evaluasi keamanan informasi berdasarkan iso/iec · pdf file manajemen keamanan informasi...

Click here to load reader

Post on 21-Jan-2020

4 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • EVALUASI KEAMANAN INFORMASI BERDASARKAN ISO/IEC

    27002: 2013 INFORMATION SECURITY MANAGEMENT SYSTEM

    (STUDI KASUS PERUSAHAAN XYZ)

    Artikel Ilmiah

    Diajukan kepada

    Fakultas Teknologi Informasi

    Peneliti :

    Bimo Bayuaji Wicaksono (682014034)

    Frederik Samuel Papilaya, S.Kom., M.Cs.

    PROGRAM STUDI SISTEM INFORMASI

    FAKULTAS TEKNOLOGI INFORMASI

    UNIVERSITAS KRISTEN SATYA WACANA

    SALATIGA

    2018

  • EVALUASI KEAMANAN INFORMASI BERDASARKAN ISO/IEC

    27002: 2013 INFORMATION SECURITY MANAGEMENT SYSTEM

    (STUDI KASUS PERUSAHAAN XYZ)

    Bimo Bayuaji Wicaksono 1)

    , Frederik Samuel Papilaya, S.Kom., M.Cs. 2)

    Program Studi Sistem Informasi, Fakultas Teknologi Informasi Universitas Kristen Satya Wacana

    Jalan Diponegoro No. 52-60, Salatiga 50711, Telp: (0298) 321212, Indonesia

    Email : 682014034@student.uksw.edu 1)

    , samuel.papilaya@staff.uksw.edu 2)

    Abstrak

    The information security is a procedure of the process to protect the information,

    equipment and facilities for producing information on the various threats of information

    security incidents and maintain the continuity of a business organization. Implementation

    of Information Security Management System (ISMS) can use ISO/IEC 27002 guide. In

    models, the organization shall establish, implement, operate, monitor, review, maintain

    and improve a documented ISMS within the context of the organization's overall business

    and the risks it faces. This study aims to evaluate the implementation of information

    security controls based on ISO / IEC 27002: 2013 framework. The problem is the

    implementation of access control and Information security incident management in XYZ

    Company. This study uses a compliance assessment is not maximized. The result is about

    10% implementation of information security controls are in accordance with the

    framework of ISO / IEC 27002: 2013, and approximately 90% implementation of

    information security controls have not been appropriate. So,XYZ Company need to

    improve the ISMS using the given recommendation to achieve max suitability.

    Keyword: Evaluation, Information Security, Controls, ISO/IEC 27002:2013

    Keamanan informasi adalah sekumpulan prosedur yang terdiri dari proses-proses yang

    wajib ditaati untuk melindungi informasi, peralatan dan fasilitas penghasil informasi dari

    berbagai ancaman insiden keamanan informasi serta menjaga kontinuitas suatu bisnis

    organisasi. Pengimplementasian Sistem Manajemen Keamanan Informasi (SMKI) dapat

    menggunakan panduan ISO 27002. Organisasi harus menetapkan, menerapkan,

    mengoperasikan, memantau, mengkaji, memelihara dan meningkatkan Sistem

    Manajemen Keamanan Informasi terdokumentasi dalam konteks bisnis organisasi secara

    keseluruhan dan risiko yang dihadapinya. Penelitian ini bertujuan untuk melakukan

    evaluasi implementasi kontrol keamanan informasi berdasarkan kerangka kerja ISO/IEC

    27002:2013. Permasalahannya adalah pengimplementasian kontrol akses dan manajemen

    insiden keamanan informasi belum optimal di Perusahaan XYZ. Hasilnya adalah sekitar

    10% implementasi kontrol keamanan informasi sudah sesuai dengan kerangka kerja

    ISO/IEC 27002:2013, dan sekitar 90% implementasi kontrol keamanan informasi belum

    sesuai. Kemudian Perusahaan XYZ perlu meningkatkan SMKI sesuai dengan

    rekomendasi yang diberikan untuk mencapai kesesuaian maksimal.

    Kata Kunci: Evaluasi, Keamanan Informasi, Kontrol, ISO/IEC 27001:2013

    mailto:samuel.papilaya@staff.uksw.edu2

  • I . Pendahuluan

    Keamanan informasi menjadi bagian penting pengembangan sistem informasi baru

    yang berdampak pada risiko keamanan. Oleh karena itu, mengingat banyak cara dan

    dimana ancaman dapat mengambil keuntungan dari kerentanan membahayakan system.

    Untuk mengurangi risiko keamanan yang selalu diperbarui secara efektif yang

    berdampak pada peningkatan resiko dengan melindungi sistem terhadap ancaman dan

    keamanan, kemudian mengurangi dampak untuk sistem tersebut.

    International Standard Organization (ISO) 27002: 2013 merupakan standar

    internasional untuk dapat membandingkan antara lain kebijakan, proses, prosedur,

    organisasi struktur, software dan hardware. Standar Internasional mengelompokkan

    prasyarat keamanan informasi menjadi tiga prasyarat utama, yaitu: Information

    technology, Security techniques dan Code of practice for information security controls .

    yang terdiri dari 14 major division , 37 subdivision dan 114 controls[1].

