertanyaan dan kuesioner aturan terdokumentasi untuk keamanan fisik dan
Wawancara akan dilakukan kepada narasumber lingkungan ( lokasi kerja, kantor: ruang server, ruang
berdasarkan kapasitas serta kewenangannya untuk arsip, instalasi pengkabelan, sumber daya, dan
memberikan informasi yang benar-benar sesuai dengan infrastruktur komputasi) ?
pertanyaan yang diajukan supaya untuk menghindari Belum ada dokumen resmi tapi sudah ada beberapa
terjadinya kesalahan informasi. Instrumen wawancara bagian secara implementasi sudah dilakukan dalam hal
yang akan digunakan untuk pengumpulan data. pengamanan, diantaranya :
Tahap pertama yaitu melakukan wawancara dengan a. Lokasi kerja letaknya strategis ada di pusat kota,
narasumber sekretaris kepala Unit LPSE dengan relatif jauh dari lingkungan rumah penduduk, sehingga
pertanyaan sebgai berikut kemungkinan terjadinya pencurian aset bisa
1. Apakah di instansi anda sudah memiliki standar diminimalisir.
kebijakan dan standar operasi prosedur dalam b. Ruang kerja sudah dibuatkan partisi/pembagian
pengamanan informasi terkait dengan sumber daya ruang dan diberikan label untuk pengguna yang sudah
manusia ? ditunjuk, sehingga kemungkinan tidak akan terjadi
Pada saat ini belum memiliki secara terdokumentasi, insiden.
tetapi dari sisi teknis pelaksanaan, aturan-aturan sudah c. Komputer desktop diletakkan pada meja sudah
diterapkan seperti : ada pengamanan dari pencurian, misalkan casing CPU
disimpan bersatu dengan meja kerja dan bila sudah tidak
8
Fuad Nasher, Perancangan Sistem Manajemen Keamanan Informasi Layanan Pengadaan Barang/Jasa Secara
Elektronik (LPSE)
digunakan langsung dikunci. Layar monitor sudah Tabel 3.2. Tabel Kuesioner
dipasang penguat yang di tempelkan dengan meja kerja. Klausul A.8 Manajemen Aset SNI Skor
ISO/IEC
d. Bila terjadi kegagalan sumber daya (gangguan 27001:2
Listrik, petir) sudah disiapkan ATS Otomatis atau jenset 013
sudah disiapkan. Tanggung Jawab terhadap aset
e. Server 24 jam on-line yang diletakkan pada Untuk memenuhi perlindungan dan A.8.1
ruang khusus dengan jalur satu pintu, dan tertera larangan
pemeliharaan terhadap aset organisasi
masuk, kemudian setelah selesai jam kerja pintu ditutup 1. Inventarisasi terhadap Aset A.8.1.1 3
dan dikunci. Untuk ke depan kontruksi ruang dalam hal 2. Kepemilikan aset A.8.1.2 3
peningkatan perlindungan fisik masih dalam tahap 3. Aturan penggunaan Aset A.8.1.3 2
pengajuan. 4. Pengembalian aset A.8.1.4 2
f. Belum adanya bagian-bagian tertentu yang 5. Aturan klasifikasi A.8.2.1 2
bertanggung jawab langsung dalam mengelola risiko 6. pelabelan informasi A.8.2.2 2
keamanan informasi, belum adanya kerangka kerja risiko 7. Penanganan aset A.8.2.3 2
yang digunakan, tidak ada pencatatan terkait penyelesaian 8. Pengelolaan data yang dihapus A 8.3.1 1
risiko, dan tidak ada dokumen yang mendaftar semua 9. Penghancuran media A.8.3.2 1
ancaman terkait aset informasi 10. Transfer media Fisik A.8.3.3 1
5. Apakah di instansi anda sudah memiliki standar Nilai Rata-rata 1.9
konfigurasi instalasi jaringan komputer dalam hal Dan seterusnya
keamanan komunikasi dan apakah sudah terjadi insiden
terhadap aplikasi LPSE serta adakah tindakan terhadap
kontrol keamanan yang diterapkan? 3.3.3 Observasi
a. Jaringan komputer sudah terpasang, tapi Selain melakukan kegiatan wawancara juga
konfigurasi instalasi jaringan melakukan observasi yaitu teknik pengumpulan data
komputer belum memiliki standar atau adopsi yang secara spesifik dengan melakukan kunjungan langsung ke
resmi, baru fasilitas lingkup syarat minimal terjadi lokasi penelelitian untuk mengamati dan ingatan yang
komunikasi yaitu ada server, komputer, LAN, Internet, sebenarnya keadaan LPSE Kabupaten Cianjur mulai dari
telepon dan Fax. Sudah ada tahap persiapan yang prilaku SDM, proses kerja dan penomena yang diinginkan
dilakukan yaitu mengirimkan staf untuk mengikuti sebagai alasan untuk mendukung dan memperkuat dari
pelatihan instalasi Server LPSE, Instalasi komputer dan hasil wawancara.
