skripsi analisis sistem manajemen keamanan...

SKRIPSI

ANALISIS SISTEM MANAJEMEN KEAMANAN INFORMASI

MENGGUNAKAN STANDAR ISO/IEC 27001 DAN ISO/IEC 27002

PADA KANTOR PUSAT PT JASA MARGA

Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Sistem Informasi

Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Disusun Oleh :

NURUL FADHYLAH OCTARIZA

11140930000106

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2019 / 1440 H

i

HALAMAN JUDUL




SKRIPSI

Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Sistem Informasi



Disusun Oleh :


11140930000106

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2019 / 1440 H

ii

LEMBAR PENGESAHAN




SKRIPSI

Sebagai Syarat untuk Memperoleh Gelar Sarjana Komputer


Universitas Islam Negeri Syarif Hidayatullah

Oleh:


11140930000106

Menyetujui,

Pembimbing I Pembimbing II

Aries Susanto HT, Ph.D Fitroh, M.Kom

NIP. 19740322 200710 1 002 NIP.19790923 200912 2 006

Mengetahui,

Ketua Prodi Sistem Informasi

Nia Kumaladewi, MMSI

NIP. 19750412 200710 2 002

iii

PENGESAHAN UJIAN

Skripsi yang berjudul “Analisis Sistem Manajemen Keamanan Informasi Menggunakan

ISO/IEC 27001 dan ISO/IEC 27002 pada Kantor Pusat PT Jasa Marga”, yang ditulis oleh

Nurul Fadhylah Octariza dengan NIM 11140930000106 telah diuji dan dinyatakan lulus

dalam sidang Munaqosah Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif

Hidayatullah Jakarta pada 21 Februari 2019. Skripsi ini telah diterima sebagai salah satu

syarat untuk memperoleh gelar Sarjana Komputer (S.Kom) Program Sistem Informasi.

Menyetujui,

Penguji I Penguji II

Yuni Sugiarti, M.Kom Suci Ratnawati, MTI

NIDN. 0206067620 NIDN. 306076904

Menyetujui,

Pembimbing I Pembimbing II

Aries Susanto HT, Ph.D Fitroh, M.Kom

NIP. 19740322 200710 1 002 NIP. 19790923 200912 2 006

Mengetahui,

Dekan Ketua

Fakultas Sains dan Teknologi Program Studi Sistem Informasi

Prof. Dr. Lily Surraya Eka Putri, M. Env.Stud. Nia Kumaladewi, MMSI

NIP. 19690404 200501 2 005 NIP. 19750412 200710 2 002

iv

LEMBAR PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR

HASIL KARYA SENDIRI DAN BELUM PERNAH DIAJUKAN SEBAGAI

SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU

LEMBAGA MANAPUN.

Jakarta, Februari 2019

Nurul Fadhylah Octariza

11140930000106

v

ABSTRAK

Nurul Fadhylah Octariza - 11140930000106, Analisis Sistem Manajemen

Keamanan Informasi Menggunakan Standar ISO/IEC 27001 dan ISO/IEC 27002

pada Kantor Pusat PT Jasa Marga. Di bawah bimbingan ARIES SUSANTO HT,

Ph.D dan FITROH, M.Kom.

Terjadinya penyerangan pada web portal internal, belum adanya kebijakan

keamanan informasi yang telah diterapkan khususnya pada web portal internal dan

pembagian beban kerja pegawai pada bagian keamanan informasi. Penelitian ini

bertujuan untuk merencanakan Sistem Manajemen Keamanan Informasi yang dapat

digunakan sebagai pedoman kebijakan keamanan informasi pada Divisi

Information Technology. Penelitian ini membahas tentang analisis sistem

manajemen keamanan informasi dengan menggunakan ISO/IEC 27001 dan

ISO/IEC 27002 pada kantor pusat PT Jasa Marga. Adapun pada penelitian

menggunakan metode Plan, Do, Check, dan Act dalam pengumpulan, analisis, dan

pengolahan data yang telah ditemukan. Hasil dari penelitian ini adalah maturity

level ISO/IEC 27001 rata-rata berada di level satu dan maturity level ISO/IEC

27002 rata-rata berada di level dua, diharapkan hasil penelitian ini dapat membantu

dan memberikan rekomendasi untuk kontrol keamanan yang dapat digunakan

sebagai pedoman dan prosedur penerapan keamanan informasi.

Kata Kunci : Sistem Manajemen Keamanan Informasi (SMKI), ISO/IEC 27001,

ISO/IEC 27002, Plan Do Check Act (PDCA) Model.

V Bab + xxi Halaman + 268 Halaman + 41 Gambar + 157 Tabel + Daftar Pustaka

+ Lampiran

vi

KATA PENGANTAR

Assalamualaikum Warrahmatullahi Wabarakatuh,

Puji dan syukur kehadirat Allah SWT atas segala rahmat dan karunia-Nya,

akhirnya peneliti dapat menyelesaikan skripsi ini dengan baik. Shalawat serta salam

semoga senantiasa tercurah kepada Nabi Muhammad SAW yang telah memberikan

petunjuk kepada manusia hingga akhir zaman, serta keluarga dan sahabat yang

dicintainya.

Peneliti sangat menyadari bahwa dalam pembuatan skripsi ini masih banyak

kekurangan. Hal ini semata-mata karena kurangnya pengetahuan dan pengalaman

yang dimiliki peneliti. Namun demikian peneliti berharap skripsi ini dapat

memenuhi syarat dalam memperoleh gelar Sarjana (S1) dalam bidang Sistem

Informasi dari Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta.

Skripsi yang berjudul “Analisis Sistem Manajemen Keamanan Informasi

Menggunakan Standar ISO/IEC 27001 dan ISO/IEC 27002 pada Kantor Pusat PT

Jasa Marga”, akhirnya dapat diselesaikan sesuai yang diharapkan. Peneliti

menyadari bahwa terlaksananya penyusunan skripsi ini dapat diselesaikan berkat

dukungan dan bantuan dari berbagai pihak. Pada kesempatan ini peneliti

menyampaikan rasa terima kasih yang sebesar-besarnya kepada pihak yang telah

membantu, membimbing, dan mendukung selama melakukan penyusunan skripsi

ini. Peneliti mengucapkan terima kasih kepada:

1. Ibu Prof. Dr. Amany Burhanudin Umar Lubis, Lc. MA. selaku Rektor

Universitas Islam Negeri Syarif Hidayatullah Jakarta.

vii

2. Ibu Prof. Dr. Lily Surraya Eka Putri, M. Env.Stud. selaku Dekan Fakultas Sains

dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta.

3. Ibu Nia Kumaladewi, MMSI selaku Ketua Program Studi Sistem Informasi

Fakultas Sains dan Teknologi dan Ibu Meinarini Catur Utami, MT selaku

Sekretaris Program Studi Sistem Informasi Fakultas Sains dan Teknologi


4. Bapak Aries Susanto HT, Ph. D dan Ibu Fitroh, M.Kom selaku Dosen

Pembimbing yang selalu sabar dan telah menyediakan waktu, tenaga dan

pikiran untuk memberikan arahan, dukungan dan bimbingan kepada peneliti

dalam menyelesaikan skripsi ini.

5. Ibu Febrina Amir selaku Manajer Compliance pada Divisi Information

Technology Kantor Pusat PT. Jasa Marga yang telah memberikan arahan,

ilmu, dan dukungan kepada peneliti selama proses penelitian.

6. Bapak Fajar Willys selaku Penanggung Jawab Keamanan Informasi, Ibu

Ayudya Rizka Fauzia selaku Admin Data dan Informasi dan Bapak Dodi

Lambardo yang telah meluangkan waktunya untuk membantu peneliti

dalam proses penelitian.

7. Dosen-dosen Program Studi Sistem Informasi Universitas Islam Negeri

Syarif Hidayatullah Jakarta yang telah memberikan ilmunya selama peneliti

duduk di bangku perkuliahan.

8. Kedua orang tua penulis, Bapak Amat Kohir dan Ibu Nurmiati. Terima kasih

telah membesarkan dan mendidik peneliti dari lahir hingga saat ini, terima

kasih untuk seluruh cinta dan kasih sayang yang ibu dan ayah telah berikan.

viii

Serta adik peneliti Nurafifah Dwi Putri Aulia yang selalu menyayangi,

memberi semangat, motivasi dan doa.

9. Sahabat peneliti mulai dari awal perkuliahan Syarah Yunita, Amanda

Yulistiara, Suhartini Setia, Dimas Galuh, Anisa CM, Tari Tri, Widya Ayu.

Terima kasih untuk semua kerjasama, pelajaran, doa, motivasi, dukungan

dan tidak pernah bosan mendengar keluh kesah peneliti.

10. Semua teman-teman Sistem Informasi yang tidak bisa saya sebutkan satu

persatu dan telah memberikan banyak bantuan, semangat, ilmu, motivasi

dan doa kepada peneliti.

11. Seluruh pihak yang telah banyak berjasa terhadap proses penyelesaian

skripsi ini yang tidak dapat disebutkan satu persatu namun tidak mengurangi

sedikitpun rasa terima kasih peneliti.

Peneliti memohon kepada Allah SWT agar seluruh dukungan, bantuan dan

bimbingan dari semua pihak dibalas pahala yang berlipat ganda. Peneliti menyadari

dalam penyusunan skripsi ini masih terdapat kekurangan dan jauh dari kata

sempurna sehingga saran dan kritik yang membangun sangat peneliti harapkan, dan

dapat disampaikan melalui [email protected]. Akhir kata,

semoga penelitian ini dapat memberikan manfaat dan sekaligus menambah ilmu

bagi kita semua. Amiiin yaa Rabbal Alamin.

Jakarta, Februari 2019

Nurul Fadhylah Octariza

11140930000106

mailto:[email protected]

ix

DAFTAR ISI

HALAMAN JUDUL ................................................................................................ i

LEMBAR PENGESAHAN .................................................................................... ii

LEMBAR PERNYATAAN ................................................................................... iv

ABSTRAK .............................................................................................................. v

KATA PENGANTAR ........................................................................................... vi

DAFTAR ISI .......................................................................................................... ix

DAFTAR GAMBAR ........................................................................................... xiii

DAFTAR TABEL ................................................................................................. xv

BAB I PENDAHULUAN ....................................................................................... 1

1.1 Latar Belakang ......................................................................................... 1

1.2 Identifikasi Masalah ................................................................................. 5

1.3 Perumusan Masalah .................................................................................. 6

1.4 Batasan Masalah ....................................................................................... 6

1.5 Tujuan Penelitian ...................................................................................... 8

1.6 Manfaat Penelitian .................................................................................... 9

1.7 Metodologi Penelitian ............................................................................ 10

1.8 Sistematika Penulisan ............................................................................. 13

BAB II LANDASAN TEORI ............................................................................... 15

2.1 Konsep Dasar Sistem Informasi ............................................................. 15

2.1.1 Definisi Sistem ................................................................................ 15

2.1.2 Karakteristik Sistem ........................................................................ 16

2.1.3 Definisi Data dan Informasi ............................................................ 17

2.1.4 Sistem Informasi ............................................................................. 18

2.2 Definisi Analisis ..................................................................................... 19

2.3 Sistem Manajemen Keamanan Informasi ............................................... 20

2.3.1 Definisi Keamanan Informasi ......................................................... 20

2.3.2 Definisi Sistem Manajemen Keamanan Informasi ......................... 25

2.3.3 Manfaat SMKI ................................................................................ 30

x

2.4 RACI Chart ............................................................................................ 32

2.5 Manajemen Risiko .................................................................................. 34

2.5.1 Pentingnya Manajemen Risiko (Risk Management) ....................... 35

2.5.2 Penilaian Risiko (Risk Assessment) ................................................. 36

2.6 Manajemen Sumber Daya Manusia ....................................................... 44

2.6.1 Pengertian Manajemen Sumber Daya Manusia .............................. 44

2.6.2 Peranan Manajemen Sumber Daya Manusia .................................. 45

2.7 Manajemen Aset ..................................................................................... 46

2.7.1 Pengertian Aset ............................................................................... 46

2.7.2 Pengertian Manajemen Aset ........................................................... 47

2.8 Kontrol Akses ......................................................................................... 48

2.8.1 Pengertian Kontrol Akses ............................................................... 48

2.9 Keamanan Fisik dan Lingkungan ........................................................... 49

2.9.1 Kontrol Administratif ...................................................................... 51

2.9.2 Kontrol Lingkungan dan Keselamatan Hidup................................. 51

2.9.3 Kontrol Fisik dan Teknis ................................................................. 52

2.10 Manajemen Insiden ................................................................................ 52

2.10.1 Prinsip Dasar Manajemen Insiden .................................................. 52

2.10.2 Proses Manajemen Insiden .............................................................. 53

2.10.3 Faktor-faktor Keberhasilan Manajemen Insiden ............................. 57

2.11 Compliance atau Kepatuhan ................................................................... 58

2.12 Framework Sistem Manajemen Keamanan Informasi ........................... 58

2.12.1 British Standard (BS) 7799 ............................................................. 58

2.12.2 The Payment Card Industry Data Security Standard (PCIDSS) .... 60

2.12.3 The Information Technology Infrastructure Library (ITIL) ........... 61

2.12.4 The Control Objectives for Information and related Technology

(COBIT)...... ................................................................................................... 63

2.12.5 ISO/IEC 27001 ................................................................................ 65

2.12.6 ISO/IEC 27002 ................................................................................ 67

2.12.7 Perbandingan Standar Tata Kelola Keamanan Teknologi Informasi

..........................................................................................................68

2.13 ISO/IEC 27001 ....................................................................................... 74

2.13.1 Definisi ISO/IEC 27001 .................................................................. 74

xi

2.13.2 Klausul ISO/IEC 27001 .................................................................. 76

2.14 ISO/IEC 27002 ....................................................................................... 87

2.14.1 Definisi ISO/IEC 27002 .................................................................. 87

2.14.2 Klausul ISO/IEC 27002 .................................................................. 89

2.15 Plan, Do, Check, Act (PDCA) Model .................................................... 91

2.15.1 Plan ................................................................................................. 91

2.15.2 Do .................................................................................................... 91

2.15.3 Check ............................................................................................... 98

2.15.4 Act ................................................................................................... 99

2.16 Fokus Analisis SMKI ........................................................................... 100

2.17 Metode Kualitatif ................................................................................. 103

2.17.1 Pengumpulan Data Kualitatif ........................................................ 105

2.18 System Security Engineering Capability Maturity Model (SSE-CMM)

...............................................................................................................106

2.18.1 Ruang Lingkup SSE-CMM ........................................................... 108

2.18.2 Level Capability SSE-CMM ......................................................... 108

2.18.3 Keuntungan Menggunakan SSE-CMM ........................................ 110

2.18.4 Metode Perhitungan ...................................................................... 112

2.19 Teknik Pengumpulan Data ................................................................... 114

2.19.1 Klasifikasi Data ............................................................................. 115

BAB III METODOLOGI PENELITIAN............................................................ 118

3.1 Tahap Plan ........................................................................................... 118

3.1.1 Observasi ....................................................................................... 118

3.1.2 Wawancara .................................................................................... 119

3.1.3 Kuesioner ...................................................................................... 119

3.1.4 Studi Literatur ............................................................................... 130

3.1.5 Penentuan Ruang Lingkup ............................................................ 134

3.1.6 Menentukan Kebijakan ................................................................. 135

3.2 Tahap Do .............................................................................................. 135

3.3 Tahap Check ......................................................................................... 137

3.4 Tahap Act .............................................................................................. 139

3.5 Kerangka Penelitian ............................................................................. 139

xii

BAB IV HASIL DAN PEMBAHASAN ............................................................ 141

4.1 Tahap Plan ........................................................................................... 141

4.1.1 Menentukan Ruang Lingkup Keamanan Informasi ...................... 141

4.1.2 Menentukan Kebijakan Keamanan Informasi ............................... 147

4.2 Tahap Do .............................................................................................. 150

4.2.1 Mengidentifikasi Risiko ................................................................ 150

4.2.2 Menganalisis dan Evaluasi Risiko ................................................ 189

4.3 Tahap Check ......................................................................................... 207

4.3.1 Memilih Objektif Kontrol dan Kontrol Keamanan Informasi ...... 207

4.3.2 Memilih Sebagian Klausul dari ISO/IEC 27001:2013 dan ISO/IEC

27002:2013 .................................................................................................. 207

4.3.3 Penentuan Auditee ......................................................................... 209

4.3.4 Menentukan Nilai Tingkat Kemampuan untuk System Security

Engineering Capability Maturity Model (SSE-CMM) ................................. 210

4.4 Tahap Act .............................................................................................. 234

4.4.1 Rekomendasi terhadap Objektif Kontrol dan Keamanan Informasi

berdasarkan ISO/IEC 27001:2013 ............................................................... 236


berdasarkan ISO/IEC 27002:2013 ............................................................... 245

4.5 Rekomendasi untuk Aset ...................................................................... 253

4.6 Kesimpulan Hasil dan Pembahasan Metode PDCA ............................. 256

BAB V PENUTUP .............................................................................................. 259

5.1 Kesimpulan ........................................................................................... 259

5.2 Saran ..................................................................................................... 263

DAFTAR PUSTAKA ......................................................................................... 265

LAMPIRAN 1 WAWANCARA ........................................................................ 269

LAMPIRAN 2 DAFTAR KUESIONER ............................................................ 274

LAMPIRAN 3 DAFTAR TEMUAN KONDISI DIVISI INFORMATION

TECHNOLOGY ................................................................................................... 282

LAMPIRAN 4 SURAT DAN DOKUMEN ........................................................ 292

xiii

DAFTAR GAMBAR

Gambar 2. 1 Siklus Informasi (Sutabri, 2005) ...................................................... 18

Gambar 2. 2 Komponen Sistem Informasi (O’Brien, 2006) ................................. 19

Gambar 2. 3 Kehilangan Kerahasiaan Data (Rao & Nayak, 2014) ...................... 22

Gambar 2. 4 Kehilangan Keutuhan Data (Rao & Nayak, 2014) ........................... 22

Gambar 2. 5 Kehilangan Ketersediaan Data (Rao & Nayak, 2014) ..................... 22

Gambar 2. 6 Komponen Keamanan Informasi (Tripton & Krause, 2016) ........... 24

Gambar 2. 7 Lima (5) Poin Manajemen Proses SMKI (Chang, 2013) ................. 25

Gambar 2. 8 Plan-Do-Check-Act (PDCA) Model (ISO/IEC 27001, 2005) ......... 26

Gambar 2. 9 Framework SMKI (ISO/IEC 27001, 2013) ...................................... 30

Gambar 2. 10 RACI Chart (ISACA, 2012) ........................................................... 33

Gambar 2. 11 Analisis Risiko (Suanda, 2011) ...................................................... 36

Gambar 2. 12 Tabel Penerimaan Risiko (Suanda, 2011) ...................................... 36

Gambar 2. 13 Penilaian Risiko (Sarno & Iffano, 2009) ........................................ 37

Gambar 2. 14 Manajemen Aset (Kusumastuti dan Sugiama, 2014) ..................... 47

Gambar 2. 15 Multilevel incident categorization (Jong et al., 2008) .................... 54

Gambar 2. 16 Komponen BS 7799 (British Standard 7799, 2002) ...................... 59

Gambar 2. 17 Transaction security models of PCIDSS (Susanto, 2011).............. 60

Gambar 2. 18 PCI Security Standards Lifecycle (PCI Security Standard Council,

2011) ..................................................................................................................... 61

Gambar 2. 19 Komponen ITIL (Susanto, 2011) ................................................... 62

Gambar 2. 20 Framework COBIT 5 (ISACA, 2012) ............................................ 64

Gambar 2. 21 Proses Manajemen Risiko (Humprey, 2011) ................................. 66

Gambar 2. 22 ISO/IEC 27002 (Alcazar dan Fenz, 2012) ..................................... 68

Gambar 2. 23 Domain Persyaratan dan Kontrol Keamanan pada ISO/IEC 27001

(Park & Lee, 2014) ................................................................................................ 76

Gambar 2. 24 ISO/IEC 27002 (Saisa, 2017) ......................................................... 88

Gambar 2. 25 Siklus PDCA (Langley et al., 2009) ............................................... 91

Gambar 3. 1 Kerangka Penelitian.........................................................................140

xiv

Gambar 4. 1 Logo PT. Jasa Marga (Annual Report PT.Jasa Marga, 2016)…......144

Gambar 4. 2 Struktur Organisasi PT Jasa Marga (IT Masterplan PT Jasa Marga,

2014) ................................................................................................................... 145

Gambar 4. 3 Struktur Organisasi Divisi Information Technology (IT) (IT

Masterplan PT Jasa Marga, 2014) ....................................................................... 146

Gambar 4. 4 Representasi Nilai Maturity Level Klausul 7 Keamanan Sumber

Daya Manusia...................................................................................................... 213

Gambar 4. 5 Representasi Nilai Maturity Level Klausul 11 ............................... 216



Gambar 4. 8 Representasi Nilai Maturity Level Klausul 5 ................................. 220

Gambar 4. 9 Representasi Nilai Maturity Level Klausul 8 ................................. 223


Gambar 4. 11 Representasi Nilai Maturity Level Klausul 10 ............................. 226

Gambar 4. 12 Representasi Nilai Maturity Level Klausul 12 ............................. 229

Gambar 4. 13 Grafik Representasi Nilai Maturity Level pada ISO/IEC

27001:2013 .......................................................................................................... 231


27001:2013 .......................................................................................................... 231


27002:2013 .......................................................................................................... 233


27002:2013 .......................................................................................................... 233

Gambar 4.17 Representasi Nilai Maturity Level Klausul ISO/IEC 27001: 2013

............................................................................................................................ .235


............................................................................................................................ .235

xv

DAFTAR TABEL

Tabel 2. 1 Identifikasi Ancaman (Sarno & Iffano, 2009) ..................................... 38

Tabel 2. 2 Identifikasi Kelemahan (Sarno & Iffano, 2009) .................................. 39

Tabel 2. 3 Daftar Kebutuhan Keamanan (Sarno & Iffano, 2009) ......................... 40

Tabel 2. 4 Analisa Dampak (Sarno & Iffano, 2009) ............................................. 42

Tabel 2. 5 Ancaman Keamanan Berdasarkan Segitiga CIA (Rao & Nayak, 2014)

............................................................................................................................... 50

Tabel 2. 6 Prioritas Insiden (Jong et al., 2008) ..................................................... 54

Tabel 2. 7 Perbandingan Lima Standar Keamanan Informasi (Susanto et al, 2011)

............................................................................................................................... 70

Tabel 2. 8 Identifikasi Aset (Sarno & Iffano, 2009) ............................................. 92

Tabel 2. 9 Penilaian Aset Berdasarkan Confidentiality (Sarno & Iffano, 2009) .. 93

Tabel 2. 10 Penilaian aset berdasarkan Integrity (Sarno & Iffano, 2009)............. 93

Tabel 2. 11 Penilaian aset berdasarkan Availability (Sarno & Iffano, 2009) ....... 93

Tabel 2. 12 Sumber dan Jenis Ancaman (Sarno & Iffano, 2009) ......................... 95

Tabel 2. 13 Kemungkinan Terjadi (Sarno & Iffano, 2009) ................................... 95

Tabel 2. 14 Kemungkinan Terjadi (Sarno & Iffano, 2009) ................................... 96

Tabel 2. 15 Skala Business Impact Analysis (BIA) (Sarno, 2009) ....................... 97

Tabel 2. 16 Level Probabilitas Ancaman (Sarno & Iffano, 2009) ........................ 98

Tabel 2. 17 Level Dampak Bisnis (Sarno & Iffano, 2009) ................................... 98

Tabel 2. 18 Pemetaan Persamaan Klausul ISO/IEC 27001 dan ISO/IEC 27002

(Sengupta, 2015) ................................................................................................. 102

Tabel 2. 19 Perbedaan ISO/IEC 27001 dan ISO/IEC 27002 (Hamzah, 2018) ... 103

Tabel 2. 20 Perbandingan SSE-CMM dengan Model lain (Abzug et al., 2003). 107

Tabel 2. 21 Nilai dan Level Kematangan (Sarno & Iffano, 2009) ...................... 113

Tabel 3. 1 Daftar Pelaksanaan Wawancara….......................................................119

Tabel 3. 2 Instrumen Kuesioner (ISO/IEC 27001, 2013) ................................... 120

Tabel 3. 3 Instrumen Pertanyaan (ISO/IEC 27002,2013) ................................... 123

xvi

Tabel 3. 4 Persamaan dan Perbedaan pada ISO/IEC 27001 dan ISO/IEC 27002

(ISO/IEC 27001 dan ISO/IEC 27002, 2013) ...................................................... 127

Tabel 3. 5 Pemilihan Klausul ISO/IEC 27001 (ISO/IEC 27001, 2013) ............. 128

Tabel 3. 6 Pemilihan Klausul ISO/IEC 27002 (ISO/IEC 27002, 2013) ............. 129

Tabel 3. 7 Studi Literatur .................................................................................... 130

Tabel 3. 8 Tingkat Kemampuan (Sarno & Iffano, 2009) .................................... 138

Tabel 3. 9 Pemilihan Klausul ISO/IEC 27001 dan tabel 3. 6 Pemilihan Klausul

ISO/IEC 27002. ................................................................................................... 207

Tabel 4. 1 Data Aset Pendukung pada Divisi Information Technology

(IT).......................................................................................................................142

Tabel 4. 2 Aset Utama PT Jasa Marga ................................................................ 150

Tabel 4. 3 Aset Pendukung PT Jasa Marga......................................................... 152

Tabel 4. 4 Nilai Aset Utama ................................................................................ 154

Tabel 4. 5 Nilai Aset Pendukung ........................................................................ 155

Tabel 4. 6 Daftar Kelemahan dan Ancaman Database Web Portal Internal ....... 156

Tabel 4. 7 Daftar Kelemahan dan Ancaman Database RQM (Risk Quality

Management)....................................................................................................... 156

Tabel 4. 8 Daftar Kelemahan dan Ancaman Database Kepegawaian ................. 157

Tabel 4. 9 Daftar Kelemahan dan Ancaman Database Lelang Jabatan .............. 157

Tabel 4. 10 Daftar Kelemahan dan Ancaman Database Legal and Compliance 157

Tabel 4. 11 Daftar Kelemahan dan Ancaman Database LPSE (Layanan Pengadaan

Secara Elektronik) ............................................................................................... 158

Tabel 4. 12 Daftar Kelemahan dan Ancaman Database Internal GCG............... 158

Tabel 4. 13 Daftar Kelemahan dan Ancaman Database JMDC (Jasa Marga

Development Center) .......................................................................................... 158

Tabel 4. 14 Daftar Kelemahan dan Ancaman Database EOPA (Electronic

Operational Performance Appraisal)................................................................... 159

Tabel 4. 15 Daftar Kelemahan dan Ancaman Database Knowledge Management

............................................................................................................................. 159

Tabel 4. 16 Daftar Kelemahan dan Ancaman Database Lalu Lintas Tol............ 159

Tabel 4. 17 Daftar Kelemahan dan Ancaman Database Jadwal Direksi............. 159

xvii

Tabel 4. 18 Daftar Kelemahan dan Ancaman Database Oracle Hyperion Planning

............................................................................................................................. 160

Tabel 4. 19 Daftar Kelemahan dan Ancaman Database JMACT (Jasa Marga

Adukan Cermati Tuntaskan) ............................................................................... 160

Tabel 4. 20 Daftar Kelemahan dan Ancaman Database Related Business

Development ....................................................................................................... 160

Tabel 4. 21 Daftar Kelemahan dan Ancaman Database PKBL (Program

Kemitraan dan Bina Lingkungan) ....................................................................... 161

Tabel 4. 22 Daftar Kelemahan dan Ancaman Database IT Service Desk .......... 161

Tabel 4. 23 Daftar Kelemahan dan Ancaman Database ERP ............................. 161

Tabel 4. 24 Daftar Kelemahan dan Ancaman Database Keuangan Anak

Perusahaan........................................................................................................... 162

Tabel 4. 25 Daftar Kelemahan dan Ancaman Database Sistem Informasi

Manajemen .......................................................................................................... 162

Tabel 4. 26 Daftar Kelemahan dan Ancaman pada Laptop ................................ 162

Tabel 4. 27 Daftar Kelemahan dan Ancaman pada Server Physical................... 162

Tabel 4. 28 Daftar Kelemahan dan Ancaman pada Windows server 2012 R.2 .. 163

Tabel 4. 29 Daftar Kelemahan dan Ancaman pada Windows 10 ....................... 163

Tabel 4. 30 Daftar Kelemahan dan Ancaman pada Microsoft Office 2016........ 163

Tabel 4. 31 Daftar Kelemahan dan Ancaman pada Microsoft SQL Server 2008 164

Tabel 4. 32 Daftar Kelemahan dan Ancaman pada Air Conditioner (AC) ......... 164

Tabel 4. 33 Daftar Kelemahan dan Ancaman pada Uninterruptible Power Supply

(UPS) ................................................................................................................... 164

Tabel 4. 34 Daftar Kelemahan dan Ancaman pada Fiber Optic ......................... 164

Tabel 4. 35 Daftar Kelemahan dan Ancaman pada CCTV ................................. 164

Tabel 4. 36 Daftar Kelemahan dan Ancaman pada Switch ................................ 165

Tabel 4. 37 Daftar Kelemahan dan Ancaman pada Wi-Fi .................................. 165

Tabel 4. 38 Daftar Kelemahan dan Ancaman pada Aplikasi IT Service Desk ... 165

Tabel 4. 39 Daftar Kelemahan dan Ancaman pada Oracle Database 11.2.0.1 ... 165

Tabel 4. 40 Daftar Kelemahan dan Ancaman pada Windows 7 ......................... 166

Tabel 4. 41 Daftar Kelemahan dan Ancaman pada Microsoft Office 2013........ 166

xviii

Tabel 4. 42 Daftar Kelemahan dan Ancaman pada Avira Antivirus 2019 ......... 166

Tabel 4. 43 Daftar Kelemahan dan Ancaman pada Kaspersky Antivirus 2018.. 166

Tabel 4. 44 Daftar Kelemahan dan Ancaman pada Server Storage .................... 166

Tabel 4. 45 Daftar Kelemahan dan Ancaman pada Server Virtual ..................... 167

Tabel 4. 46 Hasil Rerata Probabilitas dan Nilai Ancaman Database Web Portal

Internal ................................................................................................................ 168

Tabel 4. 47 Hasil Rerata Probabilitas dan Nilai Ancaman Database RQM (Risk

Quality Management).......................................................................................... 168

Tabel 4. 48 Hasil Rerata Probabilitas dan Nilai Ancaman Database Kepegawaian

............................................................................................................................. 169

Tabel 4. 49 Hasil Rerata Probabilitas dan Nilai Ancaman Database Lelang Jabatan

............................................................................................................................. 169

Tabel 4. 50 Hasil Rerata Probabilitas dan Nilai Ancaman Database Legal and

Compliance ......................................................................................................... 170

Tabel 4. 51 Hasil Rerata Probabilitas dan Nilai Ancaman Database LPSE

(Layanan Pengadaan Secara Elektronik) ............................................................ 170

Tabel 4. 52 Hasil Rerata Probabilitas dan Nilai Ancaman Database Internal GCG

............................................................................................................................. 171

Tabel 4. 53 Hasil Rerata Probabilitas dan Nilai Ancaman Database JMDC (Jasa

Marga Development Center) ............................................................................... 171

Tabel 4. 54 Hasil Rerata Probabilitas dan Nilai Ancaman Database EOPA

(Electronic Operational Performance Appraisal) ................................................ 172

Tabel 4. 55 Hasil Rerata Probabilitas dan Nilai Ancaman Database Knowledge

Management ........................................................................................................ 172

Tabel 4. 56 Hasil Rerata Probabilitas dan Nilai Ancaman Database Lalu Lintas

Tol ....................................................................................................................... 173

Tabel 4. 57 Hasil Rerata Probabilitas dan Nilai Ancaman Database Jadwal Direksi

............................................................................................................................. 173

Tabel 4. 58 Hasil Rerata Probabilitas dan Nilai Ancaman Database Oracle

Hyperion Planning .............................................................................................. 174

xix

Tabel 4. 59 Hasil Rerata Probabilitas dan Nilai Ancaman Database JMACT (Jasa

Marga Adukan Cermati Tuntaskan) .................................................................... 174

Tabel 4. 60 Hasil Rerata Probabilitas dan Nilai Ancaman Database Related

Business Development ........................................................................................ 175

Tabel 4. 61 Hasil Rerata Probabilitas dan Nilai Ancaman Database PKBL

(Program Kemitraan dan Bina Lingkungan) ....................................................... 175

Tabel 4. 62 Hasil Rerata Probabilitas dan Nilai Ancaman Database IT Service

Desk .................................................................................................................... 176

Tabel 4. 63 Hasil Rerata Probabilitas dan Nilai Ancaman Database ERP.......... 177

Tabel 4. 64 Hasil Rerata Probabilitas dan Nilai Ancaman Database Keuangan

Anak Perusahaan ................................................................................................. 177

Tabel 4. 65 Hasil Rerata Probabilitas dan Nilai Ancaman Database Sistem

Informasi Manajemen ......................................................................................... 178

Tabel 4. 66 Hasil Rerata Probabilitas dan Nilai Ancaman Laptop ..................... 178

Tabel 4. 67 Hasil Rerata Probabilitas dan Nilai Ancaman Server Physical........ 179

Tabel 4. 68 Hasil Rerata Probabilitas dan Nilai Ancaman Windows server 2012

R.2 ....................................................................................................................... 179

Tabel 4. 69 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 10 ............ 180

Tabel 4. 70 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft Office 2016

............................................................................................................................. 180

Tabel 4. 71 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft SQL Server

2008 ..................................................................................................................... 180

Tabel 4. 72 Hasil Rerata Probabilitas dan Nilai Ancaman Air Conditioner (AC)

............................................................................................................................. 181

Tabel 4. 73 Hasil Rerata Probabilitas dan Nilai Ancaman Uninterruptible Power

Supply (UPS) ...................................................................................................... 181

Tabel 4. 74 Hasil Rerata Probabilitas dan Nilai Ancaman Fiber Optic .............. 182

Tabel 4. 75 Hasil Rerata Probabilitas dan Nilai Ancaman CCTV ...................... 182

Tabel 4. 76 Hasil Rerata Probabilitas dan Nilai Ancaman Switch ..................... 182

Tabel 4. 77 Hasil Rerata Probabilitas dan Nilai Ancaman Wi-Fi ....................... 183

xx

Tabel 4. 78 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi IT Service

Desk .................................................................................................................... 183

Tabel 4. 79 Hasil Rerata Probabilitas dan Nilai Ancaman Oracle Database

11.2.0.1 ................................................................................................................ 184

Tabel 4. 80 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 7 .............. 184


............................................................................................................................. 185

Tabel 4. 82 Hasil Rerata Probabilitas dan Nilai Ancaman Avira Antivirus 2019

............................................................................................................................. 185

Tabel 4. 83 Hasil Rerata Probabilitas dan Nilai Ancaman Kaspersky Antivirus

2018 ..................................................................................................................... 185

Tabel 4. 84 Hasil Rerata Probabilitas dan Nilai Ancaman Server Storage ......... 186

Tabel 4. 85 Hasil Rerata Probabilitas dan Nilai Ancaman Server Virtual .......... 186

Tabel 4. 86 Kesimpulan Hasil Rerata Probabilitas dan Nilai Ancaman Aset Utama

............................................................................................................................. 187

Tabel 4. 87 Kesimpulan Hasil Rerata Probabilitas dan Nilai Ancaman Aset

Pendukung ........................................................................................................... 188

Tabel 4. 88 Hasil Nilai BIA pada Aset Utama .................................................... 189

Tabel 4.89 Hasil Nilai BIA pada Aset Pendukung ............................................. 190

Tabel 4. 90 Hasil Nilai Dampak Bisnis pada Aset Utama .................................. 191

Tabel 4.91 Hasil Nilai Dampak Bisnis pada Aset Pendukung ............................ 192

Tabel 4. 92 Hasil Nilai dan Level Risiko pada Aset Utama ............................... 193

Tabel 4.93 Hasil Nilai Risiko dan Level Risiko pada Aset Pendukung.............. 194

Tabel 4. 94 Analisis Risiko Keamanan Informasi pada Aset Utama .................. 195

Tabel 4.95 Analisis Risiko Keamanan Informasi pada Aset Pendukung............ 201

Tabel 4. 96 Objektif Kontrol dan Kontrol Keamanan (ISO/IEC 27001,2013) ... 207

Tabel 4. 97 Objektif Kontrol dan Kontrol Keamanan (ISO/IEC 27002, 2013) .. 208

Tabel 4. 98 Mapping Domain COBIT 5 dengan Klausul ISO/IEC 27001 ......... 209

Tabel 4. 99 Mapping Domain COBIT 5 dengan Klausul ISO/IEC 27002 ......... 209

Tabel 4. 100 Konversi Fungsional RACI Chart .................................................. 210

Tabel 4. 101 Kerangka Kerja Perhitungan Maturity Level Klausul 7 ................ 211

xxi

Tabel 4. 102 Hasil Maturity Level Klausul 7 ...................................................... 212

Tabel 4. 103 Kerangka Kerja Perhitungan Maturity Level Klausul 11 .............. 213

Tabel 4. 104 Hasil Maturity Level Klausul 11 .................................................... 215















Tabel 4. 119 Nilai Maturity Level pada ISO/IEC 27001:2013 ........................... 229

Tabel 4. 120 Nilai Maturity Level pada ISO/IEC 27002:2013 ........................... 232

Tabel 4.121 Hasil Maturity Level Klausul ISO/IEC 27001: 2013 ..................... 234

Tabel 4.122 Hasil Maturity Level Klausul ISO/IEC 27002: 2013 ..................... 234

Tabel 4. 123 Hasil Temuan dan Rekomendasi berdasarkan ISO/IEC 27001:2013

............................................................................................................................. 236

Tabel 4. 124 Hasil Temuan dan Rekomendasi berdasarkan ISO/IEC27002:2013

............................................................................................................................. 245

Tabel 4. 125 Rekomendasi untuk Aset Utama pada Divisi Information Technology

............................................................................................................................. 253

Tabel 4. 126 Rekomendasi untuk Aset Pendukung pada Divisi Information

Technology .......................................................................................................... 255

Tabel 4. 127 Kesimpulan Hasil dan Pembahasan Metode PDCA ...................... 256

1

BAB I

PENDAHULUAN

1.1 Latar Belakang

Teknologi informasi merupakan sumber daya strategis, yang dapat

menyediakan informasi penting untuk membantu dalam pengambilan

keputusan pada sebuah organisasi (Galbraith, 2012). Pentingnya teknologi

informasi pada sebuah organisasi yaitu membantu dalam meningkatkan

pembelajaran, mengetahui kekuatan yang perlu diperhatikan, memberikan

nilai positif (khususnya pegawai dalam pencapaian kinerjanya) dimana hal

ini dapat diketahui dari hasil evaluasi tata kelola teknologi informasi (Jankov

et al., 2017).

Salah satu bagian yang mempengaruhi teknologi informasi adalah

keamanan informasi (Bernard, 2011). Keamanan informasi merupakan hal

yang penting untuk diperhatikan oleh pihak manajemen teknologi informasi

dan perlu dilakukan pengukuran terhadap kekuatan dari keamanan informasi

yang telah diterapkan (Disterer, 2013). Keamanan informasi khususnya pada

bagian cyber termasuk area dengan perkembangan cepat yang perlunya

evaluasi dan inovasi (Torten et al., 2018).

Kekuatan keamanan informasi dapat dikontrol menggunakan sistem

manajemen keamanan informasi, berfungsi untuk mengatur dan

mengoperasikan keamanan sistem informasi agar dapat digunakan sesuai

dengan prosedur (Sheikhpour & Modiri, 2012). Tujuan dari sistem

2

manajemen keamanan informasi adalah menjamin kerahasiaan, keutuhan,

dan ketersediaan dari data dan informasi (Sheikhpour & Modiri, 2012).

Standar ISO/IEC 27001 dan ISO/IEC 27002 dapat digunakan dalam

menerapkan sistem manajemen keamanan informasi (Disterer, 2013).

ISO/IEC 27001 merupakan standar yang dapat digunakan untuk membantu

pihak manajemen merencanakan dan menetapkan keamanan informasi sesuai

aturan, dan ISO/IEC 27002 merupakan standar yang dapat digunakan untuk

membantu kegiatan operasional dan pemeliharaan terhadap sistem (ISO /IEC

27001 & ISO/IEC 27002, 2013). Standar ISO/IEC 27001 memiliki fokus

untuk menetapkan kebijakan berdasarkan analisis risiko dan kebutuhan

pengguna dan ISO/IEC 27002 berfokus untuk menjalankan prosedur yang

telah ditetapkan secara lebih rinci (ISO/IEC 27001 dan ISO/IEC 27002,

2013).

Berdasarkan penelitian Heru Susanto et al yang berjudul Information

Security Management System Standards: A Comparative Study of the Big

Five, menerangkan bahwa informasi adalah aset organisasi di era modern saat

ini dan penting untuk melindungi aset tersebut. Namun tidak ada yang dapat

menjamin seratus persen (100%) keamanan dari informasi. Penelitian ini

menghasilkan perbandingan standar keamanan informasi menggunakan ISO

27001, BS 7799, PCIDSS, ITIL, dan COBIT yang dilihat dari sisi

penempatan dan kekhususan penggunaan setiap standar, dan negara yang

menggunakannya.

3

Penelitian yang dilakukan oleh Georg Disterer dengan judul ISO/IEC

27000, 27001 and 27002 for Information Security Management,

mengemukakan pentingnya mengukur kekuatan dari keamanan informasi,

yang merupakan salah satu inisiatif terpenting dari manajemen information

technology (IT). Standar keamanan informasi dapat digunakan untuk

mengembangkan dan memelihara kekuatan sistem manajemen keamanan

informasi. Standar ISO/IEC 27000, 27001, dan 27002 merupakan standar

yang telah diterima dan diadaptasi. Perusahaan yang menggunakan standar

ISO/IEC 27001 diberikan sertifikat ISMS/SMKI oleh pihak ketiga yang telah

mengukur keamanan dan bukti yang ada.

