Pembuatan Perangkat Audit Internal TI Berbasis Resiko menggunakan ISO/IEC 27002:2007 pada

Proses Pengelolaan Data Studi Kasus Digital Library Institut Teknologi Sepuluh Nopember Surabaya

Seminar Tugas Akhir

Dipresentasikan oleh :Mochammad Arief Ramadhana 5207100002

Dosen Pembimbing : Ir. Aris Tjahyanto, M.Kom & Bekti Cahyo Hidayanto, S.Si, M.Kom

Abstrak

Banyaknya akses ke Digital library Institut Teknologi Sepuluh Nopember Surabaya (ITS)menunjukkan bahwa Digital library ITS sebagai institutional repository yang relatifsangat sibuk dan faktor keamanan merupakan faktor yang krusial. Memperhatikanpentingnya peranan Fungsi Audit Internal TI, khususnya dalam pelaksanaanmanajemen resiko maka sudah seharusnya audit dilakukan sedangkan pihakperpustakaan ITS belum pernah melakukan audit pada Digital library.•Pada Tahap awal, proses penilaian resiko (risk-assessment) akan dilakukanberdasarkan dari domain yang dipilih dari ISO/IEC 27002:2007 lalu prioritas dari hasilassessment akan dibuat sebuah perangkat audit.•Hasil tugas akhir berupa sebuah perangkat audit yang dapat digunakan untukmelakukan audit TI yang bertujuan memperbaiki setiap permasalahan yangberhubungan dengan proses pengelolaan data pada Digital library ITS

Kata kunci: Resiko, Perangkat audit, Pengelolaan data, ISO/IEC 27002:2007.

Pendekatan dalam audit berbasis risikoNo Audit konvensional Audit berbasis risiko

1 Perhatian auditor dititikberatkan pada risiko manajemendalam kaitannya dengan pencapaian tujuan audit. Auditorakan melakukan analisis atas risiko manajemen yangmempengaruhi tujuan auditnya. Semakin memadaipengendalian intern maka pengujian dan pembuktianaudit (besarnya sample pengujian) yang harus dilakukanakan berkurang.

Perhatian auditor lebih jauh lagi dititikberatkan pada penaksiranatas risiko (risk assessment). Auditor melakukan penaksiranrisiko bukan hanya semata-mata untuk audit namun lebihdifokuskan pada risiko atas kelangsungan dan perkembanganaktivitas dalam rangka pencapaian tujuan manajemen.

2 Auditor berfokus pada kejadian dan kondisi masa laluyang berdampak pada tujuan audit yang telah ditetapkandengan tujuan untuk menilai tingkat kewajarannya.

Auditor mencoba membuat skenario risiko di masa kini dan dimasa depan yang akan berdampak pada pencapaian tujuanorganisasi. Sehingga dalam memberikan rekomendasi audit, lebihdititikberatkan pada pengelolaan risiko (risk management) selainpengelolaan pengendalian (management control).

3 Laporan audit merupakan informasi yang disampaikankepada pihak-pihak yang berkepentingan dan penggunalaporan sesuai tujuan audit yang sudah ditetapkan,terutama mengenai berfungsi atau tidaknyapengendalian.

Dalam laporan audit, auditor lebih menitikberatkan padapengungkapan proses yang memiliki risiko dibandingkanpengungkapan berfungsi atau tidaknya suatu pengendalian.

4 Pendekatan proses auditnya berbasis sistem (systembased audit). Audit berbasis sistem dilaksanakan atasdasar keberadaan suatu sistem yang sesungguhnya adadan pengendalian yang dijalankan terkait dengan sistemtersebut. Oleh karena itu dengan sistem yang ada,dianggap akan mampu mengatasi semua risiko. Biasanyapengujian dilakukan dengan ”kuesioner internal kontrol”,yaitu dokumen standar yang digunakan dalam setiappenugasan audit.

Pendekatan proses auditnya berbasis risiko (risk based audit).Audit berbasis risiko dilaksanakan atas dasar risiko-risiko danmelaporkan kepada pihak manajemen apakah risiko-risikotersebut telah dapat dikelola dengan baik atau sebaliknya. Dalamhal ini proses ABR dilaksanakan untuk mengelompokkan sejumlahrisiko-risiko, dan proses menggambarkan ”sesuatu yang logis” danbukan kondisi aktual. Jika terdapat suatu risiko tetapi tidaktermasuk di dalam proses yang dipetakan maka harus dipecahkanmelalui proses yang baru.

