IT Audit dan ISO/IEC 27001

Consultancy & Certification

DIREKTORAT SISTEM INFORMASI

YAYASAN PERGURUAN 17 AGUSTUS 1945 SURABAYA
 PROJECT CHARTER

IT Audit dan ISO/IEC 27001 Consultancy & Certification

Melakukan audit sistem keamanan informasi dan pendampingan

SERTIFIKASI ISO/IEC 27000
Direktorat Sistem Informasi - Yayasan Perguruan 17 Agustus 1945 Surabaya
SCOPE OF WORK

Melakukan analisis Gap ISO/IEC 27001 .

Melakukan tindak lanjut atas temuan dari analisis gap.
Menetapkan satu asset TI yang akan disertifikasi ISO/IEC 27001.
Evaluasi Persiapan Audit ISO/IEC 27000.
Pendampingan Audit ISO/IEC 27000
DELIVERABLES

Laporan Hasil Analisis Gap

Penyusunan dokumentasi requirement ISO/IEC 27001.
Laporan Persiapan Audit.
Laporan pendampingan Audit.
 PROJECT ORGANIZATION

Project Manager Multimatics Project Manager BSI

Agus Setiawan SUPANGAT
Director of Badan Sistem Informasi
Executive Director of Multimatics

Abdul Gopur Pengurus YPTA

Head of Consulting Dept. Pengarah

Herson C. Mandiangan Agus Hermanto

ISO/IEC 27001 Consultant Internal Auditor BSI

Taufik Falahuddin Mohammad Djaya

Direktur Operasional YPTA Surabaya
ISO/IEC 27001 Consultant

Ontot murwanto
Direktur Keuangan YPTA Surabaya

dipo wahyoeono
Direktur Organisasi YPTA Surabaya

Eko Halim
Kabag Development BSI

Bara Alfa
Kabag IT Support & Officer BSI

Fridy Mandita
Kabag IT Manajemen & Data Akademik Untag Sby

Ika Lestari
Kasubag Programmer BSI

Ajeng Restu K.
Kasubag Pelaporan PDPT Dikti

Kusnan
Kasubag Umum BSI

M. Bagus Setyo
Kasubag Network BSI

Marindo A.
Kasubag IT Administration BSI

Gabrielle N. Rattu
Implementator BSI
 PROJECT INFORMATION

Ÿ Direktorat Sistem Informasi YPTA Surabaya sudah memiliki dokumen

standar (IT Master Plan, Rencana Strategis, Kebijakan, prosedur, dan
instruksi kerja terkait keamanan informasi.)
Ÿ Dokumen pendukung terhadap jawaban kuisioner gap analisis.
Ÿ Direktorat Sistem Informasi YPTA Surabaya mampu menghadirkan
ASSUMPTIONs

personil yang bertanggung jawab sesuai keahliannya sampai akhir

proyek ketika konsultan membutuhkan dalam pengumpulan data dan
konsultasi.
Ÿ Direktorat Sistem Informasi YPTA Surabaya mampu menyediakan
informasi yang dibutuhkan.
Ÿ Direktorat Sistem Informasi YPTA Surabaya menyediakan ruang
khusus, ATK, dan printer bagi konsultan selama kunjungan ke BSI YPTA
Surabaya.
Ÿ Biaya yang muncul dalam proyek sudah termasuk dalam anggaran biaya
yang sudah disepakati.
Ÿ Sertifikasi ISO/IEC 27001 akan dilakukan oleh Badan Sertifikasi.
constraints

Ÿ Ruang lingkup audit berdasarkan standar ISO/IEC 27001.

Ÿ Sertifikasi ISO/IEC 27001 dibatasi pada 1 aset TI di organisasi BSI.
Ÿ Proyek akan diselesaikan pada tanggal 30 April 2018.
Ÿ Apabila sampai akhir proyek, tingkat kepatuhan BSI atas ISO/IEC 27001
belum terpenuhi, maka aktivitas audit dari Badan Sertifikasi akan ditinjau
kembali

Ÿ Ketidakhadiran personil BSI YPTA Surabaya atau Konsultan.

Ÿ Pengumpulan, submit atau review dokumen pendukung dan
RISK

deliverable yang terlambat.

Ÿ Ruang lingkup pekerjaan yang melebar.
Ÿ Kualitas deliverable yang tidak sesuai.
 Audit Gap Analysis

14-16 March 2018 09.00-17.00

Pembukaan
Meeting Conduct Gap Assesment in dibuka oleh Pak Supangat Direktur Badan
Sistem Informasi, Yayasan Perguruan 17 Agustus 1945 Surabaya. Beliau
mengharapkan tujuan dari proyek ini dapat tercapai dan juga ketersediaan tim BSI
dalam menyampaikan kondisi sebenarnya pengelolaan sistem informasi di BSI.