Penelitian oleh Anirban Sengupta yang berjudul Modeling

Dependencies of ISO/IEC 27002:2013 Security Controls, menerangkan

bahwa kontrol keamanan seperti kebijakan, prosedur, hukum dan regulasi

atau alat keamanan dan teknik-tekniknya membantu dalam mitigasi risiko

terkait sistem informasi perusahaan. Kontrol dari ISO/IEC 27002:2013

merupakan inter-dependent dan terdiri dari beberapa aspek yang berbeda

pada pengimplementasiannya. Kurang tepatnya penggunaan kontrol

merupakan salah satu kendala yang sulit ditangani oleh perusahaan.

Penelitian ini menyajikan analisis kontrol pada ISO/IEC 27001:2013 terkait

kategori penerapan tugas dan rincian kontrol yang saling bergantungan dan

memiliki hubungan.

Selanjutnya penelitian dari Natalia Miloslavskaya dan Alexander

Tolstoy yang berjudul Information Security Specialist Training on the Basis

4

of ISO/IEC 27002. Permasalahan pada penelitian ini bagaimana melakukan

analisis terhadap pengalaman training pada spesialis sistem informasi di

Moscow Engineering Physics Institute (State University) jurusan sistem

informasi, untuk mengumpulkan keperluan penelitian dilihat dari tipe dan

aktivitas lulusan pekerjaan dan memformulasikannya berdasarkan kualifikasi

karakteristik. Penelitian ini menghasilkan rumusan terkait karakteristik

berdasarkan ISO/IEC 27002.

Semakin meningkatnya kebutuhan terhadap kemudahan pengaksesan

informasi memiliki pengaruh pada penggunaan teknologi informasi yang

digunakan oleh perusahaan (Wu, 2015). PT Jasa Marga adalah salah satu

Badan Usaha Milik Negara (BUMN) yang menerapkan peranan teknologi

informasi dalam menunjang kegiatan bisnisnya.

Web portal internal adalah salah satu teknologi informasi yang

memberikan beberapa layanan yang dapat diakses melalui jaringan internet

dan membantu pegawai PT Jasa Marga dalam melakukan kegiatan

operasional sehari-hari. Layanan ini membantu Divisi Information

Technology (IT) dalam memantau dan mengendalikan aplikasi sehingga

mengurangi risiko penyerangan dari pihak yang tidak berhak. Selain

menyediakan layanan, web portal internal digunakan sebagai media

penyimpanan berkas-berkas seperti pengumuman, surat keputusan (SK), dan

file lainnya.

Berdasarkan wawancara dengan pegawai keamanan informasi, pada

tahun 2016 terjadi penyerangan pada web portal internal menyebabkan

5

hilangnya data-data perusahaan yang bersifat rahasia dan penting. Selain itu,

ditemukan kondisi terkait keamanan informasi yaitu kurangnya pegawai,

dimana pegawai yang menangani keamanan cyber juga merangkap

menangani keamanan fisik informasi yang berdampak pada kurang

maksimalnya pengawasan terhadap pengamanan data. Penempatan pegawai

berdasarkan kemampuan (capability) dan keahlian merupakan komponen

atau bagian yang diperlukan, sehingga memiliki pengaruh positif yang

signifikan terhadap proses kinerja (Giyarto, 2015).

Berdasarkan beberapa penelitian yang dijelaskan diatas dan masalah

yang ditemukan pada PT Jasa Marga, maka peneliti mengajukan judul skripsi

“Analisis Sistem Manajemen Keamanan Informasi Menggunakan

ISO/IEC 27001 dan ISO/IEC 27002 pada Kantor Pusat PT. Jasa Marga”.

1.2 Identifikasi Masalah

Berdasarkan latar belakang, maka penulis mengidentifikasi

permasalahan yang diangkat dalam penelitian ini adalah:

1. Belum adanya kebijakan yang mengatur terkait keamanan informasi

khususnya pada web portal internal.

2. Terjadinya penyerangan terhadap web portal internal yang menyebabkan

hilangnya data-data penting.

3. Terjadinya beban kerja yang melebihi kapasitas kemampuan pegawai

bagian keamanan informasi sehingga kerahasiaan data belum terjaga

dengan baik.

6

4. Belum pernah dilakukan analisis sistem manajemen keamanan informasi

menggunakan ISO/IEC 27001 dan ISO/IEC 27002 pada PT Jasa Marga.

1.3 Perumusan Masalah

Berdasarkan latar belakang dan identifikasi masalah yang dijabarkan

diatas, maka penulis membuat perumusan masalah dalam penelitian ini yaitu,

“Bagaimana melakukan analisis sistem manajemen keamanan informasi

menggunakan ISO/IEC 27001 dan ISO/IEC 27002 pada kantor pusat PT Jasa

Marga?”.

1.4 Batasan Masalah

Berdasarkan rumusan masalah diatas, maka batasan pada penelitian ini,

yaitu:

1. Analisis sistem manajemen keamanan informasi dilakukan pada Divisi

Information Technology (IT) Kantor Pusat PT Jasa Marga di Jakarta yang

beralamat di Plaza Tol Taman Mini Pinang Ranti.

2. Penelitian ini berfokus pada analisis web portal internal di PT Jasa

Marga.

3. Standar yang digunakan adalah ISO/IEC 27001 versi tahun 2013 dan

ISO/IEC 27002 versi tahun 2013.

4. Data yang digunakan adalah hasil wawancara dan analisis dokumen pada

Divisi Information Technology (IT) PT Jasa Marga.

7

5. Pada penelitian ini dilakukan analisis dengan menggunakan kuesioner

dan checklist berdasarkan panduan standar pada ISO/IEC 27001 dan

ISO/IEC 27002.

6. Penelitian ini menggunakan metodologi Plan, Do, Check, Act (PDCA)

pada ISO/IEC 27001 dan ISO/IEC 27002.

7. Analisis menggunakan kerangka kerja (framework) ISO/IEC

27001:2013 dengan sub klausul A.7.2 (during employment), A.7.3

(termination and change of employment), A.11.1 (secure areas), A.11.2

(equipment), A.16.1 (management of information security incidents and

improvements), A.18.1 (compliance with legal and contractual

requirements), dan ISO/IEC 27002:2013 dengan sub klausul B.5.1

(management direction for information security), B.8.1 (responsibility

for assets), B.9.1 (business requirements of access control), B.9.4

(system and application access control), B.10.1 (cryptographic

controls), B.12.1 (operational procedures and responsibility), B.12.2

(protection from malware), B.12.6 (technical vulnerability

management).

8. Penelitian ini mempunyai ruang lingkup pada 14 sektor utama keamanan,

yaitu during employment, termination and change of employment, secure

areas, equipment, management of information security incidents and

improvements, compliance with legal and contractual requirements,

management direction for information security, responsibility for assets,

business requirements of access control, system and application access

8

control, cryptographic controls, operational procedures and

responsibility, protection from malware, technical vulnerability

management.

9. Tools kuesioner skala pengukuran tingkat kematangan pada ISO/IEC

27001 dan ISO/IEC 27002 menggunakan risk assessment and treatment

dengan pendekatan metode kualitatif.

10. Tools yang digunakan untuk mengukur keefektivitas menggunakan

metode SSE CMM dengan pendekatan Standar ISO/IEC 27001 dan

ISO/IEC 27002.

11. Output yang dihasilkan dari penelitian ini adalah temuan dan

rekomendasi terkait keamanan sistem informasi PT Jasa Marga.

1.5 Tujuan Penelitian

Tujuan umum pada penelitian di PT Jasa Marga adalah melakukan

analisis sistem manajemen keamanan informasi menggunakan ISO/IEC

27001 dan ISO/IEC 27002 pada PT Jasa Marga.

Sedangkan tujuan khususnya adalah sebagai berikut:

1. Menganalisis standar kebijakan keamanan informasi untuk menjaga

sistem keamanan web portal internal.

2. Menganalisis manajemen insiden terkait penyerangan pada web portal

internal.

3. Menganalisis standar kebijakan terkait kapasitas kemampuan pegawai

khususnya pada bagian keamanan informasi.

9

4. Menghasilkan rekomendasi berdasarkan analisis temuan-temuan dan

gap, kendali dan bukti, dan mendokumentasikan hasil temuan.

1.6 Manfaat Penelitian

Adapun manfaat dari penelitian ini yang terbagi menjadi dua manfaat

yaitu, manfaat teoritis (bagi mahasiswa) dan manfaat praktis (bagi instansi

atau perusahaan):

1. Manfaat Teoritis

a) Melakukan identifikasi dan analisis terhadap sistem informasi yang

ada berdasarkan teori dan pengetahuan yang diperoleh selama

perkuliahan.

b) Memberikan gambaran pada organisasi mengenai tata kelola

teknologi informasi yang baik (good governance).

c) Membantu organisasi dalam mengawasi manajemen keamanan sistem

informasi yang sedang berjalan.

d) Menjadi referensi bagi penelitian berikutnya dalam bidang tata kelola

teknologi informasi.

e) Meningkatkan kreatifitas berfikir untuk menganalisa suatu masalah di

dalam sebuah proses bisnis.

f) Memberikan pengalaman kerja kepada mahasiswa dalam rangka

menerapkan atau membandingkan serta menganalisis teori dan

pengetahuan dengan kondisi yang sebenarnya di lapangan.

10

2. Manfaat Praktis

a) Membantu perusahaan untuk mengetahui kondisi dari perusahaan saat

ini terkait sistem manajemen keamanan informasi dan memberikan

gambaran terkait tindak lanjut kedepannya dalam meningkatkan

keamanan pada sistem dan teknologi informasi yang dimiliki PT Jasa

Marga.

b) Informasi yang didapat dari hasil analisis sistem, dapat dijadikan

bahan acuan untuk mengambil keputusan dalam membangun suatu

sistem informasi yang akan digunakan oleh instansi.

c) Hasil analisa dan penelitian yang dilakukan selama penelitian dapat

menjadi bahan masukan bagi pihak perusahaan untuk menentukan

kebijaksanaan perusahaan di masa yang akan datang khususnya di

bidang sistem manajemen keamanan informasi.

d) Membina kerjasama yang baik antara lingkungan akademis dengan

lingkungan kerja.

1.7 Metodologi Penelitian

Pada penelitian ini peneliti menggunakan beberapa metode untuk

mendapatkan informasi yang dibutuhkan. Berikut adalah metode-metode

yang digunakan pada penelitian ini:

1. Desain Penelitian

Pada desain penelitian peneliti menggunakan metode kualitatif,

untuk mendapatkan data deskriptif baik secara lisan (wawancara)

11

maupun tulisan (dokumen) dari objek yang diteliti pada Divisi

Information Technology (IT) PT Jasa Marga.

2. Metode Pengumpulan Data

Pada penelitian ini dilakukan pengumpulan data dengan beberapa

cara. Data yang digunakan yaitu:

a. Data primer, merupakan data yang diperoleh peneliti langsung

di Divisi Information Technology (IT) PT Jasa Marga. Data

diperoleh dengan beberapa metode yaitu:

Observasi, pada tahap ini peneliti melakukan dengan cara

melihat dan mengamati secara langsung untuk mendapatkan

data dan informasi yang dibutuhkan pada Divisi Information

Technology (IT) PT Jasa Marga.

Wawancara, pada tahap ini peneliti melakukan komunikasi

dua arah untuk mendapatkan informasi dari pegawai terkait

Divisi Information Technology (IT) PT Jasa Marga. Tahapan

ini memberikan informasi yang lebih khusus kepada

permasalahan, masukan berupa pendapat dan ide oleh

responden.

Kuesioner, merupakan tahapan dimana peneliti melakukan

pengumpulan data dengan memberikan daftar pertanyaan

kepada pegawai di Divisi Information Technology (IT) PT

Jasa Marga.

12

b. Data sekunder, merupakan data yang diperoleh dari beberapa

study literature yang terkait dengan topik dan permasalahan

pada penelitian.

Study Literature, peneliti akan melakukan kegiatan

membaca dan memahami bahan pustaka seperti buku-buku,

dokumen, mempelajari penelitian sejenis yang pernah

dilakukan orang lain, serta mempelajari mengenai topik

terkait penelitian saat ini.

3. Metode Analisis Data

Penelitian ini menggunakan teknik analisis data deskriptif kualitatif

yang menekankan pada sumber data dan fakta.

4. Metode Analisis Sistem Manajemen Keamanan Informasi

Dalam analisis penerapan sistem manajemen keamanan informasi

terdapat beberapa tahapan berdasarkan ISO/IEC 27001 dan ISO/IEC

27002 yaitu:

a. Plan

Pada tahap plan peneliti akan melakukan perencanaan dan

perancangan manajemen keamanan informasi, dimana kegiatan

implementasinya adalah dengan membangun komitmen,

kebijakan, kontrol, prosedur, instruksi kerja sehingga tercipta

manajemen keamanan informasi sesuai dengan kebutuhan dari

penggunanya.

13

b. Do

Selanjutnya pada tahap do peneliti akan melakukan

pengidentifikasian terhadap risiko yang meliputi

pengidentifikasian aset, ancaman dan kelemahan serta

menganalisis risiko.

c. Check

Kemudian pada tahap check peneliti akan melakukan

pemonitoran dari penerapan keamanan informasi dengan

memilih klausul pada ISO/IEC 27001 dan ISO/IEC 27002,

penentuan nilai kemampuan dan maturity level.

d. Act

Dan pada tahap act peneliti akan penentuan gap dan pemberian

rekomendasi berdasarkan ISO/IEC 27001 dan ISO/IEC 27002.

1.8 Sistematika Penulisan

Sistematika penulisan dan penyusunan laporan penelitian skripsi ini

dengan urutan sebagai berikut:

BAB I : PENDAHULUAN

Bab ini mendeskripsikan latar belakang penelitian, identifikasi

masalah, perumusan masalah, batasan masalah, tujuan penelitian,

ruang lingkup penelitian, manfaat penelitian, tahap dan kegiatan

serta sistematika penulisan pada penelitian.

14

BAB II : LANDASAN TEORI

Bab ini menguraikan teori-teori yang berhubungan dengan konsep

dan teori dasar materi yang terkait, seperti pengertian tata kelola

teknologi informasi, model kerangka kerja tata kelola teknologi

informasi dan penjelasan ISO/IEC 27001 dan ISO/IEC 27002 dan

materi lainnya yang digunakan selama penelitian dan yang

membantu menyusun laporan penelitian skripsi.

BAB III : METODOLOGI PENELITIAN

Bab ini membahas metodologi yang digunakan dalam penelitian

mencakup desain penelitian, metode pengumpulan data, metode

analisis data, metode penerapan tata kelola teknologi informasi dan

kerangka berpikir penelitian.

BAB IV : HASIL DAN PEMBAHASAN

Bab ini akan membahas mengenai uraian hasil analisis mengenai

tata kelola teknologi informasi, hasil kuesioner maturity level dan

rekomendasi perbaikan untuk tata kelola teknologi informasi pada

Divisi Information Technology (IT) PT Jasa Marga.

BAB V : PENUTUP

Pada bab ini berisi kesimpulan dan uraian yang sudah diterangkan

dari bab-bab sebelumnya, dan juga berisi saran-saran perbaikan.

15

BAB II

LANDASAN TEORI

2.1 Konsep Dasar Sistem Informasi

2.1.1 Definisi Sistem

Sistem diadopsi oleh banyak konteks, dimana kata sistem

merujuk kepada suatu perkumpulan dari komponen-komponen atau aturan

(Sofyanti, 2014). Sistem adalah kumpulan objek atau elemen yang saling

berkaitan dengan tujuan mencapai suatu tujuan yang telah ditetapkan

(Hariyanto, 2004). Berikut ini beberapa prinsip umum sistem:

1. Sistem selalu merupakan bagian dari sistem yang lebih besar,

sekaligus sistem tersebut dapat dipartisi menjadi subsistem-

subsistem yang lebih kecil.

2. Sistem yang lebih terspesialisasi akan kurang dapat beradaptasi

untuk menghadapi keadaan-keadaan yang berbeda.

3. Lebih besar ukuran sistem, maka akan memerlukan sumber daya

yang lebih banyak untuk operasi dan pemeliharaanya.

4. Sistem senantiasa mengalami perubahan, tumbuh dan berkembang.

Berdasarkan penjelasan diatas sistem terdiri dari sejumlah

komponen atau elemen yang saling terkait dan menjadi kesatuan

berdasarkan rancangan yang telah ditetapkan dengan tujuan tertentu.

Dimana sistem memiliki prinsip umum yaitu sistem merupakan bagian

dari sistem besar dan dapat menjadi subsitem, sistem dengan sifat khusus

16

akan sulit beradaptasi, sistem yang besar maka membutuhkan sumber daya

yang besar, dan sistem selalu mengalami perubahan mengikuti kebutuhan.

2.1.2 Karakteristik Sistem

Selain itu, sistem memiliki beberapa elemen untuk membentuk

sebuah sistem (Kadir, 2003), yaitu:

1. Tujuan (Goal) merupakan motivasi yang mengarahkan sistem.

Tanpa tujuan, sistem menjadi tidak terarah dan tidak terkendali.

2. Masukan (Input) adalah bahan untuk diproses baik yang berwujud

(tampak secara fisik) maupun yang tidak (berupa informasi).

3. Keluaran (Output) adalah hasil dari pemrosesan, bisa berupa

informasi, saran, cetakan laporan, dan sebagainya.

4. Proses (Process) merupakan bagian yang melakukan perubahan atau

transformasi dari masukan menjadi keluaran yang berguna, misalnya

berupa informasi dan produk.

5. Mekanisme pengendalian dan umpan balik (Control Mechanism and

Feedback) merupakan cara yang digunakan untuk mengendalikan

baik masukan maupun proses. Tujuannya adalah untuk mengatur

agar sistem berjalan sesuai dengan tujuan.

6. Batasan sistem (Boundary System) adalah pemisah antara sistem dan

daerah di luar sistem (lingkungan), yang meliputi menentukan

konfigurasi, ruang lingkup, atau kemampuan sistem. Batas sebuah

sistem dapat dikurangi atau dimodifikasi sehingga akan mengubah

perilaku sistem.

17

Terdapat enam karakteristik sistem menurut Kadir (2003) yaitu

sistem memerlukan elemen tujuan, masukan, keluaran, proses, mekanisme

pengendalian dan umpan balik, dan batasan dari sistem (ruang lingkup

sistem).

2.1.3 Definisi Data dan Informasi

Data dalam bahasa Inggris berasal dari kata datum dari bahasa

Latin yang berarti fakta (Wahyudi, 2008). Kata tersebut bersifat plural,

sebagaimana kata air, udara, dan semacamnya. Karenanya, kata data akan

salah jika disebut atau ditulis dengan data-data, banyak data, dan

semacamnya. Secara konseptual, data adalah deskripsi tentang benda,

kejadian, aktivitas, dan transaksi, yang tidak mempunyai makna dan tidak

berpengaruh secara langsung kepada pemakai (Kadir, 2003).

Fungsi utama informasi adalah menambah pengetahuan atau

mengurangi ketidakpastian bagi penerima informasi. Kualitas suatu

informasi tergantung kepada tiga hal (Jogiyanto, 2005), yaitu:

a. Akurat (accurate), informasi harus terbebas dari gangguan

(noise) yang dapat mengubah atau merusak suatu informasi.

b. Tepat Waktu (timelines), informasi tidak boleh terlambat sampai

di penerima, informasi yang sudah berlalu tidak akan mempunyai

nilai lagi karena informasi adalah landasan dalam proses

pengambilan keputusan.

c. Relevan (relevant), informasi harus mempunyai manfaat bagi

penerimanya.

18

Data adalah kondisi saat ini yang dapat mendeskripsikan terkait

benda, kejadian, aktivitas, dan transaksi, sehingga perlu dilakukan

pengolahan data menjadi informasi. Informasi adalah data yang telah

diolah atau diklasifikasi dan dapat digunakan sebagai dasar pengambilan

keputusan.

Proses (Model)

Input (Data)

Data (Dianggap)

Hasil TindakanKeputusan Tindakan

Penerima

Output (Information)

Dasar Data

Gambar 2. 1 Siklus Informasi (Sutabri, 2005)

Berdasarkan penjelasan dan gambar diatas dapat diketahui bahwa

informasi mempunyai siklus yang perlu dilakukan pembaharuan terhadap

informasi yang ada berdasarkan dasar data yang ada lalu dilakukan

pengolahan kembali dan menghasilkan informasi untuk ditindaklanjuti

pada kegiatan tindakan.

2.1.4 Sistem Informasi

Sistem informasi merupakan kumpulan dari perangkat keras dan

perangkat lunak komputer serta perangkat manusia yang akan mengolah

data menggunakan perangkat keras dan perangkat lunak tersebut, selain itu

data juga memegang peranan yang penting dalam sistem informasi, data

19

yang akan dimasukkan dalam sebuah sistem informasi dapat berupa

formulir-formulir, prosedur-prosedur, dan bentuk data lainnya (Kristanto,

2003).

Gambar 2. 2 Komponen Sistem Informasi (O’Brien, 2006)

Terkait penjelasan diatas diketahui bahwa sistem informasi

adalah keterhubungan antar perangkat keras, perangkat lunak, pengguna

(user), data (basis data), prosedur, jaringan komputer dan komunikasi data.

Terdapat lima (5) komponen sistem informasi yang terdapat pada gambar

yaitu tantangan manajemen, teknologi informasi, konsep dasar, proses

pengembangan, dan aplikasi bisnis.

2.2 Definisi Analisis

Analisis adalah kegiatan menguraikan suatu masalah menjadi

bagian-bagian (dekomposisi) sehingga membentuk susunan yang mudah

dimengerti terkait permasalahan yang dihadapi (Satori dan Komariah, 2013).

Analisis data adalah sebuah proses untuk memperoleh dan menyusun secara

sistematis data yang didapat dari hasil wawancara, catatan lapangan, dan

dokumentasi, dengan mengorganisir data, memilih satuan yang dapat diolah

20

dan mana yang penting dan akan dipelajari serta membuat kesimpulan

sehingga mudah dimengerti oleh peneliti maupun orang lain (Lestari, 2018).

Analisis menurut Kamus Besar Bahasa Indonesia (KBBI) (2019)

adalah upaya penyelidikan terhadap suatu peristiwa seperti karangan,

perbuatan dan lain sebagainya, untuk mengetahui keadaan yang sebenarnya

seperti sebab-musabab, duduk perkaranya dan lain sebagainya.

Dari penjelasan diatas analisis adalah suatu upaya atau usaha

menguraikan suatu permasalahan untuk mengetahui penyebabnya, lalu

dilakukan pengolahan terhadap data yang ditemukan baik dari wawancara,

dokumen dan kondisi yang ada untuk mendapatkan hasil dari kondisi saat ini

yang kemudian dapat diambil kesimpulan dan menjadikan pelajaran menjadi

lebih baik lagi kedepannya.

2.3 Sistem Manajemen Keamanan Informasi

2.3.1 Definisi Keamanan Informasi

Sheikhpour and Modiri (2012) keamanan informasi adalah suatu

perlindungan informasi dari berbagai ancaman untuk menjamin

keberlangsungan atau kelanjutan dari proses bisnis, mengurangi risiko

bisnis, dan meningkatkan Return of Investment (ROI) serta peluang bisnis

yang ada. Berikut ini beberapa aspek keamanan informasi yang harus

diperhatikan.

21

1. Confidentiality (Kerahasiaan)

Confidentiality atau kerahasiaan adalah aspek yang menjamin

informasi atau data hanya dapat diakses oleh pihak yang

berwenang.

2. Integrity (Keutuhan)

Integrity atau keutuhan adalah aspek yang memastikan dan

menjamin bahwa data tidak dapat dirubah tanpa adanya ijin dari

pihak yang berwenang, menjaga keutuhan informasi dan menjaga

data atau informasi dari kerusakan atau ancaman yang dapat

menyebabkan perubahan nilai pada informasi atau data asli.

3. Availability (Ketersediaan)

Availability atau ketersediaan adalah aspek yang menjamin

bahwa data akan selalu tersedia dan dapat diakses dimanapun dan

kapanpun saat user membutuhkannya tanpa adanya gangguan.

Keamanan informasi merupakan masalah yang mendasar untuk

suatu bisnis (swasta dan pemerintahan) pada saat ini sehingga audit

keamanan informasi menjadi kebutuhan untuk menjaga nilai dari

informasi (Ciptaningrum et al., 2015).

Informasi yang berkualitas didapatkan dari serangkaian proses

yang telah ditetapkan sebelumnya, dan untuk menghasilkan informasi

yang berkualitas diperlukan tindakan pengamanan agar terhindar dari

ancaman atau gangguan yang dapat merusak nilai dari informasi tersebut

22

(Whitman & Mattord, 2017). Ancaman atau gangguan terhadap informasi

dapat terjadi kapan saja dan dimana saja sehingga mengganggu kestabilan

dari proses bisnis organisasi.

Gambar 2. 3 Kehilangan Kerahasiaan Data (Rao & Nayak, 2014)

Gambar 2. 4 Kehilangan Keutuhan Data (Rao & Nayak, 2014)

Gambar 2. 5 Kehilangan Ketersediaan Data (Rao & Nayak, 2014)

23

Berikut ini beberapa aspek yang perlu diketahui untuk melakukan

pengamanan data (Whitman & Mattord, 2017).

a. Physical security

Physical security adalah tindakan pengamanan fisik terhadap

sistem yang dimiliki agar terlindung dari bahaya yang dapat

mengganggu pengolahan data yang dapat menyebabkan

menurunnya nilai (tidak sesuai harapan) dari informasi yang

dihasilkan, seperti bencana alam, pengaksesan fasilitas yang

bersifat ilegal atau tidak resmi, dan pencurian.

b. Personal security

Personal security adalah strategi yang merupakan tindakan yang

dilakukan untuk mencegah dan melindungi individu-individu di

dalam organisasi dari permasalahan yang timbul akibat ancaman

atau serangan dari pihak yang tidak bertanggung jawab yang

menyebabkan terganggunya proses yang ada.

c. Operation security

Operation security adalah strategi untuk mengamankan

kemampuan organisasi atau perusahaan untuk bekerja tanpa

adanya gangguan atapun ancaman.

d. Communication security

Communication security adalah strategi yang bertujuan untuk

melindungi media komunikasi dan teknologi komunikasi serta

memanfaatkan teknologi untuk kepentingan organisasi.

24

e. Network security

Network security adalah strategi yang berfokus mengamankan

peralatan jaringan pada data organisasi dalam rangka sharing

informasi.

Gambar 2. 6 Komponen Keamanan Informasi (Tripton & Krause, 2016)

Keamanan informasi adalah ilmu terkait bagaimana menjaga

informasi dari ancaman atau serangan yang dapat terjadi dan dapat

menjamin kelangsungan bisnis organisasi, serta mengurangi tingkatan

risiko dan mempercepat atau memaksimal pengambilan keputusan

investasi serta peluang bisnis (Tripton & Krause, 2011).

Dari teori-teori diatas diketahui keamanan informasi adalah suatu

upaya untuk melindungi informasi dan menjaga keberlangsungan proses

bisnis perusahaan, dimana terdapat tiga aspek yang perlu diperhatikan

yaitu kerahasiaan, keutuhan, dan ketersediaan dari informasi yang

dibutuhkan.

25

2.3.2 Definisi Sistem Manajemen Keamanan Informasi

Sistem Manajemen Keamanan Informasi (SMKI) atau dikenal

juga dengan sebutan Information Security Management System (ISMS)

adalah ilmu yang dirancang untuk menentukan bagian penting yang

memiliki pengaruh terhadap organisasi dan pembagian kontrol keamanan

yang dapat digunakan untuk melindungi informasi sebagai aset dan

menjamin kerahasiaan pihak lain (ISO/IEC 27001, 2005). Sebuah

organisasi seharusnya melakukan penentuan, pengimplementasian,

pengoperasian, pengawasan, peninjauan ulang, pemeliharaan dan

peningkatan pada sebuah dokumentasi SMKI dengan konteks keseluruhan

aktivitas dari organisasi dan kemungkinan dari risiko yang ada (Disterer,

2013).

Gambar 2. 7 Lima (5) Poin Manajemen Proses SMKI (Chang, 2013)

Berdasarkan tujuan dari Standar Internasional bahwa proses

SMKI berdasarkan model dari Plan-Do-Check-Act (PDCA), seperti pada

gambar di bawah ini (ISO/IEC 27001, 2005).

26

Gambar 2. 8 Plan-Do-Check-Act (PDCA) Model (ISO/IEC 27001, 2005)

Sistem manajemen keamanan informasi (SMKI) berdasarakan

ISO/IEC 27001 (2005) merupakan pendekatan proses “Plan-Do-Check-

Act” untuk penerapan SMKI dibutuhkan dukungan manajemen (Sarno &

Iffano, 2009).

Berikut ini adalah hal-hal yang dapat mendukung SMKI:

perencanaan (planning), kebijakan keamanan (security policy), program

(prosedur dan proses), penilaian risiko (risk assessment), Sumber Daya

Manusia/SDM (people) dan tanggung jawab (responsibility) (Sarno &

Iffano, 2009). Berikut ini adalah penjelasan secara rinci terkait hal-hal

pendukung SMKI.

a. Perencanaan

Perencanaan pada SMKI adalah kegiatan yang meliputi

beberapa proses seperti perancangan, pembuatan, dan

implementasi yang menghasilkan tujuan dari SMKI. Istilah dari

27

perencanaan atau planning pada suatu organisasi mencakup

beberapa hal-hal, seperti:

1. Strategic planning (rencana jangka panjang): adalah rencana

yang dilakukan oleh tingkatan tertinggi dalam organisasi

untuk periode yang lama (periode lima tahun atau lebih).

2. Tactical planning (rencana jangka pendek): adalah rencana

dengan fokus pembuatan perencanaan dan menghubungkan

sumberdaya organisasi pada tingkat yang lebih rendah dalam

periode yang lebih singkat (satu atau dua tahun).

3. Operational planning (kegiatan rutin atau harian): adalah

kegiatan yang dilakukan dengan berfokus pada kinerja harian

organisasi.

Jika dikhususkan dengan keterkaitan SMKI, perencanaan

adalah kegiatan yang diperlukan untuk mendukung proses

perancangan, pembuatan, dan implementasi dari keamanan

informasi.

b. Kebijakan

Kebijakan merupakan peranan penting di dalam SMKI,

dimana tanpa dukungan kebijakan dari pihak manajemen

organisasi, SMKI tidak akan dapat dilakukan. Karena kebijakan

akan memberikan arahan dan dukungan sumber daya untuk

mencapai tujuan SMKI. Dalam Keamanan Informasi, kebijakan

dapat dikelompokkan ke dalam tiga kategori kebijakan yaitu:

28

1. Enterprise Information Security Policy (EISP) yaitu

kebijakan yang menentukan wewenang bagian atau

departemen Keamanan Informasi serta bagaimana

menciptakan kondisi Keamanan Informasi di setiap bagian

organisasi.

2. Issue Spesific Security Policy (ISSP) adalah suatu kebijakan

yang menentukan peraturan serta menjelaskan perilaku apa

saja yang dapat diterima atau tidak, yang terhubung dengan

Keamanan Informasi pada setiap teknologi yang digunakan,

misalnya penggunaan komputer, jaringan internet, e-mail,

dan lain sebagainya.

3. System Spesific Policy (SSP) adalah kebijakan yang dibuat

untuk mengatur pengendalian dan konfigurasi penggunaan

perangkat atau teknologi secara manajerial maupun teknikal.

c. Program

Dalam menyusun SMKI perlu didukung dengan

pembangunan suatu prosedur dan proses yang menjelaskan secara

detail tentang operasi-operasi di dalam SMKI. Salah satu

contohnya adalah program pelatihan Keamanan Informasi.

Program ini bertujuan untuk memberikan pengetahuan kepada

pegawai mengenai Keamanan Informasi dan meningkatkan

pemahaman Keamanan Informasi pekerja sehingga dicapai

peningkatan Keamanan Informasi organisasi. Hal lain misalnya

29

prosedur atau proses melakukan back-up data untuk disimpan ke

dalam media penyimpanan khusus. Serta program-program lain

yang menjelaskan prosedur dan proses SMKI.

d. Penilaian Risiko

Melalui penilaian risiko ini organisasi dapat memahami seberapa

besar dampak yang akan diterima organisasi jika terjadi kejadian

Keamanan Informasi. Penilaian risiko dilaksanakan melalui

serangkaian aktivitas manajemen risiko, meliputi penilaian risiko

(risk assessment) dan pengendali, termasuk mekanisme proteksi,

teknologi proteksi dan perangkat proteksi baik perangkat keras

maupun perangkat.

e. Sumber Daya Manusia (SDM)

Penting sekali untuk mengelola SDM dengan baik di dalam

SMKI. Aspek ini bisa meliputi keamanan personil secara individu

saat bekerja dan keamanan personil dalam organisasi.

f. Tanggung Jawab

Tanggung jawab dapat meliputi: tanggung jawab manajemen

dalam menerapkan SMKI, tanggung jawab masing-masing

individu organisasi untuk sadar akan pentingnya SMKI serta

tanggung jawab seluruh sumber daya organisasi untuk

menjalankan dan memelihara SMKI. Tanpa tanggung jawab ini

SMKI mustahil akan berjalan di dalam organisasi, serta tujuan

Keamanan Informasi tercapai.

30

Gambar 2. 9 Framework SMKI (ISO/IEC 27001, 2013)

Dari penjelasan diatas diketahui bahwa SMKI atau ISMS adalah

ilmu yang dapat digunakan untuk menentukan bagian penting dengan

pengaruh terhadap organisasi serta pembagian kontrol keamanan untuk

perlindungan terhadap informasi. SMKI memiliki pendekatan proses

Plan, Do, Check, Act terkait penganalisisan keamanan informasi.

2.3.3 Manfaat SMKI

Menurut Sarno & Iffano (2009) menerapkan teknik keamanan

saja maka akan menjamin 100% aman. Walaupun teknik-teknik keamanan

tersebut terhimpun dalam Teknologi Keamanan Informasi, belum cukup

untuk memberikan jaminan keamanan yang menyeluruh. Hal lain yang

diperlukan adalah sistem yang mengelola Teknologi Informasi dalam

31

proses-proses sekaligus penjagaan terhadap aspek Keamanan Informasi

yang disebut dengan SMKI. Kedua hal tersebut merupakan elemen penting

dalam Keamanan Informasi.

Jika ditinjau dari teori sangatlah tegas bahwa dalam penerapan

Keamanan Informasi tidak dapat dipisahkan secara parsial. Dengan

demikian secara keilmuan penerapan Teknologi Keamanan Informasi atau

SMKI tidak bisa dilakukan secara terpisah. Keamanan Informasi adalah

penerapan secara menyeluruh baik teknik keamanan yang terhimpun

dalam Teknologi Keamanan Informasi serta penjagaan aspek Keamanan

Informasi melalui proses-proses yang terhimpun dalam SMKI (Sarno &

Iffano, 2009).

Dari sisi riwayat statistik diperoleh bahwa penerapan SMKI

sangatlah penting karena ancaman (threat) terhadap aspek Keamanan

Informasi kian meningkat. Menurut penelitian United Kingdom (UK)

Department of Trade and Industry pada tahun 2000, 49% organisasi

meyakini bahwa Informasi adalah asset yang penting karena kebocoran

Informasi dapat dimanfaatkan oleh pesaing, dan 49% organisasi

menyadari bahwa penerapan Keamanan Informasi adalah untuk

memperoleh kepercayaan konsumen. Organisasi menghadapi berbagai

ancaman terhadap Informasi yang dimilikinya sehingga diperlukan

langkah-langkah yang tepat untuk mengamankan Informasi yang dimiliki

dalam SMKI. Lebih jauh lagi perlu pengembangan dan perbaikan terhadap

32

SMKI tersebut karena ancaman dan kelemahan (vulnerability) juga selalu

berkembang (Sarno & Iffano, 2009).

Penerapan teknologi keamanan informasi bersamaan dengan

aspek keamanan informasi diperlukan untuk mendukung perlindungan

pada informasi di suatu organisasi. Karena kedua hal tersebut memiliki

keterkaitan satu dengan yang lainnya, dimana proses-prosesnya terdapat

di dalam SMKI sedangkan teknologi keamanan informasi adalah teknologi

yang digunakan dalam pengamanannya.

2.4 RACI Chart

RACI Chart adalah matrik dari keseluruhan aktivitas dan

wewenang pada sebuah organisasi yang bertujuan untuk membantu dalam

proses mengambil keputusan (ISACA, 2012). Berikut ini penjelasan lebih

lanjut mengenai RACI Chart:

1. Responsible

Menjelaskan mengenai siapa yang mendapatkan tugas yang harus

dilakukan. Hal ini merujuk pada penanggung jawab pada kegiatan

operasional yang memenuhi kebutuhan dan menciptakan hasil yang

diharapkan organisasi.

2. Accountable

Menjelaskan mengenai siapa yang bertanggung jawab atas keberhasilan

tugas yang diberikan. Hal ini merujuk pada pertanggung jawaban

keseluruhan tugas.

33

3. Consulted

Menjelaskan mengenai siapa yang memberikan masukan atau

penasehat. Hal ini merujuk pada peran yang bertanggung jawab

memperoleh informasi dari unit lain atau mitra eksternal. Masukan

dipertimbangkan dan proses pengambilan tindakan dilakukan dengan

tepat.

4. Informed

Menjelaskan mengenai siapa penerima informasi. Hal ini merujuk pada

peran yang bertanggung jawab menerima informasi yang tepat untuk

mengawasi setiap tugas yang diberikan.

Gambar 2. 10 RACI Chart (ISACA, 2012)

Dapat diketahui RACI Chart adalah matrik yang dapat digunakan

untuk mengetahui wewenang pada aktivitas berdasarkan domain yang ada

34

pada COBIT. Sehingga dapat membantu mengetahui stakeholder yang

memiliki wewenang dan kesesusaian dari penempatannya.

2.5 Manajemen Risiko

Menurut Sarno & Iffano (2009) risiko merupakan peluang yang

memberikan dampak atau mengakibatkan terganggunya proses bisnis

organisasi sampai menyebabkan gagalnya tujuan bisnis organisasi. Risiko ini

diukur berdasarkan dampak atau pengaruh yang ditimbulkan terhadap

kemungkinan terjadinya risiko. Manajemen risiko adalah proses untuk

mengidentifikasi risiko, menganalisa risiko dan melakukan penanganan

untuk mengurangi risiko sampai dampaknya terhadap proses bisnis di

organisasi pada level yang dapat diterima atau dibolehkan. Manajemen risiko

meliputi aktivitas-aktivitas berikut: identifikasi informasi, identifikasi

ancaman dan kelemahan, analisa dampak bisnis serta penilaian risiko (Sarno

& Iffano, 2009).

Risiko memiliki hubungan dengan SMKI, risiko merupakan dampak

dari kejadian yang mengancam keamanan informasi di organisasi, adapun

ancaman yang mempengaruhi aspek keamanan informasi yaitu

Confidentiality, Integrity, Availability (CIA). Oleh karena itu, manajemen

risiko perlu diterapkan untuk mengetahui nilai risiko sehingga dapat

dilakukan penanganan yang tepat (Sarno & Iffano, 2009).

35

2.5.1 Pentingnya Manajemen Risiko (Risk Management)

Menurut Sarno & Iffano (2009) informasi padaorganisasi harus

dilindungi atau diamankan karena memiliki nilai dan aset dari organisasi.

Manajemen risiko bertujuan memahamkan organisasi perihal:

a. Menentukan seberapa besar dampak atau risiko yang dihadapi oleh

organisasi jika terjadi kegagalan keamanan informasi di dalam

organisasi.

b. Apa saja ancaman (threat) terhadap informasi organisasi dan juga

kelemahan (vulnerability) yang dimiliki oleh Informasi organisasi yang

dapat menyebabkan kegagalan keamanan informasi.

c. Bagaimana cara menangani risiko terhadap kegagalan keamanan

informasi yang terjadi dalam hal ini dapat dilakukan atau dipilih cara

penanganannya yaitu dengan cara:

1. Menerima dampak atau risiko (risk acceptance).

2. Mengurangi dampak atau risiko (risk reducement).

3. Menghindari atau mengalihkan risiko kepada pihak lain (risk

transfer).

d. Menentukan kontrol keamanan apa yang dibutuhkan oleh organisasi

untuk memenuhi kriteria manajemen risiko yang telah dilakukan.

Tanpa keberadaan manajemen risiko, organisasi tidak dapat

menentukan kontrol keamanan apa yang dibutuhkan dalam menerapkan

36

SMKI. Sedangkan kontrol keamanan sendiri merupakan hal yang paling

penting dalam merencanakan SMKI.

Gambar 2. 11 Analisis Risiko (Suanda, 2011)

Gambar 2. 12 Tabel Penerimaan Risiko (Suanda, 2011)

2.5.2 Penilaian Risiko (Risk Assessment)

Menurut Sarno & Iffano (2009) penilaian risiko (risk assessment)

adalah langkah atau tahap pertama dari proses manajemen risiko. Penilaian

risiko bertujuan untuk mengetahui ancaman-ancaman (threat) dari luar

yang berpotensi mengganggu keamanan informasi organisasi dan

potensial kelemahan (vulnerability) yang mungkin dimiliki oleh Informasi

di organisasi. Metode penilaian risiko terdiri dari enam (6) tahapan yaitu:

1. Identifikasi informasi

2. Identifikasi ancaman (threat).

3. Identifikasi kelemahan (vulnerability).

4. Menentukan kemungkinan ancaman (probability).

37

5. Analisa dampak (impact analysis).

6. Menentukan nilai risiko.

Tahapan dari penilaian risiko tersebut dapat digambarkan dalam

gambar dibawah. Dalam gambar tersebut dijelaskan pula input dan output

dari tiap-tiap tahapan.