Proses implementasi ISO/IEC 27002

Memperoleh Dukungan Manajemen Tingkat Atas

Definisikan Batasan Keamanan

Membuat Kebijakan Keamanan Informasi

Membuat Sistem Manajemen Keamanan

Keamanan Informasi

Melakukan Penilaian Risiko

Pilih dan Implementasi

Kontrol

Laporan Dokumen

AkuntabilitasAudit

Survey pada Studi Kasus

Data penelitian: Tugas Akhir, Tesis, Disertasi dan referensi buku yang ada di perpustakaan ITS.Persiapan

Studi literatur dan survey pada studi kasus

----------------------------------------------------------------------------------Observasi Wawancara

Proses bisnis yang dikelola

Pengumpulan Data

----------------------------------------------------------------------------------Penilaian terhadap

risikoMembuat dokumen statement of applicability

Risiko teridentifikasi

Analisainformasiteridentifikasi

-------------------------------------------------------------------------------klausul kontrol teridentifikasi

Identifikasi komponen penyusun perangkat audit

Menyusun perangkat audit

Uji coba RevisiPembuatan Perangkat Audit

Perangkat/Pedoman Audit

-------------------------------------------------------------------------------

Penyusunan buku tugas akhir

Kelemahan sistem yang dapat menimbulkan ancaman di Digilib ITS

Pihak terlibat:Sub-koordinator bidang TI dan tim Digital Library ITS

Output:Hasil penilaian risiko

Output:Pedoman Audit

Struktur Organisasi

Kepala UPT Perpustakaan

Koordinator IT, Kerjasama dan

Pelatihan

Koordinator Jasa teknis

Koordinator jasa pengguna

Kasubag tata usahaSub koordinator, kepegawaian, kerumahtanggaan dan umum

Sub Koordinator IT dan Digital

Library

Sub koordinator kerjasama dan

pelatihan

Sub koordinator penambahan

koleksiSub koordinator klasifikasi dan

katagolisasi

Sub koordinator pasca klasifikasi, katagolisasi dan

pemelihaan pustaka

Sub koordinator jasa pengguna I

(Lantai 3)

Sub koordinator jasa pengguna II

(Lantai 4)

Sub koordinator jasa pengguna III

(Lantai 5)

Proses bisnis Sub koordinator bidang TI dan Digital Library

Sub koordinator IT dan Digital Library mempunyai rincian tugas sebagai berikut:• Mengkoordinasi, melaksanakan, membangun, mengembangkan dan melakukan

pengawasan semua pekerjaan yang berhubungan dengan automasi Perpustakaan,termasuk jaringan, digital library dan lainnya.

• Membatu melaksanakan pekerjaan-pekerjaan yang menjadi tanggung jawabkoordinator bagian IT, pemasaran dan pelatihan, termasuk perbaikan danperawatannya.

• Melakukan bimbingan dan pelatihan peserta magang di perpustakaan.• Melaksankan tugas Perpustakaan lainnya bila diperlukan.• Bersenergi, mengamalkan, dan membagi ilmunya kepada siapa saja yang

membutuhkan dan yang dikehendaki.• Mengatur dan melaksanakan tata ruang, tata letak ruang bagiannya sehingga

nampak nyaman.• Memberi layanan sesuai dengan motto ITS-CAK kepada semua pemustaka dan

pustakawan lainnya.• Melaksanakan tugas lain yang diberikan oleh atasan.

Proses bisnis Sub koordinator bidang TI dan Digital Library

Staf IT dan Digital Library mempunyai rincian tugas sebagai berikut:• Melaksanakan pemeliharaan hardware dan jaringan komputer.• Melakukan alihmedia koleksi cetak karya ilmiah ITS menjadi bentuk digital.• Mengolah koleksi ilmiah digital, yang meliputi proses pemecahan, pemberian

password dan watermark.• Mengupload dan mempublikasi karya ilmiah civitas ITS ke system digital library.• Melakukan aplikasi calon pemustaka yang mendaftar melalui Online.• Melayani pemustaka online yang berkunjung ke situs Perpustakaan dan Digital

Library.• Melakukan pekerjaan yang berhubungan dengan aktifitas Jasa Pemasaran dan

Pelatihan.• Melakukan jaga kontrol sesuai jadwal yang ditentukan.• Membantu urusan bidang pelayanan yang berhubungan dengan kegiatan ruang

komputer seperti Layanan Mandiri dan Upload Mandiri.• Membantu pembuatan sarana promosi dan kerjasama perpustakaan.

