evaluasi keamanan informasi berdasarkan iso/iec · pdf file manajemen keamanan informasi...
Post on 21-Jan-2020
4 views
Embed Size (px)
TRANSCRIPT
EVALUASI KEAMANAN INFORMASI BERDASARKAN ISO/IEC
27002: 2013 INFORMATION SECURITY MANAGEMENT SYSTEM
(STUDI KASUS PERUSAHAAN XYZ)
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
Peneliti :
Bimo Bayuaji Wicaksono (682014034)
Frederik Samuel Papilaya, S.Kom., M.Cs.
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS TEKNOLOGI INFORMASI
UNIVERSITAS KRISTEN SATYA WACANA
SALATIGA
2018
EVALUASI KEAMANAN INFORMASI BERDASARKAN ISO/IEC
27002: 2013 INFORMATION SECURITY MANAGEMENT SYSTEM
(STUDI KASUS PERUSAHAAN XYZ)
Bimo Bayuaji Wicaksono 1)
, Frederik Samuel Papilaya, S.Kom., M.Cs. 2)
Program Studi Sistem Informasi, Fakultas Teknologi Informasi Universitas Kristen Satya Wacana
Jalan Diponegoro No. 52-60, Salatiga 50711, Telp: (0298) 321212, Indonesia
Email : 682014034@student.uksw.edu 1)
, samuel.papilaya@staff.uksw.edu 2)
Abstrak
The information security is a procedure of the process to protect the information,
equipment and facilities for producing information on the various threats of information
security incidents and maintain the continuity of a business organization. Implementation
of Information Security Management System (ISMS) can use ISO/IEC 27002 guide. In
models, the organization shall establish, implement, operate, monitor, review, maintain
and improve a documented ISMS within the context of the organization's overall business
and the risks it faces. This study aims to evaluate the implementation of information
security controls based on ISO / IEC 27002: 2013 framework. The problem is the
implementation of access control and Information security incident management in XYZ
Company. This study uses a compliance assessment is not maximized. The result is about
10% implementation of information security controls are in accordance with the
framework of ISO / IEC 27002: 2013, and approximately 90% implementation of
information security controls have not been appropriate. So,XYZ Company need to
improve the ISMS using the given recommendation to achieve max suitability.
Keyword: Evaluation, Information Security, Controls, ISO/IEC 27002:2013
Keamanan informasi adalah sekumpulan prosedur yang terdiri dari proses-proses yang
wajib ditaati untuk melindungi informasi, peralatan dan fasilitas penghasil informasi dari
berbagai ancaman insiden keamanan informasi serta menjaga kontinuitas suatu bisnis
organisasi. Pengimplementasian Sistem Manajemen Keamanan Informasi (SMKI) dapat
menggunakan panduan ISO 27002. Organisasi harus menetapkan, menerapkan,
mengoperasikan, memantau, mengkaji, memelihara dan meningkatkan Sistem
Manajemen Keamanan Informasi terdokumentasi dalam konteks bisnis organisasi secara
keseluruhan dan risiko yang dihadapinya. Penelitian ini bertujuan untuk melakukan
evaluasi implementasi kontrol keamanan informasi berdasarkan kerangka kerja ISO/IEC
27002:2013. Permasalahannya adalah pengimplementasian kontrol akses dan manajemen
insiden keamanan informasi belum optimal di Perusahaan XYZ. Hasilnya adalah sekitar
10% implementasi kontrol keamanan informasi sudah sesuai dengan kerangka kerja
ISO/IEC 27002:2013, dan sekitar 90% implementasi kontrol keamanan informasi belum
sesuai. Kemudian Perusahaan XYZ perlu meningkatkan SMKI sesuai dengan
rekomendasi yang diberikan untuk mencapai kesesuaian maksimal.
Kata Kunci: Evaluasi, Keamanan Informasi, Kontrol, ISO/IEC 27001:2013
mailto:samuel.papilaya@staff.uksw.edu2
I . Pendahuluan
Keamanan informasi menjadi bagian penting pengembangan sistem informasi baru
yang berdampak pada risiko keamanan. Oleh karena itu, mengingat banyak cara dan
dimana ancaman dapat mengambil keuntungan dari kerentanan membahayakan system.
Untuk mengurangi risiko keamanan yang selalu diperbarui secara efektif yang
berdampak pada peningkatan resiko dengan melindungi sistem terhadap ancaman dan
keamanan, kemudian mengurangi dampak untuk sistem tersebut.
International Standard Organization (ISO) 27002: 2013 merupakan standar
internasional untuk dapat membandingkan antara lain kebijakan, proses, prosedur,
organisasi struktur, software dan hardware. Standar Internasional mengelompokkan
prasyarat keamanan informasi menjadi tiga prasyarat utama, yaitu: Information
technology, Security techniques dan Code of practice for information security controls .
yang terdiri dari 14 major division , 37 subdivision dan 114 controls[1].