INPUT

Aset

Riwayat ancaman yang pernah terjadi

Laporan penilaian terdahulu, hasil-hasil

audit

Riwayat gangguan

Aset yang kritikal dan sensitif

Besarnya dampak

TAHAPAN

TAHAP 1:Identifikasi Aset/Fasilitas Informasi

TAHAP 2:Identifikasi Ancaman

TAHAP 3:Identifikasi Kelemahan

TAHAP 4:Menentukan Kemungkinan

TAHAP 5: Analisa Dampak

TAHAP 6:Menentukan nilai

risiko

OUTPUT

Inventarisasi Aset

Daftar Ancaman (threat)

Daftar Kelemahan yang potensial

Nilai kemungkinan ancaman

Nilai dampak

Risiko dan level risiko

Gambar 2. 13 Penilaian Risiko (Sarno & Iffano, 2009)

2.13.1 Identifikasi Aset (Asset Identification)

Langkah pertama dalam penilaian risiko adalah melakukan

identifikasi dan inventarisasi aset yang terkait dengan Informasi atau

dikenal dengan fasilitas informasi. Pada tahap satu (1) ini akan dihasilkan

daftar informasi yang dimiliki organisasi serta kategorinya (Sarno &

Iffano, 2009).

38

2.13.2 Identifikasi Ancamanan (Threat Identification)

Threat atau ancaman adalah suatu potensi yang disebabkan oleh

insiden yang tidak diinginkan yang mungkin membahayakan jalannya

proses bisnis organisasi (Sarno & Iffano, 2009). Tujuannya dari

mengidentifikasi ancaman adalah agar diketahui ancaman yang mungkin

terjadi dan membahayakan sistem dalam organisasi. Contoh berbagai

jenis ancaman yang berasal dari sumber-sumber tersebut dapat dilihat

dalam table berikut.

Tabel 2. 1 Identifikasi Ancaman (Sarno & Iffano, 2009)

No Sumber Ancaman Jenis Ancaman

1 Alam Banjir, gempa bumi, angina puyuh, tornado,

serangan petir

2 Lingkungan Kegagalan sumber daya (power failure), polusi,

bahan kimia berbahaya, kebocoran (cairan)

3 Manusia

a. Hacker, Cracker

b. Computer criminal

c. Terrorist

- Hacking, penyusupan ke sistem, akses ilegal

- Penyusupan ke sistem komputer, akses ilegal,

criminal computer

- Black mail, penyerangan ke sistem, sistem

penetrasi, virus.

Hasil dari tahapan ini adalah untuk mengidentifikasikan dan

memperoleh daftar ancaman sebanyak-banyaknya yang mungkin timbul

dan membahayakan sistem organisasi. Kemampuan organisasi untuk

mengidentifikasikan seluruh ancaman yang mungkin terjadi sangat

menentukan dalam perancangan SMKI yang akan dibuat.

2.13.3 Identifikasi Kelemahan (Vulnerability Identification)

Menurut Sarno & Iffano (2009) vulnerability adalah kekurangan

atau kelemahan di dalam prosedur keamanan informasi, perencanaan,

implementasi atau kontrol internal di dalam organisasi terhadap

39

penjagaan informasi yang dimiliki, dimana kelemahan ini dapat

menimbulkan atau memicu ancaman (threat). Tujuan utama dari tahap

ini adalah organisasi memahami kelemahan yang dimiliki dalam Sistem

Manajemen Keamanan Informasi-nya. Tabel berikut memberikan contoh

gambaran daftar kelemahan yang mungkin dimiliki oleh organisasi.

Tabel 2. 2 Identifikasi Kelemahan (Sarno & Iffano, 2009)

Kelemahan (Vulnerability) Sumber Ancaman Aksi

Akses ID Karyawan yang telah berhenti

tidak dihapus dari system

Karyawan yang telah

berhenti

Aksi tanpa hak,

illegal

Administrator firewall membolehkan

guest ID

User tanpa hak

(unauthorized)

Aksi illegal

Ruang server menggunakan

penyemprot air untuk menghindari

kebakaran, tidak ada pelindung atau anti

air yang digunakan untuk untuk server

Api, orang yang iseng Penyemprot air

dapat menyala

secara tak terduga

Metode yang digunakan untuk menentukan kelemahan pada

sistem di organisasi dapat berupa pencarian sumber-sumber kelemahan

(vulnerability source), pengujian sistem keamanan (system security

testing), maupun membuat daftar kebutuhan keamanan (security

requirement check list) (Sarno & Iffano, 2009).

a. Mencari sumber-sumber kelemahan

Sumber-sumber kelemahan dapat ditemukan dengan menganalisasi

data-data berikut:

- Data teknik sistem teknologi Informasi yang digunakan

- Data kelemahan sistem software yang digunakan (dapat dilihat

dalam buku panduan yang disertakan oleh vendor)

- Dokumentasi analisa risiko

40

b. Uji sistem keamanan

Uji sistem keamanan dapat dilakukan dengan cara metode pro aktif

artinya sistem keamanan di uji secara langsung untuk menemukan

kelemahan. Cara lain adalah dengen melakukan testing atau uji

kepada seluruh pengguna sistem, apakah pengguna dapat mengakses

sistem melebihi dari yang dibolehkan dari hasil tersebut akan

ditemukan kelemahan sistem.

c. Membuat daftar kebutuhan keamanan

Berdasar daftar kebutuhan keamanan yang telah dibuat kemudian

dibandingkan dengan sistem keamanan yang telah ada, perbedaan

antara kebutuhan keamanan dan sistem keamanan yang ada dapat

ditentukan kelemahan sistem keamanan yang ada. Contoh mengenai

daftar tersebut dapat dilihat pada table di bawah ini.

Tabel 2. 3 Daftar Kebutuhan Keamanan (Sarno & Iffano, 2009)

Area Keamanan Kebutuhan Keamanan

Manajemen Kontrol akses, Manajemen aset, Penilaian risiko, Keamanan

organisasi dan lainnya

Operasional Manajemen operasional, Komunikasi, Manajemen

kelangsungan bisnis dan lainnya

Teknik Keamanan fisik, Pembangunan sistem informasi, Keamanan

SDM dan lainnya.

2.13.4 Menentukan Kemungkinan Ancaman (Probability of Threat)

Tujuan dari tahapan ini adalah mengetahui kemungkinan

ancaman yang akan timbul sesuai dengan identifikasi ancaman yang

telah didefinisikan, yaitu baik ancaman dari alam, lingkungan ataupun

manusia. Metode untuk menentukan kemungkinan ancaman yang timbul

41

dapat dilakukan dengan menyusun sebuah tabel kemungkinan ancaman

yang diistilahkan dengan table Probability of Occurrence (Sarno &

Iffano, 2009). Tabel tersebut terdiri dari:

a. Jenis Ancaman

Jenis ancaman mengacu kepada ancaman yang telah

diidentifikasikan pada tahap sebelumnya. Misalnya: alam,

lingkungan, atau manusia.

b. Detail Ancaman

Penjelasan ancaman yang bisa terjadi, misalnya: kebakaran,

kegagalan sumber daya, hacker, serangan virus, dsb.

c. Nilai Kemungkinan kejadian

Penjelasan berapa kali (frekuensi) terjadinya ancaman, hal ini bisa

ditentukan berdasarkan riwayat kejadian ancaman sebelumnya.

Atau bisa juga ditentukan berdasarkan pengamatan kondisi/jenis

ancaman (alam, lingkungan, dan manusia) dan kita tentukan

kemungkinan kejadiannya. Nilai kemungkinan kejadian ini dapat

diniliai secara kualitatif, yaitu misalnya:

LOW = Frekuensi kejadiannya rendah

MEDIUM = Frekuensi kejadiannya sedang

HIGH = Frekuensi kejadiannya tinggi

2.13.5 Analisa Dampak (Impact Analysis)

Menurut Sarno & Iffano (2009) analisa dampak adalah kegiatan

untuk menentukan seberapa besar dampak atau pengaruhnya suatu risiko

42

yang diakibatkan oleh ancaman (threat) atau kelemahan (vulnerability)

terhadap organisasi atau jalannya proses bisnis organisasi. Jika analisa

dampak ditujukan atau difokuskan kepada proses bisnis organisasi di

istilahkan dengan analisa dampak bisnis yang disingkat dengan Business

Impact Analysis (BIA). Dampak biasanya dinilai dalam suatu kriteria

dampak yang dapat dihubungkan dengan nilai risiko.

Tabel 2. 4 Analisa Dampak (Sarno & Iffano, 2009)

Risiko Nilai BIA Keterangan

LOW Minor Critical Tidak mengganggu jalannya proses bisnis,

nilai kerugian kecil

MEDIUM Critical Mengganggu jalannya proses bisnis, nilai

kerugian besar

HIGH Mayor Critical Proses bisnis terhenti, nilai kerugian sangat

besar

2.13.6 Menentukan Nilai Risiko

Nilai risiko (risk value) adalah gambaran dari seberapa besar

akibat yang akan diterima organisasi jika ancaman (threat) yang

menyebabkan kegagalan keamanan informasi terjadi. Nilai risiko dapat

ditentukan dengan dua metode, antara lain:

a. Metode kualitatif

Dilakukan dengan membuat perkiraan terhadap biaya yang akan

ditanggung atau dikeluarkan oleh organisasi akibat dari risiko yang

diterima. Nilai risikonya biasanya ditentukan dengan range:

a. LOW RISK (Risiko yang diterima kecil)

b. MEDIUM RISK (Risiko yang diterima sedang)

c. HIGH RISK (Risiko yang diterima tinggi)

43

b. Metode kuantitatif

Metode kuantitatif adalah metode penilaian risiko dengan

pendekatan matematis. Dengan metode ini nilai risiko dapat dihitung

dengan menggunakan rumus berikut.

Perhitungan nilai risiko dengan pendekatan matematis.

Risk value = NA x BIA x NT

Keterangan:

NA = Nilai aset (asset value)

BIA = Analisa dampak bisnis

NT = Nilai ancaman

Manajemen risiko adalah proses pengidentifikasian,

penganalisaan, dan penanganan terhadap risiko yang ada pada organisasi.

Manajemen risiko terdiri dari pengidentifikasian informasi, ancaman dan

kelemahan, dampak terhadap bisnis serta penilaian dari risiko. Risiko

memiliki keterkaitan dengan sistem manajemen keamanan informasi yang

mempengaruhi aspek confidentiality, integrity, dan availability. Adapun

tahapan pada penilaian risiko yaitu:

- Identifikasi informasi, tahapan ini mengidentifikasi aset yang

dimiliki organisasi khususnya fasilitas informasi (pengkategorian

aset);

44

- Identifikasi ancaman, tahapan ini mengidentifikasi potensi atau

insiden yang dapat membahayakan proses bisnis organisasi

(misalnya alam, lingkungan, manusia);

- Identifikasi kelemahan, tahapan ini mengidentifikasi kelemahan

dari perencanaan, prosedur, dan pelaksanaan keamanan informasi

pada organisasi;

- Menentukan kemungkinan ancaman;

- Analisa dampak;

- Menentukan nilai risiko.

2.6 Manajemen Sumber Daya Manusia

2.6.1 Pengertian Manajemen Sumber Daya Manusia

Manajemen sumber daya manusia adalah salah satu bidang dari

manajemen yang meliputi perencanaan, pengorganisasian, pelaksanaan,

dan pengendalian (Mulyadi & Rivai, 2009). Proses ini memiliki fungsi

pada bagian produksi, pemasaran, keuangan, maupun kepegawaian. Oleh

karena itu, sumber daya manusia (SDM) dianggap semakin penting

dalam pencapaian tujuan perusahaan, berbagai pengalaman dan hasil

penelitian dalam bidang SDM dikumpulkan secara sistematis dan disebut

manajemen sumber daya manusia.

Dessler (2015) manajemen sumber daya manusia adalah proses

untuk memperoleh, melatih, menilai, dan mengompensasi karyawan dan

45

mengurus relasi tenaga kerja, kesehatan dan keselamatan, serta hal-hal

yang berhubungan dengan keadilan.

2.6.2 Peranan Manajemen Sumber Daya Manusia

Menurut Hasibuan (2001) peranan manajemen sumber daya

manusia adalah sebagai berikut:

1. Menetapkan jumlah, kualitas dan penempatan tenaga kerja yang

efektif sesuai dengan kebutuhan perusahaan berdasarkan job

description, job spesification, job reqruitment, dan job

evaluation.

2. Menetapkan penarikan, penyeleksian, dan penempatan

karyawan berdasarkan asas the right man in the right place and

the right man in the right job.

3. Menetapkan program kesejahteraan, pengembangan, promosi,

dan pemberhentian.

4. Meramalkan penawaran dan permintaan sumber daya manusia

pada masa yang akan datang.

5. Memperkirakan keadaan perekonomian pada umumnya dan

perkembangan perusahaan pada khususnya.

6. Memonitor dengan cermat undang-undang perburuhan dan

kebijakan pemberian balas jasa perusahaan sejenis.

7. Memonitor kemajuan teknik dan perkembangan serikat pekerja.

8. Melaksanakan pendidikan, pelatihan, dan penilaian kinerja

karyawan.

46

9. Mengatur mutasi karyawan baik vertikal maupun horizontal.

10. Mengatur pensiun, pemberhentian, dan pesangonnya.

Berdasarkan teori-teori diatas diketahui bahwa manajemen

sumber daya manusia adalah kegiatan yang meliputi perencanaan,

pelaksanaan (perekrutan, penyeleksian, pemeliharaan), pengendalian

(pelatihan, penilaian) yang berhubungan dengan pengurusan terhadap

pegawai dan juga keadilan untuk mereka.

Manajemen sumber daya manusia memiliki fungsi yang terbagi

menjadi dua yaitu manajerial dan operasional. Fungsi manajerial

menangani perencanaan, pengorganisasian, pengarahan, pengendalian

sedangkan fungsi operasional menangani bagian pengadaan,

pengembangan, kompensasi, pengintegrasian, pemeliharaan, kedisiplinan

dan pemberhentian.

2.7 Manajemen Aset

2.7.1 Pengertian Aset

Aset adalah barang (thing) atau barang (anything) yang

mempunyai nilai ekonomi, nilai komersial, atau nilai tukar yang dimiliki

oleh badan usaha, instansi atau individu (Siregar, 2004).

Menurut Siregar (2004) peran konsep manajemen aset dalam

rangka pemberdayaan ekonomi daerah tercantum dalam enam langkah

manajemen aset daerah yaitu: (1)Identifikasi potensi ekonomi daerah;

(2)Optimalisasi pendapatan asli daerah; (3)Optimalisasi aset daerah;

47

(4)Peningkatan kemampuan manajemen pengelolaan kota; (5)Penilaian

kekayaan; (6)Pengembangan strategi pemasaran kota.

2.7.2 Pengertian Manajemen Aset

Manajemen aset adalah serangkaian keputusan untuk mengelola

kekayaan secara optimal, yaitu meminimalisasi biaya kepemilikan,

memaksimalisasi ketersediaan dan penggunaan aset melalui proses

perencanaan kebutuhan, pengadaan, inventarisasi, kepemilikan/legal

audit, penilaian, pengoperasian, pemeliharaan, penghapusan,

peremajaan, pengalihan, serta pengawasan aset untuk mendukung tujuan

organisasi dalam melayani masyarakat dengan sebaik-baiknya dan ramah

lingkungan (Kusumastuti dan Sugiama, 2014).

Menurut Siregar (2004) manajemen aset secara umum, yaitu

optimizing the utilization of assets in terms of services benefit and

financial return.

Gambar 2. 14 Manajemen Aset (Kusumastuti dan Sugiama, 2014)

48

Berikut ini adalah tujuan manajemen aset sebagai berikut

(Kusumastuti dan Sugiama, 2014).

1. Menyediakan layanan yang dibutuhkan organisasi publik,

pemerintah, dan masyarakat.

2. Optimalisasi potensi layanan yang dihasilkan oleh aset.

3. Maksimalisasi nilai aset

4. Kontribusi pada pertumbuhan ekonomi

5. Memenuhi tanggung jawab dan akuntabilitas

6. Kejelasan kepemilikan dan kontrol atas aset

Manajemen aset adalah kegiatan mengelola aset yang dimiliki

organisasi meliputi pengidentifikasian aset, dana, perolehan aktiva,

dukungan sistem logistik, pemeliharaan dan penghapusan atau pembaruan

terhadap aset.

2.8 Kontrol Akses

2.8.1 Pengertian Kontrol Akses

Menurut Rao dan Nayak (2014) kontrol akses merupakan aspek

penting pada keamanan informasi, yang dapat diimplementasikan

dengan berbagai cara tergantung pada lingkungannya . Kontrol akses

terdiri dari dua kompenen yaitu otentikasi dan otorisasi. Otentikasi

adalah memverifikasi identitas pengguna atau sebuah host yang

mengakses sistem atau sumber jaringan. Tujuan dari otentikasi adalah

memastikan darimana dan bagaimana sumber diakses (seperti dari

49

komputer pribadi atau komputer umum) atau pada waktu jam kerja atau

setelahnya. Otorisasi adalah mengizinkan atau menolak akses informasi

berdasarkan jenis pengguna dan peran (role) mereka (pegawai,

kontraktor, administrator atau manajer) (Rao dan Nayak, 2014).

Penggunaan kontrol akses dilakukan untuk memastikan bahwa

orang yang berhak saja yang dapat mengakses informasi tersebut, dan

akan memberikan kemampuan untuk mendikte informasi yang mana saja

boleh dilihat ataupun dimodifikasi oleh pengguna (Linares, 2010).

Berdasarkan penjelasan diatas diketahui bahwa kontrol akses

adalah pembatasan akses pengguna berdasarkan otentikasi dan otorisasi

yang telah ditetapkan sistem. Dimana pengguna akan diotentikasi

terlebih dahulu apakah berasal dari jaringan atau sumber yang aman

kemudian dilanjutkan dengan otorisasi yaitu sistem membaca peran dari

pengguna yang masuk.

2.9 Keamanan Fisik dan Lingkungan

Keamanan fisik mengacu pada penilaian dari perlindungan yang

diterapkan pada lingkungan fisik dan infrastruktur yang di dalamnya

terdapat sumber daya sistem informasi, termasuk perangkat keras,

perangkat lunak, dan perangkat jaringan lainnya yang mencegah ancaman

seperti pencurian, kebakaran, kebanjiran, dan lainnya (Rao & Nayak,

2014).

50

Tabel 2. 5 Ancaman Keamanan Berdasarkan Segitiga CIA (Rao & Nayak, 2014)

Ancaman Deskripsi

Kerusakan fisik Availability

Pencuri Confidentiality dan Availability

Masuk tanpa izin ke fasilitas Confidentiality dan Integrity

Bencana alam (kebakaran, banjir,

gempa bumi, dan lainnya)

Availability

Campur tangan manusia (sabotase,

perusakan, penyerangan)

Confidentiality dan Availability

Keadaan darurat (kebakaran, asap,

gedung rubuh/hancur, ledakan,

kebocoran air, bahan racun)

Availability

Keamanan fisik teknologi informasi harus diberikan untuk

melindungi sistem komputer dan sistem teknologi informasi lainnya

seperti (Rao & Nayak, 2014):

- Kerusakan fisik perangkat keras atau perangkat lunak dari aksi

sabotase, pencurian, akses tanpa izian (ilegal) ke ruang server atau

komputer, atau laboratorium dengan niat merusak aset fisik;

- Pencurian secara fisik seperti pada peralatan, sistem atau aksesoris

(perangkat pendukung) lainnya;

- Membawa perangkat penyimpanan secara personal dan memasukkan

virus, worms, dan malicious software lainnya ke dalam jaringan

dipercaya.

Terdapat beberapa area kontrol keamanan fisik yang secara

umum harus dengan ancaman yang terdaftar. Kontrol keamanan fisik

dibagi menjadi tiga kelompok yaitu kontrol administratif, kontrol

lingkungan dan keamanan hidup, serta kontrol fisik dan teknis (Winata,

2012).

51

2.9.1 Kontrol Administratif

Menurut Winata (2012) kontrol administratif adalah area

perlindungan keamanan fisik yang dilakukan dengan langkah-langkah

administratif, yang mencakup prosedur emergensi, kontrol personil

(dalam area sumber daya manusia), perencanaan, dan penerapan

kebijakan.

2.9.2 Kontrol Lingkungan dan Keselamatan Hidup

Menurut Winata (2012) kontrol lingkungan dan keselamatan

hidup merupakan kontrol keamanan fisik yang dibutuhkan untuk

menjamin lingkungan operasi komputer dan lingkungan operasi personil.

Berikut adalah area utama pada kontrol lingkungan (Winata, 2012).

a. Daya listrik

Sistem kelistrikan adalah hal yang penting bagi pengoperasian

komputer. Suplai listrik kontinyu yang bersih dan stabil

dibutuhkan untuk memelihara lingkungan personil layak dan

pengoperasian data.

b. Pendeteksian dan Pemadaman Kebakaran

Pendeteksian dan pemadaman kebakaran yang baik diperlukan

untuk keselamatan dan keberlangsungan sistem informasi.

Seperti jenis kebakaran, bahan-bahan yang mudah terbakar,

detektor dan metode pemadaman api harus diketahui.

52

2.9.3 Kontrol Fisik dan Teknis

Menurut Winata (2012) area yang meliputi kontrol lingkungan,

perlindungan kebakaran, daya listrik, penjaga, dan kunci. Elemen-

elemen kontrol dibahas sebagaimana kaitannya dengan area kebutuhan

kontrol fasilitas, perangkat kontrol akses fasilitas, pendeteksian

penyusupan dan alarm, kontrol inventori komputer, kebutuhan media

storage.

Diketahui keamanan fisik dan lingkungan adalah upaya

perlindungan yang diterapkan organisasi untuk melindungi aset fisik

yang dimilikinya. Terdapat tiga kontrol fisik dan lingkungan yaitu

kontrol administratif, kontrol lingkungan dan keselamatan hidup, dan

kontrol fisik dan teknis.

2.10 Manajemen Insiden

Manajemen insidem memiliki fase-fase dalam menangani

masalah dan dilakukan secara rinci dan terdokumentasi untuk menentukan

suatu insiden dianggap selesai atau dilanjutkan ke tahapan fase yang lebih

tinggi dalam esklasi insidennya (Jong et al., 2008).

2.10.1 Prinsip Dasar Manajemen Insiden

Manajemen insiden adalah proses yang bertanggung jawab untuk

mengelola siklus insiden. Insiden dapat diketahui oleh staf teknis,

terdeteksi dan alat pantau yang disediakan, laporan dari pengguna

(biasanya melalui panggilan telepon ke service desk), atau dilaporkan

53

oleh mitra pihak ketiga seperti ISP, Hosting dan lainnya (Abdulghani,

2015).

Tujuan dari manajemen insiden adalah untuk mengembalikan

operasi layanan normal secepat mungkin dan meminimalkan dampak

buruk terhadap operasi bisnis, sehingga memastikan bahwa tingkat

kualitas layanan dipertahankan (Abdulghani, 2015).

2.10.2 Proses Manajemen Insiden

Cakupan proses kegiatan yang harus dilakukan selama masih

melakukan proses manajemen insiden dan berikut cakupan langkah-

langkah dalam manajemen insiden (Jong et al., 2008):

a) Identifikasi Insiden

Dalam pekerjaan, insiden tidak bisa diterima dan harus segera

ditangani apalagi sampai berdampak terhadap proses bisnis.

Sehingga sejauh mungkin kegagalan operasi tidak terjadi, semua

komponen harus dilakukan pemantauan, atau potensi kegagalan

harus terdeteksi lebih awal.

b) Pencatatan Insiden

Semua insiden sepenuhnya harus tercatat dalam manajemen

insiden dengan memiliki tanggal, waktu dan termasuk yang

diterima oleh service desk yang dilaporkan melalui telepon dan

short message service (sms) sehingga otomatis terdeteksi melalui

pesan peringatan.

54

c) Pengkategorian Insiden

Dalam kategorisasi insiden untuk lebih tepat saat pencatatan

insiden, sehingga tidak salah saat merekomendasikan saat

penanganan. Dalam pengkategorisasian masalah ini akan

berkembang saat terjadinya insiden, sehingga hal ini dilakukan

Multilevel incident categorization.

Gambar 2. 15 Multilevel incident categorization (Jong et al., 2008)

d) Prioritas Insiden

Tabel 2. 6 Prioritas Insiden (Jong et al., 2008)

Setelah melakukan pengelompokkan insiden dan mengerti

keadaan saat ini tinggal menentukan cara menangani insiden

yang paling efisien dan paling tepat. Untuk menentukan suatu

ketepatan tindakan ini lakukan suatu analisa prioritasisasi

seperti pengkodean. Prioritas ini dilakukan jika terjadi:

55

1. Layanan tidak tersedia atau rusak selama satu jam;

2. Fungsi layanan berubah atau berbeda.

e) Insiasi Diagnosis

Jika service desk tidak bisa menyelesaikan Insiden sementara

pengguna masih di telepon, tapi ada prospek bahwa service desk

mungkin mampu melakukannya dalam batas waktu yang

disepakati tanpa bantuan dari tim pendukung lain, analis harus

menginformasikan kepada pengguna dengan memberikan nomor

laporan insiden dan berupaya untuk menemukan resolusi.

Selanjutnya penelpon dapat mengetahui perkembangan resosuli

dengan memberikan nomor pengaduan.

f) Eskalasi Insiden

Setelah service desk tidak bisa menangani insiden maka di

perlukan peningkatan terhadap tim pendukung yang lebih ahli

dan trampil. Service desk tetap bertanggung jawab terhadap

kemajuan hingga penutupan insiden.

g) Investigasi dan Diagnosis

Sebuah insiden cenderung membutuhkan beberapa tingkat

penyelidikan dan diagnosis. Setiap pendukung memberikan

catatan secara rinci dan tindakan yang sudah di lakukan dan

harus didokumentasikan sehingga catatan tindakan akan

dijadikan suatu referensi.

56

h) Resolusi dan Recovery

Ketika resolusi potensial telah diidentifikasi,ini harus

diterapkan dan diuji. Spesifik tindakan yang harus dilakukan

dan orang-orang yang akan terlibat yang bisa di lakukan oleh:

1. Menanyakan langsung ke user apakah resolusi sudah bisa

di terima atau belum.

2. Service desk melakukan implementasi resolusi seperti

reboot komputer

3. Menerapkan tindakan resolusi yang spesifik seperti

merubah konfigurasi router.

4. Meminta pihak ketiga (seperti vendor) untuk mencoba dan

menyelesaikan masalah.

i) Incident Closure

Service Desk harus melakukan tindakan pemeriksaan kemajuan

insiden sepenuhnya selesai dan insiden bisa ditutup dengan

melakukan suatu tindakan berupa:

1. Closure categorization, periksa dan konfirmasi bahwa

insiden kategorisasi awal adalah benar atau,

memperbaharui/melengkapai catatan di mana kategorisasi

yang tidak lengkap;

2. User satisfaction survey, melakukan survei kepuasan

terhadap penanganan insiden;

57

3. Incident documentation, melengkapi dan memastikan

bahwa catatan insiden sepenuhnya didokumentasikan

sehingga catatan riwayat kejadian dengan cukup detail dan

lengkap;

4. Ongoing or recurring problem, dalam tahapan ini

berhubungan dengan pelaku penyelesaian masalah untuk

menentukan insiden ini akan timbuil lagi atau tidak, atau

harus ada tindakan penanganan antisipasi;

5. Formal closure, secara resmi menutup catatan insiden.

2.10.3 Faktor-faktor Keberhasilan Manajemen Insiden

Berikut ini adalah faktor-faktor yang menentukan keberhasilan

dari manajemen insiden (Open Geospatial Consortium, 2014):

- Adanya layanan Service Desk yang baik

- Target jelas dan didefinisikan ke dalam Service Level

Agreement (SLA);

- Memberikan pengetahuan terkait aspek layanan teknologi

informasi dan pemahaman customer oriented kepada staf

atau pegawai.

Dari teori-teori diatas manajamen insiden adalah proses

penanganan secara cepat dan tepat terhadap tindakan yang menyebabkan

gangguan pada layanan operasional. Dimana tanggung jawab dan tugas

dari manajemen insiden adalah mengendalikan efisiensi layanan,

58

mengkoordinasi staf incident support, dan mendeteksi adanya problem

pada layanan.

2.11 Compliance atau Kepatuhan

Individu melakukan permintaan yang diajukan karena individu

berharap untuk mendapatkan suatu penghargaan yang spesifik dan

menghindari suatu hukuman spesifik (Cialdini & Goldstein, 2004). Teori

kepatuhan (compliance theory) merupakan kondisi dimana seseorang

taat terhadap perintah atau aturan yang diberikan (Sulistyo, 2010).

Dari penjelasan diatas diketahui compliance atau kepatuhan

adalah perubahan perilaku karena adanya permintaan dari individu atau

kelompok lain. Dimana jika dalam suatu organisasi compliance berfungsi

untuk menyesuaikan permintaan dari internal dan eksternal organisasi.

2.12 Framework Sistem Manajemen Keamanan Informasi

2.12.1 British Standard (BS) 7799

British Standard (BS) 7799 adalah sebuah standar yang aslinya

diperkenalkan oleh British Standard Institution (BSI) Group pada tahun

1995 (BS 7799, 2007). Bagian pertama, terdiri dari praktik terbaik untuk

SMKI, yang direvisi pada tahun 1998, yang sebenarnya mengadopsi

ISO/IEC 17799, “Information Technology-Code of practice for

information security management”. Bagian kedua dari BS 7799 adalah

pertama kali diperkenalkan tahun 1999 oleh BSI, yang dikenal sebagai BS

59

7799 Part, berujudul “Information Security Management Systems –

Specification with guidance for use”, BS 7799-2 berfokus kepada

bagaimana menerapkan SMKI, mengacu kepada struktur manajemen

keamanan informasi dan identifikasi kontrol, yang kemudian menjadi

ISO/IEC 27001. BS 7799-2 versi tahun 2002 memperkenalkan Plan-Do-

Check-Act (PDCA) (Deming quality assurance model), berdasarkan

standar kualitas pada ISO/IEC 9000. BS 7799 Part 2 mengadopsi ISO/IEC

27001 pada Nopember 2005 (BS 7799, 2002).

Gambar 2. 16 Komponen BS 7799 (British Standard 7799, 2002)

Berdasarkan penjabaran dan gambar diatas diketahui BS 7799

adalah standar yang berfokus pada penerapan SMKI yang mengacu pada

struktur manajemen keamanan informasi. Adapun komponen dari BS 7799

adalah (1) Keamanan fisik (physical security); (2) Keamanan komunikasi

dan operasi (communication and operational security); (3) Kontrol akses

(access control); (4) Sistem informasi (information systems); (5)

Perolehan, pengembangan dan pemeliharaan (acquistion, development

60

and maintenance); (6) Manajemen insiden (incidental management); (7)

Kelangsungan bisnis (business continuity); (8) Penyesuaian (compliance).

2.12.2 The Payment Card Industry Data Security Standard (PCIDSS)

The Payment Card Industry Data Security Standard (PCIDSS)

adalah sebuah standar keamanan informasi di seluruh dunia yang

didefinisikan oleh the Payment Card Industry Security Standard Council.

Standar ini dibuat untuk membantu proses pembayaran kartu dari industri

organisasi dan untuk mencegah penipuan pada kartu kredit melalui

meningkatnya kontrol pada data dan paparan kompromi. Standar berlaku

untuk semua organisasi yang memegang, memproses, atau bertukar

informasi pemegang kartu dari kartu apapun yang bermerek dengan logo

salah satu merek kartu (PCI Security Standard Council, 2009).

Gambar 2. 17 Transaction security models of PCIDSS (Susanto, 2011)

Validasi kepatuhan dapat dilakukan baik secara internal maupun

eksternal, tergantung pada volume transaksi kartu, tetapi terlepas dari

ukuran organisasi, kepatuhan harus dinilai setiap tahun. Organisasi yang

menangani transaksi volume besar harus memiliki kepatuhan yang dinilai

oleh penilai independen yang disebut Qualified Security Assessor (QSA)

(Susanto, 2011), sementara perusahaan yang menangani transaksi dengan

61

volume lebih kecil memiliki opsi atau pilihan untuk menunjukkan

kepatuhan melalui sebuah Self-Assessment Questionnaire (SAQ).

Gambar 2. 18 PCI Security Standards Lifecycle (PCI Security Standard Council, 2011)

Dari teori diketahui Payment Card Industry Data Security

Standard (PCIDSS) adalah standar yang dapat digunakan untuk

melindungi transaksi kartu pembayaran seperti kartu kredit dan mencegah

terjadinya penipuan dan ancaman lainnya.

2.12.3 The Information Technology Infrastructure Library (ITIL)

Menurut Arraj (2010) dengan panduan ITIL proses layanan

manajemen telah menunjukan dorongan secara konsisten, efisien dan

sempurna ke dalam bisnis dengan mengatur layanan teknologi informasi.

The Information Technology Infrastructure Library (ITIL) adalah

konsep yang digabungkan pada tahun 1980an, ketika pemerintahan Inggris

menentukan level kualitas layanan teknologi informasi yang disediakan

mereka tidak cukup (Susanto, 2011). ITIL adalah sebuah seperangkat

konsep dan praktis dari manajemen layanan teknologi informasi atau

62

dikenal Information Technology Services Management (ITSM),

pengembang dan pengoperasi Information Technology (IT), yang

memiliki bagian fokus pada keamanan.

Gambar 2. 19 Komponen ITIL (Susanto, 2011)

ITIL berasal dari koleksi buku yang masing-masing mencakup

praktik khusus di dalamnya IT Service Management, ITIL dibangun

dengan lingkungan sebuah model proses berdasarkan sudut pandang

pengendalian dan pengelolaan operasi (Solms, 2005). Sebagai IT Services

Management Standards and Best Practices, ITIL memiliki 8 komponen

utama, yaitu: Service Support, Service Delivery, ICT Infrastructure

Management, Security Management, Application Management, Software

Asset Management, Planning to Implement Service Management, Small-

Scale Implementation (Susanto, 2011).

Dari penjelasan diatas diketahui bahwa the information

technology infrastructure library (ITIL) dapat digunakan pada

information technology service management (ITSM) untuk meningkatkan

manajemen layanan pada sebuah organisasi dan membantu dalam

63

menyelaraskan teknologi informasi dengan kebutuhan bisnis, stakeholder,

dan peranan teknologi informasi.

2.12.4 The Control Objectives for Information and related Technology

(COBIT)

The Control Objectives for Information and related Technology

(COBIT) adalah sebuah sertifikasi yang dibuat oleh ISACA dan the IT

Governance Institute (ITGI) pada tahun 1996 (IT Governance Institute,

2007). Mereka yakin bahwa COBIT adalah seperangkat praktis (kerangka

kerja) untuk manajemen teknologi informasi. COBIT adalah kerangka

kerja untuk tata kelola teknologi informasi dan perangkat pendukung yang

mengizinkan manajer untuk menjembatani perbedaan atau selisih antara

kebutuhan kontrol, permasalahan teknikal, risiko bisnis, dan permasalahan

keamanan. COBIT memiliki lima area tata kelola dan konsentrasi (ISACA,

2012):

a. Penyelarasan strategis berfokus menjamin kesesuaian bisnis dengan

rencana teknologi informasi; mendefinisikan, memelihara dan

memvalidasi proporsi nilai teknologi informasi; dan keselarasan

operasi teknologi informasi dengan operasi perusahaan.

b. Menghasilkan Nilai adalah tentang mengeksekusi proporsi nilai

melalui siklus pengiriman, menjamin teknologi informasi

menghasilkan keuntungan sesuai perjanjian, konsentrasi pada

optimalisasi biaya dan membuktikan nilai intristik teknologi

informasi.

64

c. Manajemen Sumber Daya adalah mengenai mengoptimalkan

investasi dan manajemen yang layak untuk sumber daya teknologi

informasi: penerapan atau aplikasi, informasi, infrastruktur dan

manusianya.

d. Manajemen Risiko adalah pemahaman yang jelas untuk keinginan

perusahaan terkait risiko, paham akan pemenuhan dari kebutuhan, dan

transparansi di dalam organisasi.

e. Pengukuran Kinerja menelusuri dan mengawasi penerapan strategi,

kelengkapan projek, penggunaan sumber daya, kinerja proses, dan

hasil layanan, contohnya pada balanced scorecards yang menjelaskan

aksi strategi ke dalam aksi untuk mencapai tujuan sesuai dengan

laporan.

Gambar 2. 20 Framework COBIT 5 (ISACA, 2012)

Berdasarkan penjelasan diatas diketahui COBIT merupakan

kerangka kerja yang dapat digunakan oleh manajemen teknologi

65

informasi, dimana dapat menjembatani manajer mengetahui perbedaan

kebutuhan kontrol, permasalahan teknikal, risiko bisnis, dan permasalahan

keamanan.

2.12.5 ISO/IEC 27001

The International Organization for Standarization (ISO)

ditemukan pada 23 Februari 1947, mengumumkan standar industri dan

komersial yang berlaku di seluruh dunia, memiliki kantor pusat di Jenewa,

Swiss (Murphy and Yates, 2009). Standar internasional ISO/IEC 27001

digunakan untuk menentukan, menerapkan, mengoperasikan, mengawasi,

meninjau, memelihara dan meningkatkan kebijakan dan dokumen sistem

manajemen keamanan informasi (SMKI) berdasarkan kebutuhan

organisasi (ISO/IEC 27001, 2005).

Calder dan Watkins (2008) ISO/IEC 27001 dirancang untuk

menjamin pemilihan tepat dan proporsi kontrol keamanan untuk

melindungi aset informasi. Standar ini biasanya diterapkan ke semua tipe

organisasi, baik itu organisasi pribadi ataupun milik negara (publik).

Standar ini memperkenalkan sebuah siklus yang dikenal dengan model

“Plan-Do-Check-Act” (PDCA). Tujuan dari model ini adalah untuk

menentukan, menerapkan, mengawasi, dan meningkatkan keefektifitasan

SMKI organisasi (Alfantookh, 2009).

Menurut Calder dan Watkins (2009) organisasi membutuhkan

pengawasan dan peninjauan terhadap keefektifitasan dari kinerja SMKI

jika dibutuhkan untuk menjamin pemeliharaan yang tepat pada level

66

perlindungannya. ISO/IEC 27001 adalah standar keamanan informasi

berdasarkan risiko, dengan maksud adalah organisasi membutuhkan

proses manajemen risiko (Solms, 2005). Yang diilustrasikan pada gambar

dibawah ini.

Gambar 2. 21 Proses Manajemen Risiko (Humprey, 2011)

Kontrol keamanan sistem, referensi berdasarkan ilustrasi di atas,

yang dipilih dari katalog kontrol, yang terhubung dengan Annex A

ISO/IEC 27001. Dimana penentuan SMKI organisasi membutuhkan

melakukan penilaian risiko sesuai dengan kebutuhan yang dikhususkan

pada ISO/IEC 27001. Setelah penilaian dilakukan maka sistem kontrol

harus dipilih dari Annex A untuk mengurangi seperangkat identifikasi

risiko yang teridentifikasi (Humphreys, 2011).

Dari penjelasan diatas diketahui bahwa standar ISO/IEC 27001

telah diterima dan digunakan oleh banyak negara. Standari ISO/IEC 27001

dapat digunakan oleh pihak manajemen dalam membuat kebijakan

67

keamanan terkait teknologi informasi baik dari sisi perangkat keras,

perangkat lunak, penggunanya, dan hal terkait dengan teknologi informasi.

2.12.6 ISO/IEC 27002

Kode standar praktis ISO/IEC 27002 menyediakan pengguna dan

pelaksana dan panduan tentang penerapan kontrol yang muncul di Annex

A. Saran dan panduan tersedia dalam standar lain di keluarga SMKI seperti

panduan dalam manajemen risiko (ISO/IEC 27005) dan pada pengukuran

keamanan (ISO/IEC 27004) (Humphreys, 2011).

Standar internasional ini menyediakan seperangkat praktis

terbaik kontol keamanan informasi bersama dengan saran penerapannya

untuk masing-masing kontrol. Kontrol praktis terbaik mencakup

pendukung SMKI, yaitu: kebijakan keamanan informasi; mengelola

keamanan informasi; manajemen aset; keamanan sumber daya manusia;

keamanan fisik dan lingkungan; manajemen operasi dan komunikasi;

kontrol akses; perolehan, pengembangan dan pemeliharaan sistem

informasi; manajemen kejadian keamanan informasi; manajemen

keberlanjutan bisnis; pemenuhan dengan kebutuhan peraturan dan standar

keamanan (Humphreys, 2011).

68

Gambar 2. 22 ISO/IEC 27002 (Alcazar dan Fenz, 2012)

Dapat diketahui standar ISO/IEC 27002 adalah standar yang

dapat digunakan sebagai panduan dalam menjalankan kegiatan rutin atau

operasional organisasi, sehingga tetap stabil dan terkontrol keamanan

informasinya.

2.12.7 Perbandingan Standar Tata Kelola Keamanan Teknologi Informasi

Menurut Susanto et al (2011) tata kelola keamanan teknologi

informasi memiliki beberapa standar yang digunakan untuk pengukuran

atau pengevaluasian. Adapun standar tersebut digunakan pada ISO/IEC

27001, BS 7799, PCIDS, ITIL, dan COBIT. Terdapat sebelas (11) kriteria

yang dimiliki oleh standar tata kelola keamanan teknologi informasi, yaitu:

69

1. Information Security Policy, merupakan kriteria keamanan terkait

kebijakan dari keamanan informasi yang akan dan sedang

diterapkan pada sebuah organisasi.

2. Communication & Operations Management, merupakan kriteria

terkait cara menurunkan risiko keamanan dan memastikan

penghitungan yang tepat serta prosedur operasional yang baik.

3. Access Control, merupakan kriteria terkait penerapan

pengendalian akses kontrol terhadap wilayah dan sumber daya

melalui suatu fasilitas atau sistem informasi berbasis computer.

4. Information System Acquisition, Development and Maintance,

merupakan proses yang terhubung dan menunjukkan batasan

pemeliharaan terkait sistem informasi pada sebuah org.

5. Organization of Information Security, merupakan cara organisasi

menerapkan struktur keamanan informasi, yang terdiri dari

komitmen manajemen pada keamanan informasi dan

pengkoordinasiannya.