    Perusahaan XYZ adalah perusahaan pelopor pelaksanaan reformasi penyempurnaan

    manajemen keuangan di Indonesia. Untuk mewujudkan tata kelola organisasi yang baik

    (good governance) perubahan organisasi ditandai dengan menyatukan manajemen dan

    sistem informasi yang tersebar di kantor unit daerah. Salah satu layanan yang dibuat oleh

    Bagian Sistem Informasi dan Teknologi adalah sistem informasi perbendaharaan

    menjadi komponen terbesar modernisasi pengelolaan perbendaharaan perusahaan dengan

    memfasilitasi kebutuhan proses pelayanan mulai dari sisi hulu (penganggaran) hingga

    hilir (penyusunan laporan keuangan perusahaan). Sistem informasi perbendaharaan

    adalah sistem aplikasi yang ada di lingkungan Perusahaan XYZ dan untuk mendukung

    otomatisasi sistem dari pengguna anggaran yang ada di setiap cabang dan rekan bisnis.

    Meningkatnya tingkat ketergantungan pada informasi sejalan dengan resiko yang

    mungkin akan menimbulkan masalah. Tahapan dalam pembuatan keamanan informasi

    disusun berdasarkan pemrosesan akses ke dalam informasi, gangguan yang terjadi dan

    penanganan mitigasi gangguan yang terjadi di perusahaan. Resiko yang biasa timbul yaitu

    resiko keamanan informasi yang menjadi penting untuk tersedia dan digunakan.

    Demikian Informasi merupakan aset yang paling penting untuk dilindungi dan diamankan

    [2]. Berdasarkan ISO/IEC 27002: 2013 Information Security perusahaan dapat memilih

    kontrol sesuai kebutuhan yaitu pengendalian akses dan pengendalian pengelolaan

    gangguan keamanan informasi.

    Penelitian ini bertujuan untuk melakukan evaluasi pengendalian akses untuk

    membatasi akses, memastikan otorisasi akses pengguna dan mencegah akses pihak yang

    tidak berwenang terhadap aset informasi khususnya perangkat pengolah informasi.

    sedangkan pengelolaan gangguan keamanan informasi untuk memastikan kejadian dan

    kelemahan keamanan informasi yang terhubung dengan sistem informasi

    dikomunikasikan untuk dilakukan perbaikan, serta dilakukan pendekatan yang konsisten

    dan efektif agar dapat dihindari atau tidak terulang kembali berdasarkan ISO/IEC

    27002:2013 untuk meningkatkan sistem manajemen keamanan informasi di Perusahaan

    XYZ. Manfaat penelitian ini untuk mendapatkan gambaran kondisi keamanan informasi

    saat ini agar menjadi masukan untuk meningkatkan keamanan informasi yang sudah

    terimplementasi dengan rekomendasi yang sesuai ISO 27002:2013 di perusahaan XYZ.

  • II. Tinjauan Pustaka

    Penelitian dengan analisis atau evaluasi menggunakan kerangka kerja ISO/IEC

    27002:2013 juga pernah dilakukan, yaitu evaluasi implementasi kontrol keamanan

    informasi berdasarkan kerangka kerja ISO/IEC 27002:2013 dalam rangka meningkatkan

    implementasi Sistem Manajemen Keamanan Informasi di Pustispan. Permasalahan yang

    diangkat dalam penelitian ini adalah pengimplementasian SMKI di Pustispan baru

    berjalan 1 tahun, sehingga pengimplementasian kontrol keamanan informasi belum

    maksimal yang menghasilkan rekomendasi [3].

    Penelitian lain tentang Audit Keamanan Informasi Menggunakan ISO 27002 Pada Data

    Center PT.Gigipatra Multimedia bertujuan dapat mengetahui kelemahan - kelemahan

    sistem yang menjadi penyebab permasalahan keamanan informasi yang selama ini terjadi.

    Audit ini juga menghasilkan rekomendasi tentang perbaikan yang harus dilakukan untuk

    meningkatkan keamanan informasi pada perusahaan, serta menjadi pertimbangan untuk

    memperoleh ISMS certification dengan standar ISO 27002 pada masa mendatang,

    sehingga menambah nilai tambah akan kepercayaan pelanggan terhadap PT. Giga Patra

    Multimedia [4].

    Hubungan dua penelitan sebelumnya dengan penelitian ini adalah menilai tingkat

    pengimplementasi keamanan informasi serta menjadi pertimbangan sertifikasi SMKI ISO

    27002: 2013. Persamaan lainnya yaitu ada pada penelitian yang dilakukan sama – sama

    menggunakan ISO 27002: 2013 untuk mengukur tingkat kematangan keamanan

    informasi, serta pada penelitian yang dilakukan Herman Affandi yang sama – sama

    melakukan penelitian pada Data Center. Hal yang membedakan adalah pada penelitian

    yang dilakukan Alhadi melakukan penilaian menggunakan Peraturan Kepala (Perka)

    LAPAN No. 8 Tahun 2015 yang tertulis dalam pasal 159 terkait tugas dan pasal 160

    terkait fungsi. Pada Pasal 159 Tugas Pustispan adalah melaksanakan pengelolaan

    infrastruktur dan tata kelola teknologi informasi, pengembangan sistem informasi serta

    penyusunan standar di