disain dan analisa proyek audit
DESCRIPTION
desain dan analisaTRANSCRIPT
Audit Manajemen Aset Pada Bank Bukopin Cabang Surabaya Menggunakan Standar ISO 27001Version: 1.0
Spesifikasi kebutuhan proyek audit TITLE \* MERGEFORMAT Date 11-Juni-2014
RMP_versi1.0.docx
Ver: 1.0Dokumen:
Desain dan Analisa Proyek Audit
Audit Manajemen Aset Pada Bank Bukopin Cabang Surabaya Menggunakan Standar ISO 27001 2014
Sejarah Revisi Dokumen
TanggalVerDeskripsi / PerubahanPenulis
11 Juni 20141.0Menentukan judul dan mengisi seluruh isi dokumenTim
Disusun Oleh:
1. Irfan Kurniawan(11410100101)
2. Zayed Elfasa(11410100101)
3. Rio Sonja Rosmana(11410100133)
4.Berlita Tri Cahyaningasri(11410100192)
DAFTAR ISI61.Introduction
61.1.Tujuan Dokumen
61.2.Ruang Lingkup Dokumen
61.3.Definisi, Akronim, Singkatan yang Dipakai
81.4.Referensi
81.5.Gambaran Umum Dokumen
82.Representasi Arsitektur
92.1.Arsitektur Sistem
92.2.Deskripsi Umum dari Arsitektur Sistem
103.Desain Fungsional
103.1.Desain Proses
103.1.1.Context Diagram
113.1.2.Data Flow Diagram
153.2.Desain Data
153.2.1.Desain Konseptual
153.2.2.Transformasi kedalam SQL Tables
153.2.3.Normalisasi
153.3.Desain Antar Muka
153.3.1.Antar Muka Perangkat Lunak
163.3.2.Antar Muka Perangkat Keras
173.3.3.Antar Muka Jaringan
173.3.4.Antar Muka Pengguna
403.4.Desain Keamanan
403.4.1.Keamanan Fisik
413.4.2.Keamanan Logikal
413.4.3.Keamanan Personal
413.4.4.Enkripsi
414.Desain Sistem
414.1.Standar Pemrograman
424.2.Model Fisik
424.2.1.Physical Data Model
434.2.2.Data Dictionary
494.3.Rencana Uji Coba
505.Desain Program
505.1.Desain Unit/Modul
505.2.Pseudocode
505.2.1.Prosedur/Fungsi Auto Increement
505.2.2.Prosedur/Fungsi Simpan Data
515.2.3.Prosedur/Fungsi GetData (Object)
515.2.4.Prosedur/FungsiGetData (String)
525.2.5.Prosedur/Fungsi Ubah Data (Object)
525.2.6.Prosedur/Fungsi OpenKoneksi
525.2.7.Prosedur/Fungsi CloseKoneksi
1. PengenalanDokumen ini berisi desain dan analisa proyek audit untuk Audit Manajemen Aset Pada Bank Bukopin Cabang Surabaya Menggunakan Standar ISO 27001 yang akan dikerjakan. Dokumen ini berisi tentang gambaran dari dokumen ini sendiri, antara lain adalah perkenalan, tujuan, ruang lingkup dokumen, definisi & akronim singkatan yang dipakai, referensi, gambaran umum dokumen, klausul yang dipilih, audit working planning, pertanyaan audit, tabel penilaian, dan penentuan tingkat kedewasaan.
1.1. Tujuan Dokumen
Dokumen desain dan analisa proyek audit ini bertujuan untuk menyediakan rancangan audit dengan standar ISO 27001 klausul 7.
1.2. Ruang Lingkup Dokumen
Ruang Lingkup dari dokumen disain dan analisa proyek audit ini adalah :
1. Klausul yang digunakan2. Audit working planning
3. Pertanyaan audit4. Tabel penilaian
5. Penentuan tingkat kedewasaan (Maturity level)1.3. Definisi, Akronim, Singkatan yang Dipakai
Akronim atau singkatanDefinisi
Stakeholder Kelompok atau individu yang dukungannya diperlukan demi kesejahteraan dan kelangsungan hidup organisasi. Clarkson membagi stakeholder menjadi dua: stakeholder primer dan stakeholder sekunder. Stakeholder primer adalah pihak di mana tanpa partisipasinya yang berkelanjutan organisasi tidak dapat bertahan.