instalasi jaringan LAN dan Internet. 3.3.4 Menentukan Ruang Lingkup SMKI
b. Sampai saat ini sudah terjadi insiden namun Adalah menentukan ruang lingkup implementasi
tidak secara signifikan, seperti ditemukan virus yang SMKI, artinya SMKI diterapkan dalam organisasi hanya
terjadi ketika ada pemback up data atau pengiriman data bagian yang penting. Organisasi berkomitmen
melalui flash disk atau CD. Selain itu ada e-mail SPAM. melindungi informasi. Penentuan ini berdasarkan :
c. Untuk tindakan kontrol keamanan dalam Kebutuhan organisasi, Karakteristik bisnis organisasi,
aplikasi dipasang firewall, antivirus, layanan bidding Lokasi dari organisasi, Aset yang dimiliki oleh organisasi
room, training room, dan helpdesk . dan Teknologi Informasi yang telah digunakan
Adapun SMKI organisasi diimplementasikan untuk
3.3.2 Kuesioner ruang lingkup bisnis organisasi yaitu pada bagian :
Tahap kedua ini peniliti memberiikan instrumen a. LPSE pada Dinas Komunikasi Informasi Dan
pertanyaan kepada responden untuk melakukan informatika Kabupaten Cianjur
pengisian kuesioner tujuannya adalah untuk b. Aset informasi dan Infrastruktur LPSE yang
mengevaluasi tingkat ketersediaan dokumen terkait digunakan untuk aktivitas bisnis
dengan klausul dan kontrol-kontrol keamanan yang ada di 3.3.5 Identifikasi Aset
ISO/IEC 27001 SNI 2013. Adapun narasumber yang Proses identifikasi aset merupakan proses
mengisi kuesioner adalah sekretaris Kepala Unit LPSE, pengidentifikasian pada aset-aset yang dimiliki oleh unit
Bidang Administrasi sistem informasi, Bidang registrasi LPSE Komunikasi dan Informatika Kabupaten Cianjur.
dan Verifikasi. Berikut contoh hasil kuesioner pada melalui survei ke unit LPSE serta melakukan observasi
Tabel 3.2. dan wawancara kepada pihak terkait dari penelitian.