6. Asset Management, merupakan cara organisasi mengamankan

asetnya dengan melakukan pengidentifikasian, pelacakan,

pengelompokkan dan pemberian kepemilikan.

7. Information Security Incident Management, merupakan tindakan

organisasi untuk menangani insiden, termasuk didalamnya adalah

tindakan pencegahan pada masa mendatang.

70

8. Business Continuity Incident Management, merupakan cara atau

tindakan organisasi menjaga kelangsungan bisnis dengan situasi

yang tidak normal (abnormal).

9. Human Resources Security, merupakan cara organisasi

memastikan bahwa seluruh pegawai telah mengerti tanggung

jawabnya masing-masing.

10. Physical and Environment Security, merupakan cara organisasi

menjaga sistem, bangunan dan infrastruktur pendukung yang

menyimpan informasi dan sistem TI.

11. Compliance, merupakan bagian yang menangani peraturan-

peraturan yang ada pada organisasi, yang dibagi menjadi dua

area. Area pertama berfokus pada pemenuhan terhadap hukum,

peraturan-peraturan dan persyaratan kontrak organisasi. Area

kedua melibatkan aturan-aturan keamanan, standar dan proses-

proses.

Tabel 2. 7 Perbandingan Lima Standar Keamanan Informasi (Susanto et al, 2011)

No ISO/IEC ISO/IEC

PCIDSS COBIT ITIL BS

7799 27001 27002

1 Information security

policy

2

Communications and

operations

management

3 Access control

71

4

Information systems

acquisition, Deve.

And Maintenance

5 Organization of

information security

6 Asset management

7 Information security

incident management

8 Business continuity

management

9 Human resources

security

10

Physical and

enviromental

security

11 Compliance

Pada tabel 2.5 diatas menampilkan perbedaan pada tiap-tiap

framework keamanan teknologi informasi dengan pembagian sebelas

kriteria. Framework ISO/IEC 27001, ISO/IEC 27002, The Payment Card

Industry Data Security Standard (PCIDSS), dan The Information

Technology Infrastructure Library (ITIL) merupakan framework yang

memenuhi seluruh sebelas (11) kriteria tata kelola teknologi keamanan

informasi, sedangkan The Control Objectives for Information and related

Technology (COBIT) tidak memenuhi kriteria nomor dua yaitu

Communication & Operations Management, nomor empat yaitu

Information System Acquisition, Development and Maintance, nomor

sembilan yaitu Human Resources Security, dan nomor sepuluh Physical

and Environment Security, dan untuk framework British Standard (BS)

72

7799 tidak memenuhi kriteria nomor tujuh yaitu Information Security

Incident Management.

Berdasarkan penjelasan sub bab dan tabel diatas dapat

diketahui bahwa framework terkait keamanan informasi yaitu British

Standard (BS) 7799, The Payment Card Industry Data Security Standard

(PCIDSS), The Information Technology Infrastructure Library (ITIL),

The Control Objectives for Information and related Technology (COBIT),

The International Organization for Standarization (ISO)/International

Electrotechnical Commission (IEC) 27001 dan 27002. Namun setiap

framework memiliki fungsinya masing-masing. Berikut ini fungsi dari

tiap-tiap framework:

- British Standard (BS) 7799 memiliki fungsi sebagai panduan

pengkoordinasian pada bagian keamanan data yang hanya

memiliki 10 lingkup kontrol keamanan.

- The Payment Card Industry Data Security Standard (PCIDSS)

berfokus pada penanganan proses pembayaran kartu kredit agar

tidak terjadi penyalahgunaan;

- The Information Technology Infrastructure Library (ITIL)

berfokus pada konsep dan praktik khusus manajemen pelayanan

teknologi informasi atau Information Technology Service

Management (ITSM), pengembangan dan operasi teknologi

informasi yang memiliki beberapa bagian fokus pada keamanan

73

(khususnya pada bagian ICT Infrastructure Management, Service

Delivery, Application Management).

- Selanjutnya framework The Control Objectives for Information

and related Technology (COBIT) berfokus pada praktik-praktik

untuk manajemen teknologi informasi dan sebagai perangkat

pendukung yang mengizinkan manajer untuk menjembatani

perbedaan antara kebutuhan kontrol, permasalahan teknikal, risiko

bisnis, dan permasalahan keamanan;

- The International Organization for Standarization

(ISO)/International Electrotechnical Commission (IEC) 27001

berfokus menjamin kekuatan dan proporsi kontrol keamanan untuk

melindungi aset informasi dan dapat diterapkan pada seluruh jenis

organisasi;

- Sedangkan, The International Organization for Standarization

(ISO)/International Electrotechnical Commission (IEC) 27002

digunakan untuk membantu penerapan dari penentuan kontrol

keamanan data dan sistem. ISO/IEC 27002 berfokus pada

penanganan kelemahan secara teknis dan pemeliharaan sistem.

Dalam penelitian ini penulis menggunakan ISO/IEC 27001 dan

ISO/IEC 27002 sebagai framework keamanan informasi, karena ISO/IEC

27001 dan ISO/IEC 27002 dapat digunakan di berbagai jenis organisasi,

berfokus melindungi aset informasi, membantu organisasi untuk

74

mengetahui tingkat keamanan teknologi informasi yang dimiliki dan

tahapan peningkatan yang perlu dilakukan khususnya pada bagian

keamanan informasi.

2.13 ISO/IEC 27001

2.13.1 Definisi ISO/IEC 27001

The International Organization for Standarization

(ISO)/International Electrotechnical Commission (IEC) 27001 adalah

framework yang menyediakan panduan dalam penerapan SMKI dan

memberikan sertifikat internasional melalui pihak ketiga untuk

memastikan bahwa kontrol keamanan yang beroperasi telah sesuai

dengan persyaratan standar (ISO/IEC 27001, 2013). ISO/IEC 27001

memberikan pandangan terkait SMKI, yaitu keseluruhan sistem

manajemen melalui pendekatan risiko bisnis dengan maksud untuk

menetapkan, menerapkan, mengoperasikan, memantau, dan memelihara

SMKI (Arnason & Willett, 2007). SMKI memiliki lingkup pada semua

bagian struktur organisasi, tanggung jawab, kegiatan perencanaan,

kebijakan, proses, prosedur, praktik dan sumber daya (Arnason &

Willett, 2007).

ISO/IEC 27001 merupakan framework yang menyediakan

model umum untuk pelaksanaan dan pengoperasian SMKI, dan

pemantauan serta peningkatan operasi SMKI. ISO bertujuan untuk

menyelaraskan ISO/IEC 27001 dengan standar sistem manajemen

75

lainnya seperti ISO/IEC 9001:2000 (sistem manajemen mutu), ISO/IEC

14001:2004 (sistem manajemen lingkungan). Adapun tujuan lain dari

ISO/IEC adalah memberikan implementasi yang konsisten dan terpadu

dalam pengoperasian SMKI dengan sistem manajemen lainnya dalam

organisasi (Arnason & Willett, 2007).

ISO/IEC 27001 menyediakan hal-hal yang diperlukan dalam

merencanakan SMKI. Jika suatu SMKI baik, maka akan membantu

memberikan pengamanan dan perlindungan terhadap ancaman yang

dapat mengganggu aktifitas bisnis, dan mengamankan proses bisnis yang

penting agar terlindungi dari risiko kerugian atau kegagalan pada

keamanan sistem informasi. ISO/IEC 27001 berfokus pada penerapan

Sistem Manajemen Keamanan Informasi (SMKI) di dalam suatu

organisasi, karena di dalamya terdapat persyaratan-persyaratan dalam

membangun SMKI agar sesuai dengan standar ISO/IEC 27001 (Sarno &

Iffano, 2009).

Dari penjelasan diatas diketahui ISO/IEC 27001 adalah standar

keamanan yang dapat digunakan dalam membuat kebijakan organisasi,

dengan melakukan pengidentifikasian risiko terlebih dahulu dan

pemeriksaan terhadap pelaksanaan yang telah diterapkan. Standar

ISO/IEC 27001 dapat digunakan oleh pihak manajemen divisi teknologi

informasi dalam membuat kebijakan keamanan informasi.

76

Gambar 2. 23 Domain Persyaratan dan Kontrol Keamanan pada ISO/IEC 27001

(Park & Lee, 2014)

2.13.2 Klausul ISO/IEC 27001

ISO/IEC 27001 memiliki 14 klausul, kontrol keamanan, 35

objektif kontrol dan 114 kontrol. Di bawah ini penjabaran dari klausul,

objektif kontrol dan kontrol yang terdapat dalam ISO/IEC 27001: 2013.

1. Klausul A.5 Information Security Policies

a) A.5.1 Management Direction for Information Security

Objektif Kontrol: Memberikan arahan dan dukungan pada

manajemen untuk keamanan informasi sesuai dengan persyaratan

bisnis, hukum dan peraturan yang relevan.

1) A.5.1.1 Policies for information security

2) A.5.1.2 Review of the policies for information security

2. Klausul A.6 Organization of Information Security

R.4 context of the organization

D.10 improvement

R.5 leadership R.6 planning R.7 support R.8 operationR.9 performance

evaluation

Domain for Requirements of ISO 27001

D.5 information security policies

D.11 physical and environmental

security

D.6 organization of information

security

D.12 operations security

D.7 human resource security

D.13 communications

security

D.8 asset management

D.14 system acquisition,

development and maintenance

D.9 access control

D.15 supplier relationships

D.10 cryptography

D.16 information security incident

management

Domain for security controls of ISO 27001

D.17 information security aspects

of business continuity

management

D.18 compliance

77

a) A.6.1 Internal Organization

Objektif Kontrol: Menetapkan kerangka kerja manajemen untuk

memulai dan mengendalikan pelaksanaan dan operasi keamanan

informasi dalam organisasi.

1) A.6.1.1 Information security roles and responsibilities

2) A.6.1.2 Segregation of duties

3) A.6.1.3 Contact with authorities

4) A.6.1.4 Contact with special interest groups

5) A.6.1.5 Information security in project management

b) A.6.2 Mobile Devices and Teleworking

Objektif Kontrol: Untuk memastikan keamanan teleworking dan

penggunaan perangkat mobile.

1) A.6.2.1 Mobile device policy

2) A.6.2.2 Teleworking

3. Klausul A.7 Human Resource Security

a) A.7.1 Prior to Employment

Objektif Kontrol: Untuk memastikan bahwa karyawan dan

kontraktor memahami tanggung jawab mereka dalam menjalankan

peran masing-masing.

1) A.7.1.1 Screening

2) A.7.1.2 Terms and conditions of employment

b) A.7.2 During Employment

78

Objektif Kontrol: Memastikan bahwa karyawan dan kontraktor

mengetahui dan memenuhi tanggung jawab keamanan informasinya.

1) A.7.2.1 Management responsibilities

2) A.7.2.2 Information security awareness, education and training

3) A.7.2.3 Disciplinary process

c) A.7.3 Termination and Change of Employment

Objektif Kontrol: Melindungi kepentingan organisasi sebagai bagian

dari proses perubahan atau penghentian pekerjaan.

1) A.7.3.1 Termination or change of employment responsibilities

4. Klausul A.8 Asset Management

a) A.8.1 Responsibility for Assets

Objektif Kontrol: Mengidentifikasi aset organisasi dan menentukan

tanggung jawab proteksi yang tepat.

1) A.8.1.1 Inventory of assets

2) A.8.1.2 Ownership of assets

3) A.8.1.3 Acceptable use of assets

4) A.8.1.4 Return of assets

b) A.8.2 Information Classification

Objektif Kontrol: Untuk memastikan informasi tersebut

mendapatkan tingkat perlindungan yang sesuai dengan kepentingan

organisasi.

1) A.8.2.1Classification of information

2) A.8.2.2 Labelling of information

79

3) A.8.2.3 Handling of assets

c) A.8.3 Media Handling

Objektif Kontrol: Untuk mencegah pengungkapan, modifikasi,

penghapusan atau penghancuran informasi yang disimpan di media

penyimpanan.

1) A.8.3.1 Management of removable media

2) A.8.3.2 Disposal of media

3) A.8.3.3 Physical media transfer

5. Klausul A.9 Acces Control

a) A.9.1 Bussines Requirement of Access Control

Objektif Kontrol: Membatasi akses terhadap fasilitas informasi dan

pengolahan informasi.

1) A.9.1.1 Access control policy

2) A.9.1.2 Access to networks and network services

b) A.9.2 User Access Management

Objektif Kontrol: Untuk memastikan akses pengguna yang sah dan

untuk mencegah akses tidak sah ke sistem dan layanan.

1) A.9.2.1 User registration and de-registration

2) A.9.2.2 User access provisioning

3) A.9.2.3 Management of privileged access rights

4) A.9.2.4 Management of secret authentication information of

users

5) A.9.2.5 Review of user access rights

80

6) A.9.2.6 Removal or adjustment of access rights

c) A.9.3 User Responsibilities

Objektif Kontrol: Untuk membuat pengguna bertanggung jawab

untuk melindungi informasi autentikasi mereka.

1) A.9.3.1 Use of secret authentication information

d) A.9.4 System and Application Access Control

Objektif Kontrol: Untuk mencegah akses tidak sah ke sistem dan

aplikasi.

1) A.9.4.1 Information access restriction

2) A.9.4.2 Secure log-on procedures

3) A.9.4.3 Password management system

4) A.9.4.4 Use of privileged utility programs

5) A.9.4.5 Access control to program source code

6. Klausul A.10 Cryptography

a) A.10.1 Cryptographic Controls

Objektif Kontrol: Untuk memastikan penggunaan kriptografi yang

tepat dan efektif untuk melindungi kerahasiaan, keaslian dan/atau

integritas informasi.

1) A.10.1.1 Policy on the use of cryptographic controls

2) A.10.1.2 Key management

7. Klausul A.11 Physical and Enviromental Security

a) A.11.1 Secure Areas

81

Objektif Kontrol: Mencegah akses fisik yang tidak sah, kerusakan

dan gangguan pada fasilitas pengolahan informasi dan informasi

organisasi

1) A.11.1.1 Physical security perimeter

2) A.11.1.2 Physical entry controls

3) A.11.1.3 Securing offices, rooms and facilities

4) A.11.1.4 Protecting against external and environmental threats

5) A.11.1.5 Working in secure areas

6) A.11.1.6 Delivery and loading areas

b) A.11.2 Equipment

Objektif Kontrol: Untuk mencegah kerugian, kerusakan, pencurian

atau kompromi aset dan gangguan terhadap operasi organisasi.

1) A.11.2.1 Equipment siting and protection

2) A.11.2.2 Supporting utilities

3) A.11.2.3 Cabling security

4) A.11.2.4 Equipment maintenance

5) A.11.2.5 Removal of assets

6) A.11.2.6 Security of equipment and assets off-premises

7) A.11.2.7 Secure disposal or reuse of equipment

8) A.11.2.8 Unattended user equipment

9) A.11.2.9 Clear desk and clear screen policy

8. Klausul A.12 Operations Security

a) A.12.1 Operational Procedures and Responsibilities

82

Objektif Kontrol: Untuk memastikan operasi fasilitas pengolahan

informasi yang benar dan aman.

1) A.12.1.1 Documented operating procedures

2) A.12.1.2 Change management

3) A.12.1.3 Capacity management

4) A.12.1.4 Separation of development, testing and operational

environments

b) A.12.2 Protection From Malware

Objektif Kontrol: Untuk memastikan bahwa informasi dan fasilitas

pengolahan informasi terlindungi dari malware

1) A.12.2.1 Controls against malware

c) A.12.3 Backup

Objektif Kontrol: Untuk melindungi terhadap hilangnya data.

1) A.12.3.1 Information backup

d) A.12.4 Logging and Monitoring

Objektif Kontrol: Untuk merekam kejadian dan menghasilkan bukti

1) A.12.4.1 Event logging

2) A.12.4.2 Protection of log information

3) A.12.4.3 Administrator and operator logs

4) A.12.4.4 Clock synchronisation

e) A.12.5 Control for Operational Software

Objektif Kontrol: Untuk memastikan integritas sistem operasional

1) A.12.5.1 Installation of software on operational systems

83

f) A.12.6 Technical Vulnerability Management

Objektif Kontrol: Untuk mencegah eksploitasi kerentanan teknis

1) A.12.6.1 Management of technical vulnerabilities

2) A.12.6.2 Restrictions on software installation

g) A.12.7 Information Systems Audit Considerations

Objektif Kontrol: Meminimalisir dampak kegiatan audit terhadap

sistem operasional

1) A.12.7.1 Information systems audit controls

9. Klausul A.13 Communications Security

a) A.13.1 Network Security Management

Objektif Kontrol: Memastikan perlindungan informasi dalam

jaringan dan fasilitas pengolahan informasi pendukungnya.

1) A.13.1.1 Network controls

2) A.13.1.2 Security of network services

3) A.13.1.3 Segregation in networks

b) A.13.2 Information Transfer

Objektif Kontrol: Untuk menjaga keamanan informasi yang

ditransfer dalam organisasi dan dengan apapun entitas eksternal

1) A.13.2.1 Information transferpolicies and procedures

2) A.13.2.2 Agreements on information transfer

3) A.13.2.3 Electronic messaging

4) A.13.2.4 Confidentiality or nondisclosure agreements

10. Klausul A.14 System Acquisition, Development and Maintenance

84

a) A.14.1 Security requirements of information systems

Objektif Kontrol: Untuk memastikan keamanan informasi

merupakan bagian integral dari sistem informasi di seluruh sisi, ini

juga mencakup persyaratan sistem informasi yang menyediakan

layanan melalui jaringan publik

1) A.14.1.1 Information security requirements analysis and

specification

2) A.14.1.2 Securing application services on public networks

3) A.14.1.3 Protecting application services transactions

b) A.14.2 Security in development and support processes

Objektif Kontrol: Untuk memastikan keamanan informasi dirancang

dan dilaksanakan dalam siklus pengembangan sistem informasi.

1) A.14.2.1 Secure development policy

2) A.14.2.2 System change control procedures

3) A.14.2.3 Technical review of applications after operating

platform changes

4) A.14.2.4 Restrictions on changes to software packages

5) A.14.2.5 Secure system engineering principles

6) A.14.2.6 Secure development environment

7) A.14.2.7Outsourced development

8) A.14.2.8 System security testing

9) A.14.2.9 System acceptance testing

c) A.14.3 Test data

85

Objektif Kontrol: Untuk memastikan perlindungan data yang

digunakan untuk pengujian

1) A.14.3.1 Protection of test data

11. Klausul A.15 Supplier Relationships

a) A.15.1 Information security in supplier relationships

Objektif Kontrol: Untuk memastikan perlindungan aset organisasi

yang dapat diakses oleh pemasok

1) A.15.1.1 Information security policy for supplier relationships

2) A.15.1.2 Addressing security within supplier agreements

3) A.15.1.3 Information and communication technology supply

chain

b) A.15.2 Supplier service delivery management

Objektif Kontrol: Untuk mempertahankan tingkat keamanan

informasi dan pelayanan yang disepakati sesuai dengan kesepakatan

pemasok

1) A.15.2.1 Monitoring and review of supplier services

2) A.15.2.2 Managing changes to supplier services

12. Klausul A.16 Information Security Incident Management

a) A.16.1 Management of information security incidents and

improvements

Objektif Kontrol: Memastikan pendekatan yang konsisten dan

efektif terhadap insiden pengelolaan keamanan informasi, termasuk

komunikasi mengenai kejadian keamanan dan kelemahan.

86

1) A.16.1.1 Responsibilities and procedures

2) A.16.1.2 Reporting information security events

3) A.16.1.3 Reporting information security weaknesses

4) A.16.1.4 Assessment of and decision on information security

events

5) A.16.1.5 Response to information security incidents

6) A.16.1.6 Learning from information security incidents

7) A.16.1.7 Collection of evidence

13. Klausul A.17 Information Security Aspects of Business Continuity

Management

a) A.17.1 Supplier service delivery management

Objektif Kontrol: Kesinambungan keamanan informasi harus

disematkan dalam sistem manajemen kontinuitas bisnis organisasi

1) A.17.1.1 Planning information security continuity

2) A.17.1.2 Implementing information security continuity

3) A.17.1.3 Verify, review and evaluate information security

continuity

b) A.17.2 Redundancies

Objektif Kontrol: Untuk memastikan ketersediaan fasilitas

pengolahan informasi.

1) A.17.2.1 Availability of information processing facilities

14. Klausul A.18 Compliance

a) A.18.1 Compliance with legal and contractual requirements

87

Objektif Kontrol: Untuk menghindari pelanggaran kewajiban

hukum, undang-undang, peraturan atau kontrak yang terkait dengan

keamanan informasi dan persyaratan keamanan.

1) A.18.1.1 Identification of applicable legislation and contractual

requirements

2) A.18.1.2 Intellectual property rights

3) A.18.1.3 Protection of records

4) A.18.1.4 Privacy and protection of personally identifiable

information

5) A.18.1.5 Regulation of cryptographic controls

b) A.18.2 Information security reviews

Objektif Kontrol: Untuk memastikan keamanan informasi

diimplementasikan dan dioperasikan sesuai dengan kebijakan dan

prosedur organisasi

1) A.18.2.1 Independent review of information security

2) A.18.2.2 Compliance with security policies and standard

3) A.18.2.3 Technical compliance review

2.14 ISO/IEC 27002

2.14.1 Definisi ISO/IEC 27002

ISO/IEC 27002 adalah suatu standar keamanan informasi yang

diterbitkan oleh The International Organization for Standarization (ISO)

dan The International Electrotechnical Commision (IEC), yang berjudul

88

teknologi informasi. ISO/IEC 27002 memberikan rekomendasi praktik

terbaik untuk manajemen keamanan informasi untuk digunakan oleh

mereka yang bertanggung jawab untuk memulai, menerapkan atau

mempertahankan sistem manajemen keamanan informasi (ISO/IEC

27002, 2013). Jadi ISO/IEC 27002 adalah standar keamanan yang dapat

membantu dalam penanganan operasional sehingga tetap berjalan

dengan prosedur atau kebijakan yang telah dibuat.

Gambar 2. 24 ISO/IEC 27002 (Saisa, 2017)

89

2.14.2 Klausul ISO/IEC 27002

ISO/IEC 27002 memiliki klausul yang setiap klausulnya

mendefinisikan masing-masing satu kontrol keamanan atau lebih

kategori keamanan. Ada 14 kontrol keamanan yang berisi 35 kategori

dan 114 kontrol. Setiap kontrol keamanan memiliki control objective

dimulai dari apa yang harus dicapai (ISO/IEC 27002, 2013). 14 klausul

ISO/IEC 27002 yaitu:

1. Klausul 5 (Information Security Policies): Memberikan arahan

manajerial dan dukungan untuk keamanan informasi sesuai dengan

permintaan bisnis dan hukum yang berlaku dan undang-undang.

2. Klausul 6 (Organization of Information Security): Membentuk

sebuah kerangka pengelolaan untuk memulai dan mengontrol

implementasi dan prosedur operasional dari keamanan informasi

dalam organisasi.

3. Klausul 7 (Human Resource Security): Memastikan staff dan

kontraktor mengerti tanggung jawab masing-masing dan sesuai

dengan perannya masing-masing.

4. Klausul 8 (Asset Management): Mengidentifikasi aset organisasi dan

memberikan tanggung jawab perlindungan yang sesuai.

5. Klausul 9 (Access Control); Membatasi akses terhadap informasi

dan fasilitas pengolahan informasi.

90

6. Klausul 10 (Cryptography): Memastikan kewajaran dan kefektifisan

penggunaan kriptografi untuk melindungi kerahasiaan, otentikasi

dan keutuhan dari informasi.

7. Klausul 11 (Physical and Enviromental Security): Mencegah pihak

yang tidak berwenang dalam hal akses fisik.

8. Klausul 12 (Operational Security): Memastikan pengamanan

prosedur operasional dari fasilitas pengolahan informasi.

9. Klausul 13 (Communication Security): Memastikan pengamanan

informasi dalam jaringan.

10. Klausul 14 (System Acquisition, Development and Maintenance):

Memastikan keamanan informasi merupakan bagian integral dari

sistem informasi melalui seluruh siklus keamanan informasi.

11. Klausul 15 (Supplier Relationships): Memastikan perlindungan dari

aset organisasi yang mana dapat diakses oleh supplier.

12. Klausul 16 (Information Security Incident Management):

Memastikan konsistensi dan efektivitas mengenai pengelolaan

insiden yang terkait keamanan informasi.

13. Klausul 17 (Information Security Aspects of Bussiness Continuity

Management): Keamanan informasi berkelanjutan harus terdapat

pada sistem organisasi manajemen bisnis berkelanjutan.

14. Klausul 18 (Compliance): Untuk menghindari pelanggaran

kewajiban hukum, undang-undang, peraturan atau kontrak yang

terkait dengan keamanan informasi dan persyaratan keamanan.

91

2.15 Plan, Do, Check, Act (PDCA) Model

Model PDCA adalah siklus kegiatan yang dirancang untuk

mendorong perbaikan terus menerus. Organisasi dapat menggunakan

model PDCA sebagaimana ditentukan dalam ISO/IEC 27001 untuk

menerapkan SMKI (Fomin, 2008).

Siklus PDCA terdiri dari empat komponen utama secara

berurutan, yaitu:

Gambar 2. 25 Siklus PDCA (Langley et al., 2009)

2.15.1 Plan

Langkah setelah dilakukan pengujian ide perbaikan masalah.

yang dibuat secara jelas dan terinci serta menetapkan sasaran dan target

yang harus dicapai (Sarno & Iffano, 2009).

2.15.2 Do

Rencana yang disusun diimplementasikan secara bertahap,

mulai dari skala kecil dan pembagian tugas secara merata sesuai dengan

kapasitas dan kemampuan dari setiap personil. Selama dalam

melaksanakan rencana harus dilakukan pengendalian, yaitu

92

mengupayakan agar seluruh rencana dilaksanakan dengan sebaik

mungkin agar sasaran dapat dicapai (Sarno & Iffano, 2009).

Di dalam langkah Do, terdapat beberapa langkah di dalamnya,

yaitu (Sarno & Iffano, 2009):

1. Identifikasi risiko

Identifikasi risiko merupakan cara untuk memahami

seberapa besar dan risiko apa yang diterima oleh organisasi jika

informasi di dalam organisasi mendapatkan ancaman atau gangguan

keamanan. Untuk melakukan identifikasi risiko, ada beberapa

langkah di dalamnya, yaitu (Sarno & Iffano, 2009):

a. Mengidentifikasi aset yang dimiliki sesuai dengan

organisasi. Identifikasi aset dapat dilakukan dengan

menggunakan tabel, diantaranya adalah sebagai berikut:

Tabel 2. 8 Identifikasi Aset (Sarno & Iffano, 2009)

Jenis Aset Nama Aset

Dokumen Data Penggiat Budaya

Sistem hardware Sistem Operasi

Server Data Penggiat

Budaya

Personal Komputer (PC)

b. Menghitung nilai aset, merupakan penilaian informasi yang

dimiliki oleh organisasi, dimana aset yang di hitung hanya

informasi yang termasuk di dalam ruang lingkup SMKI yang

telah didefinisikan. Cara menghitung nilai aset dapat

berdasarkan aspek keamanan Informasi yaitu: Kerahasiaan

93

(Confidentiality), Keutuhan (Intergrity), dan Ketersediaan

(Availibility) (Sarno & Iffano, 2009). Berikut ini merupakan

contoh penilaian aset berdasarkan Confidentiality.

Tabel 2. 9 Penilaian Aset Berdasarkan Confidentiality (Sarno & Iffano, 2009)

Kriteria

Confidentiality

Nilai

Confidentiality(NC)

Public 0

Internal use only 1

Private 2

Confidentiality 3

Secret 4

Berikut ini merupakan contoh penilaian aset berdasarkan

Integrity.

Tabel 2. 10 Penilaian aset berdasarkan Integrity (Sarno & Iffano, 2009)

Kriteria Integrity Nilai Integrity(NI)

No impact 0

Minor incident 1

General disturbance 2

Mayor disturbance 3

Unacceptable damage 4

Berikut ini merupakan contoh penilaian aset berdasarkan

Availability.

Tabel 2. 11 Penilaian aset berdasarkan Availability (Sarno & Iffano, 2009)

Kriteria Availability Nilai Availability(NA)

Low/No avaliability 0

Office hours Availability 1

Strong Availability 2

High Availability 3

Very High Availability 4

94

Dari ketiga tabel tersebut, dapat dihitung untuk nilai asetnya

yaitu:

Nilai Aset = NC + NI + NV

Keterangan:

NC = Nilai Confidentiality

NI = Nilai Integrity

NV = Nilai Availability

c. Mengidentifikasi kelemahan, ancaman dan menilai aset

Identifikasi kelemahan

Kelemahan adalah kekurangan dari prosedur

keamanan informasi, perencanaan, implementasi, atau

kontrol internal di dalam organisasi, dan kelemahan

dapat menimbulkan atau memicu ancaman

didalamnya. Tujuannya adalah organisasi memahami

kelemahan yang dimiliki dalam sistem keamanan

informasi.

Identifikasi ancaman

Ancaman merupakan potensi yang disebabkan oleh

insiden atau kejadian yang tidak diinginkan yang akan

membahayakan proses bisnis. Identifikasi ancaman

untuk mengetahui ancaman yang mungkin terjadi.

Berbagai jenis ancaman yang terjadi adalah sebagai

berikut:

95

Tabel 2. 12 Sumber dan Jenis Ancaman (Sarno & Iffano, 2009)

No Sumber Ancaman Jenis Ancaman

1 Alam Banjir, gempa bumi, angin puyuh, tornado,

serangan petir

2 Lingkungan Kegagalan sumber daya, polusi, bahan kimia,

kebocoran

3 Manusia

Hacker, Cracker Hacking, penyusupan ke dalam sistem, akses

ilegal

Computer criminal Penyusupan ke sistem komputer, akses ilegal

Terrorist Black mail, penyerangan ke sistem, sistem

penetrasi, virus

Menilai aset

Dalam mengidentifikasi kelemahan, ancaman, dan

menilai aset yang mungkin terjadi, terdapat tabel yang

dinamakan tabel kemungkinan terjadi (Probability of

Occurrence) (Sarno & Iffano, 2009).

Tabel 2. 13 Kemungkinan Terjadi (Sarno & Iffano, 2009)

Kejadian Jenis Probabilitas Rerata

Probabilitas

Power Failure

(Gangguan Sumber

Daya)

Vulnerable Low 0.1

Hardware Failure

(Gangguan

Perangkat Keras)

Vulnerable Medium 0.4

Fire (Kebakaran) Threat Low 0.1

Virus Attack

(Serangan Virus) Threat High 0.7

Intruders

(Penyusup) Threat Medium 0.4

Data Corruption

(Kerusakan Data) Vulnerable Medium 0.4

Data Missing

Recipient

(Kesalahan

Pengiriman Data)

Vulnerable Low 0.1

96

Tabel 2. 14 Kemungkinan Terjadi (Sarno & Iffano, 2009)

Kejadian Jenis Probabilitas Rerata

Probabilitas

Lightining

(Gangguan Petir) Threat Low 0.1

Nature Disaster

(Bencana Alam) Threat Low 0.1

Unautorized

Access (Akses

Ilegal) Threat Medium 0.4

Nilai rerata probabilitas dihasilkan dengan rentang

nilai yang dapat didefinisikan:

Low: Nilai rerata probabilitas (0.1 – 0.3)

Medium: Nilai rerata probabilitas (0.4 – 0.6)

High: Nilai rerata probabilitas (0.7 – 1.0)

Untuk melakukan penilaian aset, dapat dihitung

dengan rumus (Sarno & Iffano, 2009):

𝑁𝑖𝑙𝑎𝑖 𝐴𝑛𝑐𝑎𝑚𝑎𝑛 = ∑ 𝑃𝑂 𝑥 ∑ 𝐴𝑛𝑐𝑎𝑚𝑎𝑛

Keterangan:

∑ 𝑃𝑂 = Jumlah Probability of Occurrence

∑ 𝐴𝑛𝑐𝑎𝑚𝑎𝑛 = Jumlah ancaman terhadap informasi

d. Melakukan analisa dampak bisnis, untuk melihat bagaimana

dampak terhadap organisasi jika terjadi kegagalan (Sarno &

Iffano, 2009).

2. Analisis dan evaluasi risiko

Analisa dan evaluasi risiko merupakan tahapan untuk

menganalisa dan mengevaluasi risiko yang sudah diidentifikasi pada

97

tahapan sebelumnya. Tahapan ini untuk memahami bagaimana

dampak risiko terhadap bisnis organisasi, bagaimana level risiko

yang mungkin timbul dan menentukan apakah risiko yang terjadi

akan diterima atau masih dapat dikelola untuk dapat menoleransi

risiko yang akan terjadi. Dalam analisis dan risiko terdapat beberapa

tahapan, yaitu:

a. Melakukan analisis dampak bisnis (Business Impact

Analysis), yaitu penggambaran untuk berjalannya proses

bisnis di dalam organisasi tidak terganggu. BIA memiliki skala

di dalamnya, yang dapat dirubah sesuai dengan kondisi dari

perusahaan, yaitu:

Tabel 2. 15 Skala Business Impact Analysis (BIA) (Sarno, 2009)

Batas Toleransi

Gangguan Keterangan Nilai Skala

< dari 1 minggu Not critical 0 – 20

1 hari s/d 2 hari Minor critical 21 – 40

< 1 hari Mayor critical 41 – 60

< 12 jam High critical 61 – 80

< 1 jam Very high critical 81 – 100

b. Melakukan identifikasi tingkat risiko, yaitu terjadi jika

dihubungkan dengan dampak dan probabilitas ancaman yang

mungkin ada. Dalam melakukan identifikasi tingkat risiko,

terdapat ketentuan yang diterima organisasi berdasarkan

hubungan probabilitas ancaman yang mungkin terjadi dan

dampak yang mungkin ada. Probabilitas ancaman dibagi ke

dalam tiga level, yaitu:

98

Tabel 2. 16 Level Probabilitas Ancaman (Sarno & Iffano, 2009)

0 < Low Probability < 0,1

0,1 < Medium Probability < 0,5

0,5 < High Probability < 1,0

Dampak bisnis dibagi menjadi lima level, yaitu:

Tabel 2. 17 Level Dampak Bisnis (Sarno & Iffano, 2009)

0 < Not critical impact < 20

20 < Low critical impact < 40

40 < Medium critical impact < 60

60 < High critical impact < 80

80 < Very high critical impact < 100

c. Menilai risiko, yaitu menentukan apakah risiko yang terjadi

langsung diterima atau masih perlu pengelolaan risiko

berdasarkan kriteria penerimaan risiko. Dalam melakukan

penilaian risiko dapat dihitung dengan menggunakan metode

matematis, yaitu:

Nilai Risiko = NA x BIA x NT

Keterangan:

NA = Nilai aset

BIA = Analisa dampak bisnis

NT = Nilai ancaman

2.15.3 Check

Memeriksa atau meneliti yang merujuk pada penetapan apakah

pelaksanaannya berada dalam jalur, sesuai rencana dan memantau

kemajuan perbaikan yang direncanakan (Sarno & Iffano, 2009).

99

2.15.4 Act

Penyesuaian dilakukan bila dianggap perlu, yang didasarkan

hasil analisis yang sudah ada. Penyesuaian berkaitan dengan standarisasi

prosedur baru guna menghindari timbulnya kembali masalah yang sama

atau menetapkan sasaran baru bagi perbaikan berikutnya (Sarno &

Iffano, 2009).

Dapat disimpulkan Plan, Do, Check, Act (PDCA) adalah model

yang dapat terus membantu meningkatkan perbaikan pada sistem.

- Tahap Plan dilakukan penetapan sasaran dan target;

- Tahap Do dilakukan identifikasi risiko (mengidentifikasi aset,

menghitung nilai aset, mengidentifikasi kelemahan, ancaman, dan

menilai aset, dan melakukan analisa dampak bisnis), analisis dan

evaluasi risiko;

- Tahap Check dilakukan pemeriksaan apakah pelaksanaan telah

sesuai dengan rencana;

- Tahap Act dilakukan penyesuaian baru berdasarkan gap dan

rekomendasi.

Dalam penelitian ini, peniliti membuat langkah-langkah dalam

yang mengadopsi PDCA model.

- Tahap Plan, akan mendefinisikan ruang lingkup dan perencanaan

kebijakan SMKI.

100

- Tahap Do, akan mengidentifikasi dan menilai aset, ancaman dan

kelemahan terhadap aset, dampak bisnis dan nilainya, menentukan

nilai risiko, dan pemilihan objektif kontrol dan kontrol keamanan.

- Tahap Check, peneliti akan melakukan penilaian tingkat

kematangan (maturity level) sistem manajemen keamanan

informasi menggunakan System Security Engineering Capability

Maturity Model (SSE-CMM).

- Tahap Act, peneliti melakukan perbaikan dan pengembangan SMKI

dengan memberikan rekomendasi terhadap objektif kontrol dan

kontrol keamanan.

2.16 Fokus Analisis SMKI

Adapun pada penelitian yang dilakukan berfokus analisis SMKI

khususnya di divisi Information Technology dengan menggunakan

ISO/IEC 27001 dan ISO/IEC 27002. Terdapat persamaan dan perbedaan

dalam penggunaan ISO/IEC 27001 dan ISO/IEC 27002 di dalam suatu

organisasi. Dimana ISO/IEC 27001 adalah kerangka kerja tata kelola

teknologi informasi yang berfokus pada penetapan, penerapan,

pelaksanaan, pemantauan, pengkajian, pemeliharaan, dan perbaikan

sebuah sistem manajemen keamanan informasi (ISO/IEC 27001, 2005).

Sedangkan, ISO/IEC 27002 adalah kerangka kerja yang berfokus pada

manajemen keamanan informasi yang bertanggung jawab atau berfokus

101

pada penerapan keamanan dan mempertahankan sistem manajemen

keamanan (ISO/IEC 27002, 2013).

ISO/IEC27001 dan 27002 adalah standarisasi yang dapat

digunakan untuk melakukan pengevaluasian terhadap tata kelola

keamanan informasi, dimana kedua standar ini memiliki kesamaan dalam

pengaturan namun dengan tugas yang berbeda seperti pada klausul 5.1

management direction for information security dimana untuk ISO/IEC

27001 berfokus bagaimana pihak manajemen merencanakan tahapan ini

sesuai dengan aturan dan regulasi yang ada, sedangkan untuk ISO/IEC

27002 berfokus pada bagaimana penerapan dari rencana yang telah

ditetapkan pada ISO/IEC 27001, dengan menerapkan dua standarisasi

dapat membantu perusahaan mengurangi kemungkinan risiko-risiko yang

ada atau risiko yang lebih tinggi (Sahibudin, 2008). ISO/IEC 27001 juga

melakukan tugas seperti penilaian risiko dan peninjauan keamanan.

Sedangkan ISO/IEC 27002 merupakan standarisasi yang berkaitan dengan

keamanan dan kontrol informasi yang membantu bisnis dalam penerapan

keamanan yang sesuai.

Adapun kelebihan pada ISO/IEC 27001 pada sistem manajemen

keamanan informasi yaitu pada bagian pengaturan (manajerial),

lingkungan, training dan awareness. Dimana dengan kelebihan pada

ISO/IEC 27001 ini dapat membantu perusahaan memaksimalkan

karyawannya dalam pengelolaan sistem keamanan di perusahaan tersebut.

Sedangkan ISO/IEC 27002 memiliki kelebihan yaitu di lingkup

102

pemberdayaan atau pemeliharan properti aset dan berfokus pada tingkat

keamanan yang ada di perusahaan khususnya pada bentuk fisik seperti alat

ataupun aset lainnya yang ada di proses maintenance (pemeliharaan).

Persamaan klausul ISO/IEC 27001 dan ISO/IEC 27002 pada

kedua kerangka kerja ini adalah:

Tabel 2. 18 Pemetaan Persamaan Klausul ISO/IEC 27001 dan ISO/IEC 27002

(Sengupta, 2015)

ISO/IEC 27001 ISO/IEC 27002

A.7.5 Document Information B.7 Human Resources Security

B.8 Asset Management

A.7.4 Communication B.13 Communication Security

A.8 Operation

B.16 Information Security Incident

Management

B.17 Information Security Aspect of Business

Continuity Management

A.5 Information Security Policies B.7 Human Resource Security

Pada tabel diatas ditampilkan pemetaan klausul ISO/IEC 27001

dan ISO/IEC yang diambil berdasarkan ISO/IEC (2013). Berdasarkan

tabel diatas klausul A.7.5 Document Information ISO/IEC 27001 memiliki

hubungan dengan klausul B.7 Human Resource Security dan B.8 Asset

Management ISO/IEC 27002, dimana untuk mendapatkan panduan dan

informasi lebih merinci dapat ditemukan dengan menggunakan ISO/IEC

27002 (ISO/IEC 27002, 2013) sedangkan penggunaan ISO/IEC 27001

digunakan untuk mengetahui kebutuhan pengamanan yang perlu

digunakan oleh organisasi (ISO/IEC 27001, 2013).

Kemudian perbedaan antara ISO/IEC 27001 dan ISO/IEC 27002

dalam beberapa bidang dijelaskan pada tabel berikut:

103

Tabel 2. 19 Perbedaan ISO/IEC 27001 dan ISO/IEC 27002 (Hamzah, 2018)

ISO/IEC 27001 ISO/IEC 27002

Fokus

- Membantu menemukan kebutuhan

penerapan keamanan informasi pada

organisasi.

- Berfokus pada penerapan keamanan

aset dan pendekatan manajemen

risiko.

- Memberikan panduan tentang penerapan

kontrol keamanan informasi.

- Berfokus pada penanganan kelemahan

secara teknis dan pemeliharaan sistem.

Paradigma Sistem manajemen aset keamanan

sistem informasi

Sistem manajemen kontrol keamanan

informasi

Cakupan Kebutuhan keamanan sistem

informasi.