Proses bisnis Sub koordinator bidang TI danDigital LibraryUntuk memperlancar dalam menjalankan tugasnya sehari-hari maka bidangTI dan Digital Library membagi dirinya menjadi beberapa bagian atau tim,bagian-bagian tersebut yaitu:

Bagian TI, yang terdiri dari:• Hardware dan jaringan.• Software.• Implementasi dan support IT.

Digital Library, yang terdiri dari:• Support pengguna.• Pengolahan Data.

Proses bisnis Sub koordinator bidang TI danDigital Library

Sedangkan Aset informasi yang dikelola oleh bidang ini yaitu:• SPITS (Sistem informasi perpustakaan), adalah program sistem

perpustakaan ITS yang berbasis komputer. Program ini terdiri dari modul-modul yang mempresentasikan proses bisnis perpustakaan ITS sepertimeminjam buku dan mengembalikan buku.

• OPAC, adalah katalog online perpustakaan. Dapat digunakan untukmencari koleksi buku secara cepat di perpustakaan ITS.

• Digital Library ITS, adalah Digital Library atau perpustakaan digitalmerupakan etalase karya ilmiah sivitas akademika ITS dan dapat diaksespemustaka melalui dunia maya/internet dari seluruh penjuru dunia.

Value chain Proses bisnis bidang TI yang berhubungan dengan Digital library

Mapping Proses bisnis dan Klausul dalam ISO 27002

Proses bisnis

Penyediaan informasi, layanan dan bimbingan yang efektif

Implementasi digital library

Pengembangan perangkat lunak upload mandiri

Pengembangan software watermark di digilib dan cantuman digilib yang corrupt

Pelatihan karyawan penyedia layanan TI

Pengawasan kinerja di tiap tiap entitas di bidang TI

Meningkatkan implentasi digital library

Klausul dalam

ISO 27002

Clause 1 security policy

Clause 7 access control

Clause 3 asset management

Clause 3 asset management

Clause 4 human resource security

Clause 6 communication and operation management

Clause 7 access control

Clause 2 organization of information system

Clause 3 asset management

Clause 5 physical and environmental security

Clause 5 physical and environmental security

Clause 6 communication and operation management

Clause 9 information security incident management

Clause 3 asset management

Clause 10 business continuity management

Clause 9 information security incident management

Clause 8 information system acquisition, development and maintenance

Clause 8 information system acquisition, development and maintenance

Clause 11 compliance

Clause 10 business continuity management

Mapping Proses bisnis dan Klausul dalam ISO 27002

- Klausul yang dipilih -

Proses bisnis

Penyediaan informasi, layanan dan bimbingan yang efektif

Implementasi digital library

Pengembangan perangkat lunak upload mandiri

Pengembangan software watermark di digilib dan cantuman digilib yang corrupt

Pelatihan karyawan penyedia layanan TI

Pengawasan kinerja di tiap tiap entitas di bidang TI

Meningkatkan implentasi digital library

Klausul dalam

ISO 27002

Clause 3 asset management

Clause 3 asset management

Clause 3 asset management

Clause 3 asset management

Perkembangan Digital Library- Karya yang diupload ke Digital Library -

No Jenis koleksi 2007 2008 2009 2010 Jumlah judul saat ini

1 Tugas Akhir (S1) 904 2562 5005 84712 Tesis (S2) 1500 121 493 861 29753 Disertasi (S3) 5 30 354 Non Degree 765 7655 Clipping6 Discussion materials7 Book8 Image9 Proceedings 2 11 1 14

10 Research Report 245 149 39411 Scientific Oration 4 1 512 Scientific journal articles 62 102 164

13 Course material14 Distance learning15 Journal 12 11 2316 Multimedia17 Publication18 Software19 Inaguration Speech 16 14 3020 ITS heritage 1 121 Student paper and

presentation22 Brochure and Documentation

Jumlah per tahun 1500 1272 3165 6940 12877

Perkembangan Digital Library- indikator kinerja -

Bulan per tahun 2007 2008 2009 2010

Januari 27.078 217.124 612.519 2.789.198

Februari 19.457 240.051 594.997 6.063.566

Maret 20.513 199.523 401.372 3.367.713

April 25.956 300.569 465.761 1.583.274

Mei 44.710 279.677 1.386.996 1.470.106

Juni 48.279 270.382 1.273.530 1.571.512

Juli 38.514 203.026 1.914.463 2.241.224

Agustus 37.769 266.187 1.313.195 1.319.922

September 33.774 436.981 2.609.129 2.641.809

Oktober 44.285 387.653 1.328.202 2.837.263

Nopember 118.078 471.832 2.404.897 2.753.115

Desember 122.869 505.185 2.751.527 3.742.287

Total 592.282 3.778.190 17.056.588 32.380.989

Observasi

Kontrol Administrasi

Prosedur Definisi Ruang lingkup Penanggung jawab status

Koordinasi bidangkomputerisasi(administrasi websiteDigital Library)