ISO 27001Suatu standar internasional untuk Sistem Manajemen Kemanan Informasi (SMKI). SO 27001 menyediakan kerangka kerja untuk netralitas penggunaan teknologi, netralitas sistem manajemen pengelolaan rekanan yang memungkinkan suatu organisasi memastikan bahwa pengukuran keamanan informasi adalah efektif. Hal ini termasuk kemampuan mengakses data secara berkelanjutan, adanya kerahasiaan dan integritas atas informasi yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan demikian pula dengan kesesuaian hukum.
AuditSuatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara obyektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian haisl-hasilnya kepada pemakai yang berkepentingan
Klausul
Maturity level
1.4. Referensi
1.5. Gambaran Umum Dokumen
Dokumen ini akan menjelaskan perlengkapan penilaian untuk menilai kematangan dari hasil audit manajemen aset. Tentunya, akan ada beberapa dokumen yang dibutuhkan untuk audit yang akan dijelaskan pada dokumen ini. Mulai dari pertanyaan audit hingga cara penilaiannya. 2. Klausul yang Digunakan
Sistem informasi yang ada di Bank Bukopin sangat bervariasi sehingga proses audit harus dilaksanakan dengan tepat. Makalah ini akan menjelaskan satu sistem informasi dan auditnya.
Berdasarkan ISO 27001 yang di dalamnya terdapat lima belas klausul yang membahas mengenai keamanan untuk proteksi dari pihak-pihak yang tidak berkepentingan. Dari lima belas klausul yang ada, makalah ini menjelaskan klausul 7 yang membahas mengenai Manajemen Aset.
Berikut ini adalah detail struktur dokumen kontrol keamanan pada klausul 7 berdasarkan ISO 27001 :
2.1. Kontrol keamanan klausul 7Klausul 7 : Manajemen Aset
Kategori Keamanan Utama : 7.1 Tanggung jawab terhadap aset
Objektif Kontrol : Untuk memenuhi perlindungan dan memeliharaan terhadap aset organisasi
7.1.1 Inventarisasi terhadap asetKontrol : Seluruh aset organisasi harus diinventarisasi dan dipelihara
7.1.2Kepemilikan asetKontrol : Seluruh informasi dan aset yang berhubungan dengan fasilitas pemrosesan Informasi harus ditentukan kepemilikannya sesuai dengan ketentuan organisasi
7.1.3 Aturan penggunaan asetKontrol : Aturan - aturan penggunaan informasi yang berhubungan dengan fasilitas pemrosesan informasi harus diidentifikasi dan diimplementasikan
Kategori keamanan utama : 7.2 Klasifikasi informasi
Objektif kontrol : Untuk memastikan bahwa setiap informasi dalam organisasi mendapatkan keamanan yang memadai
7.2.1Aturan klasifikasi Kontrol : Informasi harus diklarifikasikan menurut nilainya, kepentingan dan tingkat kritikannya terhadap organisasi
7.2.2Penanganan dan pelabelan informasi Kontrol : Suatu prosedur yang cukup memadai harus dibuat untuk pelabelan dan penanganan Informasi sesuai dengan skema klarifikasi Informasi yang telah ditentukan oleh organisasi.
3. Audit working planningNama KegiatanDurasiMulaiSelesai
Pembentukan Tim Proyek6 daysTue 04/03/14Sun 09/03/14
Menentukan Project Manager1 dayTue 04/03/14Tue 04/03/14
Menentukan Sekretaris dan Bendahara3 daysFri 07/03/14Sun 09/03/14
Mencari auditor3 daysWed 05/03/14Fri 07/03/14
Kick Off Meeting1 dayMon 10/03/14Mon 10/03/14
Menentukan waktu janjian dengan stakeholder 1 dayMon 10/03/14Mon 10/03/14
Pembagian Job Desk1 dayMon 10/03/14Mon 10/03/14
Rapat tim proyek1 dayMon 10/03/14Mon 10/03/14
Follow up1 dayMon 10/03/14Mon 10/03/14
Sosialisasi profil perusahaan (detil)1 dayMon 10/03/14Mon 10/03/14
Dokumen Proyek charter17 daysTue 11/03/14Wed 02/04/14
Executive summary1 dayTue 11/03/14Tue 11/03/14
Project Purpose1 dayWed 12/03/14Wed 12/03/14
Project Description1 dayThu 13/03/14Thu 13/03/14
Risks2 daysFri 14/03/14Mon 17/03/14
Project Deliverables2 daysTue 18/03/14Wed 19/03/14