Adapun hasil dari identifikasi kemudian diklasifikasikan
berdasarkan kategori aset yang disesuaikan dengan
dengan ruang lingkup SMKI, berikut contoh pada tabel
3.3 tentang aset berdasarkan kategori:
9
MJI Vol.10, No.1, Juni 2018, hlm. 1-16
Tabel 3.3 Tabel Aset kriteria untuk menetapkan lokasi tertentu pada skala
untuk setiap aset, berdasarkan penilaian. Untuk penentuan
No. Kategori Aset Nama Aset
skala penilaian berdasarakan ketergantungan pada proses
1 Informasi • Data pegawai bisnis. Dapat dilihat pada tabel 4.1
2 Perangkat keras dan jaringa • Server SPSE
Tabel 4.1 Penilaian Aset dan dampak
3 Perangkat Lunak • Sistem
Operasi
Dampak
Kategor
4 Sumber Daya Manusia (SDM) • Pegawai No. Nama Aset
Nilai
i Aset
aset
5 Failitas pendukung • Genset
6 Pasilitas • Lemari arsip 1 Informa • Data pegawai 2 2
si • Data penyedia barang 2 2
3.3.6 Inventarisasi Informasi dan jasa
• Data lelang 3 3
Melakukan pendataan informasi dengan maksud agar 3 3
• Data Pengadaan
organisasi memahami informasi apa saja yang dimiliki 2 2
• Back up CD data
oleh organisasi dan seberapa pentingnya setiap informasi
pengadaan
yang dimiliki. Aset ini antara lain : informasi, pernagkat 2 Perangk • Platform hardware 3 3
keras, jaringan, perangkat lunak, fisik, layanan, dan at keras • Komputer server 3 3
orang. dan • Komputer desktop 3 2
jaringan • Laptop 3 3
3.3.7 Pengelolaan Risiko (Risk Management)
• Printer 3 2
Setelah dilakukannya tahapan pengambilan data 3 2
berupa identifikasi aset, tahap selanjutnya adalah • HUB
• Switch 3 2
melakukan analisa risiko, dimana dalam analisa risiko 3 3
• Router/Bridge
terdapat beberapa poin yang harus dianalisa seperti 3 3
• Jaringan LAN
identifikasi risiko berdasarkan confidentiality, integrity 3 3
• Internet (Asti Net) 3 3
dan availabilty, selanjutnya melakukan analisa
• Server SPSE 3 3
kecenderungan dan analisa dampak yang ada pada aset.
Melakukan manjemen risiko dengan tepat terhadap • Jaringan Telephon 2 2
• Jaringan Fax 2 2
informasi yang dimiliki dan yang telah didata oleh
organisasi. 3 Perangk • Sistem Operasi (Linux, 3 3
at Lunak CentOS) 3 3
Hasil dari wawancara ini nantinya akan digunakan
• Platform software 3 2
pada tahap penilaian atau dengan kata lain untuk 3 3
• Aplikasi
memetakan posisi LPSE Kabupaten Cianjur dengan 3 3
• Sistem pengadaan
kriteria Pengelolaan Risiko Keamanan Informasi. secara elektronik
Pengelolaan risiko keamanan informasi yaitu sudah • Apache Tomcat, 3
ditentukan batas ambang risiko yang dapat diterima, ada postgreSQL
pencatatan mengenai kepemilikan aset, dilakukan kajian 4 Sumber • Kepala unit 3 2
risiko terkait dampak dan mitigasi risiko. Daya • Kepala Bidang 3 2
Manusia • Pegawai Tetap 3 2
3.3.8 Membuat Rencana Implementasi (SDM) 2 1
• Pengawai kontrak
Tahap implementasi merupakan tahapan terakhir dari
5 Pailitas • Genset otomatis 3 3
penelitian. Ada 2 langkah yang dilakukan dalam tahapan
penduku • AC 3 2
penerapan ini yaitu : Pemetaan Objective kontrol & ng
control serta pembuatan kebijakan dan standar 6 Pasilitas • Ruang penyimpanan 3 2
operasional prosedur keamanan informasi. Dimana server 3
pembuatan kebijakan dan standar opersional prosedur ini • Lemari arsip 2 2
merupakan tujuan utama dalam penelitian. • Rak server 2 2
Rencana implementasi berisi : • Ruang pelatihan 2
- Mendapatkan persetujuan manajemen tentang
rencana pelaksanaan SMKI, manajemen membuat suatu Untuk menentukan rentang nilai angka kategori sistem
pernyataan tentang kebijakan SMKI. elektronik diambil dari Peraturan Menteri Komunikasi
- Menetapkan ruang lingkup Dan Informatika Republik Indonesia No 4 tahun 2016
- Menetapkan metode pengolahan risiko Tentang Sistem Manajemen Keamanan Informasi dan
- Membuat dokumen rencana implementasi Index KAMI tahun 2013.