Prosedur yangdigunakan sebagaiacuan perpustakaanuntuk mengelolaadministrasi websitedigital library

Front-end DigitalLibrary

Administrator dijalankan

Koordinasi layanankoleksi tugas akhir dankarya ITS

Prosedur yangdigunakan sebagaiacuan perpustakaanuntuk melayanipengadaan danpeminjaman koleksi

Koleksi karya ITS Petugas layanan Ada dan dijalankan

Kontrol Teknis dan OperasiProsedur Definisi Ruang lingkup Penanggung jawab status

Koordinasi bidangklasifikasi & katalogisasiJasa Teknis

Prosedur yang digunakansebagai acuanperpustakaan untukmelakukan klasifikasi dankatagolisasi buku

Bidang klasifikasi dankatalogisasi

Petugas layanan Ada dan dijalankan

Koordinasi bidangkomputerisasi (klasifikasi& katalogisasi)

Prosedur yang digunakansebagai acuanperpustakaan untukmelakukan klasifikasi dankatagolisasi buku. khususbuku yang akan diupload keDigilib

Digital Library Koordinator dan Subkoordinator TI

dijalankan

Koordinasi bidangpascaklasifikasi &katalogisasi (termasukperawatan danpenjilidan)

Prosedur yang digunakansebagai acuanperpustakaan untukmerawat koleksi

Bidang klasifikasi dankatalogisasi

Petugas layanan Ada dan dijalankan

Koordinasi bidangpengembangankoleksi/pengadaan

Prosedur yang digunakansebagai acuanperpustakaan untukmelakukan pengadaankoleksi

Bidang pengolahan danpengembangan koleksi

Koordinator dankasubag perpustakaanITS

Ada dan dijalankan

Koordinasi bidangkomputerisasi (entridata)

Prosedur yang digunakansebagai acuanperpustakaan untukmelakukan entri data danupload ke digital library

Digital library Koordinator dan subkoordinator IT

dijalankan

Kontrol FisikProsedur Definisi Ruang lingkup Penanggung jawab status

Koordinasi bidangkomputerisasi (jaringandan perawatan)

Prosedur yangdigunakan sebagaiacuan perpustakaanuntuk mengelolajaringan

Digital Library Koordinator dan subkoordinator IT

dijalankan

Koordinasi bidangkomputerisasi (server)

Prosedur yangdigunakan sebagaiacuan perpustakaanuntuk mengelola serverDigital Library

Digital Library Koordinator dan subkoordinator IT

dijalankan

Identifikasi risiko

Identifikasi risiko

Berkaitan dengan hasil wawancara yangdilakukan oleh penulis, maka selanjutnya dapatdilakukan analisis identifikasi risiko sesuai dengantahapan awal proses penilaian risiko yang terjadidan ditemukan di Digital library Perpustakaan ITSdengan langkah sebagai berikut:• Melakukan identifikasi ancaman (threat)

terhadap Digital Library sebagai aset instansidan dampak bisnis terkait dengan ancamantersebut.

• Melakukan identifikasi terhadap kelemahan(vulnerability) yang dapat memicu terjadinyaancaman (threat).

Identifikasi aset yang berkaitan

kategori Sumberdaya

Jaringan Jaringan intranet, jaringan internet, teknologiwireless

Perangkat lunak Digital Library

Perangkat keras Komputer server dan client, printer, scanner,keyboard, mouse, switch, router, kabel LAN

Manusia Koordinator dan sub koordinator bidang TItermasuk didalamnya kepala, staff,administrator sistem, petugas teknis yangsetiap hari mengecek dan merawat digitallibrary

Data Data koleksi tugas akhir, tesis, disertasi,proceding, jurnal, makalah, paper, buku

Risiko kesalahan

Tipe Risiko Risiko Kesalahan

No.01

Risiko Kesalahan klasifikasi data Aset Manusia, Data

PenyebabKesalahan klasifkasi dalam melakukan proses pengolahan data terjadi dikarenakan adanyakesalahan atas individu yang melakukan pekerjaan itu sendiri (human error)