Panduan kontrol dan access control untuk

keamanan sistem informasi

Struktur

14 Klausul Kontrol Keamanan

(Security Control Clauses) dengan 35

Objektif Kontrol (Control Objectives)

yang terbagi menjadi 114 Kontrol

(Controls)

8 Klausul (Keamanan Sumber Daya

Manusia) 9 klausul (keamanan fisik dan

lingkungan) 11 Klausul (Akses Kontrol)

12 Klausul (Pengenalan Sistem Informasi

Pembangunan dan Pemeliharaan)

Organisasi

model Manajemen, Divisi Sistem Informasi, Divisi Sistem Informasi, Manajemen

Sertifikasi Terdapat sertifikasi untuk organisasi Terdapat sertifikasi untuk organisasi

2.17 Metode Kualitatif

Menurut Kirk dan Miller (1986) metode kualitatif adalah metode

dengan bersumber pada pengamatan dengan tradisi tertentu dalam ilmu

pengetahuan sosial yang bergantung pada pengamatan manusia dan

berhubungan dengan orang-orang di dalamnya. Sedangkan menurut

Bodgan dan Taylor (1975) metode kualitatif merupakan metode dengan

data yang tidak berbentuk angka, lebih banyak berupa narasi, deskripsi,

cerita, atau dokumen tertulis dan tidak tertulis. Metode kualitatif tidak

104

menggunakan rumus atau aturan untuk mengolah dan menganalisis data.

Metode kualitatif melibatkan penggunaan dan pengumpulan berbagai

bahan empiris, yakni studi kasus, pengalaman, riwayat, wawancara,

pengamatan, interaksi dan visual yamg menggambarkan momen rutin dan

maknanya di dalam kehidupan (Gumilang, 2016).

Metode kualitatif memiliki karakteristik. Karakteristik metode

kualitatif menurut Gumilang (2016) sebagai berikut:

a. Dalam metode kualitatif memiliki pandangan hakikat realitas

bersifat personal, subjektif dan hasil dari konstruksi social.

b. Metode kualitatif bersifat induktif, yakni melahirkan teori baru dan

mengembangkan teori berdasar data yang sudah terkumpul;

c. Metode kualitatif tentang perilaku manusia yang bersifat dinamis,

mengalir, sosial, konteks, dan personal;

d. Tujuan dari kualitatif adalah deskripsi, eksplorasi;

e. Fokus dalam metode kualitatif adalah penekanan di sudut yang lebih

luas dan dalam;

f. Metode kualitatif hakikatknya yaitu meneliti objek fenomena

perilaku di dalam penelitian;

g. Alat untuk mengumpulkan penelitian di metode kualitatif adalah

wawancara, observasi, dan catatan yang datanya berbentuk kata-

kata, gambar, atau dokumen;

h. Analisa data yang digunakan dalam penelitian ini adalah prosedur

pengembangan pola, tema, dan ciri umum;

105

i. Bentuk laporan dalam metode kualitatif adalah bersifat naratif

dengan deskripsi kontekstul dan rujukan dari subjek penelitian.

2.17.1 Pengumpulan Data Kualitatif

Menurut Arikunto (2006) pengumpulan data berjalan

bersamaan dengan proses dalam menganalisis data. Analisis data

kualitatif dapat dilakukan dengan menggunakan cara manual atau dengan

bantuan dari komputer. Program komputer ditujukan untuk menulis dan

menyunting kata, mengetik, mengedit, dan menyimpan data penelitian.

Salah satu program komputer tersebut adalah word processing yang

dapat membantu dalam pembuatan grafik, mencari kata, atau yang

lainnya yang dapat mendukung dalam melakukan pengumpulan dan

analisa data kualitatif (Bazeley & Jackson, 2013).

Dalam melakukan pengumpulan data untuk metode kualitatif,

salah satu software yang digunakan adalah NVivo. NVivo merupakan

software yang bekerja seperti map-map dalam teknik analisis data

kualitatif manual, tetapi map tersebut jauh lebih cerdas. NVivo adalah

software analisa data kualitatif yang dikembangkan oleh QSR

(Qualitative Solution and Research) yang merupakan perusahaan

pertama dalam mengembangkan software analisis data kualitatif

(Bazeley & Jackson, 2013).

Dapat disimpulkan bahwa metode kualitatif adalah berupa data

yang didapatkan berdasarkan pengalaman, cerita, narasi, dengan tujuan

deskriptif dan eskplorasi. Pengumpulan data kualitatif dapat dilakukan

106

secara manual dan komputerisasi, dengan bantuk komputer

penganalisaan dan pengumpulan data menjadi lebih mudah untuk

dioorganisir. Adapun salah satu alat (tool) yang dapat digunakan pada

pengumpulan data kualitatif adalah perangkat lunak Nvivo.

2.18 System Security Engineering Capability Maturity Model (SSE-CMM)

Menurut Abzug et al. (2003) system security engineering

capability maturity model (SSE CMM) adalah sebuah referensi model

yang berfokus pada kebutuhan untuk pengimplementasian keamanan di

dalam sebuah sistem atau sistem series lainnya yang berkaitan dengan

domain keamanan teknologi informasi.

Menurut Abzug et al. (2003) SSE CMM dikembangkan untuk

mengidentifikasi sebuah framework, menyediakan jalan untuk mengukur

dan meningkatkan kinerja dalam penerapan prinsip-prinsip teknik

keamanan.

Model SSE CMM dan metode penilaian dikembangkan untuk

(Abzug et al, 2003):

- Investasi fokus kepada alat rekayasa teknik keamanan, pelatihan,

definisi proses, praktik manajemen, dan peningkatan oleh kelompok

teknik;

- Jaminan berdasarkan kemampuan yaitu kepercayaan pada

kematangan praktik dan proses keamanan;

107

- Pemilihan penyedia teknik keamanan dengan membedakan penawar

pada tingkat kemampuan dan risiko program.

Tabel 2. 20 Perbandingan SSE-CMM dengan Model lain (Abzug et al., 2003)

Effort Goal Approach Scope Status

SSE-CMM Define, improve and

assess security

engineering capability

Continuous security

engineering maturity model and

appraisal method

Security

engineering

organizations

Version

3.0

SE-CMM Improve system or

product engineering

process

Continuous maturity model of

systems engineering practices

and appraisal method

System

engineering

organizations

See

EIA731

SEI CMM

for Software

Improve the

management of software

development

Staged maturity model of

software engineering and

management practices

Software

engineering

organizations

Now in

CMMI

Trusted

CMM

Improve the process of

high integrity software

development and its

environment

Staged maturity model of

software engineering and

management practices including

security

High integrity

software

organizations

Unknown

CMMI Combine existing

process improvement

models into a single

architectural framework

Sort, combine and arrange

process improvement building

blocks to form tailored models

Engineering

organizations

Partial

draft

released

System

Engineering

CM

(EIA731)

Define, improve and

assess system

engineering capability

Continuous system engineering

maturity model and appraisal

method

System

engineering

organizations

Released

Common

Criteria

Improve security by

enabling reusable

protection profiles for

classes of technology

Set of functional and assurance

requirements for security, along

with an evaluation process

Information

technology

Version

2.0

CISSP Make security

professional a

recognized discipline

Security body of knowledge and

certification tests for security

profession

Security

practitioners

In use

Assurance

Frameworks

Improve security

assurance by enabling a

broad range of evidence

Structure approach for creating

assurance arguments and

efficiently producing evidence

Security

engineering

organizations

Research

papers

ISO 9001 Improve organizational

quality management

Specific requirements for quality

management practices

Service

organizations

In wide use

ISO 15504 Software process

improvement and

assessment

Software process improvement

model and appraisal

methodology

Software

engineering

organizations

All 9 parts

published

ISO 13335 Improvement of

management of

information technology

security

Guidance on process used to

achieve and maintain

appropriate levels security for

information and services

Security

engineering

organizations

3 of 5 parts

published

108

2.18.1 Ruang Lingkup SSE-CMM

Ruang lingkup SSE-CMM meliputi beberapa hal dibawah ini, yaitu

(Abzug et al., 2003):

a. SSE-CMM ditujukan untuk kegiatan rekayasa keamanan yang

meliputi produk yang terpercaya atau siklus hidup keamanan sistem,

termasuk definisi konsep, analisa kebutuhan, perancangan,

pengembangan, integrasi, instalasi, operasi, perawatan dan

pengawasan.

b. SSE-CMM diterapkan untuk mengamankan pengembangan produk,

keamanan pengembangan sistem dan integrator dan organisasi yang

menyediakan jasa keamanan dan rekayasa keamanan.

c. SSE-CMM diterapkan untuk semua jenis dan ukuran rekayasa

keamanan organisasi, seperti komersial, pemerintah dan akademisi.

2.18.2 Level Capability SSE-CMM

Menurut Sarno & Iffano (2009) penilaian harus dilakukan untuk

menentukan tingkat kemampuan masing-masing daerah proses. Hal ini

menunjukkan bahwa area proses yang berbeda dapat dan mungkin akan

ada pada berbagai tingkat kemampuan. Organisasi kemudian akan dapat

menggunakan informasi-informasi tertentu ini sebagai sarana untuk

fokus perbaikan prosesnya. Prioritas dan urutan kegiatan organisasi

untuk meningkatkan proses yang harus memperhitungkan tujuan

bisnisnya.

109

Tujuan bisnis adalah pendorong utama dalam menafsirkan

model seperti SSE-CMM. Tapi, ada urutan dasar kegiatan dan prinsip-

prinsip dasar yang mendorong urutan logis dari upaya perbaikan yang

khas. Agar kegiatan ini dinyatakan dalam fitur-fitur umum dan praktik

generik sisi tingkat kemampuan arsitektur SSE-CMM (Sarno & Iffano,

2009). Adapun tingkatan Capability Level dari SSE-CMM, yaitu (Abzug,

2003):

a. Level 1 “Performed Informally”

Praktik dasar yang umumnya harus dilakukan. Kinerja praktik dasar ini

belum sepenuhnya direncanakan dan dilacak. Kinerja tergantung pada

pengetahuan individu dan organisasi. Hasil kerja dari level ini adalah

memberi hasil kinerja organisasi. Individu dalam organisasi menyadari

bahwa tindakan harus dilakukan, dan ada kesepakatan bahwa tindakan

ini dilakukan jika diperlukan. Hasil dari kinerja diidentifikasi untuk

proses selanjutnya.

b. Level 2 “Planned and Tracked”

Kinerja sesuai prosedur yang sudah diverifikasi. Hasil kerja sesuai

dengan standar yang ditetapkan dan sesuai dengan persyaratan.

Pengukuran ini digunakan untuk melacak kinerja dari area proses,

sehingga memungkinkan organisasi untuk mengelola kegiatannya

berdasarkan kinerja yang sesungguhnya. Perbedaannya dengan kinerja

level 1 adalah bahwa pada kinerja level 2 proses kinerja telah

direncanakan dan dikelola.

110

c. Level 3 “Well Defined”

Kinerja pada level ini dengan menggunakan persetujuan, sesuai dengan

standari yang telah ada, dan proses telah didokumentasikan. Perbedaan

utama kinerja level 3 dengan level 2 adalah bahwa proses kinerja ini

direncanakan dan dikelola menggunakan proses standar organisasi.

d. Level 4 “Quantitatively Controlled”

Langkah-langkah detail pada proses kinerja dikumpulkan dan

dianalisis. Ini mengarah ke pemahaman kuantitatif terhadap

kemampuan proses dan kemampuan untuk meningkatkan kinerja.

Kinerja secara objektif dikelola, dan kualitas hasil kerja secara

kuantitatif diketahui. Perbedaan dengan kinerja level 3 adalah, bahwa

proses kinerja level 4 didefinisikan, dipahami dan dikendalikan secara

kuantitatif.

e. Level 5 “Continously Improving”

Proses perbaikan secara berkesinambungan ada karena umpan balik

kuantitatif dari melakukan proses yang telah didefinisikan dan dari uji

coba ide-ide serta teknologi yang inovatif. Perbedaan utama dari kinerja

proses level 4 adalah bahwa proses didefinisikan dan proses yang telah

sesuai standar menjalani perbaikan terus menerus dan dilakukan

peningkatan, didasarkan pada pemahaman kuantitatif dari dampak

perubahan proses tersebut.

2.18.3 Keuntungan Menggunakan SSE-CMM

111

Keuntungan menggunakan SSE-CMM adalah sebagai berikut (Abzug et

al., 2003):

- Untuk Organisasi Engineering

Organisasi engineering meliputi Sistem Integrator, Pengembang

Aplikasi, Vendor Produk, dan Penyedia Layanan. Manfaat dari SSE-

CMM untuk organisasi ini meliputi:

a. Menyelamatkan tanpa harus bekerja terus menerus dalam proses

memprediksi dan praktik.

b. Kelayakan dalam kemampuan untuk kinerja, khususnya dalam

pemilihan sumber.

c. Berfokus pada kompetensi organisasi yang diukur dan diperbaiki

- Untuk Organisasi Acquiring

Acquirer termasuk organisasi yang memperoleh sistem, produk, dan

layanan dari eksternal/sumber internal dan pengguna akhir. Manfaat

dari SSE-CMM untuk organisasi ini meliputi:

a. Standar permintaan yang dapat digunakan kembali untuk bahasa

pengajuan dan cara evaluasi.

b. Mengurangi risiko (kinerja, biaya dan jadwal) dalam memilih

risiko yang tidak memenuhi syarat.

c. Lebih sedikit protes yang diakibatkan oleh penilaian yang sama

berdasarkan standar industri.

112

d. Dapat memprediksi tingkat kepercayaan dalam produk atau

layanan.

- Untuk Evaluasi Organiasasi

Evaluasi organisasi meliputi sistem sertifikasi, sistem akreditasi,

produk evaluator, dan produk penilai. Manfaat dari SSE-CMM untuk

organisasi meliputi:

a. Proses penilaian yang dapat digunakan kembali, kebebasan dari

sistem atau perubahan produk.

b. Keyakinan dalam rekayasa keamanan dan integrasi dengan

disiplin ilmu yang lain.

c. Kepercayaan berbasis kemampuan dalam bukti, mengurangi

beban kerja evaluasi keamanan.

2.18.4 Metode Perhitungan

Hasil dari perhitungan kuesioner yang dibuat rekapitulasi untuk

dapat mempresentasikan presentase dan maturity level (Surendro, 2009).

Rumus penilaian untuk tingkat kematangan adalah sebagai berikut:

1. Menghitung Rekapitulasi Jawaban Kuesioner

𝐶 = 𝐻

𝐽𝑅 𝑥 100%

Keterangan:

C: Rekapitulasi jawaban kuesioner Maturity Level (dalam bentuk

persentase pada masing-masing jawaban, a, b, c, d, e atau f di

masing-masing aktivitas).

113

H: Jumlah jawaban kuesioner Maturity Level pada masing-masing

pilihan jawaban a, b, c, d, e atau f di setiap aktivitas.

JR: Jumlah responden/narasumber.

2. Menghitung Nilai dan Level Kematangan

𝑁𝐾 = (𝐿𝑃𝑥𝑁𝑘𝑎) + (𝐿𝑃𝑥𝑁𝑘𝑏) + (𝐿𝑃𝑥𝑁𝑘𝑐) + (𝐿𝑃𝑥𝑁𝑘𝑑) + (𝐿𝑃𝑥𝑁𝑘𝑒) + (𝐿𝑃𝑥𝑁𝑘𝑓)

100

Keterangan:

NK: Nilai kematangan pada proses TI

LP: Nilai kematangan yang tertera pada tabel pemetaan jawaban, nilai

dan tingkat kematangan.

Dalam penelitian ini pembedaan istilah antara nilai

kematangan dan tingkat kematangan. Nilai kematangan dapat bernilai

tidak bulat (desimal), yang mempresentasikan proses pencapaian

menuju suatu tingkat kapabilitas tertentu. Sedangkan tingkat

kapabilitas lebih menunjukkan tahapan atau kelas yang dicapai dalam

proses kapabilitas yang dinyatakan dalam bilangan bulat (Surendro,

2009).

Tabel 2. 21 Nilai dan Level Kematangan (Sarno & Iffano, 2009)

Tingkat

Kemampuan Deskripsi

1 Performed Informally (Dilakukan Informal)

2 Planned and Tracked (Direncanakan dan Dilacak)

3 Well Defined (Didefinisikan dengan Baik)

4 Quantitatively Controlled (Dikendalikan secara

kuantitatif)

5 Continously Improving (Ditingkatkan terus

menerus)

114

Dari penjabaran teori diatas terkait System Security Engineering Capability

Maturity Model (SSE-CMM) adalah model yang dapat digunakan untuk

penerapan keamanan di dalam sistem teknologi informasi. Adapun

kelebihan dari SSE CMM dibandingkan model lainnya adalah tujuan

berfokus pada pendifinisian, peningkatan dan penilaian keamanan pada

kemampuan teknik dengan pendekatan model kematangan keamanan pada

keberlangsungan teknik dan metode penilaian. Tingkat kemampuan pada

SSE CMM dibagi menjadi lima bagian yaitu performed informally, planned

and tracked, well defined, quantitatively controlled, dan continuously

improving.

2.19 Teknik Pengumpulan Data

Pengumpulan data adalah prosedur yang bersifat sistematis dan

standar untuk memperoleh data yang diperlukan (Fathoni, 2006). Berikut

ini beberapa metode pengumpulan data penelitian, yaitu:

a. Wawancara

Wawancara adalah salah satu metode yang banyak digunakan dalam

penelitian eksploratif dan studi lapangan, pada prinsipnya tidak jauh

berbeda dengan kuesioner yang menggunakan format pertanyaan

terbuka. Wawancara bertujuan untuk mendapatkan informasi secara

langsung dari responden atau partisipan (Fathoni, 2006).

b. Kuesioner atau angket

115

Kuesioner merupakan metode pengumpulan data primer

menggunakan sejumlah beberapa pertanyaan atau pertanyaan

dengan format khusus. Metode pengumpulan data dengan kuesioner

ini paling umum digunakan dalam studi lapangan atau survei

(Fathoni, 2006).

c. Observasi

Observasi adalah metode pengumpulan data yang banyak dilakukan

dalam desain eksperimentasi (laboratorium dan lapangan) dan studi

kualitatif. Metode ini tepat digunakan ketika metode kuesioner dan

wawancara tidak mampu mengungkap data dan informasi

sesungguhnya dan data yang digali tersebut justru diragukan

validitasnya (Fathoni, 2006).

d. Studi Pustaka

Studi pustaka adalah teknik survei terhadap data yang telah ada

dengan menggali teori-teori yang telah berkembang dalam bidang

ilmu yang berkepentingan, mencari metode-metode serta teknik

penelitian baik dalam mengumpulkan data atau dalam menganalisis

data yang telah pernah digunakan oleh peneliti-peneliti terdahulu

(Fathoni, 2006).

2.19.1 Klasifikasi Data

Menurut Hasan (2009) data dapat diklasifikasikan berdasarkan

beberapa kriteria, yaitu berdasarkan susunan, sifat, waktu pengumpulan

dan sumbernya. Berikut ini penjelasannya.

116

Klasifikasi data menurut susunannya:

- Data acak atau data tunggal, merupakan data yang belum

tersusun atau dikelompokkan ke dalam kelas-kelas interval.

- Data berkelompok, merupakan data yang sudah tersusun atau

dikelompokkan ke dalam kelas-kelas interval. Data kelompok

disusun dalam bentuk distribusi frekuensi atau table frekuensi.

Klasifikasi data menurut sifatnya:

- Data kuantitatif, merupakan data yang berhubungan dengan

bilangan, dapat dilihat secara statistik.

- Data kualitatif, merupakan data yang tidak berhubungan

dengan bilangan, berwujud kata-kata dan kalimat.

Klasifikasi data menurut waktu pengumpulan:

- Data berkala, merupakan data yang terkumpul dari waktu ke

waktu untuk memberikan gambaran perkembangan suatu

kegiatan.

- Data cross section, merupakan data yang terkumpul pada suatu

waktu tertentu untuk memberikan gambaran perkembangan

keadaan atau kegiatan pada waktu itu.

Klasifikasi data menurut sumbernya:

- Data primer, merupakan data yang diperoleh atau

dikumpulkan oleh orang yang melakukan penelitian atau yang

bersangkutan yang memerlukannya, biasa disebut juga data

asli atau data baru.

117

- Data sekunder, merupakan data yang diperoleh atau

dikumpulkan dari sumber-sumber yang telah ada. Data itu

biasanya diperoleh dari perpustakaan atau laporan-laporan

penelitian terdahulu. Data sekunder disebut juga data tersedia.

Dari penjelasan maka diketahui pengumpulan data adalah

prosedur untuk mendapatkan data dengan metode wawancara, kuesioner

atau angket, observasi, studi pustaka. Adapun klasifikasi data dibagi

menurut susunannya (data acak atau tunggal dan data berkelompok), sifat

(kuantitatif dan kualitatif), dan waktu pengumpulan (data berkala dan data

cross section).

118

BAB III

METODOLOGI PENELITIAN

3.1 Tahap Plan

3.1.1 Observasi

Metode observasi dilakukan dengan pengamatan secara langsung

di Kantor Pusat PT Jasa Marga Divisi Information Technology (IT) Kota

DKI Jakarta, dengan melihat proses sistem keamanan informasi dan

proses untuk mendapatkan data yang dibutuhkan pada Divisi Information

Technology (IT) PT Jasa Marga Kota DKI Jakarta. Kegiatan observasi

dimulai pada bulan Mei sampai dengan bulan Agustus tahun 2018 yang

beralamat di Kampung Dukuh, Plaza Tol Taman Mini Jakarta Timur.

Dari kegiatan observasi didapatkan data berupa tugas dan fungsi dari PT

Jasa Marga, Visi dan Misi, serta struktur organisasi. Selain itu juga

melihat dan mengamati langsung aset-aset yang berada di Divisi

Information Technology (IT) PT Jasa Marga, serta mengamati sistem

keamanan informasi yang berjalan di Divisi Information Technology (IT)

Kantor Pusat PT Jasa Marga Kota DKI Jakarta.

119

3.1.2 Wawancara

Kegiatan wawancara dilakukan dengan melakukan tanya jawab

kepada beberapa staf ahli Divisi Information Technology (IT) untuk

mengetahui penerapan sistem keamanan informasi dan permasalahan apa

yang sering ditemui. Wawancara dilaksanakan pada:

Tabel 3. 1 Daftar Pelaksanaan Wawancara

No Hari/Tanggal Tempat Narasumber Jabatan

1 Kamis, 30 Mei

2018

Ruang Divisi

Information Technology

(IT)

Febrina Amir Manager Compliance

2 Kamis, 30 Mei

2018

Ruang Divisi


(IT)

Fajar Willys Penanggung Jawab

Keamanan Informasi

3 Kamis, 30 Mei

2018

Ruang Divisi


(IT)

Ayudya Rizka

Fauzia

Admin Data dan

Informasi

4 Kamis, 30 Mei

2018

Ruang Divisi Risk and

Quality Management

Dodi Lambardo Manager Risk and

Quality Management

3.1.3 Kuesioner

Pada penyebaran kuesioner penulis menyebarkan daftar

pertanyaan berdasarkan standar yang ada pada ISO/IEC 27001 dan

ISO/IEC 27002 tentang petunjuk kebutuhan dan pelaksanaan sistem

manajemen keamanan informasi, klausa yang dipilih dalam pembuatan

kuesioner berdasarkan nilai dari risiko keamanan informasi Divisi

Information Technology (IT) Kantor Pusat PT Jasa Marga Kota DKI

Jakarta. Adapun alasan penelitian ini menggunakan ISO/IEC 27001 dan

ISO/IEC 27002 adalah karena ISO/IEC 27001 dapat membantu

menentukan nilai risiko, menentukan kebutuhan pengamanan informasi

yang tepat yang lebih mengarah kepada manajerial, dan ISO/IEC 27002

120

membantu dalam penerapan kontrol keamanan informasi lebih merinci

yang mengarah kepada pengaturan operasional. Berdasarkan penelitian

diatas maka peneliti menarik kesimpulan bahwa, ISO/IEC 27001 dan

ISO/IEC 27002 dapat digunakan untuk membantu meningkatkan

keamanan informasi pada suatu organisasi baik dari sisi manajerial

maupun operasional. Berikut ini adalah daftar pertanyaan berdasarkan

ISO/IEC 27001:2013 dan ISO/IEC 27002:2013.

Tabel 3. 2 Instrumen Kuesioner (ISO/IEC 27001, 2013)

7 Keamanan Sumber Daya Manusia

7.2 Selama Bekerja

7.2.1 Tanggung Jawab Manajemen

No Pernyataan Bobot 1 2 3 4 5 Nilai

1 Pihak manajemen menyediakan panduan sesuai dengan

keamanan informasi negara yang disesuaikan dengan

peran organisasi.

2 Pihak manajemen memberikan motivasi untuk

memenuhi kebijakan keamanan informasi organisasi.

3 Pihak manajemen melanjutkan persiapan kemampuan

yang tepat dan pengkualifikasian serta pembelajaran

pada kemampuan dasar.

7.2.2 Kesadaran, Pendidikan dan Pelatihan Keamanan Informasi


1 Pendidikan dan pelatihan harus menyatakan komitmen

terhadap keamanan informasi di seluruh organisasi.

2

Terdapat prosedur dasar keamanan informasi (seperti

laporan insiden keamanan informasi) dan baseline

controls (seperti keamanan password, malware controls,

& clear desk).

3 Accountability pribadi untuk tindakan dan kelambanan

seseorang dan tanggung jawab untuk mengamankan atau

melindungi kepemilikan informasi organisasi atau pihak

luar.

7.2.3 Proses Tata Tertib


1

Proses tata tertib bersifat formal dan komunikatif terkait

tindakan pelanggaran karyawan pada keamanan

informasi.

2

Proses tata tertib menjadi sebuah motivasi atau sebuah

insentif jika sanksi positif terkait perilaku pada

keamanan informasi.

7.3 Pemutusan Hubungan Kerja dan Perubahan Pekerjaan

121

7.3.1 Tanggung Jawab Pemutusan Hubungan Kerja dan Perubahan Pekerjaan


1 Mengkomunikasikan tanggung jawab pemberhentian

termasuk kebutuhan tanggung jawab hukum keamanan

informasi saat ini.

2 Mengkomunikasikan syarat dan ketentuan bekerja.

3 Tanggung jawab dan tugas tetap sah setelah

pemberhentian bekerja dimana tertera pada syarat dan

ketentuan bekerja.

11 Keamanan Fisik dan Lingkungan

11.1 Area Aman

11.1.1 Lingkup Keamanan Fisik


1 Lingkup keamanan harus didefinisikan dan penempatan

serta kekuatan lain pada lingkup berdasarkan kebutuhan

keamanan aset & hasil dari penilaian risiko.

2

Lingkup lokasi yang termasuk fasilitas pemrosesan

informasi harus dapat berbunyi (seperti pintu atau

jendela).

3 Tersedianya area penerima tamu untuk mengontrol

akses fisik (membatasi otorisasi, hanya untuk pegawai).

11.1.2 Kontrol Masuk Fisik


1

Waktu dan tanggal dari masuk dan keberangkatan atau

kepergian pengunjung harus terekam dan semua

pengunjung harus diawasi kecuali akses mereka sudah

disetujui sebelumnya.

2

Semua pegawai, kontraktors dan pihak luar harus

menggunakan tanda pengenal yang terlihat dan

diketahui oleh divisi keamanan.

3 Akses ke area dimana kerahasiaan informasi diproses

harus dibatasi dan dilakukan otorisasi individual dengan

menerapkan kontrol akses yang tepat.

11.1.5 Bekerja di Area Aman


1 Personil menyadari keberadaan, atau kegiatan dalam

sebuah wilayah yang aman pada kebutuhan untuk

mengetahui dasarnya.

2 Bekerja tanpa pengawasan di daerah-daerah yang harus

dihindari baik untuk alasan keamanan dan mencegah

peluang untuk kegiatan berbahaya.

3 Daerah-daerah yang kosong harus secara fisik terkunci

dan ditinjau secara berkala.

4

Pengambilan gambar, video, suara atau peralatan

perekam lainnya seperti kamera di perangkat mobile

tidak diperkenankan, kecuali telah di otorisasi.

11.2 Peralatan

11.2.1 Perlindungan dan Penempatan Peralatan


122

1 Fasilitas yang menangani data sensitif pada pemrosesan

informasi diletakkan dengan hati-hati untuk mengurangi

risiko yang dihindari

2 Kontrol diterapkan untuk meminimalikan potensi

ancaman risiko fisik dan lingkungan

3 Menerapkan perlindungan khusus seperti selaput pada

keyboard

4 Perlindungan pada peralatan pengolahan informasi

rahasia untuk meminimalkan risiko kebocoran informasi

11.2.2 Keperluan Pendukung


1 Peralatan sesuai dengan spesifikasi pabrik dan

persyaratan hukum setempat

2 Dilakukan penilaian secara berkala untuk mengetahui

kapasitas apakah sesuai dengan pertumbuhan bisnis

3 Dilakukan pemeriksaan dan pengujian secara teratur

untuk memastikan fungsinya

11.2.3 Keamanan Pengkabelan


1 Posisi saluran listrik dan telekomunikasi yang terhubung

dengan fasilitas pemrosesan informasi berada di bawah

tanah atau perlindungan alternatif

2 Pemisahan kabel daya dan kabel komunikasi

11.2.9 Kebijakan Meja dan Layar Bersih


1

Penyimpanan informasi bisnis yang sensitif atau bersifat

kritis harus terkunci (seperti kertas atau media

penyimpanan elektronik)

2

Komputer and terminals ditinggalkan dalam keadaan

terkunci atau terlindungi dengan layar dan keyboard

dengan kontrol penguncian seperti password atau proses

authentication

3 Media yang berisi informasi sensitif atau rahasia harus

segera dihapus dari printer

16 Manajemen Insiden Keamanan Informasi

16.1 Manajemen Insiden Keamanan Informasi dan Peningkatan

16.1.1 Tanggung Jawab dan Prosedur


1 Prosedur untuk perencanaan dan persiapan tanggap

insiden

2

Prosedur untuk memantau, mendeteksi, menganalisis

dan melaporkan kejadian dan insiden keamanan

informasi

3

Prosedur yang ditetapkan memastikan bahwa personel

yang menangani masalah memiliki kompeten terkait

insiden tersebut

4

Prosedur pelaporan mencakup proses umpan balik yang

sesuai untuk memastikan bahwa orang-orang yang

melaporkan kejadian keamanan informasi diberitahu

tentang hasil setelah masalah tersebut telah ditangani

dan ditutup

123

16.1.2 Laporan Kejadian Keamanan Informasi


1 Pelaporan kontrol keamanan yang tidak efektif

2 Pelaporan pelanggaran keutuhan, kerahasiaan, dan

ketersediaan informasi

3 Pelaporan pelanggaran pengaturan keamanan fisik

16.1.7 Kumpulan Bukti


1 Prosedur mempertimbangkan keamanan bukti

2 Prosedur mempertimbangkan keamanan personel

3 Prosedur mempertimbangkan keamanan dokumentasi

18 Penyesuaian

18.1 Penyesuaian dengan Hukum dan Kebutuhan Kontraktual/Perjanjian

18.1.2 Hak Kekayaan Intelektual


1 Mengeluarkan kebijakan kepatuhan hak kekayaan

intelektual yang mendefinisikan penggunaan sah

perangkat lunak dan produk informasi

2

Mendapatkan perangkat lunak melalui sumber yang

diketahui dan memiliki reputasi baik, untuk memastikan

hak cipta tidak dilanggar

3

Menjaga kesadaran kebijakan untuk melindungi hak

kekayaan intelektual dan memberikan pemberitahuan

tentang niat untuk mengambil tindakan disipliner

terhadap personel yang melanggar mereka

Tabel 3. 3 Instrumen Pertanyaan (ISO/IEC 27002,2013)

5 Kebijakan keamanan informasi

5.1 Arahan manajemen untuk keamanan informasi

5.1.1 Kebijakan untuk keamanan informasi


1 Kebijakan keamanan informasi berdasarkan atau sesuai

dengan strategi bisnis


dengan peraturan, undang-undang, dan kontrak perjanjian

3 Kebijakan untuk keamanan informasi sesuai kebutuhan saat

ini dan proyeksi keamanan informasi terhadap ancaman

lingkungan

4 Kebijakan keamanan informasi mendukung prinsip kontrol

akses, hak akses dan pembatasan untuk peran pengguna

tertentu

5 Kebijakan keamanan informasi mendukung keamanan fisik

dan lingkungan

8 Manajemen aset

8.1 Tanggung jawab terhadap aset

8.1.1 Inventarisasi aset

124


1 Organisasi harus mengidentifikasi aset yang relevan pada

siklus informasi (pembuatan, pemrosesan, penyimpanan,

penyampaian, penghapusan, dan penghancuran) dan

dokumen yang penting

2 Dokumentasi aset dipelihara dalam pendedikasian atau

penyimpanan yang tepat

8.1.2 Kepemilikan Aset


1 Organisasi dapat menentukan aset yang diinventariskan

2 Organisasi dapat menentukan pengklasifikasian aset dan

perlindungan yang tepat

3 Penanganan yang tepat bila aset dihapus atau dihancurkan

8.1.3 Penggunaan aset yang dapat diterima


1 Pegawai dan pihak eksternal atau pengguna yang memiliki

akses pada aset organisasi harus memiliki kesadaran

kebutuhan keamanan informasi dan fasilitas pemrosesan

informasi dan sumber daya lainnya

2 Tanggung jawab terhadap penggunaan pengolahan sumber

daya informasi dan penggunaan tersebut dilakukan

berdasarkan tanggung jawab yang dimiliki.

8.1.4 Pengembalian Aset


1 Proses penghentian atau pemberhentian pegawai atau pihak

luar harus disahkan termasuk pengembalian semua aset yang

diberikan sebelumnya baik aset fisik dan elektronik oleh

organisasi.

2 Pegawai atau pengguna dari pihak luar yang membeli

peralatan organisasi atau menggunakan peralatan mereka

secara pribadi, prosedur harus diikuti untuk menentukan

bahwa semua informasi yang terkait telah dipindahkan atau

dialihkan ke organisasi dan dihapus dengan aman dari

peralatan atau perangkat.

3 Pengetahuan dan kemampuan pegawai atau pengguna pihak

luar yang memiliki peran penting pada kegiatan selanjutnya,

perlu dilakukan dokumentasi terkait informasi tersebut dan

diberikan ke organisasi.

4 Selama periode pemberitahuan penghentian, organisasi harus

mengontrol penyalinan yang tidak sah terkait informasi yang

relevan (seperti intelektual) oleh karyawan dan kontraktor

yang telah berhenti

9 Kontrol akses

9.1 Persyaratan bisnis kontrol akses

9.1.1 Kebijakan kontrol akses


1 Kebijakan harus mempertimbangkan kebutuhan keamanan

dari aplikasi bisnis

2 Kebijakan dari penyebaran dan otorisasi informasi (seperti

kebutuhan untuk tahu prinsip dan informasi tingkat

keamanan dan klasifikasi informasi)

125

3 Konsistensi antara hak-hak akses dan informasi klasifikasi

kebijakan sistem dan jaringan

4 Perundangan yang relevan dan kewajiban kontrak apapun

terkait dengan pembatasan akses ke data atau layanan

5 Menentukan aturan-aturan terkait "segala sesuatu yang

umumnya dilarang kecuali diizinkan secara tersurat"

6 Aturan khusus yang dibutuhkan terkait sebelum berlakunya

persetujuan dan tidak disetujui

9.4 Kontrol akses sistem dan aplikasi

9.4.1 Pembatasan akses informasi


1 Menyediakan menu untuk akses kontrol terhadap fungsi

sistem aplikasi

2 Mengontrol data yang dapat diakses oleh pengguna pribadi

3 Mengontrol hak akses pengguna

4 Mengontrol hak akses dari aplikasi lain

5 Menyediakan akses kontrol fisik atau logis untuk isolasi

aplikasi sensitif, seperti data atau sistem.

9.4.2 Prosedur Keamanan Log-on


1 Upaya melindungi login terhadap serangan brute force

2 Upaya memberitahu log berhasil atau sebaliknya

3 Upaya peningkatan keamanan jika terdeteksi kemungkinan

atau ancaman yang masuk pada kontrol login

4 Tidak mengirimkan password pada teks yang jelas pada

sebuah jaringan

5 Menghentikan session yang telah berakhir atau tidak aktif

setelah pemberitahuan periode, khusus lokasi berisiko tinggi

seperti lingkungan umum atau diluar organisasi atau pada

perangkat mobile

6 Membatasi waktu koneksi untuk penambahan penyediaan

keamanan pada aplikasi berisiko tinggi dan mengurangi

window/celah dari kesempatan akses yang tidak berhak.

10 Kriptografi

10.1 Kontrol Kriptografi

10.1.1 Kebijakan tentang penggunaan kontrol Kriptografi


1 Pendekatan manajemen menggunakan kontrol kriptografi di

seluruh lingkup organisasi (termasuk prinsip umum yang

melingkupi informasi bisnis harus dilindungi)

2 Berdasarkan penilaian risiko, dibutuhkan tingkatan

perlindungan yang dapat mengidentifikasi jenis, kekuatan,

kualitas kebutuhan algoritma enkripsi

3 Penggunaan enkripsi untuk melindungi perpindahan

informasi ke mobile atau removable media devices atau

seluruh jaringan komunikasi

12 Keamanan Operasi

12.1 Tanggung jawab dan Prosedur Operasional

126

12.1.1 Prosedur Dokumentasi Operasi


1 Prosedur dokumentasi terkait instalasi dan konfigurasi sistem

2 Prosedur dokumentasi terkait pengolahan dan penanganan

informasi baik secara otomatis dan manual

3 Dilakukan pembackup-an

4 Kebutuhan penjadwalan termasuk ketergantungan dengan

sistem lain, awal waktu pekerjaan dimulai (job start) dan

pekerjaan terbaru selesai

5 Prosedur sistem restart dan pemulihan untuk digunakan

dalam hal kegagalan sistem

6 Manajemen jejak (rekam jejak) audit dan log sistem

informasi

7 Prosedur pemantauan (monitoring)

12.1.2 Manajemen Perubahan


1 Mengidentifikasi dan merekam perubahan yang signifikan

atau berarti

2 Mengontrol perencanaan dan pengujian perubahan

3 Mengukur dampak kemungkinan perubahan (dampak pada

keamanan informasi)

12.2 Perlindungan terhadap malware

12.2.1 Kontrol terhadap malware


1 Membuat sebuah kebijakan resmin yang melarang

penggunaan perangkat lunak yang tidak sah

2 Menerapkan kontrol yang mencegah atau mendeteksi

penggunaaan perangkat lunak yang tidak sah

3 Kontrol penerapan untuk mencegah atau mendeteksi

penggunaan dugaan atau pelanggaran situs web berbahaya

4 Mendefinisikan prosedur dan tanggung jawab untuk

berurusan dengan perlindungan malware pada sistem,

pelatihan dalam penggunaannya, pelaporan dan pemulihan

dari serangan malware

5 Menyiapkan rencana keberlanjutan bisnis untuk pemulihan

dari serangan malware, termasuk semua data yang

dibutuhkan dan perangkat lunak cadangan, pengaturan

pemulihan

12.6 Manajemen Kelemahan Teknikal

12.6.1 Manajemen dari Kelemahan Teknikal


1 Organisasi harus mendefinisikan dan menetapkan peran dan

tanggung jawab asosiasi dengan manajemen kerentanan

teknis, termasuk pemantauan (monitoring), pengukuran

kerentanan risiko, penelusuran aset dan dibutuhkan

tanggungjawab koordinasi

2 Sebuah kronologi (timeline) harus didefinisikan untuk

mereaksi pemberitahuan terkait potensi kerentanan teknis

3 Catatan/log audit harus disimpan untuk semua prosedur yang

dilakukan

127

4 Keefektifitasan proses manajemen kerentanan teknis harus

sesuai dengan kegiatan manajemen insiden untuk

mengkomunikasikan data dalam kerentanan terhadap fungsi

tanggapan insiden dan menyediakan prosedur teknikal yang

harus dilakukan saat insiden terjadi

5 Sistem dengan risiko tinggi harus diutamakan

6 Manajemen kerentanan teknis harusnya dipantau secara

teratur dan dievaluasi dengan maksud untuk menjamin

keefektifitasan dan keefisiensiannya

Berikut ini beberapa persamaan dan perbedaan dari ISO/IEC 27001

dan ISO/IEC 27002.

Tabel 3. 4 Persamaan dan Perbedaan pada ISO/IEC 27001 dan ISO/IEC 27002

(ISO/IEC 27001 dan ISO/IEC 27002, 2013)

Persamaan Perbedaan

ISO/IEC

27001

1. Merupakan bagian

ISO/IEC 27000 series;

2. Standar yang menangani

sistem manajemen

keamanan informasi;

3. Merupakan standar

yang dapat digunakan

untuk kepentingan

organisasi dan

memberikan layanan untuk

pelanggannya

1. Standar yang digunakan dalam menentukan kebutuhan

keamanan informasi;

2. Standar yang dapat digunakan dalam berbagai aspek

manajemen;

3. Standar yang merinci tugas manajerial yaitu, penilaian

risiko dan meninjau keamanan;

4. Standar yang memberitahukan persyaratan pada

manajemen keamanan informasi dalam organisasi;

5. Standar yang mencakup daftar kontrol manajemen untuk

organisasi;

6. Standar yang dapat digunakan untuk mengaudit dan

mengesahkan Sistem Manajemen Keamanan Informasi

(SMKI) organisasi.

ISO/IEC

27002

1. Standar yang menangani kontrol keamanan sistem

dengan tindakan yang lebih merinci atau mendetail;

2. Seperangkat standar dan prosedur untuk mengamankan

informasi;

3. Standar yang memberikan dukungan dan panduan untuk

pengguna yang bertanggung jawab dalam memulai,

menerapkan atau memelihara Sistem Manajemen

Keamanan Informasi (SMKI);

4. Panduan penerapan berdasarkan saran praktik terbaik;

5. Standar yang memiliki daftar kontrol operasional untuk

organisasi;

6. Standar yang digunakan untuk menilai kelengkapan

Program Keamanan Informasi organisasi.

Berikut adalah tabel pemilihan klausul pada penelitian ini.