dengan istilah SOA (statement of applicability)
- langkah merencanakan implementasi 4.1.2 Identifikasi Ancaman
Tahap selanjutnya adalah mengidentifikasi
kemungkinan terjadinya ancaman-ancaman ini dapat
4. Analisis dan Pembahasan
digunakan selama proses penilaian ancaman. Ancaman
4.1 Hasil Analisis Identifikasi Aset mungkin disengaja, tidak disengaja atau lingkungan
(alam) dan dapat mengakibatkan, sebagai contoh, pada
4.1.1 Penilaian Aset dan Dampak kerusakan atau kehilangan layanan penting. Daftar
Langkah selanjutnya setelah identifikasi aset adalah berikut menunjukkan untuk setiap jenis ancaman di mana
untuk menyepakati skala yang akan digunakan dan D (disengaja), A (tidak disengaja), E (lingkungan)
10
Fuad Nasher, Perancangan Sistem Manajemen Keamanan Informasi Layanan Pengadaan Barang/Jasa Secara
Elektronik (LPSE)
adalah relevan. D digunakan untuk semua tindakan Data dari sumber yang tidak daat
sengaja ditujukan untuk aset informasi, A digunakan dipercaya A, D
untuk semua tindakan manusia yang tidak sengaja dapat A: Informasi di baca oleh pihak
merusak aset informasi, dan E digunakan untuk semua yang tidak berwenang
D: input data palsu, pelanggaran
Insiden yang tidak didasarkan pada tindakan manusia.
pemeliharaan sistem informasi,
Kelompok-kelompok dari ancaman tidak dalam urutan penyebaran data rahasia dan
prioritas. i pengolahan data ilegal
Tabel 4.2 Jenis Ancaman Gangguan perangkat keras D
N Jeni Ancaman Asal Kesalahan instalasi, hardware
o s rusak, sebagian periperal
komputer tidak berfungsi,
1 Kecelakaan besar A, D, E
pemeliharaan perbaikan tidak
A: Gempa bumi, banjir dan
rutin, kesalahan personil, tidak ada
rembesan air, dan kebakaran
upgrade hardware, gangguan
D: Pelanggaran pemeliharaan
listrik
media fisik
Gangguan perangkat lunak A, D
E. pencurian hardware baik dari
dalam atau dari luar D: Kesalahan penggunaan
Kerusakan Fisik
Listrik
hardware rusak karena kena
Kegagalan koneksi A, D, E
debu, air dan pembekuan
A: Kerusakan kabel jaringan
Kejenuhan sistem informasi A, D
D: Pelanggaran ketersediaan
A: Sistem informasi error,
personil
sistem operasi error, terjadinya
E: interfensi Sinyal, gangguan
Kegagalan teknis
Pelanggaran pemeliharaan
spam, spyware,sql injection,
sistem informasi A, D
trozan horse, virus dan worm
D: Kesalahan personil,
sampai pada komputer error
penyalahgunaan
Pencurian media atau dokumen D
penggunan sistem
Dokumen hilang, pencurian
informasi yang tidak
berkas dokumen, mengakses
berwenang,
perangkat bukan yang berhak,
A: pelaksanaan perbaikan
menyalin aplikasi secara ilegal,
bersifat reaktif
pemberitahuan akses login pada
5 Penggunaan peralatan yang D
orang lain, penyalahgunaan hak
tidak sah
Tinda
tidak
akses
yang
kan
sah
11
MJI Vol.10, No.1, Juni 2018, hlm. 1-16
Perangkat keras
Kurangnya kontrol perubahan Kesalahan penggunaan
Perangkat Keras
Kesalahan penggunaan konfigurasi yang efisien
perangkat lunak, dan
keterbatasan ketersediaan Kerentanan terhadap voltase Hilangnya pasokan listrik
karyawan yang bervariasi
A: Penggunaan perangkat lunak A, D Penyimpanan yang tidak dilindungi Pencurian media atau
palsu dokumen
D: Kesalahan penggunaan Penyalinan yang tidak terkendali Pencurian media atau
perangkat lunak, dan dokumen
keterbatasan ketersediaan Tidak ada pengujian Penyalahgunaan hak
karyawan perangkat lunak
Korupsi data D Tidak 'logout' ketika Penyalahgunaan hak
Perusakan data, penyebaran meninggalkan komputer
data, input data palsu, pencurian Kesalahan penempatan hak akses Penyalahgunaan hak
file penting, Perangkat lunak yang Korupsi data
Pengolahan data illegal D didistribusikan secara
Modifikasi data, dan l uas
penyebaran data hilang, sharing Menerapkan program aplikasi Korupsi data
data berdasarakan pemakain untuk data yang salah dalam
bersama user id dan password hal waktu
6 Kesalahan operator A, D Antar muka yang rumit Kesalahan penggunaan