Dampakjika data tidak berada pada cluster yang benar maka tidak menjamin data tersebut akan mendapatkan proteksi yang sesuaiKelemahanKetidaktelitian pegawai dalam melakukan proses pengolahan data

No.02

Risiko Kesalahan entri dan metadata Aset Manusia, Data

PenyebabKesalahan entri dalam melakukan proses pengolahan data terjadi dikarenakan adanya kesalahanatas individu yang melakukan pekerjaan itu sendiri (human error)

Dampak-Data menjadi available untuk di download- Integritas data tergangguKelemahanKetidaktelitian pegawai dalam melakukan proses pengolahan data

Risiko Pengembangan

Tipe Risiko Risiko Pengembangan

No.03

Risiko SQL injection Aset Software, Data

PenyebabTidak ada mekanisme validasi data masukanpengguna.Tidak ada batasan hak akses (priveleges) setiap pengguna.Tidak ada mekanisme peringatan ketika terjadi kegagalan pada sistem.

DampakKehilangan data, Perubahan data, Penghapusan data, Kegagalan sistem sementara, Prosesbisnis terganggu.KelemahanMekanisme validasi data masukan oleh sistem.Mekanismepembatasan privelege pengguna.Mekanisme pembatasan input karakter untuk login form.

No.04

Risiko Virus atau malware Aset Software, jaringan, data

PenyebabTidak ada software keamanan yang dipasang dan tidak diupdate untuk melindungi database.

DampakKerusakan data, kehilangan data, data tidak dapat diaksesKelemahanSoftware keamanan meliputi: firewall, IDS, antivirus, anti malware

Risiko Pengungkapan Informasi

Tipe Risiko Pengungkapan Informasi

No.05

Risiko Hacking Aset Software, jaringan,data

PenyebabHacking terjadi diakrenakan adanya celah keamanan yang bisa dimanfaatkan para hacker untukmencuri data, merusak data dan memindah data ke tempat lain.

Dampakkehilangan data, data berubah, proses bisnis terganggu

KelemahanSistem perlindungan server, source code, port yang terbuka

No.06

Risiko Social engineering Aset Software, data

PenyebabMekanisme otentikasi login tidak dienkripsi atau diberi perlindungan.Tidak ada pembatasan waktu kepada pengguna yang telah masuk ke sistem.

DampakPencurian data oleh orang lain, Hilangnya hak akses karyawan ke dalam sistem, Hilangnyainformasi penting ke orang lain.KelemahanMekanisme enkripsi pada login sistem, user session

Penilaian risiko

Penetapan tipe risiko

Untuk setiap tipe risiko, ancaman, kelemahansistem, dampak diberi skor/skala tinggi, cukup,

rendah, atau tidak ada

Hitung skor risiko: (Menggunakan metode dari ISO 27002)

Urutkan risiko berdasarkan skor

Kaji ulang dan penyesuaian jika diperlukan

Buat rencana audit dengan prioritas risiko

Kaji ulang rencana dan penyesuaiannya

Laksanakan Audit

Peny

egar

an P

erio

dik

Informasidari luar

Informasidari organisasi

risiko terurut

hubungan denganmanajemen

Rencana auditprioritas

hubungan denganmanajemen

Aku

mul

asi b

asis

peng

etah

uan

audi

tor

Alur penilaian risiko

Metode penilaian probabilitas risikoISO/IEC 27002

Probabilitaskejadian

Frekuensi Nilai

Tidak pernah terjadi Tidak pernah 0Sangat rendah 2-3 kali setiap 5

tahun1

Rendah <= 1 kali per tahun 2Sedang <= 1 kali setiap 6

bulan3

Tinggi <= 1 kali setiapbulan

4

Sangat tinggi >=1 kali setiapbulan

5

Ekstrim >= 1 kali setiap hari 6

Metode penilaian dampak risiko ISO/IEC27002Dampak kejadian Derajat dampak NilaiTidak berpengaruh Tidak mempunyai

dampak.0

Minor Tidak perlu usahalebih untuk memperbaiki.

1

Signifikan Dampak dapatdiukur, perlu usaha lebih untukmemperbaiki.

2

Merusak Merusak reputasidan keyakinan perusahaan.Memerlukan sumber daya lebihuntuk memperbaiki

3

Serius Kehilangankonektivitas. Kehilangan banyak data atau layanan.