128

Tabel 3. 5 Pemilihan Klausul ISO/IEC 27001 (ISO/IEC 27001, 2013)

Klausul ISO/IEC 27001 Alasan

7 Keamanan Sumber Daya Manusia - Sub klausul 7.2.1 memberikan arahan kepada

manajemen untuk menerapkan keamanan

informasi kepada seluruh karyawan sesuai

kebijakan dan prosedur;

- Sub klausul 7.2.2 kontrol yang membantu

seluruh karyawan untuk mendapatkan

kesadaran pendidikan dan pelatihan secara

berkala sesuai dengan pekerjaan mereka;

- Sub klausul 7.2.3 kontrol yang mengarahkan

kepada proses pendisiplinan pegawai.

7.2 Selama Bekerja


7.2.2 Kesadaran, Pendidikan dan Pelatihan

Keamanan Informasi


7.3 Pemutusan Hubungan Kerja dan Perubahan

Pekerjaan - Sub klausul 7.3.1 kontrol terkait tanggung

jawab keamanan informasi untuk menangani

keabsahan pegawai setelah berhenti atau terjadi

perubahan.

7.3.1 Tanggung Jawab Pemutusan Hubungan Kerja

dan Perubahan Pekerjaan

11 Keamanan Fisik dan Lingkungan - Sub klausul 11.1.1 kontrol yang menetapkan

pertahanan atau perlindungan untuk area

informasi sensitif atau kritis serta fasilitasnya;

- Sub klausul 11.1.2 kontrol yang menangani

otorisasi pegawai pada keamanan area;

- Sub klausul 11.1.5 merancang dan menerapkan

kontrol untuk prosedur bekerja.

11.1 Area Aman




11.2 Peralatan - Sub klausul 11.2.1 kontrol yang menangani

penempatan dan perlindungan terhadap

peralatan untuk mengurangi risiko dari

ancaman lingkungan;

- Sub klausul 11.2.2 kontrol yang melindungi

dari kegagalan sumber daya atau gangguan

lainnya;


perlindungan terhadap daya dan kabel

telekomunikasi atau layanan pendukung

informasi;

- Sub klausul 11.2.9 kontrol terkait kebijakan

kebersihan meja dari kertas dan removable

storage dan kebijakan layar dari pemrosesan

informasi.





16 Manajemen Insiden Keamanan Informasi - Sub klausul 16.1.1 kontrol terkait penetapan

tanggung jawab manajemen dan prosedur untuk

respon cepat dan efektif terhadap insiden

keamanan;

- Sub klausul 16.1.2 kontrol untuk pelaporan

kejadian keamanan informasi;

- Sub klausul 16.1.7 kontrol yang membantu

pendefinisian dan penerapan prosedur untuk

memberikan bukti.

16.1 Manajemen Insiden Keamanan Informasi dan

Peningkatan




18 Penyesuaian - Sub klausul 18.1.2 kontrol untuk menerapkan

prosedur yang tepat terhadap penyesuaian

dengan legislatif, peraturan yang terkait dengan

hak kekayaan intelektual dari produk perangkat

lunak.

18.1 Penyesuaian dengan Hukum dan Kebutuhan

Kontraktual/Perjanjian


129

Tabel 3. 6 Pemilihan Klausul ISO/IEC 27002 (ISO/IEC 27002, 2013)

Klausul ISO/IEC 27002 Alasan

5 Kebijakan keamanan informasi - Sub klausul 5.1.1 kontrol yang mendefinisikan

kebijakan keamanan informasi dan disetujui oleh

manajemen, dan diberitahukan keseluruh pegawai

dan pihak eskternal;

5.1 Arahan manajemen untuk keamanan

informasi


8 Manajemen aset - Sub klausul 8.1.1 kontrol yang membantu

mengidentifikasi dan menginventariskan aset yang

dibuat dan memeliharanya;

- Sub klausul 8.1.2 kontrol yang menangani aset yang

dipertahankan;

- Sub klausul 8.1.3 kontrol yang menangani aturan

terkait penggunaan informasi yang diterima, aset,

dan fasilitas dilakukan pengidentifikasian,

pendokumentasian, dan penerapan;


pengembalian aset oleh pegawai setelah

pemberhentian, habis masa kontrak atau sesuai

pernyataan.






9 Kontrol akses - Sub klausul 9.1.1 kontrol terkait penetapan,

pendokumentasian, dan peninjauan kebijakan akses

berdasarkan bisnis dan kebutuhan keamanan

informasi.



9.4 Kontrol akses sistem dan aplikasi - Sub klausul 9.4.1 kontrol terkait pembatasan akses

informasi dan fungsi sistem berdasarkan kebijakan

kontrol akses;

- Sub klausul 9.4.2 kontrol yang menangani prosedur

log on yang aman jika diperlukan kebijakan kontrol

akses.



10 Kriptografi - Sub klausul 10.1.1 kontrol terkait kebijakan

penggunaaan kriptografi yang dikembangkan dan

diterapkan.


10.1.1 Kebijakan tentang penggunaan kontrol

Kriptografi

12 Keamanan Operasi - Sub klausul 12.1.1 kontrol yang menangani

penyediaan prosedur pengoperasian yang tersedia

untuk seluruh pegawai;

- Sub klausul 12.1.2 kontrol yang menangani segala

perubahan di organisasi seperti proses bisnis,

fasilitas pemrosesasn informasi dan sistem yang

mempengaruhi informasi.

12.1 Tanggung jawab dan Prosedur

Operasional



12.2 Perlindungan terhadap malware - Sub klausul 12.2.1 kontrol untuk perlindungan

terhadap malware dengan pendeteksian, pencegahan,

dan pemulihan kontrol yang dikombinasikan secara

tepat.


12.6 Manajemen Kelemahan Teknikal - Sub klausul 12.6.1 kontrol untuk mengetahui

kerentanan teknis yang diperoleh secara tepat waktu

dari sistem informasi.


130

3.1.4 Studi Literatur

Dalam penyusunan tugas akhir (skripsi) ini, metode studi literatur

dilakukan dengan membaca, mempelajari dan memahami berbagai

sumber bacaan, baik itu buku, e-book, jurnal dan skripsi-skripsi terdahulu

yang mempunyai hubungan dengan permasalahan yang didapat dan

dapat dijadikan sebagai dasar dari penulisan skripsi ini. Penelitian ini

menggunakan referensi berupa jurnal dan skripsi terdahulu yang

membahas tentang penelitian dengan menggunakan ISO/IEC 27001,

ISO/IEC 27002 dan menilai tingkat kematangan keamanan informasi

menggunakan System Security Engineering Capability Maturity Model

(SSE-CMM). Adapun daftar buku yang menjadi referensi dalam

penelitian ini dapat dilihat pada daftar pustaka.

Tabel 3. 7 Studi Literatur

1 Peneliti Heru Susanto et al

Judul Penelitian Information Security Management System Standards: A

Comparative Study of the Big Five

Tahun Penelitian 2011

Institusi FBEPS, University of Brunei Information System Group

Tool ISO/IEC 27001, BS 7799, PCIDSS, ITIL, COBIT

Kelebihan - Penelitian ini membandingkan standar sistem manajemen

keamanan informasi yaitu ISO/IEC 27001, BS 7799,

PCIDSS, ITIL dan COBIT.

- Metode yang digunakan adalah dengan membandingkan

negara yang menginisiasi dan menerapkan standar, dan

posisi standar pada keamanan informasi.

Kekurangan Penelitian dilakukan dengan membandingkan dari sisi

fungsi secara umum tanpa adanya penerapan langsung pada

studi kasus.

Hasil Penelitian ini menghasilkan ISO/IEC 27001 dan BS 7799

fokus utamanya pada sistem manajemen keamanan

informasi, PCIDSS berfokus pada keamanan transaksi

bisnis dan kartu pintar, sedangkan ITIL dan COBIT

berfokus keamanan informasi dengan keterkaitannya pada

manajemen projek dan tata kelola teknologi informasi.

2 Peneliti Georg Disterer

131

Judul Penelitian ISO/IEC 27000, 27001 and 27002 for Information Security

Management


Institusi University of Applied Sciences and Arts, Hannover,

Germany

Tool ISO/IEC 27000, 27001, 27002

Kelebihan - Penelitian ini menggunakan ISO/IEC 27000, 27001, dan

27002.

- Metode yang digunakan adalah dengan menganalisa

dokumen PD 0003A A Code of Practice for Information

Security Management.

Kekurangan Penelitian hanya dilakukan dengan menganalisa dokumen

tanpa pengimplementasian langsung.

Hasil Hasil pada penelitian ini adalah standar ISO/IEC 27000,

27001, 27002 dapat membentuk kerangka kerja untuk

merancang dan mengoperasikan Sistem Manajemen

Keamanan Informasi (SMKI), serta untuk memastikan

tingkat keamanan informasi yang memadai dengan standar

internasional.

3 Peneliti J. Mejia et al

Judul Penelitian Proposal of a Hybrid Process to Manage Vulnerabilities in

Web Applications


Institusi Centro de Investigación en Matemáticas, Av. Universidad

Tool ISO/IEC 27002

Kelebihan - Membantu mengidentifikasi dan mengatur kelemahan

pada aplikasi

- Metode menggunakan CERT-CMM Model

Kekurangan Standar yang digunakan hanya ISO/IEC 27002

Hasil Hasil pada penelitian ini adalah proporsi kerentanan pada

lapisan aplikasi masuk kategori tinggi.

4 Peneliti Anirban Sengupta

Judul Penelitian Modeling Dependencies of ISO/IEC 27002:2013 Security

Controls


Institusi Jadavpur University, Kolkata, India

Tool ISO/IEC 27002

Kelebihan - ISO/IEC 27002 yang digunakan versi 2013

- Membantu manajer menerapkan kontrol yang tepat.


Hasil Penelitian ini menganalisis ketergantungan kontrol

ISO/IEC 27002:2013, dengan pengkategorian penerapan

tugas dan kontrol.

5 Peneliti Natalia Miloslavskaya dan Alexander Tolstoy

Judul Penelitian Information Security Specialist Training on the Basis of

ISO/IEC 27002


Institusi Moscow Engineering Physics Institute (State University),

Russia

Tool ISO/IEC 27002

Kelebihan Metode yang digunakan adalah dengan menganalisa

pengalaman dan kemampuan staf berdasarkan ISO/IEC

27002


132

Hasil Penelitian ini menghasilkan beberapa daftar yang harus

diketahui (should-know), bisa dilakukan (be able), dan

dapat memberikan solusi atau ide (have an idea)

6 Peneliti Ferry Febrianto dan Dana Indra Sensuse

Judul Penelitian Evaluasi Keamanan Informasi Menggunakan ISO/IEC

27002: Studi Kasus pada STIMIK Tunas Bangsa

Banjarnegara


Institusi Universitas AMIKOM Yogyakarta

Tool ISO/IEC 27002

Kelebihan - Mengetahui tingkat keamanan pengelolaan informasi.

- Metode penelitian kualitatif dan pengukurannya

menggunakan metode maturity level


Hasil Hasil penelitian ini adalah tingkat kematangan sebesar 2,6.

7 Peneliti Euis Shobariah

Judul Penelitian Perencanaan Sistem Manajemen Keamanan Sistem

Informasi Berdasarkan Standar ISO/IEC 27001:2013 (Studi

Kasus Dinas Komunikasi dan Informatika Kota Depok)


Institusi Universitas Islam Negeri UIN Syarif Hidayatullah Jakarta

Tool ISO/IEC 27001

Kelebihan - Menggunakan standar ISO/IEC 27001:2013

- Pemilihan klausul berdasarkan nilai dan risiko keamanan

informasi di Bidang Data dan Informasi DISKOMINFO

Kota Depok


Hasil Penelitian ini menemukan level resiko keamanan

menggunakan 3 level matriks resiko yaitu high risk, medium

risk dan low risk.

8 Peneliti Riawan Arbi Kusuma

Judul Penelitian Audit Keamanan Sistem Informasi Berdasarkan Standar

ISO 27001 Pada Sistem Informasi Akademik Universitas

Islam Negeri Sunan Kalijaga Yogyakarta


Institusi Universitas Islam Negeri Sunan Kalijaga Yogyakarta

Tool SNI ISO 27001

Kelebihan Menggunakan standar SNI ISO 27001 terhadap faktor

keamanan informasi, dan membantu mengetahui tingkat

keamanan pada Sistem Informasi Akademik.


Hasil Penelitian ini menghasilkan tingkatan keamanan pada

sistem informasi akademik berada pada skala kematangan

dalam skala model 2 (Repeatable but Intuitive)

9 Peneliti Indah Kusuma Dewi

Judul Penelitian Usulan Manajemen Risiko Berdasarkan SNI ISO

27001:2009 Menggunakan indeks KAMI (Keamanan

Informasi) Studi Kasus: Badan Nasional Penempatan dan

Perlindungan Tenaga Kerja Indonesia (BNP2TKI)


Institusi Universitas Islam Negeri UIN Syarif Hidayatullah Jakarta

Tool SNI ISO 27001:2009

Kelebihan Metode penilaian menggunakan indeks KAMI

Kekurangan Standar yang digunakan hanya SNI ISO 27001

133

Hasil Hasil evaluasi peran dan tingkat kepentingan teknologi

informasi dan komunikasi (TIK) mendapat skor 31 yaitu

kategori Tinggi, hasil evaluasi kelengkapan penerapan

keamanan informasi berada di kategori Kesiapan Dalam

Perbaikan, sedangkan untuk tingkat kematangan informasi

berada pada kategori tingkat I yaitu Kondisi Awal (Reaktif).

10 Peneliti Lusi Anggarini

Judul Penelitian Audit Keamanan Sistem Informasi Perpustakaan Kota

Yogyakarta Berdasarkan Standar ISO/IEC 27001


Institusi Universitas Islam Negeri Sunan Kalijaga Yogyakarta

Tool SNI/ISO 27001

Kelebihan Metode penilaian menggunakan pendekatan maturity model

dengan 6 tahapan skala kematangan.


Hasil Hasil penelitian ini menunjukkan tingkat kematangan

keamanan sistem informasi berada pada level defined

process yaitu 2,6 (Baik).

Alasan utama penggunaan ISO/IEC 27001 dan ISO/IEC 27002

pada penelitian ini adalah karena standar yang berfokus pada sistem

manajemen keamanan informasi. Pada penelitian sebelumnya ada yang

menggunakan ISO/IEC 27001 sebagai perbandingan dengan standar

lainnya yang berdasarkan fungsi secara umum dan penerapan dari

ISO/IEC 27002. Berdasarkan penelitian-penelitian diatas, peneliti

menyimpulkan bahwa ISO/IEC 27001 dapat digunakan untuk membantu

penetapan kebijakan keamanan informasi pada organisasi, sedangkan

ISO/IEC 27002 mambantu pelaksanaan dari kebijakan yang telah dibuat.

Adapun kelebihan yang diberikan pada penelitian ini adalah penggunaan

ISO/IEC 27001 dan ISO/IEC 27002 untuk mengetahui kondisi

penerapan fungsi keamanan informasi saat ini, baik dari sisi manajerial

maupun operasional.

134

3.1.5 Penentuan Ruang Lingkup

Pada tahap ini, peneliti, kepala Divisi Information Technology,

penanggung jawab keamanan sistem, dan manajer compliance

melakukan pertemuan untuk membicarakan tentang manajemen

keamanan informasi yang akan dibangun. Pada tahap ini hal yang harus

diprioritaskan adalah adanya keterlibatan antara dua belah pihak, hal

yang dibutuhkan dalam menentukan ruang lingkup setelah melakukan

pengumpulan data adalah sebagai berikut:

1. Karakteristik yang dimiliki oleh PT Jasa Marga pusat, yang

bertujuan untuk mempelajari profil, visi dan misi.

2. Lokasi PT Jasa Marga pusat dan seberapa besar Divisi Information

Technology, bertujuan untuk mengetahui tugas dan struktur bidang

data dan informasi.

3. Aset-aset yang dimiliki, bertujuan untuk mengidentifikasi aset

apa saja yang dimiliki oleh Divisi Information Technology PT Jasa

Marga. Aset yang dimiliki yaitu, aset informasi, aset infrastruktur,

dan aset layanan yang berlokasi di ruang Information Technology.

4. Teknologi yang digunakan bertujuan untuk mengidentifikasi

teknologi apa saja yang digunakan dalam menjalani proses bisnis

sehari-hari. Contoh teknologi yang dipakai pada Divisi Information

Technonlogy kantor PT Jasa Marga pusat adalah server,

uninterruptible power supply (UPS), fiber optic, switch, kabel local

area network (LAN), dan lain-lain.

135

3.1.6 Menentukan Kebijakan

Adapun penentuan kebijakan berisi pernyataan sebagai berikut:

1. Definisi keamanan informasi, tinjauan dan prinsip-prinsip untuk

memandu semua kegiatan yang berkaitan dengan keamanan

informasi yang akan diterapkan Divisi Information Technonlogy

kantor PT Jasa Marga pusat.

2. Tanggung jawab, tugas umum dan khusus manajemen keamanan

informasi harus didefinisikan sehingga dapat dijalankan pada Divisi

Information Technonlogy kantor PT Jasa Marga pusat.

3.2 Tahap Do

Tahap ini merupakan pengimplementasian dari hasil tahap plan,

dilakukan dengan cara menanyakan kepada Divisi Information

Technonlogy kantor PT Jasa Marga pusat dan melihat keadaan disana

secara langsung. Tahap Do ini dilakukan dengan serangkaian aktivitas

sebagai berikut:

1. Mengidentifikasi risiko yang terjadi di Divisi Information

Technonlogy kantor PT Jasa Marga pusat, langkah untuk

mengidentifikasi risiko adalah sebagai berikut:

a) Mengidentifikasi aset yang dimiliki oleh Divisi Information

Technonlogy kantor pusat PT Jasa Marga, setelah

mengidentifikasi aset-aset tersebut kemudian dinilai

berdasarkan aspek keamanan informasi yaitu: kerahasiaan

136

(confidentiality), keutuhan (integrity), dan ketersediaan

(availability).

b) Mengidentifikasi ancaman dan kelemahan yang dimiliki oleh

aset pada Divisi Information Technonlogy kantor PT Jasa

Marga pusat yang dapat mengganggu proses bisnis pada Divisi

Information Technonlogy kantor PT Jasa Marga pusat, setelah

itu menghitung nilai dari ancaman tersebut.

2. Melakukan analisis dan evaluasi risiko berdasarkan hasil

identifikasi yang sudah dilakukan pada tahap sebelumnya, untuk

memahami level risiko Divisi Information Technonlogy kantor PT

Jasa Marga yang mungkin terjadi dan menentukan apakah risiko

yang terjadi langsung diterima atau masih dilakukan pengelolaan

(treatment) agar risiko dapat diterima dengan dampak yang bisa

ditoleransi. Langkah untuk menganalisis dan mengevaluasi risiko

adalah sebagai berikut:

a) Melakukan analisis dampak bisnis (Business Impact

Analysis) pada Divisi Information Technonlogy PT Jasa

Marga, analisis dampak bisnis ini dilakukan dengan

menentukan skala nilai BIA.

b) Mengidentifikasi level risiko (risk level) Divisi Information

Technonlogy kantor PT Jasa Marga pusat tahapan ini bertujuan

untuk menilai tingkat risiko yang terjadi jika dihubungkan

dengan dampak dan probabilitas ancaman yang mungkin

137

terjadi. Untuk mengidentifikasi level risiko Divisi Information

Technonlogy PT Jasa Marga dapat membuat matriks level

risiko.

c) Menentukan risiko diterima atau perlu pengelolaan risiko pada

Divisi Information Technonlogy kantor PT Jasa Marga, tahap

ini berdasarkan pada kriteria penerimaan risiko. Langkah ini

melakukan penilaian terhadap risiko dari informasi yang

dimiliki untuk mengetahui berapa nilai risiko dari informasi

yang ada pada Divisi Information Technonlogy PT Jasa Marga.

3.3 Tahap Check

Dari hasil yang didapat pada tahap do, tahap selanjutnya adalah

tahap check, yaitu memilih objektif kontrol dan kontrol keamanan

informasi yang akan diterapkan di Divisi Information Technonlogy kantor

PT Jasa Marga pusat berdasarkan nilai dari risiko informasi yang sudah

dilakukan penilaian pada tahap sebelumnya. Pada tahap ini dilakukan

pemantauan, ulasan dan audit internal pada Divisi Information

Technonlogy kantor PT Jasa Marga pusat dengan melakukan tingkat

kematangan (maturity level) dengan menggunakan System Security

Engineering Capability Maturity Model (SSE-CMM). Langkah-langkah

dalam menentukan maturity level adalah sebagai berikut:

1. Pembuatan Pernyataan

138

Setelah ditentukan objektif kontrol dan kontrol keamanan

informasi apa saja yang akan diterapkan dari pengukuran risiko,

kemudian dibuat pernyataan berdasarkan kontrol keamanan dari

setiap objektif kontrol yang dipilih untuk diterapkan di Divisi

Information Technonlogy kantor PT Jasa Marga pusat. Pernyataan

ini dibuat dan disesuaikan berdasarkan standar ISO/IEC

27002:2013.

2. Penentuan Nilai Tingkat Kemampuan

Untuk menilai level kemampuan keamanan pada Divisi

Information Technonlogy kantor PT Jasa Marga pusat pada tiap

pernyataan digunakan System Security Engineering Capability

Maturity Level (SSE-CMM).

Tabel 3. 8 Tingkat Kemampuan (Sarno & Iffano, 2009)

Tingkat

Kemampuan Deskripsi

1 Performed Informally (Dilakukan Informal)

2 Planned and Tracked (Direncanakan dan Dilacak)

3 Well Defined (Didefinisikan dengan Baik)

4 Quantitatively Controlled (Dikendalikan secara

kuantitatif)

5 Continously Improving (Ditingkatkan terus-

menerus)

3. Penentuan Maturity Level

Penentuan maturity level adalah rata-rata dari seluruh control

keamanan yang telah dihitung level kemampuannya, setiap klausul

mempunyai beberapa objektif kontrol, dan setiap objektif kontrol

mempunyai beberapa kontrol kemanan informasi rata-rata yang

139

diambil setiap objektif kontrol dan rata-rata keseluruhan klausul

yang menghasilkan nilai maturity level pada klausul tersebut.

3.4 Tahap Act

Setelah didapatkan hasil dari tahap check, selanjutnya adalah tahap

act. Tahap ini dilakukan langkah perbaikan dan pengembangan

manajemen keaman informasi Divisi Information Technonlogy kantor PT

Jasa Marga pusat dengan memberikan rekomendasi terhadap objektif

kontrol dan kontrol keamanan informasi yang sudah di nilai tingkat

kemampuan nya pada tahap sebelumnya. Rekomendasi yang diberikan

mengacu pada ISO/IEC 27001 dan ISO/IEC 27002.

3.5 Kerangka Penelitian

140

Metode Observasi

Metode Wawancara

Kusioner

Studi Literatur

Mulai

Tahap Plan

Penentuan ruang lingkup

Menentukan kebijakan ISO 27001 dan ISO

27002

Tahap DoMengidentifikasi

Risiko

Mengidentifikasi Aset dan Menilai Aset

Mengidentifikasi Ancaman dan Kelemahan, Menghitung Nilai Ancaman

Menganalisis dan Mengevaluasi Resiko

Menganalisis Dampak Bisnis

Mengidentifikasi Level Resiko

Menilai Resiko

Tahap Check

Memilih Objektif Kontrol dan Kontrol Keamanan Informasi

Berdasarkan ISO 27001: 2013 dan ISO

27002:2013

Penentuan Nilai Tingkat Kemampuan Menggunakan SSE-

CMM

Pembuatan Pernyataan

Penentuan Nilai Tingkat Kemampuan

Penentuan Maturity Level

Tahap Act

Rekomendasi terhadap objektif kontrol dan kontrol keamanan

informasi yang sudah di nilai tingkat kemampuannya mengacu pada ISO

27001:2013 dan ISO 27002:2013

Implementasi Akses Kontrol yang mengacu pada ISO/IEC 27002:2013

Kesimpulan dan Saran

Selesai

Metode Evaluasi Menggunakan

PDCA

Gambar 3. 1 Kerangka Penelitian

141

BAB IV

HASIL DAN PEMBAHASAN

4.1 Tahap Plan

4.1.1 Menentukan Ruang Lingkup Keamanan Informasi

4.1.1.1 Gambaran Umum Organisasi

4.1.1.1.1 PT Jasa Marga

Melalui Peraturan Pemerintah No.04 Tahun 1978, pada

tanggal 01 Maret 1978 Pemerintah mendirikan PT Jasa Marga

(Persero) Tbk. Tugas utama Jasa Marga adalah merencanakan,

membangun, mengoperasikan dan memelihara Jalan Tol serta sarana

kelengkapannya agar Jalan Tol dapat berfungsi sebagai jalan bebas

hambatan yang memberikan manfaat lebih tinggi daripada jalan

umum bukan tol. Berdasarkan hal tersebut diatas dan dan

sebagaimana yang tercermin dalam Visi dan Misi, maka Jasa Marga

menawarkan jasa layanan Jalan Tol yang meliputi pengembangan dan

pengoperasian Jalan Tol. Berikut ini adalah jumlah aset pendukung

yang ada pada Divisi Information Technology (IT).

142

142

Tabel 4. 1 Data Aset Pendukung pada Divisi Information Technology (IT)

No Nama Aset Jenis Jumlah

Item

1 Laptop Hardware 20

2 Server Physical Hardware 8

3 Windows server 2012 R.2 Software 1

4 Windows 10 Software 1

5 Microsoft Office 2016 Software 1

6 Microsoft SQL Server 2008 Software 1

7 Air Conditioner (AC) Fasilitas Pendukung 6

8 Uninterruptible Power

Supply (UPS)

Jaringan 1

9 Fiber Optic Jaringan 1

10 CCTV Fasilitas Pendukung 3

11 Switch Fasilitas Pendukung 2

12 Wi-Fi Fasilitas Pendukung 1

13 Aplikasi IT Service Desk Fasilitas Pendukung 1

14 Oracle Database 11.2.0.1 Software 1

15 Windows 7 Software 1

16 Microsoft Office 2013 Software 1

17 Avira Antivirus 2019 Software 1

18 Kaspersky Antivirus 2018 Software 1

19 Server Storage Hardware 1

20 Server Virtual Software 33

4.1.1.1.2 Sejarah PT Jasa Marga

Untuk mendukung gerak pertumbuhan ekonomi, Indonesia

membutuhkan jaringan jalan yang andal. PT Jasa Marga (Persero) Tbk

dibentuk berdasarkan Peraturan Pemerintah Republik Indonesia No.04

tahun 1978 tentang Penyertaan Modal Negara Republik Indonesia

dalam pendirian Perusahaan Perseroan (Persero) di bidang pengelolaan,

pemeliharaan, dan pengadaan jaringan jalan tol, serta ketentuan-

ketentuan pengusahaannya (Lembaran Negara Republik Indonesia No.

04 tahun 1978 juncto Surat Keputusan Menteri Keuangan Republik

143

Indonesia No. 90/KMK.06/1978 tentang Penetapan Modal Perusahaan

Perseroan (Persero) PT Jasa Marga tanggal 27 Februari 1978.

4.1.1.1.3 Visi, Misi, dan Logo PT Jasa Marga

4.1.1.1.3.1 Visi

Adapun Visi PT Jasa Marga adalah sebagai berikut:

- Memiliki keuntungan finansial (financial soundness) yang relatif

tinggi di industrinya dan memberikan nilai investasi dalam jangka

panjang (long-term investment value).

- Menjadi market leader di industrinya.

- Selalu melakukan inovasi sehingga mempunyai kualitas produk dan

layanan yang ekselen, melalui inovasi yang terus-menerus.

- Memiliki tanggung jawab sosial kepada masyarakat dan lingkungan.

- Mempunyai Manajemen Perusahaan yang berkualitas.

- Menjadi panutan dalam pengelolaan Human Capital bagi

perusahaan lain dan pilihan untuk berkarier bagi orang-orang yang

bertalenta.

4.1.1.1.3.2 Misi

Berikut ini adalah Misi dari PT Jasa Marga:

- Mewujudkan Percepatan Pembangunan Jalan Tol.

- Menyediakan Jalan Tol yang Efisiensi dan Andal.

- Meningkatkan Kelancaran Distribusi Barang dan Jasa.

144

4.1.1.1.3.3 Logo

Sejak tahun 1978, logo Perseroan telah dua kali mengalami

perubahan, yaitu pada tahun 1993 dan 2007.

Logo Perseroan yang digunakan sejak tahun 2007 memperlihatkan

perubahan yang merupakan cerminan atas komitmen yang kuat

untuk tumbuh menjadi perusahaan yang bercitra sebagai pemimpin,

modern, dan profesional di industrinya.

Adapun arti dari logo PT Jasa Marga adalah sebagai berikut:

- Konfigurasi jalan membentuk huruf “J” merupakan cermin

perjalanan historis Perseroan, mencitrakan Perseroan yang

semakin dinamis.

- Warna biru dan kuning pada logo mencerminkan harapan dan

masa depan, serta semangat dan komitmen.

- Bola berwarna biru menunjukkan bahwa Jasa Marga menuju

perusahaan yang memiliki standar global. Pelayanan jalan tol

terus dikembangkan untuk memenuhi standar tersebut.

Gambar 4. 1 Logo PT. Jasa Marga (Annual Report PT.Jasa Marga, 2016)

145

4.1.1.1.4 Divisi Information Technology PT Jasa Marga

Divisi Information and Technology merupakan divisi yang

memastikan tersedianya rencana strategis bidang teknologi dan

komunikasi perusahaan dan mengarahkan, memimpin dan

mengendalikan pelaksanaan serta kegiatan dan program kerja di

bidang pengoperasian Jalan Tol Anak Perusahaan.

4.1.1.1.5 Struktur Organisasi PT Jasa Marga

Gambar 4. 2 Struktur Organisasi PT Jasa Marga (IT Masterplan PT Jasa Marga, 2014)

146

4.1.1.1.6 Struktur Divisi Information Technology (IT) PT Jasa Marga

Divisi Information

Technology (IT)

Departemen IT

Planning

Departemen IT

Development

Departemen IT

Operation

Departemen IT

Control and

Monitoring

Seksi IT System

Analyst & Portfolio

Seksi IT Platform &

Architecture

Seksi IT Decision

Support and EIS

Seksi Toll Collection

Devices

Seksi Traffic

Infocomm Devices

Seksi IT

Infrastructure

Seksi IT Application

and Database

Seksi IT Operation

Management

Seksi IT Compliance

Seksi IT Quality

Assurance and

Security

Gambar 4. 3 Struktur Organisasi Divisi Information Technology (IT) (IT

Masterplan PT Jasa Marga, 2014)

4.1.1.2 Ruang Lingkup Keamanan Informasi

Adapun ruang lingkup pada keamanan informasi dilakukan

pada proses dan kegiatan perencanaan di divisi Information

Technology (IT) dengan berfokus pada perencanaan keamanan

informasi karena sesuai dengan fungsi divisi IT yang berfokus pada

pengendalian informasi, sehingga perlu dilakukan upaya

perlindungan secara maksimal.

147

4.1.2 Menentukan Kebijakan Keamanan Informasi

Perencanaan Sistem Manajemen Keamanan Informasi (SMKI)

berdasarkan standar ISO/IEC 27001:2013. Standar ISO/IEC 27001:2013

dapat digunakan untuk serangkaian proses dalam pengoperasian keamanan

teknologi informasi yang akan menjadi kebijakan dan dasar dari

pelaksanaan SMKI serta ISO/IEC 27002:2013 yang berkaitan dengan

keamanan dan kontrol akses keamanan informasi yang memungkinkan

bisnis untuk menerapkan keamanan yang tepat.

Demi kelancaran proses bisnis pada Divisi Information

Technology diperlukan perlindungan aset organisasi dan membutuhkan

SMKI yang akan diimplementasikan. Kebutuhan bisnis dari Divisi

Information Technology selalu berubah sesuai dengan perkembangan,

sehingga Divisi Information Technology harus mampu mengembangkan

dan memelihara SMKI yang sesuai dengan kebutuhan untuk

perkembangan bisnis.

Berikut adalah arahan dan tujuan penerapan SMKI yang sesuai

dengan kebijakan dan kontrol akses keamanan informasi memungkinkan

bisnis untuk menerapkan keamanan yang tepat.

1. Tujuan

Kebijakan keamanan informasi dan kontrol akses keamanan informasi

adalah bagian dari keseluruhan SMKI yang harus diikuti oleh semua

pegawai Divisi Information Technology PT Jasa Marga. Kebijakan

keamanan informasi bertujuan melindungi:

148

a. Integritas yaitu keutuhan atau kualitas informasi yang aman dan

benar.

b. Kerahasiaan yaitu informasi hanya dapat diakses orang yang

berkepentingan.

c. Ketersediaan yaitu informasi atau teknologi informasi telah siap

untuk digunakan.

Kebijakan keamanan informasi digunakan untuk melindungi informasi

organisasi dan teknologi informasi pada Divisi Information Technology.

Kontrol akses keamanan informasi berfokus pada teknis pemberdayaan,

pemeliharaan aset, dan tingkat keamanan khususnya pada kondisi fisik

untuk pemeliharaan pada Divisi Information Technology.

2. Kebijakan Keamanan Informasi

Divisi Information Technology PT Jasa Marga menerapkan

perlindungan aset informasi secara tepat, yang ingin terlepas dari nilai

ancaman dan kerentanan akan keamanan informasi yang dapat terjadi.

Untuk itu, Ketua Divisi Information Technology PT Jasa Marga akan

memastikan seluruh sistem memiliki kinerja yang baik. Tujuan

kebijakan ini adalah untuk membangun SMKI sesuai dengan standar

ISO/IEC 27001:2013 pada Divisi Information Technology PT Jasa

Marga, agar tidak terjadi penghambatan akses yang tidak sah, transfer

data, perubahan data, kerusakan data, dan pencurian aset informasi.

Divisi Information Technology memiliki tujuan mengajak para pegawai

untuk mengikuti kebijakan, kontrol, dan pedoman, dengan melakukan

149

pelatihan keamanan informasi kepada seluruh pegawai. Dalam hal ini,

Ketua Divisi Information Technology berperan dan bertanggung jawab

dalam pengelolaan proses SMKI dan saran dalam bimbingan

pelaksanaan untuk Divisi Information Technology. Penilaian risiko

dilakukan oleh Divisi Information Technology secara berkala untuk

menentukan tindaklanjut yang diperlukan.

3. Kontrol Akses Keamanan Informasi

Divisi Information Technology PT Jasa Marga memiliki kontrol akses

keamanan informasi bertujuan untuk fokus pada teknis pemberdayaan,

pemeliharaan aset, dan tingkat keamanan yang dimiliki, khusus dalam

kondisi fisik untuk pemeliharaannya. Standar ini merupakan referensi

lengkap dan sesuai untuk PT Jasa Marga yang belum pernah di

standarisasi sebelumnya oleh ISO/IEC 27001 dan ISO/IEC 27002.

Diharapkan memberikan dampak baik setelah melakukan prosedur ini,

agar dapat melakukan pengontrolan terhadap keamanan informasi.

Standar ini dapat dilihat sebagai praktik terbaik dalam pemilihan kontrol

keamanan informasi, dan pemilihan kontrol keamanan ini sesuai dengan

kebutuhan masing-masing di dalam organisasi untuk diberlakukan

dilingkungan bisnis organisasi tersebut.

150

4.2 Tahap Do

4.2.1 Mengidentifikasi Risiko

4.2.1.1 Mengidentifikasi dan Menghitung Nilai Aset

Tahap pertama dalam pengidentifikasian risiko adalah dengan

mengidentifikasi aset pada Divisi Information Technology (IT) yang

terkait dengan inforrmasi. Terdapat dua jenis aset yaitu:

1. Aset Utama

Berikut ini merupakan identifikasi aset utama yang dimiliki PT

Jasa Marga yang peneliti temukan pada divisi Information Technology

(IT):

Tabel 4. 2 Aset Utama PT Jasa Marga

No Nama Aset Jenis Penjelasan Lokasi

1 Database Web Portal

Internal

Informasi Database berisi data-data Surat

Keputusan (SK), Kuesioner,

Pengumuman, Galeri Foto dan

Video

Divisi Information

Technology (IT) Kantor

Pusat PT Jasa Marga

2 Database RQM (Risk

Quality Management)

Informasi Database berisi data-data sistem

RQM (Risk Quality Management)

Divisi Information


Pusat PT Jasa Marga

3 Database

Kepegawaian

Informasi Database berisi data aplikasi cuti,

aplikasi lembur, aplikasi absensi,

aplikasi e-payslip, aset, SK Online,

E-CV, dan SMKK

Divisi Information


Pusat PT Jasa Marga

4 Database Lelang

Jabatan

Informasi Database berisi data jabatan

pegawai dan posisi jabatan yang

kosong

Divisi Information


Pusat PT Jasa Marga

5 Database Legal and

Compliance

Informasi Database berisi data bagian

persuratan hukum dan izin

perusahaan

Divisi Information


Pusat PT Jasa Marga

6 Database LPSE

(Layanan Pengadaan

Secara Elektronik)

Informasi Database berisi data terkait layanan

pegadaan elektronik yang

dibutuhkan dan digunakan

Divisi Information


Pusat PT Jasa Marga

7 Database Internal

GCG

Informasi Database berisi data internal GCG

yang digunakan untuk penilaian

atau telah dilakukan

Divisi Information


Pusat PT Jasa Marga

151

8 Database JMDC (Jasa

Marga Development

Center)

Informasi Database berisi data terkait sistem

yang perlu dikembangkan

Divisi Information


Pusat PT Jasa Marga

9 Database EOPA

(Electronic

Operational

Performance

Appraisal)

Informasi Database berisi data kegiatan

operasional pada khususnya lokasi

lapangan di jalan tol

Divisi Information


Pusat PT Jasa Marga

10 Database Knowledge

Management

Informasi Database berisi data dari sistem

knowledge management berupa

sharing ilmu dan pengalaman antar

pegawai

Divisi Information


Pusat PT Jasa Marga

11 Database Lalu Lintas

Tol

Informasi Database berisi data kondisi lalu

lintas pada jalan tol

Divisi Information


Pusat PT Jasa Marga

12 Database Jadwal

Direksi

Informasi Database berisi jadwal direksi

berupa pertemuan, konferensi, dan

rapat direksi

Divisi Information


Pusat PT Jasa Marga

13 Database Oracle

Hyperion Planning

Informasi Database berisi data

pengembangan pada sistem

Hyperion Planning

Divisi Information


Pusat PT Jasa Marga

14 Database JMACT

(Jasa Marga Adukan

Cermati Tuntaskan)

Informasi Database berisi data pengaduan

pada PT Jasa Marga

Divisi Information


Pusat PT Jasa Marga

15 Database Related

Business

Development

Informasi Database berisi data

pengembangan bisnis terkait pada

PT Jasa Marga

Divisi Information


Pusat PT Jasa Marga

16 Database PKBL

(Program Kemitraan

dan Bina

Lingkungan)

Informasi Database berisi data programan

kemitraan dan bina lingkungan

yang dilakukan oleh PT Jasa Marga

Divisi Information


Pusat PT Jasa Marga

17 Database IT Service

Desk

Informasi Database berisi data layanan yang

dilakukan oleh divisi Information

Technology (IT) kepada divisi lain

Divisi Information


Pusat PT Jasa Marga

18 Database ERP Informasi Database berisi data sistem ERP Divisi Information


Pusat PT Jasa Marga

19 Database Keuangan

Anak Perusahaan

Informasi Database berisi data keuangan

anak perusahaan

Divisi Information


Pusat PT Jasa Marga

20 Database Sistem

Informasi Manajemen

Informasi Database berisi data dari sistem

informasi manajemen

Divisi Information


Pusat PT Jasa Marga

2. Aset Pendukung

152

Berikut ini merupakan identifikasi aset pendukung yang dimiliki

PT Jasa Marga yang peneliti temukan pada divisi Information

Technology (IT):

Tabel 4. 3 Aset Pendukung PT Jasa Marga

No Nama Aset Jenis Penjelasan Lokasi

1 Laptop Hardware Komputer yang dipakai oleh

pegawai divisi Information

Technology (IT) Kantor Pusat

PT Jasa Marga

Divisi Information


Pusat PT Jasa Marga

2 Server Physical Hardware Digunakan untuk mengakses

Web dan aplikasi pada kantor

pusat PT Jasa Marga: Type

IBM x3620

Divisi Information


Pusat PT Jasa Marga

3 Windows server 2012

R.2

Software Sistem operasi yang digunakan

pada komputer Server

Divisi Information


Pusat PT Jasa Marga

4 Windows 10 Software Sistem operasi yang digunakan

pada komputer pegawai

Divisi Information


Pusat PT Jasa Marga

5 Microsoft Office 2016 Software Aplikasi yang digunakan pada

komputer pegawai untuk

mengolah data

Divisi Information


Pusat PT Jasa Marga

6 Microsoft SQL Server

2008

Software Aplikasi database yang

digunakan oleh pegawai

Divisi Information


Pusat PT Jasa Marga

7 Air Conditioner (AC) Fasilitas

Pendukung

Perangkat Pendingin Ruangan Divisi Information


Pusat PT Jasa Marga

8 Uninterruptible Power

Supply (UPS)

Jaringan Alat yang digunakan untuk

pencadangan listrik jika terjadi

kehilangan energi dari sumber

utamanya

Divisi Information


Pusat PT Jasa Marga

9 Fiber Optic Jaringan Kabel jaringan yang dapat

mentransmisi data melalui

media cahaya.