A: Kesalahan input data dan Kurangnya dokumentasi Kesalahan penggunaan
prosedur
D: Keterbatasan personil Kesalahan tanggal Kesalahan penggunaan
Kesalahan Kopetensi Kurangnya mekanisme identifikasi Pemalsuan hak
keahlian personil dan otentikasi seperti otentikasi
danTraining personil pengguna
Kesalahan penggunaan A Tabel password yang tidak Pemalsuan hak
dilindungi
Perangkat lunak
memberikan bantuan selama penilaian ancaman dan Jaringan listrik yang tidak stabil Hilangnya pasokan listrik
kerentanan, untuk menentukan skenario insiden yang Kurangnya perlindungan Pencurian peralatan
relevan. fisik terhadap gedung,
pintu, dan jendela
12
Fuad Nasher, Perancangan Sistem Manajemen Keamanan Informasi Layanan Pengadaan Barang/Jasa Secara
Elektronik (LPSE)
Kurangnya prosedur formal Penyalahgunaan hak Kurangnya tinjauan Penggunaan peralatan yang
untuk pendaftaran dan manajemen rutin tidak sah
penghapusan pengguna Kurangnya prosedur Penggunaan perangkat
Kurangnya proses formal untuk Penyalahgunaan hak ketentuan sesuai dengan lunak palsu atau salinan
meninjau hak akses hak intelektual
(pengawasan) Jaringan
Kurangnya prosedur Penyalahgunaan hak Kurangnya bukti Penyangkalan
pemantauan fasilitas pengolah p engiriman dan atas tindakan
informasi penerimaan pesan
Respon pemeliharaan layanan Menerobos Jalur komunikasi yang tidak Menguping
yang tidak memadai pertahanan sistem dilindungi
Kurangnya proses formal informasi
Penyalahgunaan hak
untuk meninjau hak akses Lalu lintas sensitif yang Menguping
(pengawasan) tidak dilindungi
Kurangnya prosedur Penyalahgunaan hak Sambungan kabel yang Kesalahan p eralatan
pemantauan fasilitas pengolah buruk komunikasi
informasi Kurangnya identifikasi Pemalsuan hak
Respon pemeliharaan layanan Menerobos dan otentikasi pada
yang tidak memadai pertahanan sistem pengirim dan penerima
Kurangnya proses formal informasi
Data dari sumber Arsitektur jaringan yang Remote spying
untuk otorisasi informasi yang yang tidak tidak aman
tersedia terpercaya Transfer password dengan Remote spying
Kurangnya kebijakan Kesalahan penggunaan jelas
untuk public surat elektronik
penggunaan Manajemen jaringan yang Kejenuhan
Kurangnya prosedur untuk Kesalahan penggunaan tidak cukup(ketahanan sistem
menangani informasi routing) informasi
rahasia Koneksi j aringan publik Penggunaan peralatan
Kurangnya tanggung jawab Kesalahan penggunaan yang tidak dilindungi yang tidak sah
keamanan informasi dalam
deskripsi pekerjaan
Kurangnya atau tidak Pengolahan data ilegal
4.1.4 Analisis Kemungkinan, Dampak, Penilaian
Organisasi
memadainya ketentuan
(mengenai keamanan Risiko dan Pengendalian
informasi) dalam
Kurangnya kontrak Pencurian peralatan Setelah dilakukannya tahapan identifikasi risiko
dengan karyawan
kebijakan formal berdasarkan kritikalitas pada aset dengan Selanjutnya
pada penggunaan
ponsel
dilakukan analisa risiko aset berdasarkan kriteria
Kurangnya penguasaan aset Pencurian peralatan ancaman (Threat), kerawanan (Vulnerability) dan
lokal dampak (Effect). Selanjutnya dilakukan penilaian risiko
Kurangnya atau tidak cukup Pencurian media atau dan pengendalian berdasarkan Hasil dari nilai risiko di
kebijakan'meja bersih dan layar dokumen
bersih'
tunjukkan pada tabel 4.5.sebagai berikut:
Kurangnya otorisasi fasilitas Pencurian media
pengolahan informasi atau dokumen
13
MJI Vol.10, No.1, Juni 2018, hlm. 1-16
1. Nilai evaluasi Klausul Sumber daya manausia 1. Adanya migrasi kedinasan dari dinas
Nilai evaluasi ketersedian dokumen berdasarkan hasil Perhubungan ke dinas Komunikasi dan Informatika
kuesioner nilai rata-ratanya adalah 1,8 berarti berada pada dimana unit LPSE pada awalnya berada dibawah Dishub
kategori rendah, dan berdasarkan pertanyaan di tabel 4.5 sekarang dibawah Dinas Kominfo sehingga harus
bahwa secara keseluruhan Dokumen standar kompetensi menyesuaikan dengan pola kerja dan kebijakan yang baru.