4

Parah Kegagalan sistempermanen.

5

Estimasi risiko dengan cara scoring,ISO/IEC 27002

Perhitungan risiko(Probabilitas x Dampak)

Nilai

0 Tidakberpengaruh

1-3 Rendah

4-7 Sedang

8-14 Tinggi

15-19 Kritis

20-30 Ekstrim

Menilai risiko

Risiko Kesalahan klasifikasi data Probabilitas kejadian 3

Dampak kejadian 1

Nilai risiko 3

Kategori risiko: Rendah

Risiko Kesalahan entridan metadata

Probabilitas kejadian 4

Dampak kejadian 1

Nilai risiko 4

Kategori risiko: Sedang

Menilai risiko

Risiko SQL Injection Probabilitas kejadian 2

Dampak kejadian 3

Nilai risiko 6

Kategori risiko: Sedang

Risiko Virus ataumalware

Probabilitas kejadian 1

Dampak kejadian 2

Nilai risiko 2

Kategori risiko: Rendah

Menilai risiko

Risiko Hacking Probabilitas kejadian 2

Dampak kejadian 4

Nilai risiko 8

Kategori risiko: Tinggi

Risiko Socialengineering

Probabilitas kejadian 1

Dampak kejadian 4

Nilai risiko 4

Kategori risiko: Sedang

Penilaian risiko - Kesimpulan -

Setelah dilakukan penilian terhadap risiko-risiko yang ada di Digital Library Perpustakaan ITS makakesimpulan yang didapat dari hasil penilaian risiko diatas adalah sebagai berikut:

• Risiko tersebut ada karena terdapat kelemahan di dalam prosedur keamanan sistem, rancangansistem, implementasi, pengendalian internal, dan sebagainya, yang bisa dieksploitasi untukmelanggar kebijakan keamanan system. Sebagai bukti, tidak adanya kontrol keamanan tertulisatau SOP yang dibuat untuk menangani hal ini. Upaya untuk mengatasi masalah spontandilakukan jika tiba-tiba terjadi sesuatu berkaitan dengan risiko tersebut.

• Banyak terdapat risiko dengan kategori sedang bahkan tinggi yang dapat memberikan dampaknegatif bagi institusi.

• Risiko dengan kategori tinggi mengindikasikan bahwa Sistem sangat lemah karena tidakmenerapkan semua teknik pengendalian. Risiko dengan kategori sedang juga dapatmenimbulkan ancaman serius jika tidak ditangani segera atau dibiarkan. Dibutuhkan penangananlebih untuk mengatasi risiko tersebut. Maka dari itu risiko dengan kategori sedang hinggaekstrim dalam hal ini akan menjadi prioritas pemeriksaan untuk dilaksanakan pada tahapselanjutnya.

• Semakin tinggi risiko akan semakin menjadi fokus audit dan dengan kedalaman pengujian yanglebih.

Dokumen Statement of Applicability

Dokumen SOA

Dokumen SOA dibuat bertujuan untuk mengendalikan dan mengontrolkeamanan yang akan diimplementasikan dalam sebuah organisasi. SOA bisamenjadi bagian dari dokumen penilaian risiko (risk assesment), tetapibiasanya ini merupakan dokumen yang berdiri sendiri. Elemen yangterdapat dalam SOA dapat dilihat pada tabel 4.16 berikut ini:• Nama dan nomor kontrol keamanan ISO/IEC 27002.• Deskripsi kontrol keamanan ISO/IEC 27002.• Adopsi dari klausul kontrol ISO/IEC 27002 ke organisasi• Justifikasi dalam implementasi kontrol keamanan yang ada.• Referensi yang digunakan dalam dokumen SOA.

Kontrol Deskripsi persetujuan justifikasi Prosedur atauPedoman

3.1 Responsibility for Assets

3.1.1 Inventory of assets tidak Proses inventarisasi dilakukan dengan caramelakukan upload ke Digital Librarynamun tidak ada prosedur terdokumentasipada Bidang TI dalam melakukaninventarisasi terhadap aset dengan caratersebut.

Tidak ada

3.1.2 Ownership of assets tidak Bidang TI memang melakukan tugasnyanamun tidak ada prosedurtertulis/terdokumentasi yang menjelaskanmengenai tata cara melakukan haltersebut, aktifitas tersebut dilakukansebatas rutinitas sehari-hari. Misalnyaseperti backup dan maintenance.