Paparan Draft Project Charter (terlampir)

Dalam draft Project Charter yang disampaikan oleh konsultan Multimatics telah
dijelaskan tujuan, ruang lingkup dan tim proyek yang terlibat. Ada beberapa
masukan dari tim BSI yang segera diakomodir dalam draft tersebut.

Tetapi secara lebih rinci tim BSI akan mereview dan melakukan koreksi yang
diperlukan. Draft project Charter terlampir adalah draft yang diperbarui tanggal 14
Maret 2018.

Tujuan dari diadakannya pekerjaan IT Audit dan ISO/IEC 27001 Consultancy &
Certification ini adalah untuk :

Mengetahui tingkat kesiapan awal pengelolaan keamanan system

informasi yang berjalan dalam lingkungan Divisi BSI Untag Surabaya.

Mempersiapkan Divisi BSI Untag Surabaya dalam upaya memperoleh

sertifikasi ISO/IEC 27001:2013
 Audit Gap Analysis
Awareness ISO/IEC 27001:2013
Untuk menyamakan persepsi tentang audit ISO/IEC 27001:2013 antara konsultan
Mutimatics dan tim BSI, maka perlu dilakukan pemaparan awareness ISO/IEC
27001:2013. Materi awareness dapat dilihat pada lampiran MOM ini.

Audit Gap Analysis ISO/IEC 27001:2013

Audit gap analysis dilakukan melalui wawancara dan assessment atas aktivitas yang
berjalan dalam lingkungan BSI dan dokumentasinya. Berikut in point-point yang
disampaikan secara umum :

Sesi kedua yang dimulai pada jam 13:00 sampai dengan jam 17:00, membahas
tentang Annex A.5, A.6, A.8 dan A.9.

Struktur organisasi BSI disahkan dengan SK 957/Y-A/O-g/XII/2017 tgl 6 Des 2017.

Belum ada Kebijakan dan Prosedur yang khusus menangani tentang Keamanan
Informasi (Information Security) dalam lingkungan BSI.

Dalam Struktur Organisasi belum ada penugasan khusus terhadap posisi

penanggung-jawab Keamanan Informasi, tetapi dalam operasional harian peran ini
sudah dijalankan.

Belum ada sosialisasi Keamanan Informasi

Sudah ada dokumen rencana program kerja selama 1 (satu) tahun.

Sudah ada Service Catalog dan Service Level Agreement (SLA) yang ditetapkan
secara umum.

Sudah ada daftar Hak Akses terhadap Sistem Informasi yang berjalan.

Sudah ada draft Prosedur BSI yang memuat informasi sistem pendukung SIM,
topologi jaringan, operasional komputer, lingkup intranet dan extranet, serta
informasi terkait lainnya

Sudah ada draft dokumen kebijakan Access Control, tetapi masih terpisah belum
terintegrasi.

Secara lebih terperinci, hasil dari wawancara dan assessment pada sesi in ada pada
dokumen BSI IT Audit & ISO 27001 Laporan Gap Analisis – 14 Maret ] terlampir.
 Compliance

Organisation of Human resources

information security security
Information Security
Policies A.6 A.7

A.5
61 %
58% Asset management
25 %
A.8
Compliance 48%
A.18
Access control
41 %
A.9
55%
A.17
31 %
Information security aspects
of business continuity
management
48 % A.10
50%
Cryptography

A.16
61 % A.11
25%
Information security
incident management A.15 Physical and
40% A.12
environmental security

Supplier relationships A.14

50%
65% A.13
54% Operations security

System acquisition,
development and maintenance Communications
security
 Compliance

Information Security
Policies
Compliance Organisation of information
70% security

60%
Information security Human resources security
aspects of business 50%
continuity management
40%
30%
Information security 20%
Asset management
incident management
10%
0%

Supplier relationships Access control

System acquisition, Cryptography

development and maintenance

Communications security
Physical and environmental
security
Operations security

Secara keseluruhan tingkat kepatuhan BSI terhadap standar

ISO/IEC 27001:2013 masih berada pada tingkat 48%. Artinya,
BSI masih harus melakukan perbaikan dengan melakukan
rekomendasi-rekomendasi yang disarankan sesuai dengan
Laporan Gap Analysis