bagi SDM keamanan informasi masih belum tersedia tapi 2. Sumber daya manusia memiliki 7 karyawan
secara teknis sudah diterapkan. terdiri dari 2 karyawan tetap (PNS), 2 karyawan tetap
2. Nilai Evaluasi Klausul A.9 Akses Kontrol bukan PNS, dan 3 karyawan tidak tetap (honorer). Dengan
Nilai evaluasi ketersedian dokumen berdasarkan hasil keterbatasan sumber daya ini menjadi kendala untuk
kuesioner nilai rata-ratanya adalah 2.3 berarti berada pencapaian dalam perumusan Sistem Manajemen
pada kategori rendah. hasil kuesioner ini sudah ada Keamanan Informasi secara maksimal dan oftimal.
beberapa SOP yang tersedia seperti Dokumen log Berikut akan ditampilkan analisis kesenjangan LPSE
perubahan sistem informasi dan upaya akses yang tidak di dinas Kominfo Kabupaten Cianjur antara lain
pantas, ada aturan-aturan yang sudah diterapakan. 1. Gap Analysis Tata Kelola Kemanan Informasi
a. Kurangnya jumlah SDM yang menangani
3. Nilai evaluasi Klausul A Keamanan aset pengelolaan keamanan informasi dan belum ada
ketersedian dokumen berdasarkan hasil kuesioner nilai pembagian wewenang
rata-ratanya adalah 1,9 berarti berada pada kategori b. Tidak adanya standar untuk patokan minimum
rendah, bahwa pada saat ini Dokumen daftar inventaris kompetensi dan keahlian dari staff pengelolaan keamanan
asset informasi dan aset TI ada beberapa yang tersedia, informasi
pada dokumen klasifikasi aset, tingkat ancaman, dan c. Program peningkatan kompetensi yang
dampak kerugian keamanan informasi belum dilakukan untuk staff pengelolaan keamanan informasi
tersedia,dokumen syarat serta prosedur penghancuran masih belum merata
data dan pertukaran data dengan pihak eksternal belum d. Tidak adanya dokumen koordinasi dengan pihak
tersedia. pengguna internal dan eksternal
4. Nilai Evaluasi Kalusul A Keamanan Fisik dan e. Tidak adanya standar terkait pengamanan
Lingkungan informasi yang harus dipatuhi
Nilai Evaluasi ketersedian dokumen berdasarkan hasil 2. Gap Analysis tentang pengelolaan risiko
kuesioner nilai rata-ratanya adalah 2.5 a. Tidak adanya program kerja terkait pengelolaan
berarti berada pada kategori rendah, hasil kuesioner ini risiko keamanan informasi
sudah ada beberapa SOP yang tersedia seperti kontrol b. Tidak adanya bagian khusus yang bertanggung
masuk pihak ketiga, keamanan pengkabelan, dan jawa menangani pengelolaan risiko keamanan informasi
pemeliharaan peralatan secara keseluruhan Dokumen c. Tidak adanya kerangka kerja yang digunakan
pengelolaan fasilitas fisik/ lokasi kerja belum tersedia. terkait pengelolaan risiko keamanan informasi, seperti
5. Nilai Evaluasi Kalusul A.13 Keamanan standar ISO 27001:2013
Komunikasi d. Tidak adanya dokumentasi keterhubungan
Nilai evaluasi ketersedian dokumen berdasarkan hasil klasifikasi aset informasi, tingkat ancaman, dan dampak
kuesioner nilai rata-ratanya adalah 2.9 berarti berada yang dihasilkan dari terjadinya risiko keamanan informasi
pada kategori rendah secara teknis konsep-konsep tentang 3. Gap Analysis Kerangka Kerja
keamanan sudah diterapakan, namun belum tersedia a. Belum ada mekanisme dalam pengelolaan