Tidak ada

3.1.3 Acceptable use of assets ya Terdapat panduan mengenai caramelakukan upload secara mandiri untukmahasiswa yang akan mengupload tugasakhir/tesisnya ke Digital library. Panduantersebut terdapat pada Website DigitalLibrary Digilib.its.ac.id.

Panduan upload mandiri tugas akhir/tesis/disertasi

3.2 Information classification

3.2.1 Classification guidelines ya Bidang TI dan bidang pengolahan databerkoordinasi untuk melakukankatagolisasi atau pengklasifikasianterhadap semua aset yang berhubunganproses bisnis Digital Library. Keduanyamelakukan klasifikasi terhadap aset yangdikelolanya.

SOP jasa teknis, koordinasibidang klasifikasi dankatagolisasi

3.2.2 Information labeling and handling tidak Pelabelan terhadap aset dilakukan sebagaibagian dari proses klasifikasi. Pelabelandilakukan untuk tujuan kelengkapanpustaka. Pelabelan yang dilakukan padabidang TI dilakukan dengan memberikanmetadata dan watermark namun tidakprosedur tertulis mengenai hal tersebut.Aktifitas tersebut dilakukan sebatasrutinitas mereka sehari hari

Tidak ada

Menyusun perangkat / pedoman audit

Komponen perangkat auditElemen Kriteria unjuk kerja

1. Klausul kontrol ISO 27002 1. Klausul kontrol yang ditetapkan adalah parameter dalam melakukan prosesaudit

2. Klausul kontrol dipetakan dengan proses bisnis utama untuk mengetahuiproses yang paling kritis (butuh perhatian lebih)

3. Klausul terpilih relevan terhadap masalah

2. Mengidentifikasi dan menilai risikoterkait

1. Risiko diidentifikasi untuk merefleksikan ruang lingkup risiko2. Risiko potensial dinilai dan menjadi prioritas

3. Dokumen SOA 1. Dokumen kerja dibutuhkan untuk membuat perangkat audit dikembangkansesuai dengan kebutuhan dan keinginan organisasi

2. Dokumentasi yang ada diperiksa untuk memastikan keamanan beradadalam pengendalian yang seharusnya

4. Standart Operational Procedure perpustakaan ITS

1. Legislasi yang relevan dari level pemerintah yang memperngaruhi aktivitasoperasional bisnis, khusunya yang berhubungan dengan masalahperpustakaan

2. Kode praktik yang relevan

Syarat membuat perangkat auditDalam menyusun sebuah perangkat audit terdapat beberapa persyaratandidalamnya yang harus dipenuhi. Perangkat audit yang dibuat harus memilikiinformasi yang meliputi:• Alur Proses kerja yang akan ditelusuri.• Persyaratan yang akan diteliti pemenuhannya.• Hal – hal yang akan diverifikasi.• Penanggung jawab kerja yang akan diwawancara.• Catatan yang akan dicari sebagai bukti pendukung pelaksanaan

operasional kerja.

Pembuatan perangkat audit (1)

Namun Jika kasusnya adalah di mana sebuah organisasi memilih untuk tidakmengoperasikan atau tidak mempunyai prosedur terdokumentasi, langkahpertama yang harus dilakukan adalah menetapkan metode apa yang adapada organisasi yang digunakan untuk mengontrol proses. Dari sana,auditor dapat mengevaluasi efektivitas proses dengan melakukan pengujianuntuk memastikan itu dilakukan secara konsisten dan denganmembandingkannya dengan pasal-pasal yang sesuai pada ISO.

Pembuatan perangkat audit (2)Cara membuat perangkat audit berbentuk checklist:• Pilih klausul kontrol yang spesifik pada ISO untuk proses yang diaudit ditambah

yang lebih umum lalu verifikasi kedua efektivitas proses tersebut dan jugakepatuhannya terhadap standar.

• Membuat daftar pertanyaan (checklist) dari klausul kontrol. Bentuk dari daftarpertanyaan dapat meliputi 5W (what, who, why, where dan when) dan 1H (how)atau Diagram alir proses yang dilengkapi dengan checkpoint.

• Cara membuat pertanyaan dapat dilakukan dengan merubah kalimat positifdalam prosedur menjadi kalimat pertanyaan, misalnya dalam prosedur tertulis“Masukan dalam rapat tinjauan adalah: 1. Status hasil rapat tinjauan manajementerdahulu, 2. Dan seterusnya”. Maka pertanyaan yang bisa dibuat adalah sepertiini: “Apakah agenda mencakup status dari apa yang sudah diputuskan dalamlaporan tinjauan manajemen terdahulu?”.