Summarie Milestone Schedule2 daysThu 20/03/14Fri 21/03/14
Summary Budget2 daysMon 24/03/14Tue 25/03/14
Project Approval Requirements2 daysWed 26/03/14Thu 27/03/14
Project Manager2 daysFri 28/03/14Mon 31/03/14
Authorization2 daysTue 01/04/14Wed 02/04/14
Pembuatan Dokumen tanya jawab9 daysMon 07/04/14Thu 17/04/14
Penentuan standar manajemen keamanan sistem informasi3 daysMon 07/04/14Wed 09/04/14
Menyusun dokumen tanya jawab3 daysThu 10/04/14Mon 14/04/14
Menyusun dokumen pernyataan3 daysTue 15/04/14Thu 17/04/14
Wawancara dengan karyawan Bank Bukopin3 daysMon 21/04/14Wed 23/04/14
Wawancara klausul bagian I2 daysMon 21/04/14Tue 22/04/14
Wawancara klausul bagian II1 dayWed 23/04/14Wed 23/04/14
Pembuatan dokumen laporan audit8 daysThu 24/04/14Mon 05/05/14
Laporan tanya jawab3 daysThu 24/04/14Mon 28/04/14
Laporan dokumentasi3 daysTue 29/04/14Thu 01/05/14
Laporan maturity level2 daysFri 02/05/14Mon 05/05/14
Dokumentasi1 dayMon 07/04/14Mon 07/04/14
Laporan dokumentasi1 dayMon 07/04/14Mon 07/04/14
Closing Project1 dayThu 08/05/14Thu 08/05/14
penyerahan dokumen1 dayThu 08/05/14Thu 08/05/14
tanda tangan kontrak1 dayThu 08/05/14Thu 08/05/14
4. Pertanyaan auditTerlampir5. Tabel Penilaian5.1. Standar CMMI LevelRatingColorCMMI LevelISO 27002 Level
0Non ExistentTidak ada kontrol sama sekali
1InitialAda bukti bahwa masalah keamanan ada dan perlu di tangani, namun tidak ada kontrol untuk mengatasi masalah ini.
2RepeatableKeamanan kontrol masih dalam pengembangan dengan dokumentasi terbatas.
3DefinedKeamanan kontrol telah didokumentasikan dan dikomunikasikan melalui pelatihan, tetapi diserahkan kepada individu mengikuti kontrol.
4ManagedHal ini dimungkinkan untuk memantau dan mengukur kepatuhan kontrol keamanan tetapi management kontrol tidak sepenuhnya otomatis.
5OptimizedKeamanan kontrol telah disempurnakan ketingkat kode ISO praktek, berdasarkan hasil improvemen terus menerus.
5.2. Hasil Penilaian
Klausul 7: Manajemen Aset
No.PernyataanHasil PemeriksaanBobotMaturity Level
012345Nilai
7.1.1.1 Terdapat sistem informasi yang menangani masalah manajemen aset pada Bank Bukopin Cabang Surabaya.
7.1.1.2 Terdapat list inventaris pada Bank Bukopin cabang Surabaya.
7.1.1.3 Terdapat peraturan pemeliharaan aset Bank Bukopin cabang Surabaya.
Total BobotTotal Tingkat Kemampuan
Rata-rata Tingkat Kemampuan
7.1.2.1
Terdapat prosedur untuk mengetahui pemilik inventaris pada Bank Bukopin cabang Surabaya.
7.1.2.2 Terdapat list pemegang prosedur (tempat penyimpanan dan bagian yang bertanggung jawab) pada Bank Bukopin cabang Surabaya.
7.1.2.3 Terdapat pengawasan terhadap implementasi aturan penggunaan aset.
Total BobotTotal Tingkat Kemampuan
Rata-rata Tingkat Kemampuan
7.1.3.1 Terdapat identifikasi aturan penggunaan informasi mengenai aset pada Bank Bukopin cabang Surabaya.
7.1.3.2 Terdapat implementasi penggunaan informasi mengenai aset sesuai dengan aturan yang ada.
Total BobotTotal Tingkat Kemampuan
Rata-rata Tingkat Kemampuan
7.2.1.1
Adanya pengelompokan informasi aset pada Bank Bukopin cabang Surabaya
7.2.1.2
Terdapat prosedur pengelompokan informasi
Total BobotTotal Tingkat Kemampuan
Rata-rata Tingkat Kemampuan
7.2.2.1
Adanya skema klasifikasi informasi yang telah ditentukan
7.2.2.2
Terdapat pelabelan pada semua aset perusahaan
Total BobotTotal Tingkat Kemampuan
Rata-rata Tingkat Kemampuan
5.3. Maturity level
Tabel dibawah ini merupakan representasi nilai untuk penentuan maturity level kontrol keamanan pada klausul 7 yang membahas mengenai manajemen aset. Nilai kematangan pada setiap kontrol yang terdapat pada tabel dibawah ini didapatkan dari analisa dan evaluasi yang dilakukan.