dokumen seperti Tata tertib penggunaan komputer, distribusi, penyimpanan, dan penarikan dari peredaran
email, inetrnet, dan intranet. Dokumen Tata tertib terkait kebijakan dan prosedur keamanan informasi
penggunaan dan pengaman aset b. Belum adanya proses pengkomunikasian
Berdasarakan hasil evaluasi dari 5 Klausul maka nilai kebijakan keamanan informasi serta perubahannya pada
rata-rata nya adalah 2.3. maka dapat disimpulkan bahwa pihak ketiga
sistem pengamanan informasi di LPSE dinas Komunikasi c. Tidak adanya kegiatan audit internal yang
dan Informatika Kabupaten Cianjur termasuk kategori terdiri dari rencana audit, audit program, evaluasi hasil.
rendah.
4. Gap Analysis Aset
a. Analisa Kesenjangan (Gap Analysis) a. Tidak adanya peraturan perundang-undangan
Sebelum melakukan pemetaan rekomendasi yang yang digunakan LPSE terkait klasifikasi aset informasi
dipilih dari SNI ISO/IEC 27001: 2013 terlebih dahulu dan evaluasinya
melakukan analisa kesenjangan yaitu bagimana b. Tidak adanya mekanisme pengamanan fisik
mengidentifikasi apakah sistem saat ini telah memenuhi dalam pengiriman aset informasi dengan pihak ketiga
kebutuhan. Maka Pada tahap ini melakukan requrement c. Tidak adanya peraturan resmi untuk
dari LPSE, menetukan penyesuaian yang diperlukan dan pengamanan ruang server dan ruang arsip dari ancaman
memastikan dengan sistem yang baru memenuhi aset informasi, seperti larangan penggunaan handphone,
kebutuhan bisnis yang memastikan menjadi best practice, larangan penggunaan kamera dan lain-lain
dan mengidentifikasi permaslahan yang membutuhkan d. Tidak adanya tata tertib terkait penggunaan
perubahan kebijakan di perusahaan. Menurut narasumber komputer, email, internet, intranet, dan pengamanan aset.
bahwa ada alasan yang menjadi kendala dalam e. Tidak adanya peraturan terhadap penggunaan
penyusunan yaitu : data pribadi
14
Fuad Nasher, Perancangan Sistem Manajemen Keamanan Informasi Layanan Pengadaan Barang/Jasa Secara
Elektronik (LPSE)
f. Tidak adanya kebijakan terhadap pelanggaran c. sistem aplikasi yang digunakan untuk mengganti
dari pengelolaan identitas serta proses otentikasi password oleh user secara berkala
(username & password) d. Tidak adanya rekaman hasil analisa yang berisi
g. Tidak adanya prosedur dan syarat terkait bahwa antivirus telah diupdate secara berkala dan tidak
pemberian akses, otentikasi, dan otorisasi untuk ada laporan tentang penyerangan virus yang berhasil
penggunaan aset informasi ditindaklanjuti
h. Tidak adanya prosedur untuk mutasi user atau
tenaga kontrak yang habis masa kerjanya b. Pemetaan Klausul SNI ISO/IEC 27001:2013
5. Gap Analysis Teknologi Setelah dilakukan penilaian risiko, evaluasi nilai
a. Tidak dilakukannya pemindaian jaringan, Control Objective and Control SNI ISO/IEC 27001:2013
sistem, dan aplikasi secara rutin. Jaringan, sistem, dan dan gap analisis maka selanjutnya melakukan rencana
aplikasi akan dipindai hanya jika ada insiden yang terjadi pemetaan kontrol dengan kerangka kerja SNI ISO/IEC