Perusahaan XYZ adalah perusahaan pelopor pelaksanaan reformasi penyempurnaan
manajemen keuangan di Indonesia. Untuk mewujudkan tata kelola organisasi yang baik
(good governance) perubahan organisasi ditandai dengan menyatukan manajemen dan
sistem informasi yang tersebar di kantor unit daerah. Salah satu layanan yang dibuat oleh
Bagian Sistem Informasi dan Teknologi adalah sistem informasi perbendaharaan
menjadi komponen terbesar modernisasi pengelolaan perbendaharaan perusahaan dengan
memfasilitasi kebutuhan proses pelayanan mulai dari sisi hulu (penganggaran) hingga
hilir (penyusunan laporan keuangan perusahaan). Sistem informasi perbendaharaan
adalah sistem aplikasi yang ada di lingkungan Perusahaan XYZ dan untuk mendukung
otomatisasi sistem dari pengguna anggaran yang ada di setiap cabang dan rekan bisnis.
Meningkatnya tingkat ketergantungan pada informasi sejalan dengan resiko yang
mungkin akan menimbulkan masalah. Tahapan dalam pembuatan keamanan informasi
disusun berdasarkan pemrosesan akses ke dalam informasi, gangguan yang terjadi dan
penanganan mitigasi gangguan yang terjadi di perusahaan. Resiko yang biasa timbul yaitu
resiko keamanan informasi yang menjadi penting untuk tersedia dan digunakan.
Demikian Informasi merupakan aset yang paling penting untuk dilindungi dan diamankan
[2]. Berdasarkan ISO/IEC 27002: 2013 Information Security perusahaan dapat memilih
kontrol sesuai kebutuhan yaitu pengendalian akses dan pengendalian pengelolaan
gangguan keamanan informasi.
Penelitian ini bertujuan untuk melakukan evaluasi pengendalian akses untuk
membatasi akses, memastikan otorisasi akses pengguna dan mencegah akses pihak yang
tidak berwenang terhadap aset informasi khususnya perangkat pengolah informasi.
sedangkan pengelolaan gangguan keamanan informasi untuk memastikan kejadian dan
kelemahan keamanan informasi yang terhubung dengan sistem informasi
dikomunikasikan untuk dilakukan perbaikan, serta dilakukan pendekatan yang konsisten
dan efektif agar dapat dihindari atau tidak terulang kembali berdasarkan ISO/IEC
27002:2013 untuk meningkatkan sistem manajemen keamanan informasi di Perusahaan
XYZ. Manfaat penelitian ini untuk mendapatkan gambaran kondisi keamanan informasi
saat ini agar menjadi masukan untuk meningkatkan keamanan informasi yang sudah
terimplementasi dengan rekomendasi yang sesuai ISO 27002:2013 di perusahaan XYZ.
II. Tinjauan Pustaka
Penelitian dengan analisis atau evaluasi menggunakan kerangka kerja ISO/IEC
27002:2013 juga pernah dilakukan, yaitu evaluasi implementasi kontrol keamanan
informasi berdasarkan kerangka kerja ISO/IEC 27002:2013 dalam rangka meningkatkan
implementasi Sistem Manajemen Keamanan Informasi di Pustispan. Permasalahan yang
diangkat dalam penelitian ini adalah pengimplementasian SMKI di Pustispan baru
berjalan 1 tahun, sehingga pengimplementasian kontrol keamanan informasi belum
maksimal yang menghasilkan rekomendasi [3].
Penelitian lain tentang Audit Keamanan Informasi Menggunakan ISO 27002 Pada Data
Center PT.Gigipatra Multimedia bertujuan dapat mengetahui kelemahan - kelemahan
sistem yang menjadi penyebab permasalahan keamanan informasi yang selama ini terjadi.
Audit ini juga menghasilkan rekomendasi tentang perbaikan yang harus dilakukan untuk
meningkatkan keamanan informasi pada perusahaan, serta menjadi pertimbangan untuk
memperoleh ISMS certification dengan standar ISO 27002 pada masa mendatang,
sehingga menambah nilai tambah akan kepercayaan pelanggan terhadap PT. Giga Patra
Multimedia [4].
Hubungan dua penelitan sebelumnya dengan penelitian ini adalah menilai tingkat
pengimplementasi keamanan informasi serta menjadi pertimbangan sertifikasi SMKI ISO
27002: 2013. Persamaan lainnya yaitu ada pada penelitian yang dilakukan sama – sama
menggunakan ISO 27002: 2013 untuk mengukur tingkat kematangan keamanan
informasi, serta pada penelitian yang dilakukan Herman Affandi yang sama – sama
melakukan penelitian pada Data Center. Hal yang membedakan adalah pada penelitian
yang dilakukan Alhadi melakukan penilaian menggunakan Peraturan Kepala (Perka)
LAPAN No. 8 Tahun 2015 yang tertulis dalam pasal 159 terkait tugas dan pasal 160
terkait fungsi. Pada Pasal 159 Tugas Pustispan adalah melaksanakan pengelolaan
infrastruktur dan tata kelola teknologi informasi, pengembangan sistem informasi serta
penyusunan standar di