Klausul Kontrol ObjektifKontrol Keamanan Tingkat kemampuanRata-rata objektif kontrol
7. Manajemen aset7.1 Tanggung jawab terhadap aset7.1.1 Investarisasi Terhadap Aset
7.1.2 Kepemilikan Aset
7.1.3 Aturan Penggunaan Aset
7.2 Klasifikasi informasi7.2.1 Aturan klasifikasi
7.2.2 Penanganan dan pelabelan informasi
Maturity level klausul 7
Setelah dihasilkan nilai maturity level yang didapat dari seluruh rata-rata nilai tingkat kemampuan kontrol keamanan, selanjutnya nilai-nilai yang ada pada tabel tersebut akan direpresentasikan kedalam diagram radar pada gambar dibawah ini :
Gambar 2 Representasi Maturity Level Klausul 7 Manajemen Aset.Sedangkan diagram radar untuk kontrol objektif klausul 7 yang membahas mengenai tanggung jawab terhadap aset adalah sebagai berikut :
Gambar 3 Representasi Maturity Level Kontrol Objektif Tanggung Jawab Terhadap Aset.Sedangkan diagram radar untuk kontrol objektif klausul 7 yang membahas mengenai tanggung jawab terhadap aset adalah sebagai berikut :
Gambar 4 Representasi Maturity Level Kontrol Objektif Klasifikasi Informasi5.4. Temuan dan rekomendasi klausul 7
7.1.1Inventarisasi terhadap aset
No.PernyataanTemuan Rekomendasi
7.1.1.2Terdapat list inventaris pada Bank Bukopin cabang Surabaya.
7.1.2Kepemilikan Aset
No.PernyataanTemuan Rekomendasi
7.1.2.1Terdapat prosedur untuk mengetahui pemilik inventaris pada Bank Bukopin cabang Surabaya.
7.1.3Aturan Penggunaan Aset
No.PernyataanTemuan Rekomendasi
7.1.3.2Terdapat implementasi penggunaan informasi mengenai aset sesuai dengan aturan yang ada.
7.2.1Aturan Klasifikasi
No.PernyataanTemuan Rekomendasi
7.2.1.2Terdapat prosedur pengelompokan informasi
LAMPIRAN PERNYATAAN, PERTANYAAN, DAN JAWABAN KLAUSUL MANAJEMEN ASET PADA BANK BUKOPIN CABANG SURABAYA
MATA KULIAH : MANAJEMEN PROYEKKategori Keamanan Utama : 7 Tanggung Jawab Terhadap AsetObjektif Kontrol : Untuk memenuhi perlindungan dan pemeliharaan terhadap aset organisasi7.1.1 Investarisasi Terhadap AsetSeluruh aset organisasi harus diinvetarisasi dan dipelihara
PernyataanPertanyaanJawaban
Terdapat sistem informasi yang menangani masalah manajemen aset pada Bank Bukopin Cabang Surabaya.Apakah terdapat sistem informasi khusus yang menangani manajemen aset di kantor Bank Bukopin Cabang Surabaya?
Dimana letak sistem infromasi tersebut?
Siapa yang boleh mengakses sistem informasi tersebut pada bagian Sarana dan Logistik?
Bagaimana keamanan sistem informasi aset tersebut?
Terdapat list inventaris pada Bank Bukopin cabang Surabaya.Apakah Bank Bukopin memiliki list inventaris?
Siapakah yang menyimpan list inventaris Bank Bukopin ?
Dimana tempat penyimpanan list invetaris tersebut ?
Apakah semua aset sudah sesuai dengan list yang ada ?
Adakah aset yang belum masuk dalam daftar inventaris perusahaan ?
Kapan saja bank bukopin melakukan pembaruan (update) list inventaris perusahaan?
Bagaimana cara mengamankan list inventaris pada Bank Bukopin?
Terdapat peraturan pemeliharaan aset Bank Bukopin cabang Surabaya.Apakah ada peraturan pemeliharaan aset pada Bank Bukopin?