b. Tidak digunakannya standar untuk penerapan 27001:2013 yaitu terdapat pada tabel 4.6
enkripsi
Tabel 4.6 Pemetaan klausul SNI ISO/IEC 27001:2013
Nama aset Kerentanan Ancaman dampak Pengendalian Nilai SNI ISO/IEC Peraturan dan
saat ini resiko 27001:2013 Prosedur
Jaringan Belum terlasana Dapat Kebutuhan Pembatas 5 A.11.1.3 Peraturan tentang
Fax dengan optimal diakses akan fisik dan securing pengamanan fisik
dan dalam oleh yang pengadaan kunci officersw, Prosedure bekerja
jaringan pengelolaan tidak terganggu rooms and di wilayah aman
telephone keamanan dan berhak pacilities
akses fisik A.11.1.5
ruangan working in
secure areas
Dan seterusnya
Hasil dari pemetaan kontrol dengan kerangka kerja Adapun perancangan dokumen yang telah disusun
SNI ISO/IEC 27001:2013 maka yang perlu dirancang berdasarkan pemetaan dengan SNI ISO/IEC 27001:2013
SMKI berdasarkan penelitian yang dilakukan pemetaan diatas terdiri dari:
tersebut terdapat 21 klausul yang digunakan yaitu sebagai
berikut : 1. Perancangan Manual Kebijakan SMKI
2. Perancangan SOP dan
3. Perancangan Formulir
Tabel 4.15 Pemetaan Kontrol SNI ISO/IEC
27001:2013
Klausul S N I ISO/IEC 27001:2013 Kontrol 5. Kesimpulan dan Saran
1. Seleksi pegawai A.7.1.1 5.1 Kesimpulan
2. Persyaratan SDM A.7.1.2
3. Pendidikan dan pelatihan keamanan Kesimpulan dari hasil penelitian ini adalah telah dibuat
A.7.2.2
informasi perancangan Sistem Manajemen keamanan Informasi
4. Kedisiplinan A 7.2.3. pada sistem Pengadaan Barang/jasa secara elektronik
5. Penanganan aset A.8.2.3 (LPSE) di Dinas Komunikasi dan Informatika Kabupaten
6. Aturan akses kontrol A.9.1.1 Cianjur berdasarkan pemetaan kontrol dengan kerangka
7. Penyediaan akses pengguna A.9.2.2 kerja SNI ISO/IEC 27001:2013 yaitu:
8. Pengelolaan hak akses istimewa A.9.2.3 1. Terdapat 21 klausul yang digunakan dimana hasil
9. Pengelolaan informasi otentikasi
A.9.2.4 rancangannya adalah Dokumen Manual Keamanan
rahasia pengguna
Informasi, Prosedur dan Formulir Sistem Manajemen
10. Review hak akses pengguna A.9.2.5
11. Pembatasan akses terhadap Keamanan informasi. Dengan memiliki dokumen ini,
A.9.4.1 sistem LPSE yang terdapat pada Dinas Komunikasi dan
informasi
12. Pengamanan prosedure log on A.9.4.2 Informatika Kabupaten Cianjur diharapakan
13. Sistem pengaturan password A.9.4.3 mendapatkan keterjaminan confidentiality, integrity dan
14. Penggunaan program Utilitas availability dalam menjaga keamanan informasi serta
A.9.4.4
istimewa meminimalisir terjadinya insiden atau risiko yang
15. Klasifikasi aset A.8.2.1 terdapat pada LPSE yang sangat tinggi.
16. Perlindungan dari bencana 2. Memberikan gambaran, referensi bagaimana
A.11.1.4
alam,serangan dari luar merancang/membangun terkait dengan sistem
17. Penempatan peralatan di wilayah manajemen keamanan informasi dalam melakukan
A.11.2.1
aman perbaikan-perbaikan untuk menjamin terhadap keamanan
18. Utilitas pendukung A.11.2.2
informasi dan peningkatan kualitas.
19. Keamanan pengkabelan A.11.2.3
20. Pemeliharaan peralatan A.11.2.4
21. Kerahasiaan pertukaran informasi
A.13.2.4
(komunikasi)
15
MJI Vol.10, No.1, Juni 2018, hlm. 1-16
16