Divisi Information


Pusat PT Jasa Marga

10 CCTV Fasilitas

Pendukung

Alat perekam berupa kamera

yang mengawasi kegiatan yang

dapat merekam gambar dan

suara

Divisi Information


Pusat PT Jasa Marga

11 Switch Fasilitas

Pendukung

Untuk membagi jaringan

internet dari Internet Service

Provider (ISP) kepada seluruh

pegawai

Divisi Information


Pusat PT Jasa Marga

12 Wi-Fi Fasilitas

Pendukung

Berfungsi untuk komunikasi

atau transfer program dan data

Divisi Information


Pusat PT Jasa Marga

153

13 Aplikasi IT Service

Desk

Fasilitas

Pendukung

Aplikasi yang digunakan oleh

pegawai apabila menemukan

permasalahan pada aplikasi

lain, atau masalah terkait

teknologi informasi

Divisi Information


Pusat PT Jasa Marga

14 Oracle Database

11.2.0.1

Software Aplikasi database yang

digunakan oleh pegawai

Divisi Information


Pusat PT Jasa Marga

15 Windows 7 Software Sistem operasi yang digunakan

pada komputer pegawai

Divisi Information


Pusat PT Jasa Marga

16 Microsoft Office 2013 Software Aplikasi yang digunakan pada

komputer pegawai untuk

mengolah data

Divisi Information


Pusat PT Jasa Marga

17 Avira Antivirus 2019 Software Aplikasi antivirus yang

digunakan oleh pegawai untuk

mengetahui serangan dari

pihak yang tidak diinginkan

Divisi Information


Pusat PT Jasa Marga

18 Kaspersky Antivirus

2018

Software Aplikasi antivirus yang

digunakan oleh pegawai untuk

mengetahui serangan dari

pihak yang tidak diinginkan

Divisi Information


Pusat PT Jasa Marga

19 Server Storage Hardware Media yang digunakan untuk

menyimpan data perusahaan

Divisi Information


Pusat PT Jasa Marga

20 Server Virtual Software Digunakan untuk mengakses

layanan dan aplikasi yang ada

pada PT Jasa Marga

Divisi Information


Pusat PT Jasa Marga

Setelah semua aset divisi Information Technology (IT) PT Jasa

Marga teridentifikasi, selanjutnya adalah dilakukan perhitungan untuk

mengetahui seberapa nilai dari masing masing aset yang dimiliki.

Peneliti melakukan penghitungan nilai aset berdasarkan pada aspek

keamanan informasi adalah: kerahasiaan (confidentiality), keutuhan

(integrity) dan ketersediaan (availability). Di bawah ini merupakan

tabel hasil penilaian aset dari masing-masing aspek keamanan

informasi yang dimiliki oleh divisi Information Technology (IT) PT

Jasa Marga, penilaian aset ini dilakukan oleh Manajer Compliance

divisi Information Technology (IT) PT Jasa Marga.

1. Aset Utama

154

Tabel 4. 4 Nilai Aset Utama

No Nama Aset

Nilai

Confidentiality

(NC)

Nilai

Integrity

(NI)

Nilai

Availability

(NA) Nilai Aset

1 Database Web Portal Internal 1 3 4 8

2 Database RQM (Risk Quality

Management)

3 3 3 9

3 Database Kepegawaian 3 3 3 9

4 Database Lelang Jabatan 4 3 2 9

5 Database Legal and

Compliance

4 3 4 11

6 Database LPSE (Layanan

Pengadaan Secara Elektronik)

4 3 3 10

7 Database Internal GCG 4 3 3 10

8 Database JMDC (Jasa Marga

Development Center)

4 3 3 10

9 Database EOPA (Electronic

Operational Performance

Appraisal)

3 3 3 9


Management

3 3 3 9

11 Database Lalu Lintas Tol 0 4 4 8

12 Database Jadwal Direksi 4 4 3 11

13 Database Oracle Hyperion

Planning

4 3 4 11

14 Database JMACT (Jasa Marga

Adukan Cermati Tuntaskan)

3 4 4 11

15 Database Related Business

Development

4 4 3 11

16 Database PKBL (Program

Kemitraan dan Bina

Lingkungan)

3 3 3 9

17 Database IT Service Desk 3 4 4 11

18 Database ERP 3 4 4 11

19 Database Keuangan Anak

Perusahaan

4 4 3 11

20 Database Sistem Informasi

Manajemen

4 3 3 10

155

2. Aset Pendukung

Tabel 4. 5 Nilai Aset Pendukung

No Nama Aset

Nilai

Confidentiality

(NC)

Nilai

Integrity

(NI)

Nilai

Availability

(NA) Nilai Aset

1 Laptop 1 1 3 5

2 Server Physical 2 2 2 6

3 Windows server 2012 R.2 2 1 3 6

4 Windows 10 1 3 3 7

5 Microsoft Office 2016 1 3 3 7

6 Microsoft SQL Server 2008 2 1 2 5

7 Air Conditioner (AC) 1 0 2 3

8 Uninterruptible Power Supply

(UPS)

2 0 1 3

9 Fiber Optic 2 0 2 4

10 CCTV 1 2 3 6

11 Switch 2 2 1 5

12 Wi-Fi 1 2 3 6

13 Aplikasi IT Service Desk 1 1 1 3

14 Oracle Database 11.2.0.1 1 2 1 4

15 Windows 7 1 2 2 5

16 Microsoft Office 2013 1 2 2 5

17 Avira Antivirus 2019 1 3 2 6

18 Kaspersky Antivirus 2018 1 2 2 5

19 Server Storage 1 3 2 6

20 Server Virtual 1 2 2 5

4.2.1.2 Mengidentifikasi Kelemahan, Ancaman, dan Menilai terhadap Aset

Kelemahan merupakan salah satu ancaman pada prosedur

keamanan informasi, perencanaan, implementasi atau kontrol di Divisi

Information Technology (IT) terhadap perlindungan informasi yang

dimiliki, dan pada dasarnya kelemahan mempunyai kerentanan yang

berbeda.

156

Ancaman adalah kejadian yang dapat merugikan proses bisnis di

Divisi Information Technology (IT). Tujuan dari tahapan ini adalah untuk

mengetahui ancaman yang mungkin terjadi yang dapat membahayakan

sistem pada Divisi Information Technology (IT). Hasil dari tahap ini

adalah daftar kelemahan dan ancaman yang mungkin dapat

membahayakan Divisi Information Technology (IT).

Selanjutnya diidentifikasi kelemahan dan ancaman menggunakan

ISO/IEC 27001:2013 dan ISO/IEC 27002:2013 sebagai code practice

untuk memaksimalkan pemeliharaan aset selanjutnya juga kontrol akses

pada keamanannya.

1. Aset Utama

1. Database Web Portal Internal

Tabel 4. 6 Daftar Kelemahan dan Ancaman Database Web Portal Internal

No Kejadian Jenis

1 Power Failure (Gangguan Sumber Daya) Vulnerable

2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable

3 Data Corruption (Kerusakan Data) Vulnerable

4 Software Bug Vulnerable

5 Bot-network Operation Threat

6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

2. Database RQM (Risk Quality Management)

Tabel 4. 7 Daftar Kelemahan dan Ancaman Database RQM (Risk Quality

Management)

No Kejadian Jenis






6 Pencuri Threat

157

7 Hackers Threat

8 Cracker Threat

3. Database Kepegawaian

Tabel 4. 8 Daftar Kelemahan dan Ancaman Database Kepegawaian

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

4. Database Lelang Jabatan

Tabel 4. 9 Daftar Kelemahan dan Ancaman Database Lelang Jabatan

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

5. Database Legal and Compliance

Tabel 4. 10 Daftar Kelemahan dan Ancaman Database Legal and Compliance

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

158

6. Database LPSE (Layanan Pengadaan Secara Elektronik)

Tabel 4. 11 Daftar Kelemahan dan Ancaman Database LPSE (Layanan Pengadaan

Secara Elektronik)

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

7. Database Internal GCG

Tabel 4. 12 Daftar Kelemahan dan Ancaman Database Internal GCG

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

8. Database JMDC (Jasa Marga Development Center)

Tabel 4. 13 Daftar Kelemahan dan Ancaman Database JMDC (Jasa Marga

Development Center)

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

159

9. Database EOPA (Electronic Operational Performance Appraisal)

Tabel 4. 14 Daftar Kelemahan dan Ancaman Database EOPA (Electronic Operational

Performance Appraisal)

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

10. Database Knowledge Management

Tabel 4. 15 Daftar Kelemahan dan Ancaman Database Knowledge Management

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

11. Database Lalu Lintas Tol

Tabel 4. 16 Daftar Kelemahan dan Ancaman Database Lalu Lintas Tol

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

12. Database Jadwal Direksi

Tabel 4. 17 Daftar Kelemahan dan Ancaman Database Jadwal Direksi

No Kejadian Jenis


160





6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

13. Database Oracle Hyperion Planning

Tabel 4. 18 Daftar Kelemahan dan Ancaman Database Oracle Hyperion Planning

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

14. Database JMACT (Jasa Marga Adukan Cermati Tuntaskan)

Tabel 4. 19 Daftar Kelemahan dan Ancaman Database JMACT (Jasa Marga Adukan

Cermati Tuntaskan)

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

15. Database Related Business Development

Tabel 4. 20 Daftar Kelemahan dan Ancaman Database Related Business Development

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

161

16. Database PKBL (Program Kemitraan dan Bina Lingkungan)

Tabel 4. 21 Daftar Kelemahan dan Ancaman Database PKBL (Program Kemitraan

dan Bina Lingkungan)

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

17. Database IT Service Desk

Tabel 4. 22 Daftar Kelemahan dan Ancaman Database IT Service Desk

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

18. Database ERP

Tabel 4. 23 Daftar Kelemahan dan Ancaman Database ERP

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

162

19. Database Keuangan Anak Perusahaan

Tabel 4. 24 Daftar Kelemahan dan Ancaman Database Keuangan Anak Perusahaan

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

20. Database Sistem Informasi Manajemen

Tabel 4. 25 Daftar Kelemahan dan Ancaman Database Sistem Informasi Manajemen

No Kejadian Jenis






6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

2. Aset Pendukung

1. Laptop

Tabel 4. 26 Daftar Kelemahan dan Ancaman pada Laptop

No Kejadian Jenis





5 Gangguan Listrik Threat

6 Pencuri Threat

2. Server Physical

Tabel 4. 27 Daftar Kelemahan dan Ancaman pada Server Physical

No Kejadian Jenis



163




6 Pencuri Threat

7 Hackers Threat

8 Cracker Threat

9 Pegawai Internal Threat

10 Spammers Threat

11 Virus Attack Threat

12 Virus Author Threat


14 Gangguan Jaringan Komunikasi dari Vendor Threat

3. Windows server 2012 R.2

Tabel 4. 28 Daftar Kelemahan dan Ancaman pada Windows server 2012 R.2

No Kejadian Jenis


2 Kurang Kesadaran Pengguna Vulnerable



4. Windows 10

Tabel 4. 29 Daftar Kelemahan dan Ancaman pada Windows 10

No Kejadian Jenis





5. Microsoft Office 2016

Tabel 4. 30 Daftar Kelemahan dan Ancaman pada Microsoft Office 2016

No Kejadian Jenis





164

6. Microsoft SQL Server 2008

Tabel 4. 31 Daftar Kelemahan dan Ancaman pada Microsoft SQL Server 2008

No Kejadian Jenis





7. Air Conditioner (AC)

Tabel 4. 32 Daftar Kelemahan dan Ancaman pada Air Conditioner (AC)

No Kejadian Jenis




8. Uninterruptible Power Supply (UPS)

Tabel 4. 33 Daftar Kelemahan dan Ancaman pada Uninterruptible Power Supply (UPS)

No Kejadian Jenis


2 Hardware Failure (Gangguan Perangkat

Keras)

Vulnerable

9. Fiber Optic

Tabel 4. 34 Daftar Kelemahan dan Ancaman pada Fiber Optic

No Kejadian Jenis


2 Environment Threat

10. CCTV

Tabel 4. 35 Daftar Kelemahan dan Ancaman pada CCTV

No Kejadian Jenis



Keras)

Vulnerable

3 Dara Corruption (Kerusakan Data) Vulnerable


5 Gangguan Jaringan Komunikasi Internal Threat

165

11. Switch

Tabel 4. 36 Daftar Kelemahan dan Ancaman pada Switch

No Kejadian Jenis



12. Wi-Fi

Tabel 4. 37 Daftar Kelemahan dan Ancaman pada Wi-Fi

No Kejadian Jenis



Keras)

Vulnerable




6 Hacker Therat


8 Spammer Threat




13. Aplikasi IT Service Desk

Tabel 4. 38 Daftar Kelemahan dan Ancaman pada Aplikasi IT Service Desk

No Kejadian Jenis


Keras)

Vulnerable



14. Oracle Database 11.2.0.1

Tabel 4. 39 Daftar Kelemahan dan Ancaman pada Oracle Database 11.2.0.1

No Kejadian Jenis





166

15. Windows 7

Tabel 4. 40 Daftar Kelemahan dan Ancaman pada Windows 7

No Kejadian Jenis






Tabel 4. 41 Daftar Kelemahan dan Ancaman pada Microsoft Office 2013

No Kejadian Jenis





17. Avira Antivirus 2019

Tabel 4. 42 Daftar Kelemahan dan Ancaman pada Avira Antivirus 2019

No Kejadian Jenis





18. Kaspersky Antivirus 2018

Tabel 4. 43 Daftar Kelemahan dan Ancaman pada Kaspersky Antivirus 2018

No Kejadian Jenis





19. Server Storage

Tabel 4. 44 Daftar Kelemahan dan Ancaman pada Server Storage

No Kejadian Jenis



Keras)

Vulnerable

167




6 Hacker Therat


8 Spammer Threat




20. Server Virtual

Tabel 4. 45 Daftar Kelemahan dan Ancaman pada Server Virtual

No Kejadian Jenis



Keras)

Vulnerable




6 Hacker Therat


8 Spammer Threat




Setelah melakukan mengetahui kelemahan dan ancaman pada aset

yang ada di Divisi Information Technology (IT), selanjutnya akan

dilakukan penentuan kemungkinan kejadian terhadap aset di Divisi

Information Technology (IT) yang dilakukan peneliti bersama Manajer

Compliance.

Berikut ini merupakan hasil dari identifikasi Manajer Compliance

dalam menilai kelemahan dan ancaman yang terjadi terhadap aset yang

dimiliki oleh divisi Information Technology (IT).

1. Aset Utama

168

1. Database Web Portal Internal

Tabel 4. 46 Hasil Rerata Probabilitas dan Nilai Ancaman Database Web Portal

Internal

No Kejadian Jenis Probabilitas Rerata

Probabilitas

1 Power Failiure (Gangguan

Sumber Daya)

Vulnerable Low 0,1

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,3

3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,3

4 Software Bug Vulnerable High 0,7

5 Bot-network operation Threat Low 0,3

6 Pencuri Threat Medium 0,4

7 Hackers Threat Medium 0,4

8 Cracker Threat Medium 0,4

Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,9

Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,36

Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada

aset ini sebesar 0,36 dan termasuk ke dalam kategori Medium.

2. Database RQM (Risk Quality Management)

Tabel 4. 47 Hasil Rerata Probabilitas dan Nilai Ancaman Database RQM (Risk

Quality Management)


Probabilitas


Sumber Daya)

Vulnerable Medium 0,5

2 Hardware Failure (Gangguan

Perangkat Keras)


3 Data Corruption (Kerusakan

Data)

Vulnerable Low 0,2

4 Software Bug Vulnerable Low 0,1








aset ini sebesar 0,26 dan termasuk ke dalam kategori Low.

169

3. Database Kepegawaian

Tabel 4. 48 Hasil Rerata Probabilitas dan Nilai Ancaman Database Kepegawaian


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)


2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,3

3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,2

4 Software Bug Vulnerable Medium 0,6









4. Database Lelang Jabatan

Tabel 4. 49 Hasil Rerata Probabilitas dan Nilai Ancaman Database Lelang Jabatan


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)


2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,2

3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,3



6 Pencuri Threat Low 0,1

7 Hackers Threat Low 0,1

8 Cracker Threat Low 0,1

Jumlah Kejadian = 8 Jumlah Rerata Prob. 2.1




170

5. Database Legal and Compliance

Tabel 4. 50 Hasil Rerata Probabilitas dan Nilai Ancaman Database Legal and

Compliance


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)

Vulnerable Low 0,3

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,3

3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,2










6. Database LPSE (Layanan Pengadaan Secara Elektronik)

Tabel 4. 51 Hasil Rerata Probabilitas dan Nilai Ancaman Database LPSE

(Layanan Pengadaan Secara Elektronik)


Probabilitas


Sumber Daya)

Vulnerable High 0,7

2 Hardware Failure

(Gangguan Perangkat Keras)



Data)











171

7. Database Internal GCG

Tabel 4. 52 Hasil Rerata Probabilitas dan Nilai Ancaman Database Internal GCG


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)

Vulnerable Low 0,2

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,3

3 Data Corruption

(Kerusakan Data)











8. Database JMDC (Jasa Marga Development Center)

Tabel 4. 53 Hasil Rerata Probabilitas dan Nilai Ancaman Database JMDC (Jasa

Marga Development Center)


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)

Vulnerable Low 0,3

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,3

3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,3










172

9. Database EOPA (Electronic Operational Performance Appraisal)

Tabel 4. 54 Hasil Rerata Probabilitas dan Nilai Ancaman Database EOPA

(Electronic Operational Performance Appraisal)


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)


2 Hardware Failure

(Gangguan Perangkat

Keras)


3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,3










10. Database Knowledge Management

Tabel 4. 55 Hasil Rerata Probabilitas dan Nilai Ancaman Database Knowledge

Management


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)

Vulnerable Low 0,2

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,2

3 Data Corruption

(Kerusakan Data)









173



11. Database Lalu Lintas Tol

Tabel 4. 56 Hasil Rerata Probabilitas dan Nilai Ancaman Database Lalu Lintas Tol


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)

Vulnerable High 0,7

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable High 0,7

3 Data Corruption

(Kerusakan Data)











12. Database Jadwal Direksi

Tabel 4. 57 Hasil Rerata Probabilitas dan Nilai Ancaman Database Jadwal Direksi


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)

Vulnerable Low 0,3

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,2

3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,2





174






13. Database Oracle Hyperion Planning

Tabel 4. 58 Hasil Rerata Probabilitas dan Nilai Ancaman Database Oracle

Hyperion Planning


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)


2 Hardware Failure

(Gangguan Perangkat

Keras)


3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,3










14. Database JMACT (Jasa Marga Adukan Cermati Tuntaskan)

Tabel 4. 59 Hasil Rerata Probabilitas dan Nilai Ancaman Database JMACT (Jasa

Marga Adukan Cermati Tuntaskan)


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)


2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,2

3 Data Corruption

(Kerusakan Data)


175










15. Database Related Business Development

Tabel 4. 60 Hasil Rerata Probabilitas dan Nilai Ancaman Database Related

Business Development


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)


2 Hardware Failure

(Gangguan Perangkat

Keras)


3 Data Corruption

(Kerusakan Data)











16. Database PKBL (Program Kemitraan dan Bina Lingkungan)

Tabel 4. 61 Hasil Rerata Probabilitas dan Nilai Ancaman Database PKBL

(Program Kemitraan dan Bina Lingkungan)


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)


176

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,3

3 Data Corruption

(Kerusakan Data)











17. Database IT Service Desk

Tabel 4. 62 Hasil Rerata Probabilitas dan Nilai Ancaman Database IT Service Desk


Probabilitas


Sumber Daya)

Vulnerable Low 0,3

2 Hardware Failure

(Gangguan Perangkat Keras)

Vulnerable Low 0,2


Data)

Vulnerable Low 0,2










177

18. Database ERP

Tabel 4. 63 Hasil Rerata Probabilitas dan Nilai Ancaman Database ERP


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)


2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,2

3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,3










19. Database Keuangan Anak Perusahaan

Tabel 4. 64 Hasil Rerata Probabilitas dan Nilai Ancaman Database Keuangan

Anak Perusahaan


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)


2 Hardware Failure

(Gangguan Perangkat

Keras)


3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,3



6 Pencuri Threat High 0,7

7 Hackers Threat High 0,7

8 Cracker Threat High 0,7





178

20. Database Sistem Informasi Manajemen

Tabel 4. 65 Hasil Rerata Probabilitas dan Nilai Ancaman Database Sistem

Informasi Manajemen


Probabilitas

1 Power Failiure

(Gangguan Sumber

Daya)

Vulnerable Low 0,3

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,3

3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,3










2. Aset Pendukung

1. Laptop

Tabel 4. 66 Hasil Rerata Probabilitas dan Nilai Ancaman Laptop

No Kejadian Jenis Probabilitas

Rerata

Probabilitas

1 Power Failure (Gangguan

Sumber Daya)

Vulnerable Low 0,2

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,2

3 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,2


5 Gangguan Listrik Threat Low 0,2






179

2. Server Physical

Tabel 4. 67 Hasil Rerata Probabilitas dan Nilai Ancaman Server Physical


Rerata

Probabilitas


Sumber Daya)

Vulnerable Low 0,2


Perangkat Keras)

Vulnerable Low 0,2


Data)

Vulnerable Low 0,2


5 Bot-network Operation Threat Low 0,2




9 Pegawai Internal Threat Medium 0,4

10 Spammers Threat Medium 0,4

11 Virus Attack Threat Medium 0,4

12 Virus Author Threat Medium 0,4


14 Gangguan Jaringan

Komunikasi dari Vendor

Threat Low 0,3





3. Windows server 2012 R.2

Tabel 4. 68 Hasil Rerata Probabilitas dan Nilai Ancaman Windows server 2012 R.2


Rerata

Probabilitas


Sumber Daya)

Vulnerable Low 0,3

2 Kurang Kesadaran Pengguna Vulnerable Medium 0,4


4 Virus Attack Threat Medium 0,4





180

4. Windows 10

Tabel 4. 69 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 10


Rerata

Probabilitas


Sumber Daya)

Vulnerable Low 0,3

2 Kurang Kesadaran Pengguna Vulnerable Low 0,1


4 Virus Attack Threat Low 0,3








Rerata

Probabilitas


Sumber Daya)

Vulnerable Low 0,3








6. Microsoft SQL Server 2008

Tabel 4. 71 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft SQL Server

2008


Rerata

Probabilitas


Sumber Daya)

Vulnerable Low 0,3



181






7. Air Conditioner (AC)

Tabel 4. 72 Hasil Rerata Probabilitas dan Nilai Ancaman Air Conditioner (AC)


Rerata

Probabilitas


Sumber Daya)

Vulnerable Low 0,3


Perangkat Keras)

Vulnerable Low 0,3

3 Gangguan Listrik Threat Medium 0,5





8. Uninterruptible Power Supply (UPS)

Tabel 4. 73 Hasil Rerata Probabilitas dan Nilai Ancaman Uninterruptible Power

Supply (UPS)


Rerata

Probabilitas


Sumber Daya)

Vulnerable Low 0,3


Perangkat Keras)

Vulnerable Low 0,3





182

9. Fiber Optic

Tabel 4. 74 Hasil Rerata Probabilitas dan Nilai Ancaman Fiber Optic


Rerata

Probabilitas

1 Power Failure (Gangguan Sumber

Daya)

Vulnerable Low 0,3

2 Environment Threat Low 0,3





10. CCTV

Tabel 4. 75 Hasil Rerata Probabilitas dan Nilai Ancaman CCTV


Rerata

Probabilitas


Sumber Daya)

Vulnerable Low 0,3


Perangkat Keras)

Vulnerable Low 0,3


Data)



5 Gangguan Jaringan Komunikasi

Internal

Threat Medium 0,4





11. Switch

Tabel 4. 76 Hasil Rerata Probabilitas dan Nilai Ancaman Switch


Rerata

Probabilitas


Sumber Daya)

Vulnerable Low 0,3



183




12. Wi-Fi

Tabel 4. 77 Hasil Rerata Probabilitas dan Nilai Ancaman Wi-Fi


Rerata

Probabilitas


Sumber Daya)

Vulnerable Low 0,3

2 Hardware Failure

(Gangguan Perangkat

Keras)





6 Hacker Therat Medium 0,4

7 Pegawai Internal Threat Medium 0,4

8 Spammer Threat Medium 0,4

9 Virus Author Threat Medium 0,4



Threat Low 0,3


Komunikasi Internal

Threat Low 0,3





13. Aplikasi IT Service Desk

Tabel 4. 78 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi IT Service Desk


Rerata

Probabilitas

1 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,3

2 Data Corruption

(Kerusakan Data)

Vulnerable Low 0,3




184



14. Oracle Database 11.2.0.1

Tabel 4. 79 Hasil Rerata Probabilitas dan Nilai Ancaman Oracle Database 11.2.0.1


Probabilitas


Sumber Daya)

Vulnerable Low 0,3








15. Windows 7

Tabel 4. 80 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 7


Probabilitas


Sumber Daya)

Vulnerable Low 0,3








185




Probabilitas


Sumber Daya)

Vulnerable Low 0,3








17. Avira Antivirus 2019

Tabel 4. 82 Hasil Rerata Probabilitas dan Nilai Ancaman Avira Antivirus 2019


Probabilitas


Sumber Daya)

Vulnerable Low 0,3








18. Kaspersky Antivirus 2018

Tabel 4. 83 Hasil Rerata Probabilitas dan Nilai Ancaman Kaspersky Antivirus 2018


Probabilitas


Sumber Daya)

Vulnerable Low 0,3






186



19. Server Storage

Tabel 4. 84 Hasil Rerata Probabilitas dan Nilai Ancaman Server Storage


Probabilitas


Sumber Daya)

Vulnerable Low 0,3

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,3




6 Hacker Therat Low 0,3

7 Pegawai Internal Threat Low 0,3

8 Spammer Threat Low 0,3

9 Virus Author Threat Low 0,3



Threat Low 0,3


Komunikasi Internal

Threat Low 0,3





20. Server Virtual

Tabel 4. 85 Hasil Rerata Probabilitas dan Nilai Ancaman Server Virtual


Probabilitas


Sumber Daya)

Vulnerable Low 0,3

2 Hardware Failure

(Gangguan Perangkat

Keras)

Vulnerable Low 0,3




6 Hacker Therat Low 0,3

187

7 Pegawai Internal Threat Low 0,3

8 Spammer Threat Low 0,3

9 Virus Author Threat Low 0,3



Threat Low 0,3


Komunikasi Internal

Threat Low 0,3





Berikut ini adalah kesimpulan dari identifikasi hasil rerata probabilitas

dan nilai ancaman pada aset utama dan aset pendukung. Penilaian

dilakukan berdasarkan pembulatan desimal diatas 0,5 untuk setiap

kategori nilai ancaman pada aset.

Aset Utama

Tabel 4. 86 Kesimpulan Hasil Rerata Probabilitas dan Nilai Ancaman Aset Utama

No Nama Aset Nilai

Ancaman Low Medium High

1 Database Web Portal Internal 0,36 2 Database RQM (Risk Quality

Management) 0,26 3 Database Kepegawaian 0,38 4 Database Lelang Jabatan 0,26 5 Database Legal and Compliance

0,31 6 Database LPSE (Layanan Pengadaan

Secara Elektronik) 0,39 7 Database Internal GCG 0,3 8 Database JMDC (Jasa Marga

Development Center) 0,22 9 Database EOPA (Electronic

Operational Performance Appraisal)

0,38 10 Database Knowledge Management

0,3 11 Database Lalu Lintas Tol 0,44

188

12 Database Jadwal Direksi 0,16 13 Database Oracle Hyperion Planning

0,24 14 Database JMACT (Jasa Marga

Adukan Cermati Tuntaskan) 0,33 15 Database Related Business

Development 0,36 16 Database PKBL (Program Kemitraan

dan Bina Lingkungan)

0,34 17 Database IT Service Desk 0,2 18 Database ERP 0,26 19 Database Keuangan Anak Perusahaan

0,49 20 Database Sistem Informasi

Manajemen 0,3

Aset Pendukung

Tabel 4. 87 Kesimpulan Hasil Rerata Probabilitas dan Nilai Ancaman Aset

Pendukung

No Nama Aset Nilai

Ancaman Low Medium High

1 Laptop 0,25 2 Server Physical 0,4 3 Windows server 2012 R.2 0,35 4 Windows 10 0,25 5 Microsoft Office 2016 0,25 6 Microsoft SQL Server 2008 0,3 7 Air Conditioner (AC) 0,37 8 Uninterruptible Power Supply (UPS) 0,3 9 Fiber Optic 0,3

10 CCTV 0,36 11 Switch 0,35 12 Wi-Fi 0,35 13 Aplikasi IT Service Desk 0,3 14 Oracle Database 11.2.0.1 0,3 15 Windows 7 0,3 16 Microsoft Office 2013 0,3 17 Avira Antivirus 2019 0,3 18 Kaspersky Antivirus 2018 0,3 19 Server Storage 0,3

189

20 Server Virtual 0,3

4.2.2 Menganalisis dan Evaluasi Risiko

Setelah mengidentifikasi risiko yang terdapat di divisi Information

Technology (IT) PT Jasa Marga, akan didapatkan risiko yang nantinya

akan dihadapi oleh divisi Information Technology (IT) jika terjadi

kegagalan di keamanan informasi. Selanjutnya adalah melakukan analisis

dan evaluasi terhadap risiko yang sudah diidentifikasi sebelumnya. Berikut

ini merupakan analisis dan evaluasi risiko yang dijelaskan oleh peneliti.

4.2.2.1 Menganalisis Dampak dan Risiko

Analisa dampak dan Risiko yang digunakan peneliti adalah

Business Impact Analysis (BIA) untuk menentukan besar besar pengaruh

atau dampak dan Risiko yang terjadi akibat kelemahan dan ancaman

ketika proses bisnis dijalankan, penilaian dari analisa dampak dan risiko

dilakukan oleh peneliti berdasarkan analisa dokumen dan konfirmasi ke

Penanggung Jawab Keamanan Informasi. Berikut ini merupakan hasil

BIA yang didapatkan oleh peneliti pada divisi Information Technology

(IT):

1. Aset Utama

Tabel 4. 88 Hasil Nilai BIA pada Aset Utama

No Nama Aset Nilai BIA Keterangan

1 Database Web Portal Internal 95 Very high critical

2 Database RQM (Risk Quality Management) 95 Very high critical

3 Database Kepegawaian 90 Very high critical

4 Database Lelang Jabatan 50 Mayor critical

5 Database Legal and Compliance 98 Very high critical

190

6 Database LPSE (Layanan Pengadaan Secara

Elektronik)

80 High critical

7 Database Internal GCG 80 High critical

8 Database JMDC (Jasa Marga Development

Center)

83 Very high critical

9 Database EOPA (Electronic Operational

Performance Appraisal)


10 Database Knowledge Management 85 Very high critical

11 Database Lalu Lintas Tol 95 Very high critical

12 Database Jadwal Direksi 83 Very high critical

13 Database Oracle Hyperion Planning 80 High critical

14 Database JMACT (Jasa Marga Adukan Cermati

Tuntaskan)


15 Database Related Business Development 82 Very high critical

16 Database PKBL (Program Kemitraan dan Bina

Lingkungan)

60 Mayor critical

17 Database IT Service Desk 95 Very high critical

18 Database ERP 95 Very high critical

19 Database Keuangan Anak Perusahaan 83 Very high critical

20 Database Sistem Informasi Manajemen 83 Very high critical

2. Aset Pendukung

Tabel 4.89 Hasil Nilai BIA pada Aset Pendukung

No Nama Aset Nilai BIA Keterangan

1 Laptop 85 Very high critical

2 Server Physical 90 Very high critical

3 Windows server 2012 R.2 90 Very high critical

4 Windows 10 90 Very high critical

5 Microsoft Office 2016 90 Very high critical

6 Microsoft SQL Server 2008 90 Very high critical

7 Air Conditioner (AC) 94 Very high critical

8 Uninterruptible Power Supply (UPS) 89 Very high critical

9 Fiber Optic 97 Very high critical

10 CCTV 95 Very high critical

11 Switch 95 Very high critical

12 Wi-Fi 98 Very high critical

13 Aplikasi IT Service Desk 84 Very high critical

14 Oracle Database 11.2.0.1 90 Very high critical

15 Windows 7 90 Very high critical

16 Microsoft Office 2013 90 Very high critical

17 Avira Antivirus 2019 90 Very high critical

18 Kaspersky Antivirus 2018 90 Very high critical

19 Server Storage 90 Very high critical

191

20 Server Virtual 90 Very high critical

4.2.2.2 Mengidentifikasi Tingkat Risiko Divisi Information Technology (IT)

Setelah menentukan nilai BIA yang ada pada proses bisnis di divisi

Information Technology (IT) PT Jasa Marga, tahapan selanjutnya adalah

melakukan identifikasi level risiko untuk mengetahui tingkat risiko

dengan dampak bisnis yang ada. Dalam melakukan identifikasi level

risiko yang ada pada divisi Information Technology (IT) PT Jasa Marga,

peneliti menggunakan matriks level risiko dengan nilai probabilitas

ancaman dan nilai BIA yang sudah ditentukan sebelumnya. Matriks

digunakan untuk memberikan gambaran besaran dari risiko jika terjadi

kegagalan pada keamanan informasi di divisi Information Technology

(IT) PT Jasa Marga.

Berdasarkan nilai BIA yang didapatkan, selanjutnya peneliti

melakukan identifikasi level probabilitas ancaman yang terjadi pada aset

divisi Information Technology (IT) PT Jasa Marga, dan selanjutnya

menghitung nilai dampak bisnis terhadap aset yang ada. Berikut ini

merupakan hasil penghitungan nilai dampak dan risiko terhadap aset

yang ada di Information Technology (IT) PT Jasa Marga yang sudah

didiskusikan peneliti bersama dengan Manajer Compliance:

1. Aset Utama

Tabel 4. 90 Hasil Nilai Dampak Bisnis pada Aset Utama

No Nama Aset Nilai BIA

(a)

Nilai

Ancaman (b)

Dampak Bisnis

(a x b)

1 Database Web Portal Internal 95 0,36 34,2

192


Management) 95 0,26 24,7

3 Database Kepegawaian 90 0,38 34,2

4 Database Lelang Jabatan 50 0,26 13

5 Database Legal and Compliance 98 0,31 30,38


Pengadaan Secara Elektronik) 80 0,39 31,2

7 Database Internal GCG 80 0,3 24


Development Center) 83 0,22 18,26



Appraisal) 90 0,38 34,2

10 Database Knowledge Management 85 0,3 25,5

11 Database Lalu Lintas Tol 95 0,44 41,8

12 Database Jadwal Direksi 83 0,16 13,28


Planning 80 0,24 19,2


Adukan Cermati Tuntaskan) 93 0,33 30,69


Development 82 0,36 29,52


Kemitraan dan Bina Lingkungan) 60 0,34 20,4

17 Database IT Service Desk 95 0,2 19

18 Database ERP 95 0,26 24,7


Perusahaan 83 0,49 40,67


Manajemen 83 0,3 24,9

2. Aset Pendukung

Tabel 4.91 Hasil Nilai Dampak Bisnis pada Aset Pendukung

No Nama Aset Nilai BIA Nilai

Ancaman (b)

Dampak Bisnis

(a x b)

1 Laptop 85 0,25 21,25

2 Server Physical 90 0,4 36

3 Windows server 2012 R.2 90 0,35 31,5

4 Windows 10 90 0,25 22,5

5 Microsoft Office 2016 90 0,25 22,5

6 Microsoft SQL Server 2008 90 0,3 27

7 Air Conditioner (AC) 94 0,37 34,78

193


(UPS) 89 0,3 26,7

9 Fiber Optic 97 0,3 29,1

10 CCTV 95 0,36 34,2

11 Switch 95 0,35 33,25

12 Wi-Fi 98 0,35 34,3

13 Aplikasi IT Service Desk 84 0,3 25,2

14 Oracle Database 11.2.0.1 90 0,3 27

15 Windows 7 90 0,3 27

16 Microsoft Office 2013 90 0,3 27

17 Avira Antivirus 2019 90 0,3 27

18 Kaspersky Antivirus 2018 90 0,3 27

19 Server Storage 90 0,3 27

20 Server Virtual 90 0,3 27

4.2.2.3 Menilai Risiko Divisi Information Technology (IT) PT Jasa Marga

Setelah melakukan perhitungan nilai dampak dan risiko di divisi

Information Technology (IT) PT Jasa Marga, peneliti melakukan tahapan

penilaian risiko untuk menentukan risiko yang terjadi dan diterima.

Berikut ini merupakan hasil nilai risiko terhadap informasi pada divisi

Information Technology (IT) PT Jasa Marga yang sudah didiskusikan

peneliti bersama dengan Manajer Compliance:

1. Aset Utama

Tabel 4. 92 Hasil Nilai dan Level Risiko pada Aset Utama

No Nama Aset Nilai

Aset (a)

Nilai

Ancaman

(b)

Nilai

BIA (c)

Nilai

Risiko (a x

b x c)

Level

Risiko

1 Database Web Portal Internal 8 0,36 95 273,6 High Risk


Management) 9 0,26 95 222,3 High Risk

3 Database Kepegawaian 9 0,38 90 307,8 High Risk

4 Database Lelang Jabatan 9 0,26 50 117 High Risk

5 Database Legal and Compliance 11 0,31 98 334,18 High Risk


Pengadaan Secara Elektronik) 10 0,39 80 312 High Risk

194

7 Database Internal GCG 10 0,3 80 240 High Risk


Development Center) 10 0,22 83 182,6 High Risk



Appraisal)

9

0,38 90 307,8 High Risk


Management 9

0,3 85 229,5 High Risk

11 Database Lalu Lintas Tol 8 0,44 95 334,4 High Risk

12 Database Jadwal Direksi 11 0,16 83 146,08 High Risk


Planning 11

0,24 80 211,2 High Risk


Adukan Cermati Tuntaskan) 11 0,33 93 337,59 High Risk


Development 11

0,36 82 324,72 High Risk


Kemitraan dan Bina Lingkungan) 9 0,34 60 183,6 High Risk

17 Database IT Service Desk 11 0,2 95 209 High Risk

18 Database ERP 11 0,26 95 271,7 High Risk


Perusahaan 11

0,49 83 447,37 High Risk


Manajemen 10

0,3 83 249 High Risk

2. Aset Pendukung

Tabel 4.93 Hasil Nilai Risiko dan Level Risiko pada Aset Pendukung

No Nama Aset Nilai

Aset (a)

Nilai

Ancaman

(b)

Nilai

BIA (c)

Nilai

Risiko (a x

b x c)

Level

Risiko

1 Laptop 5 0,25 85 106,25 High Risk

2 Server Physical 6 0,4 90 216 High Risk

3 Windows server 2012 R.2 6 0,35 90 189 High Risk

4 Windows 10 7 0,25 90 157,5 High Risk

5 Microsoft Office 2016 7 0,25 90 157,5 High Risk

6 Microsoft SQL Server 2008 5 0,3 90 135 High Risk

7 Air Conditioner (AC) 3 0,37 94 104,34 High Risk


(UPS) 3 0,3 89 80,1 High Risk

9 Fiber Optic 4 0,3 97 116,4 High Risk

10 CCTV 6 0,36 95 205,2 High Risk

11 Switch 5 0,35 95 166,25 High Risk

12 Wi-Fi 6 0,35 98 205,8 High Risk

13 Aplikasi IT Service Desk 3 0,3 84 75,6 High Risk

14 Oracle Database 11.2.0.1 4 0,3 90 108 High Risk

15 Windows 7 5 0,3 90 135 High Risk

195

16 Microsoft Office 2013 5 0,3 90 135 High Risk

17 Avira Antivirus 2019 6 0,3 90 162 High Risk

18 Kaspersky Antivirus 2018 5 0,3 90 135 High Risk

19 Server Storage 6 0,3 90 162 High Risk

20 Server Virtual 5 0,3 90 135 High Risk

Selanjutnya peneliti menentukan level risiko pada Divisi

Information Technology (IT) untuk mengetahui matriks level risiko.

Berikut ini merupakan hasil analisis risiko, dimana keamanan aset

memiliki risiko yang besar, dengan semakin tinggi nilai risiko, maka

akan mendapatkan prioritas untuk ditangani untuk peningkatan

kemananan.