Siapakah / bagian apa yang bertanggung jawab terhadap pemeliharaan aset Bank Bukopin ?
Adakah sosialisasi mengenai pemeliharaan aset ?
Siapakah orang/target sosialisasi mengenai pemeliharaan aset?
Bagaimana cara kerja pemeliharaan aset?
Bagaimana cara mengamankan aset pada Bank Bukopin?
7.1.2 Kepemilikan AsetSeluruh informasi dan aset yang berhubungan dengan fasilitas pemrosesan informasi harus ditentukan kepemilikannya sesuai ketentuan organisasi
PernyataanPertanyaanJawaban
Terdapat prosedur untuk mengetahui pemilik inventaris pada Bank Bukopin cabang Surabaya.Apakah Bank Bukopin memiliki prosedur untuk mengetahui inventaris aset?
Standar apakah yang digunakan untuk membuat prosedur untuk mengetahui pemilik inventaris?
Terdapat list pemegang prosedur (tempat penyimpanan dan bagian yang bertanggung jawab) pada Bank Bukopin cabang Surabaya.Apa bentuk list pemegang prosedur tersebut (hardcopy atau softcopy) ?
Siapa atau bagian apa yang bertanggung jawab menyimpan list prosedur tersebut ?
Dimana letak penyimpanan list prosedur tersebut ? Apakah ada ruang khusus atau bagaimana ?
Terdapat pengawasan terhadap implementasi aturan penggunaan aset.Siapa atau bagian apa yang melakukan pengawasan terhadap implementasi aturan penggunaan informasi ?
Bagaimana bentuk pengawasannya ?
7.1.3 Aturan Penggunaan Aset Aturan-aturan penggunaan informasi yang berhubungan dengan fasilitas pemrosesan informasi harus diidentifikasikan dan diimplementasikan
PernyataanPertanyaanJawaban
Terdapat identifikasi aturan penggunaan informasi mengenai aset pada Bank Bukopin cabang Surabaya.Siapa atau bagian apa yang menerbitkan aturan penggunaan informasi mengenai aset?
Terdapat implementasi penggunaan informasi mengenai aset sesuai dengan aturan yang ada.Apakah semua karyawan telah mengerti mengenai peraturan dalam penggunaan informasi mengenai aset?
Adakah bagian yang memantau dalam implementasi peraturan di kehidupan sehari-hari ?
Kategori Keamanan utama : 7.2 Klasifikasi Informasi Objek kontrol : Untuk memastikan bahwa setiap informasi dalam organisasi mendapatkan keamanan yang memadai7.2.1 Aturan klasifikasi7.2 Informasi harus diklasifikasikan menurut nilainya, kepentingan dan tingkat kritikalnya terhadap organisasi
PernyataanPertanyaanJawaban
Adanya pengelompokan informasi aset pada Bank Bukopin cabang SurabayaApakah dasar yang digunakan untuk mengelompokkan informasi pada Bank Bukopin?
Bagian apa yang bertugas mengelompokkan informasi tersebut?
Kapan informasi tersebut dikelompokkan ?
Terdapat prosedur pengelompokan informasi
Siapa yang bertanggung jawab dalam pengelompokkan informasi ?
Dimana tempat penyimpanan prosedur pengelompokkan informasi?
7.2.2 Penanganan dan pelabelan informasiSuatu prosedur yang cukup memadai harus dibuat untuk pelabelan dan penanganan informasi sesuai dengan skema klasifikasi informasi yang telah ditentukan oleh organisasi
PernyataanPertanyaanJawaban
Adanya skema klasifikasi informasi yang telah ditentukanAdakah prosedur skema klasifikasi informasi?
Klasifikasi informasi tersebut berdasarkan apa?
Bagian apa yang mengklasifikasikan skema informasi?
Kapan informasi di klasifikasikan?
Dimana tempat penyimpanan hasil klasifikasi informasi?
Terdapat pelabelan pada semua aset perusahaanBagian apa yang bertanggung jawab terhadap list klasifikasi aset perusahaan?
Dimana tempat penyimpanan list label perusahaan?
Surabaya, 27 November 2013
Tertanda,
Zayed Elfasa (11410100127)Tertanda,
Suparman (Koordinator Sarana & Logistik)
PROGRAM STUDI S1 SISTEM INFORMASI
SEKOLAH TINGGI MANAJEMEN INFORMATIKA &
TEKNIK KOMPUTER SURABAYA
2014
Confidential(Dapur Audit, 2014Page 7 of 23