Pembuatan perangkat audit (3)

• Membuat instruksi kerja sebagai bagian dari aktifitas audit, instruksiyang harus dibuat spesifik mungkin untuk tiap pertanyaan (satupertanyaan memuat satu instruksi yang spesifik). Misal jika pertanyaanyang diajukan adalah adalah “Apakah agenda mencakup status dari apayang sudah diputuskan dalam laporan tinjauan manajemen terdahulu?”.Maka instruksi yang dapat dibuat adalah sebagai berikut: “check agendarapat tinjauan manajemen terakhir. Bandingkan dengan laporan tinjauanterdahulu”. Dengan instruksi seperti ini, pada proses audit, auditor akanlangsung meminta auditee menunjukkan agenda rapat tinjauan terakhirdan laporan rapat tinjauan terdahulu lalu membandingkan keduanya.

Contoh perangkat audit yang dibuatReferensi Ruang lingkup, tujuan dan pertanyaan audit HasilStandart Poin pertanyaan Pertanyaan Contoh jawaban instruksi3.1 Responsibility for assets

Apakah tiap asetyang diidentifikasitelah ditempatkan dilokasi yang benar?

Cek secaradetail SOP jasateknis yangterkaitpenempatanaset yangdilakukan olehorganisasi,pastikanpenempatanyang dilakukanmelindungiaset

Uji coba perangkat audit

Klausul kontrol ISO 27002

Mengidentifikasi dan menilai resiko terkait

Dokumen SOA

SOP perpustakaan ITS

Uji coba perangkat audit

Revisi Perangkat audit

Revisi terhadap hasil uji coba perangkat auditdilakukan setelah pelaksanaan uji coba perangkataudit. Revisi dilakukan karena: Auditee susah memahami pertanyaan. jawaban kurang sesuai (termasuk penggunaan

kata yang kurang tepat). instruksi kurang spesifik

Contoh pertanyaan yang susah dipahami

Contoh pemilihan kata yang tidak sesuai

Contoh instruksi yang kurang spesifik

Kesimpulan

Simpulan yang dapat diambil dari pengerjaan tugas akhir ini adalah sebagai berikut:• Penilaian resiko dilakukan pada area dimana resiko teridentifikasi. Area yang

dimaksud adalah aset-aset yang berkaitan dengan sistem secara langsung, terutama data karena proses yang dipilih adalah proses pengelolaan data. Dengan dilakukan penilaian resiko berdasarkan derajat pengukuran tertentu maka didapatkan resiko yang direpresentasikan dalam kategori yang telah ditentukan.

• Perangkat audit dibuat berbentuk checklist dengan beberapa acuan seperti hasilpemetaan klausul kontrol pada ISO/IEC 27002, yang didalamnya sudah terdapat standar pengelolaan keamanan terutama untuk manajemen aset serta metode dalam melakukan pendekatan berbasis resiko.

• Berdasarkan hasil uji coba yang telah dilakukan, beberapa revisi diperlukanterkait perbaikan dari beberapa pertanyaan dan instruksi yang telah dibuat, yaitumeliputi mudah atau tidaknya pengelola menjawab pertanyaan yang dibuat serta efektifitas dalam melakukan proses audit.

SaranBeberapa saran yang diharapkan dapat dilakukan perbaikan dalam pengembanganpenelitian ini antara lain:• Perlu adanya prosedur kontrol terdokumentasi yang nantinya dapat membantu

menjadi acuan dalam menangani setiap masalah yang terkait dengan DigitalLibrary, sehingga mempermudah dalam mencari solusi jika terlibatpermasalahan, dan mempermudah pelaksanaan proses audit dan pemantauanterhadap aktivitas pengelolaan data.

• Perangkat audit ini hanya mencakup proses pengelolaan data Digital library saja,untuk itu kedepannya pengembangan dapat dilakukan hingga end user pointpada Digital Library dan dimungkinkan pada sistem informasi lainnya yang ada diperpustakaan ITS.

• Pertanyaan dibuat lebih banyak dan detail untuk setiap kalimat yang ada padaklausul dalam pedoman yang digunakan sehingga jawaban yang diperolehsemakin rinci.

• Perangkat audit ini dibuat berdasarkan ISO/IEC 27002. Untuk kedepannyaperangkat audit yang dibuat dapat dipetakan dengan pedoman lain sesuaidengan kelebihan yang dimilikinya.