1. Aset Utama

Tabel 4. 94 Analisis Risiko Keamanan Informasi pada Aset Utama

No Nama Aset Nilai

Aset Vulnerabilitity Threat

Nilai

Ancaman

Dampak

Bisnis

Nilai

BIA

Nilai

Risiko

Level

Risiko

1 Database Web

Portal Internal 8

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,36 34,2 95 273,6 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers

Software Bug Cracker

2

Database RQM

(Risk Quality

Management)

9

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,26 24,7 95 222,3 High

Risk

196

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


3 Database

Kepegawaian 9

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,38 34,2 90 307,8 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


4 Database

Lelang Jabatan 9

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,26 13 50 117 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


5 Database Legal

and

Compliance

11

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,31 30,38 98 334,18 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers

197


6

Database LPSE

(Layanan

Pengadaan

Secara

Elektronik)

10

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,39 31,2 80 312 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


7 Database

Internal GCG 10

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,3 24 80 240 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


8

Database

JMDC (Jasa

Marga

Development

Center)

10

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,22 18,26 83 182,6 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


9

Database

EOPA

(Electronic

Operational

Performance

Appraisal)

9

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,38 34,2 90 307,8 High

Risk Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

198

Data

Corruption

(Kerusakan

Data)

Hackers


10

Database

Knowledge

Management

9

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,3 25,5 85 229,5 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


11 Database Lalu

Lintas Tol 8

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,44 41,8 95 334,4 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


12 Database

Jadwal Direksi 11

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,16 13,28 83 146,08 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


13 Database

Oracle 11

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,24 19,2 80 211,2 High

Risk

199

Hyperion

Planning

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


14

Database

JMACT (Jasa

Marga Adukan

Cermati

Tuntaskan)

11

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,33 30,69 93 337,59 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


15

Database

Related

Business

Development

11

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,36 29,52 82 324,72 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


16

Database

PKBL

(Program

Kemitraan dan

Bina

Lingkungan)

9

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,34 20,4 60 183,6 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


200

17 Database IT

Service Desk 11

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,2 19 95 209 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


18 Database ERP 11

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,26 24,7 95 271,7 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


19

Database

Keuangan

Anak

Perusahaan

11

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,49 40,67 83 447,37 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers


20

Database

Sistem

Informasi

Manajemen

10

Power Failure

(Gangguan

Sumber Daya)

Bot-

network

Operation

0,3 24,9 83 249 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencuri

Data

Corruption

(Kerusakan

Data)

Hackers

201


2. Aset Pendukung

Tabel 4.95 Analisis Risiko Keamanan Informasi pada Aset Pendukung

No Nama Aset Nilai

Aset Vulnerabilitity Threat

Nilai

Ancam

an

Dampa

k

Bisnis

Nilai

BIA

Nilai

Risiko

Level

Risik

o

1 Laptop 5

Power Failure

(Gangguan

Sumber Daya)

Gangguan

Listrik

0,25 21,25 85 106,25 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Data

Corruption

(Kerusakan

Data) Pencuri

Software Bug

2 Server Physical 6

Power Failure

(Gangguan

Sumber Daya)

Bot-network

Operation

0,4 36 90 216 High

Risk

Pencuri

Hardware

Failure

(Gangguan

Perangkat

Keras)

Hackers

Cracker

Pegawai

Internal

Data

Corruption

(Kerusakan

Data)

Spammers

Virus Attack

Virus Author

Software Bug

Gangguan

Listrik

Gangguan

Jaringan

Komunikasi

dari Vendor

3

Windows

server 2012

R.2

6

Power Failure

(Gangguan

Sumber Daya)

Virus Attack 0,35 31,5 90 189 High

Risk Kurang

Kesadaran

Pengguna

Software Bug

202

4 Windows 10 7

Power Failure

(Gangguan

Sumber Daya)

Virus Attack 0,25 22,5 90 157,5 High

Risk Kurang

Kesadaran

Pengguna

Software Bug

5 Microsoft

Office 2016 7

Power Failure

(Gangguan

Sumber Daya)

Virus Attack 0,25 22,5 90 157,5 High

Risk Kurang

Kesadaran

Pengguna

Software Bug

6 Microsoft SQL

Server 2008 5

Power Failure

(Gangguan

Sumber Daya)

Virus Attack 0,3 27 90 135 High

Risk Kurang

Kesadaran

Pengguna

Software Bug

7

Air

Conditioner

(AC)

3

Power Failure

(Gangguan

Sumber Daya)

Gangguan

Listrik 0,37 34,78 94 104,34

High

Risk Hardware

Failure

(Gangguan

Perangkat

Keras)

8

Uninterruptible

Power Supply

(UPS)

3

Power Failure

(Gangguan

Sumber Daya)

- 0,3 26,7 89 80,1 High

Risk Hardware

Failure

(Gangguan

Perangkat

Keras)

9 Fiber Optic 4

Power Failure

(Gangguan

Sumber Daya)

Environment 0,3 29,1 97 116,4 High

Risk

10 CCTV 6

Power Failure

(Gangguan

Sumber Daya)

Gangguan

Listrik

0,36 34,2 95 205,2 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Gangguan

Jaringan

Komunikasi

Internal Data

Corruption

203

(Kerusakan

Data)

11 Switch 5

Power Failure

(Gangguan

Sumber Daya)

Gangguan

Listrik 0,35 33,25 95 166,25

High

Risk

12 Wi-Fi 6

Power Failure

(Gangguan

Sumber Daya)

Gangguan

Listrik

0,35 34,3 98 205,8 High

Risk

Bot-network

Operation

Hacker

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pegawai

Internal

Spammer

Virus Author

Gangguan

Jaringan

Komunikasi

dari Vendor

Software Bug

Gangguan

Jaringan

Komunikasi

Internal

Pegawai

Internal

Environment

13 Aplikasi IT

Service Desk 3

Hardware

Failure

(Gangguan

Perangkat

Keras) Virus Attack 0,3 25,2 84 75,6 High

Risk Data

Corruption

(Kerusakan

Data)

14

Oracle

Database

11.2.0.1

4

Power Failure

(Gangguan

Sumber Daya)


Risk Kurang

Kesadaran

Pengguna

Software Bug

15 Windows 7 5

Power Failure

(Gangguan

Sumber Daya)


Risk Kurang

Kesadaran

Pengguna

Software Bug

204

16 Microsoft

Office 2013 5

Power Failure

(Gangguan

Sumber Daya)


Risk Kurang

Kesadaran

Pengguna

Software Bug

17 Avira Antivirus

2019 6

Power Failure

(Gangguan

Sumber Daya)


Risk Kurang

Kesadaran

Pengguna

Software Bug

18 Kaspersky

Antivirus 2018 5

Power Failure

(Gangguan

Sumber Daya)


Risk Kurang

Kesadaran

Pengguna

Software Bug

19 Server Storage 6

Power Failure

(Gangguan

Sumber Daya)

Gangguan

Listrik

0,3 27 90 162 High

Risk

Bot-network

Operation

Hacker

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pegawai

Internal

Spammer

Virus Author

Software Bug

Gangguan

Jaringan

Komunikasi

dari Vendor

Gangguan

Jaringan

Komunikasi

Internal

20 Server Virtual 5

Power Failure

(Gangguan

Sumber Daya)

Gangguan

Listrik

0,3 27 90 135 High

Risk

Bot-network

Operation

Hacker

Hardware

Failure

(Gangguan

Pegawai

Internal

Spammer

205

Perangkat

Keras) Virus Author

Software Bug

Gangguan

Jaringan

Komunikasi

dari Vendor

Gangguan

Jaringan

Komunikasi

Internal

Dari hasil identifikasi terhadap kelemahan dan ancaman pada divisi

Information Technology (IT) PT Jasa Marga diperoleh temuan

berdasarkan ISO/IEC 27001 bahwa kelemahan yang paling sering terjadi

berkaitan dengan kegagalan dari hardware (baterai laptop tidak terisi,

laptop sering hang, crash), kerusakan data, kegagalan terhadap daya

listrik, dan kurangnya kesadaran pengguna (kelalaian dalam menaruh,

menyimpan dan menggunakan aset) terhadap aset yang dimiliki.

Penemuan ancaman didapatkan dari dalam atau luar organisasi. Misalnya

dari dalam organisasi yaitu pegawai internal, gangguan listrik, dan

gangguan jaringan komunikasi internal dan dari vendor, sedangkan dari

luar organisasi yaitu hackers, crackers, spammer, pencuri, virus attack,

virus author, dan bot-network operation.

Analisis risiko yang dilakukan pada divisi Information Technology

(IT) PT Jasa Marga mendapatkan beberapa hasil, yaitu pada seluruh

database yang menjadi aset utama dan aset pendukung yang telah dijabarkan

diatas. Analisis risiko ini masuk pada aset berisiko tinggi yang perlu

mendapatkan penanganan keamanan yang lebih dibandingkan dengan

aset yang lainnya. Aset yang memiliki risiko tinggi sering mendapatkan

206

ancaman dengan kemungkinan kejadian yang sering terjadi, dengan

risiko besar jika aset ini mengalami gangguan.

Setelah melakukan analisis risiko berdasarkan ISO/IEC 27001,

berikutnya adalah melakukan identifikasi risiko yang mungkin terjadi

pada divisi Information Technology (IT), diantaranya adalah sebagai

berikut:

1. Risiko bisnis yang terjadi, yaitu vendor terlalu lama mengatasi

perbaikan yang telah diajukan, mempengaruhi Bussiness Impact

Analysis (BIA).

2. Risiko kehilangan data keamanan informasi, jika terjadi modifikasi,

kerusakan data, pencurian data, terdapat hackers dan crackers.

3. Risiko yang masuk ke dalam perencanaan setelah penerapan ini yaitu

terjadinya bencana alam yang tidak dapat diprediksi.

Setelah dilakukan pengukuran terhadap besaran risiko pada aset

keamanan informasi, selanjutnya melakukan tindakan atau kontrol yang

dapat mengurangi risiko yang terjadi. Pemilihan kontrol dan objektif

kontrol berdasarkan pada ISO/IEC 27001 dan ISO/IEC 27002, dengan

menyesuaikan pada hasil penilaian risiko yang terjadi. Tahapan untuk

pemilihan kontrol dan objektif kontrol dilakukan pada tahapan Check.

207

4.3 Tahap Check

4.3.1 Memilih Objektif Kontrol dan Kontrol Keamanan Informasi

Setelah melakukan pengukuran terhadap aset keamanan

informasi, peneliti melakukan tindakan atau kontrol yang dapat

mengurangi adanya risiko. Tindakan pemilihan objektif kontrol dan

kontrol keamanan pada penelitian ini berdasarkan objektif kontrol dan

kontrol keamanan dari ISO/IEC 27001 dan ISO/IEC 27002, dengan

melakukan penyesuaian pada hasil penilaian risiko yang didapatkan pada

aset keamanan informasi pada divisi Information Technology (IT) PT Jasa

Marga. Pemilihan klausul dilakukan oleh peneliti telah dijelaskan pada bab

tiga, sub bab tahap Plan pada tabel 3. 9 Pemilihan Klausul ISO/IEC 27001

dan tabel 3. 6 Pemilihan Klausul ISO/IEC 27002.

4.3.2 Memilih Sebagian Klausul dari ISO/IEC 27001:2013 dan ISO/IEC

27002:2013

Berikut ini merupakan pemetaan yang dilakukan peneliti

berdasarkan klausul dari ISO/IEC 27001 dan ISO/IEC 27002.

Tabel 4. 96 Objektif Kontrol dan Kontrol Keamanan (ISO/IEC 27001,2013)

Klausul Objektif Kontrol Kontrol Keamanan

7. Keamanan Sumber

Daya Manusia

7.2 Selama Bekerja

7.2.1 Tanggung Jawab Manajemen;

7.2.2 Kesadaran, Pendidikan dan

Pelatihan Keamanan Informasi;

7.2.3 Proses Tata Tertib.

7.3 Pemutusan

Hubungan Kerja dan

Perubahan Pekerjaan

7.3.1 Tanggung Jawab Pemutusan

Hubungan Kerja dan Perubahan

Pekerjaan.

208

11. Keamanan Fisik

dan Lingkungan

11.1 Area Aman

11.1.1 Lingkup Keamanan Fisik;

11.1.2 Kontrol Masuk Fisik;

11.1.5 Bekerja di Area Aman.

11.2 Peralatan

11.2.1 Perlindungan dan Penempatan

Peralatan;

11.2.2 Keperluan Pendukung;

11.2.3 Keamanan Pengkabelan;

11.2.9 Kebijakan Meja dan Layar Bersih.

16. Manajemen

Insiden Keamanan

Informasi

16.1 Manajemen Insiden

Keamanan Informasi dan

Peningkatan

16.1.1 Tanggung Jawab dan Prosedur;

16.1.2 Laporan Kejadian Keamanan

Informasi;

16.1.7 Kumpulan Bukti.

18. Penyesuaian

18.1 Penyesuaian dengan

Hukum dan Kebutuhan


18.1.2 Hak Kekayaan Intelektual.

Berikut ini merupakan pemetaan yang dilakukan peneliti

berdasarkan klausul dari ISO/IEC 27002.

Tabel 4. 97 Objektif Kontrol dan Kontrol Keamanan (ISO/IEC 27002, 2013)

Klausul Objektif Kontrol Kontrol Keamanan

5. Kebijakan

keamanan informasi

5.1 Arahan manajemen

untuk keamanan informasi

5.1.1 Kebijakan untuk keamanan

informasi.

8. Manajemen aset 8.1 Tanggung jawab

terhadap aset

8.1.1 Inventarisasi aset;

8.1.2 Kepemilikan Aset;

8.1.3 Penggunaan aset yang dapat

diterima;

8.1.4 Pengembalian Aset.

9. Kontrol akses

9.1 Persyaratan bisnis

kontrol akses 9.1.1 Kebijakan kontrol akses.

9.4 Kontrol akses sistem

dan aplikasi

9.4.1 Pembatasan akses informasi;

9.4.2 Prosedur Keamanan Log-on;

10. Kriptografi 10.1 Kontrol Kriptografi 10.1.1 Kebijakan tentang penggunaan

kontrol Kriptografi.

12. Keamanan

Operasi

12.1 Tanggung jawab dan

Prosedur Operasional

12.1.1 Prosedur Dokumentasi Operasi;

12.1.2 Manajemen Perubahan.

12.2 Perlindungan

terhadap Malware 12.2.1 Kontrol Terhadap Malware.

12.6 Manajemen

Kelemahan Teknikal

12.6.1 Manajemen dari Kelemahan

Teknikal.

209

4.3.3 Penentuan Auditee

Penentuan auditee dalam ISO/IEC 27001 dan ISO/IEC 27002 masih

kurang jelas. Oleh karena itu, peneliti menggunakan RACI (Responsible,

Accountable, Consulted and Informed) Chart dari COBIT. Penentuan

auditee berdasarkan korelasi antara COBIT dan ISO/IEC 27001.

Tabel 4. 98 Mapping Domain COBIT 5 dengan Klausul ISO/IEC 27001

Tabel 4. 99 Mapping Domain COBIT 5 dengan Klausul ISO/IEC 27002

Di tahap ini menghasilkan output berupa hasil konversi fungsional

struktur domain COBIT yang ada pada table di bawah ini.

COBIT 5 ISO/IEC 27001

APO07 (Manage Human Resources) Klausul 7 (Keamanan Sumber Daya

Manusia)

APO13 (Manage Security) Klausul 11 (Keamanan Fisik dan

Lingkungan)

DSS02 (Manage Service Requests and

Incidents) Klausul 16 (Manajemen Insiden

Keamanan Informasi)

MEA03 (Monitor, Evaluate and Assess

Compliance with External Requirements) Klausul 18 (Penyesuaian)

COBIT 5 ISO/IEC 27002

MEA02 (Monitor, Evaluate and Assess the

System of Internal Control) Klausul 5 (Kebijakan keamanan

informasi)

BAI09 (Manage Assets) Klausul 8 (Manajemen aset)

BAI10 (Manage Configuration) Klausul 9 (Kontrol akses)

DSS05 (Manage Security Services) Klausul 10 (Kriptografi)

DSS01 (Manage Operations) Klausul 12 (Keamanan Operasi)

210

Tabel 4. 100 Konversi Fungsional RACI Chart

4.3.4 Menentukan Nilai Tingkat Kemampuan untuk System Security

Engineering Capability Maturity Model (SSE-CMM)

Penentuan nilai tingkat kemampuan untuk melakukan penentuan

tingkat kedewasaaan yang dapat menggambarkan pengukuran sejauh

mana Divisi Information Technology (IT) PT Jasa Marga dapat memenuhi

standar proses pengelolaan keamanan informasi dengan baik, dimana

penilaian maturity level dilakukan kepada setiap masing-masing kontrol

sesuai dengan audit yang dilakukan.

Fungsional Struktur COBIT

terkait Penelitian

Fungsional Divisi Information

Technology

Compliance Manager Compliance Divisi


Information security manager Penanggung Jawab Keamanan

Informasi Divisi Information

Technology

Head IT Operations Admin Data dan Informasi Divisi


Chief Risk Officer Manager Risk and Quality

Management Divisi Information

Technology

211

Daftar pertanyaan yang dibuat pada penelitian ini dibuat

berdasarkan kontrol keamanan dari setiap objektif kontrol yang dipilih dan

diterapkan pada divisi Information Technology (IT) PT Jasa Marga. Daftar

pertanyaan yang dibuat berdasarkan standar ISO/IEC 27001: 2013 dan

ISO/IEC 27002: 2013. Penelitian ini menggunakan maturity level dengan

System Security Engineering Capability Maturity Level (SSE-CMM).

Berikut ini merupakan kerangka kerja berdasarkan penghitungan nilai

maturity level dan hasil perhitungan tingkat kemampuan dari masing-

masing kontrol keamanan:

ISO/IEC 27001: 2013

1. Klausul 7 Tanggung Jawab Manajemen

Tabel 4. 101 Kerangka Kerja Perhitungan Maturity Level Klausul 7



1

Pihak manajemen menyediakan panduan sesuai

dengan keamanan informasi negara yang disesuaikan

dengan peran organisasi.

1 2


memenuhi kebijakan keamanan informasi organisasi. 1 1

3

Pihak manajemen melanjutkan persiapan kemampuan



1 2

Total Bobot 3 Tingkat

Kemampuan 1,7




terhadap keamanan informasi di seluruh organisasi. 1 2

2



controls (seperti keamanan password, malware

controls, & clear desk).

1 1

3

Accountability pribadi untuk tindakan dan kelambanan

seseorang dan tanggung jawab untuk mengamankan

atau melindungi kepemilikan informasi organisasi

atau pihak luar.

1 1

212


Kemampuan 1,3



1

Proses tata tertib bersifat formal dan komunikatif

terkait tindakan pelanggaran karyawan pada

keamanan informasi.

1 1

2



keamanan informasi.

1 1


Kemampuan 1




termasuk kebutuhan tanggung jawab hukum

keamanan informasi saat ini.

1 2

2 Mengkomunikasikan syarat dan ketentuan bekerja. 1 2

3

Tanggung jawab dan tugas tetap sah setelah


ketentuan bekerja.

1 2


Kemampuan 2

Tabel 4. 102 Hasil Maturity Level Klausul 7

Klausul Objektif Kontrol Kontrol Keamanan Tingkat

Kemampuan

Rata-Rata/

Objektif Kontrol

7.

Keamanan

Sumber

Daya

Manusia

7.2 Selama Bekerja

7.2.1 Tanggung Jawab

Manajemen 3 1,7

7.2.2 Kesadaran, Pendidikan dan

Pelatihan Keamanan Informasi 3 1,3

7.2.3 Proses Tata Tertib 2 1

7.3 Pemutusan

Hubungan Kerja dan

Perubahan Pekerjaan


Pemutusan Hubungan Kerja dan

Perubahan Pekerjaan

3 2

Maturity Level Klausul 7 1,5

Hasil yang diperoleh dari perhitungan Klausul 7 tentang

Keamanan Sumber Daya Manusia adalah nilai maturity level sebesar 1,5

berada di level satu (1) Performed Informally. Berikut merupakan

representasi grafik dari nilai maturity level klausul 7 Keamanan Sumber

Daya Manusia.

213

Gambar 4. 4 Representasi Nilai Maturity Level Klausul 7 Keamanan Sumber Daya Manusia

2. Klausul 11 Keamanan Fisik dan Lingkungan




1

Lingkup keamanan harus didefinisikan dan

penempatan serta kekuatan lain pada lingkup

berdasarkan kebutuhan keamanan aset & hasil dari

penilaian risiko.

1 1

2 Lingkup lokasi yang termasuk fasilitas pemrosesan


jendela).

1 1


akses fisik (membatasi otorisasi, hanya untuk

pegawai).

1 2

Total Bobot 3 Tingkat Kemampuan 1,3



1





1 2

2



diketahui oleh bagian keamanan.

1 1

0

0,5

1

1,5

2

7.2.1 Tanggung

Jawab Manajemen

7.2.2 Kesadaran,

Pendidikan dan

Pelatihan Keamanan

Informasi

7.2.3 Proses Tata

Tertib

7.3.1 Tanggung

Jawab Pemutusan

Hubungan Kerja dan

Perubahan Pekerjaan

Representasi Nilai Maturity Level Klausul 7 Keamanan

Sumber Daya Manusia

214

3

Akses ke area dimana kerahasiaan informasi diproses

harus dibatasi dan dilakukan otorisasi individual

dengan menerapkan kontrol akses yang tepat.

1 2







1 1

2 Bekerja tanpa pengawasan di daerah-daerah yang

harus dihindari baik untuk alasan keamanan dan

mencegah peluang untuk kegiatan berbahaya.

1 2


dan ditinjau secara berkala. 1 2

4 Pengambilan gambar, video, suara atau peralatan



1 1




1 Fasilitas yang menangani data sensitif pada

pemrosesan informasi diletakkan dengan hati-hati

untuk mengurangi risiko yang dihindari

1 2


ancaman risiko fisik dan lingkungan 1 1


keyboard 1 1

4

Perlindungan pada peralatan pengolahan informasi

rahasia untuk meminimalkan risiko kebocoran

informasi

1 1





persyaratan hukum setempat 1 3


kapasitas apakah sesuai dengan pertumbuhan bisnis 1 2


untuk memastikan fungsinya 1 1

Total Bobot 3 Tingkat Kemampuan 2



1

Posisi saluran listrik dan telekomunikasi yang

terhubung dengan fasilitas pemrosesan informasi

berada di bawah tanah atau perlindungan alternatif

1 1

2 Pemisahan kabel daya dan kabel komunikasi 1 1

Total Bobot 2 Tingkat Kemampuan 1


215


1

Penyimpanan informasi bisnis yang sensitif atau

bersifat kritis harus terkunci (seperti kertas atau media


1 1

2



dengan kontrol penguncian seperti password atau

proses authentication

1 2


segera dihapus dari printer 1 1




Kemampuan

Rata-Rata/

Objektif Kontrol

11.

Keamanan

Fisik dan

Lingkungan

11.1 Area Aman

11.1.1 Lingkup Keamanan

Fisik; 3 1,3

11.1.2 Kontrol Masuk Fisik 3 1,7

11.1.5 Bekerja di Area Aman 4 1,5

11.2 Peralatan

11.2.1 Perlindungan dan

Penempatan Peralatan 4 1,25

11.2.2 Keperluan Pendukung 3 2

11.2.3 Keamanan

Pengkabelan 2 1

11.2.9 Kebijakan Meja dan

Layar Bersih 3 1,3



Keamanan Fisik dan Lingkungan adalah nilai maturity level sebesar 1,4

berada di level satu (1) Performed Informally. Berikut merupakan

representasi grafik dari nilai maturity level klausul 11 Keamanan Fisik

dan Lingkungan.

216

Gambar 4. 5 Representasi Nilai Maturity Level Klausul 11

3. Klausul 16 Manajemen Insiden Keamanan Informasi





insiden 1 1

2 Prosedur untuk memantau, mendeteksi, menganalisis


informasi

1 2

3 Prosedur yang ditetapkan memastikan bahwa personel


insiden tersebut

1 2

4

Prosedur pelaporan mencakup proses umpan balik

yang sesuai untuk memastikan bahwa orang-orang

yang melaporkan kejadian keamanan informasi

diberitahu tentang hasil setelah masalah tersebut telah

ditangani dan ditutup

1 2




1 Pelaporan kontrol keamanan yang tidak efektif 1 2


ketersediaan informasi 1 1

3 Pelaporan pelanggaran pengaturan keamanan fisik 1 1

0

0,5

1

1,5

2

11.1.1 Lingkup

Keamanan Fisik

11.1.2 Kontrol Masuk

Fisik

11.1.5 Bekerja di Area

Aman

11.2.1 Perlindungan dan

Penempatan Peralatan

11.2.2 Keperluan

Pendukung

11.2.3 Keamanan

Pengkabelan

11.2.9 Kebijakan Meja

dan Layar Bersih

Representasi Nilai Maturity Level Klausul 11 Keamanan Fisik dan

Lingkungan

217




1 Prosedur mempertimbangkan keamanan bukti 1 2

2 Prosedur mempertimbangkan keamanan personel 1 2

3 Prosedur mempertimbangkan keamanan dokumentasi 1 1




Kemampuan

Rata-Rata/

Objektif Kontrol

16. Manajemen

Insiden

Keamanan

Informasi

16.1 Manajemen

Insiden Keamanan

Informasi dan

Peningkatan


dan Prosedur 4 1,75

16.1.2 Laporan Kejadian

Keamanan Informasi 3 1,3

16.1.7 Kumpulan Bukti 3 1,7



Manajemen Insiden Keamanan Informasi adalah nilai maturity level

sebesar 1,58 berada di level satu (1) Performed Informally. Berikut

merupakan representasi grafik dari nilai maturity level klausul 16

Manajemen Insiden Keamanan Informasi.


00,5

11,5

2

16.1.1 Tanggung

Jawab dan Prosedur

16.1.2 Laporan

Kejadian Keamanan

Informasi

16.1.7 Kumpulan

Bukti

Representasi Nilai Maturity Level Klausul 16 Manajemen

Insiden Keamanan Informasi

218

4. Klausul 18 Penyesuaian




1

Mengeluarkan kebijakan kepatuhan hak

kekayaan intelektual yang mendefinisikan

penggunaan sah perangkat lunak dan

produk informasi

1 2

2

Mendapatkan perangkat lunak melalui

sumber yang diketahui dan memiliki

reputasi baik, untuk memastikan hak cipta

tidak dilanggar

1 3

3

Menjaga kesadaran kebijakan untuk

melindungi hak kekayaan intelektual dan

memberikan pemberitahuan tentang niat

untuk mengambil tindakan disipliner


1 2




Kemampuan

Rata-Rata/

Objektif Kontrol

18.

Penyesuaian

18.1 Penyesuaian

dengan Hukum dan

Kebutuhan


18.1.2 Hak Kekayaan

Intelektual 3 2,3



Penyesuaian adalah nilai maturity level sebesar 2,3 berada di level satu (2)

Planned and Tracked. Berikut merupakan representasi grafik dari nilai

maturity level klausul 18 Penyesuaian.

219


ISO/IEC 27002: 2013

1. Klausul 5 Kebijakan Keamanan Informasi




1 Kebijakan keamanan informasi berdasarkan atau

sesuai dengan strategi bisnis 1

2

2 Kebijakan keamanan informasi berdasarkan atau

sesuai dengan peraturan, undang-undang, dan

kontrak perjanjian

1

2

3 Kebijakan untuk keamanan informasi sesuai

kebutuhan saat ini dan proyeksi keamanan

informasi terhadap ancaman lingkungan 1

2

4 Kebijakan keamanan informasi mendukung

prinsip kontrol akses, hak akses dan pembatasan

untuk peran pengguna tertentu

1

2

5 Kebijakan keamanan informasi mendukung

keamanan fisik dan lingkungan 1

2


Kemampuan 2

00,5

11,5

22,5

18.1.2 Hak Kekayaan

Intelektual

x

Representasi Nilai Maturity Level Klausul 18 Penyesuaian

220


Klausul Objektif Kontrol Kontrol

Keamanan

Tingkat

Kemampuan

Rata-Rata/

Objektif Kontrol

5. Kebijakan

keamanan

informasi

5.1 Arahan

manajemen untuk

keamanan

informasi

5.1.1 Kebijakan

untuk keamanan

informasi. 5 2

Maturity Level Klausul 5 2


Kebijakan Keamanan Informasi adalah nilai maturity level sebesar 2

berada di level satu (2) Planned and Tracked. Berikut merupakan

representasi grafik dari nilai maturity level klausul 5 Kebijakan Keamanan

Informasi.


0

0,5

11,5

2

5.1.1 Kebijakan untuk

keamanan informasi

x

Representasi Nilai Maturity Level Klausul 5 Kebijakan

Keamanan Informasi

221

2. Klausul 8 Manajemen Aset


8.1.1 Inventarisasi asset


1 Organisasi harus mengidentifikasi aset yang

relevan pada siklus informasi (pembuatan,

pemrosesan, penyimpanan, penyampaian,

penghapusan, dan penghancuran) dan dokumen

yang penting

1

2

2 Dokumentasi aset dipelihara dalam pendedikasian

atau penyimpanan yang tepat 1

2


Kemampuan 2



1 Organisasi dapat menentukan aset yang

diinventariskan 1

3

2 Organisasi dapat menentukan pengklasifikasian

aset dan perlindungan yang tepat 1

2

3 Penanganan yang tepat bila aset dihapus atau

dihancurkan 1

2


Kemampuan 2,3



1 Pegawai dan pihak eksternal atau pengguna yang

memiliki akses pada aset organisasi harus memiliki

kesadaran kebutuhan keamanan informasi dan

fasilitas pemrosesan informasi dan sumber daya

lainnya

1

2

2 Tanggung jawab terhadap penggunaan pengolahan

sumber daya informasi dan penggunaan tersebut

dilakukan berdasarkan tanggung jawab yang

dimiliki

1

2


Kemampuan 2



1 Proses penghentian atau pemberhentian pegawai

atau pihak luar harus disahkan termasuk

pengembalian semua aset yang diberikan

sebelumnya baik aset fisik dan elektronik oleh

organisasi

1

2

222

2 Pegawai atau pengguna dari pihak luar yang

membeli peralatan organisasi atau menggunakan

peralatan mereka secara pribadi, prosedur harus

diikuti untuk menentukan bahwa semua informasi

yang terkait telah dipindahkan atau dialihkan ke

organisasi dan dihapus dengan aman dari peralatan

atau perangkat

1

2

3 Pengetahuan dan kemampuan pegawai atau

pengguna pihak luar yang memiliki peran penting

pada kegiatan selanjutnya, perlu dilakukan

dokumentasi terkait informasi tersebut dan

diberikan ke organisasi

1

2

4 Selama periode pemberitahuan penghentian,

organisasi harus mengontrol penyalinan yang tidak

sah terkait informasi yang relevan (seperti

intelektual) oleh karyawan dan kontraktor yang

telah berhenti

1

2


Kemampuan 2


Klausul Objektif

Kontrol Kontrol Keamanan

Tingkat

Kemampuan

Rata-Rata/

Objektif Kontrol

8. Manajemen

asset

8.1

Tanggung

jawab

terhadap aset

8.1.1 Inventarisasi asset 2 2

8.1.2 Kepemilikan Aset 3 2,3

8.1.3 Penggunaan aset

yang dapat diterima 2 2

8.1.4 Pengembalian Aset 4 2



Manajemen Aset adalah nilai maturity level sebesar 2,07 berada di level

satu (2) Planned and Tracked. Berikut merupakan representasi grafik dari

nilai maturity level klausul 8 Manajemen Aset.

223


3. Klausul 9 Kontrol Akses




1 Kebijakan harus mempertimbangkan

kebutuhan keamanan dari aplikasi bisnis 1

2

2 Kebijakan dari penyebaran dan otorisasi

informasi (seperti kebutuhan untuk tahu

prinsip dan informasi tingkat keamanan dan

klasifikasi informasi)

1

2

3 Konsistensi antara hak-hak akses dan

informasi klasifikasi kebijakan sistem dan

jaringan

1

2

4 Perundangan yang relevan dan kewajiban

kontrak apapun terkait dengan pembatasan

akses ke data atau layanan

1

2

5 Menentukan aturan-aturan terkait "segala

sesuatu yang umumnya dilarang kecuali

diizinkan secara tersurat"

1

2

6 Aturan khusus yang dibutuhkan terkait

sebelum berlakunya persetujuan dan tidak

disetujui

1

2


Kemampuan 2



1 Menyediakan menu untuk akses kontrol

terhadap fungsi sistem aplikasi 1

3

1,81,9

22,12,22,3


8.1.2 Kepemilikan

aset

8.1.3 Penggunaan aset

yang dapat diterima

8.1.4 Pengembalilan

aset

Representasi Nilai Maturity Level Klausul 8 Manajemen Aset

224

2 Mengontrol data yang dapat diakses oleh

pengguna pribadi 1

3

3 Mengontrol hak akses pengguna 1

3

4 Mengontrol hak akses dari aplikasi lain 1

2

5 Menyediakan akses kontrol fisik atau logis

untuk isolasi aplikasi sensitif, seperti data

atau sistem

1 1


Kemampuan 2,4



1 Upaya melindungi login terhadap serangan

brute force 1

3

2 Upaya memberitahu log berhasil atau

sebaliknya 1

3

3 Upaya peningkatan keamanan jika terdeteksi

kemungkinan atau ancaman yang masuk pada

kontrol login

1

2

4 Tidak mengirimkan password pada teks yang

jelas pada sebuah jaringan 1

3

5 Menghentikan session yang telah berakhir

atau tidak aktif setelah pemberitahuan

periode, khusus lokasi berisiko tinggi seperti

lingkungan umum atau diluar organisasi atau

pada perangkat mobile

1

2

6 Membatasi waktu koneksi untuk penambahan

penyediaan keamanan pada aplikasi berisiko

tinggi dan mengurangi window/celah dari

kesempatan akses yang tidak berhak.

1

2


Kemampuan 2,5



Keamanan

Tingkat

Kemampuan

Rata-Rata/

Objektif Kontrol

9. Kontrol

akses

9.1 Persyaratan

bisnis kontrol

akses

9.1.1 Kebijakan

kontrol akses. 6 2

9.4 Kontrol akses

sistem dan

aplikasi

9.4.1 Pembatasan

akses informasi 5 2,4

9.4.2 Prosedur

Keamanan Log-

on 6 2,5


225

Hasil yang diperoleh dari perhitungan Klausul 9 tentang Kontrol

Akses adalah nilai maturity level sebesar 2,3 berada di level satu (2)

Planned and Tracked. Berikut merupakan representasi grafik dari nilai

maturity level klausul 9 Kontrol Akses.


4. Klausul 10 Kriptografi




1 Pendekatan manajemen menggunakan

kontrol kriptografi di seluruh lingkup

organisasi (termasuk prinsip umum yang

melingkupi informasi bisnis harus

dilindungi)

1

2

2 Berdasarkan penilaian risiko, dibutuhkan

tingkatan perlindungan yang dapat

mengidentifikasi jenis, kekuatan, kualitas

kebutuhan algoritma enkripsi

1

2

3 Penggunaan enkripsi untuk melindungi

perpindahan informasi ke mobile atau

removable media devices atau seluruh

jaringan komunikasi

1 1


Kemampuan 1,67

00,5

11,5

22,5

9.1.1 Kebijakan

kontrol akses

9.4.1 Pembatasan

akses informasi

9.4.2 Prosedur

Keamanan Log-on

Representasi Nilai Maturity Level Klausul 9 Kontrol Akses

226



Keamanan

Tingkat

Kemampuan

Rata-Rata/

Objektif Kontrol

10. Kriptografi

10.1 Kontrol

Kriptografi

10.1.1 Kebijakan

tentang

penggunaan

kontrol

Kriptografi.

3 1,67



Kriptografi adalah nilai maturity level sebesar 1,67 berada di level satu (1)

Performed Informally. Berikut merupakan representasi grafik dari nilai

maturity level klausul 10 Kriptografi.


5. Klausul 12 Keamanan Operasi




1 Prosedur dokumentasi terkait instalasi dan

konfigurasi sistem 1

2

2 Prosedur dokumentasi terkait pengolahan dan

penanganan informasi baik secara otomatis dan

manual

1 1

1,51,61,71,81,9

2

10.1.1 Kebijakan

tentang penggunaan

kontrol Kriptografi

x

Representasi Nilai Maturity Level Klausul 10 Kriptografi

227

3 Dilakukan pembackup-an 1 1

4 Kebutuhan penjadwalan termasuk ketergantungan

dengan sistem lain, awal waktu pekerjaan dimulai

(job start) dan pekerjaan terbaru selesai

1 1

5 Prosedur sistem restart dan pemulihan untuk

digunakan dalam hal kegagalan sistem 1

1

6 Manajemen jejak (rekam jejak) audit dan log

sistem informasi 1

1

7 Prosedur pemantauan (monitoring) 1 1


Kemampuan 1,14



1 Mengidentifikasi dan merekam perubahan yang

signifikan atau berarti 1

1

2 Mengontrol perencanaan dan pengujian perubahan 1 1

3 Mengukur dampak kemungkinan perubahan

(dampak pada keamanan informasi) 1

1


Kemampuan 1



1 Membuat sebuah kebijakan resmi yang melarang

penggunaan perangkat lunak yang tidak sah 1

2

2 Menerapkan kontrol yang mencegah atau

mendeteksi penggunaaan perangkat lunak yang

tidak sah

1 1

3 Kontrol penerapan untuk mencegah atau

mendeteksi penggunaan dugaan atau pelanggaran

situs web berbahaya

1

2

4 Mendefinisikan prosedur dan tanggung jawab

untuk berurusan dengan perlindungan malware

pada sistem, pelatihan dalam penggunaannya,

pelaporan dan pemulihan dari serangan malware

1

2

5 Menyiapkan rencana keberlanjutan bisnis untuk

pemulihan dari serangan malware, termasuk

semua data yang dibutuhkan dan perangkat lunak

cadangan, pengaturan pemulihan

1

2


Kemampuan 1,8



1 Organisasi harus mendefinisikan dan menetapkan

peran dan tanggung jawab asosiasi dengan

manajemen kerentanan teknis, termasuk

pemantauan (monitoring), pengukuran kerentanan

risiko, penelusuran aset dan dibutuhkan


1 1

228

2 Sebuah kronologi (timeline) harus didefinisikan

untuk mereaksi pemberitahuan terkait potensi

kerentanan teknis

1 1

3 Catatan/log audit harus disimpan untuk semua

prosedur yang dilakukan 1

2

4 Keefektifitasan proses manajemen kerentanan

teknis harus sesuai dengan kegiatan manajemen

insiden untuk mengkomunikasikan data dalam

kerentanan terhadap fungsi tanggapan insiden dan

menyediakan prosedur teknikal yang harus

dilakukan saat insiden terjadi

1 1

5 Sistem dengan risiko tinggi harus diutamakan 1

2

6 Manajemen kerentanan teknis harusnya dipantau

secara teratur dan dievaluasi dengan maksud untuk

menjamin keefektifitasan dan keefisiensiannya

1

2


Kemampuan 1,5



Kemampuan

Rata-Rata/

Objektif Kontrol

12. Keamanan

Operasi

12.1 Tanggung

jawab dan

Prosedur

Operasional

12.1.1 Prosedur

Dokumentasi Operasi 7 1,14

12.1.2 Manajemen

Perubahan. 3 1

12.2 Perlindungan

terhadap malware

12.2.1 Kontrol

terhadap malware. 5 1,8

12.6 Manajemen

Kelemahan

Teknikal

12.6.1 Manajemen dari

Kelemahan Teknikal. 6 1,5



Keamanan Operasi adalah nilai maturity level sebesar 1,36 berada di level

satu (1) Performed Informally. Berikut merupakan representasi grafik dari

nilai maturity level klausul 12 Keamanan Operasi.

229


Berikut ini adalah tabel yang memuat keseluruhan dari nilai

maturity level yang telah dijabarkan diatas.

ISO/IEC 27001:2013

Tabel 4. 119 Nilai Maturity Level pada ISO/IEC 27001:2013


Kemampuan

Rata-Rata/

Objektif Kontrol

7.

Keamanan

Sumber

Daya

Manusia

7.2 Selama Bekerja


Manajemen 3 1,7

7.2.2 Kesadaran, Pendidikan

dan Pelatihan Keamanan

Informasi

3 1,3

7.2.3 Proses Tata Tertib 2 1

7.3 Pemutusan

Hubungan Kerja dan

Perubahan Pekerjaan


Pemutusan Hubungan Kerja

dan Perubahan Pekerjaan

3 2



Kemampuan

Rata-Rata/

Objektif Kontrol

11.

Keamanan

Fisik dan

Lingkungan

11.1 Area Aman


Fisik; 3 1,3

11.1.2 Kontrol Masuk Fisik 3 1,7

11.1.5 Bekerja di Area Aman 4 1,5

11.2 Peralatan 11.2.1 Perlindungan dan

Penempatan Peralatan 4 1,25

00,5

11,5

2

12.1.1 Prosedur

Dokumentasi Operasi

12.1.2 Manajemen

Perubahan

12.2.1 Kontrol

terhadap malware

12.6.1 Manajemen

dari kelemahan

teknikal

Representasi Nilai Maturity Level Klausul 12 Keamanan

Operasi

230

11.2.2 Keperluan Pendukung 3 2

11.2.3 Keamanan

Pengkabelan 2 1


Layar Bersih 3 1,3



Kemampuan

Rata-Rata/

Objektif Kontrol

16.

Manajemen

Insiden

Keamanan

Informasi

16.1 Manajemen

Insiden Keamanan

Informasi dan

Peningkatan

16.1.1 Tanggung Jawab dan

Prosedur 4 1,75


Keamanan Informasi 3 1,3

16.1.7 Kumpulan Bukti 3 1,7



Kemampuan

Rata-Rata/

Objektif Kontrol

18.

Penyesuaian

18.1 Penyesuaian

dengan Hukum dan

Kebutuhan


18.1.2 Hak Kekayaan

Intelektual 3 2,3


Berikut ini adalah representasi nilai dalam bentuk grafik.

231

Gambar 4. 13 Grafik Representasi Nilai Maturity Level pada ISO/IEC 27001:2013


0

0,5

1

1,5

2

2,5

7. Keamanan Sumber

Daya Manusia7.2.1 Tanggung Jawab

Manajemen7.2.2 Kesadaran,

Pendidikan dan…



Pemutusan Hubungan…

11. Keamanan Fisik dan

Lingkungan


Fisik

11.1.2 Kontrol Masuk

Fisik

11.1.5 Bekerja di Area

Aman11.2.1 Perlindungan dan

Penempatan Peralatan

11.2.2 Keperluan

Pendukung

11.2.3 Keamanan

Pengkabelan


Layar Bersih

16 Manajemen Insiden

Keamanan Informasi


dan Prosedur


Keamanan Informasi


18. Penyesuaian

18.1.2 Hak Kekayaan

Intelektual

Representasi Nilai Maturity Level pada ISO 27001:2013

0

0,5

1

1,5

2

2,5

7. Keamanan Sumber

Daya


Lingkungan

16. Manajemen Insiden

dan Keamanan

Informasi

18. Penyesuaian

Representasi Nilai Maturity Level Klausul ISO/IEC 27001: 2013

232

ISO/IEC 27002:2013

Tabel 4. 120 Nilai Maturity Level pada ISO/IEC 27002:2013


Kemampuan

Rata-Rata/

Objektif Kontrol

5. Kebijakan

keamanan

informasi

5.1 Arahan

manajemen untuk

keamanan informasi

5.1.1 Kebijakan untuk

keamanan informasi. 5 2

Maturity Level Klausul 5 2


Kemampuan

Rata-Rata/

Objektif Kontrol

8.

Manajemen

aset

8.1 Tanggung jawab

terhadap aset

8.1.1 Inventarisasi aset 2 2

8.1.2 Kepemilikan Aset 3 2,3

8.1.3 Penggunaan aset yang

dapat diterima 2 2

8.1.4 Pengembalian Aset 4 2



Kemampuan

Rata-Rata/

Objektif Kontrol

9. Kontrol

akses

9.1 Persyaratan bisnis

kontrol akses 9.1.1 Kebijakan kontrol akses. 6 2

9.4 Kontrol akses

sistem dan aplikasi

9.4.1 Pembatasan akses

informasi 5 2,4

9.4.2 Prosedur Keamanan

Log-on 6 2,5



Kemampuan

Rata-Rata/

Objektif Kontrol

10.

Kriptografi

10.1 Kontrol

Kriptografi

10.1.1 Kebijakan tentang

penggunaan kontrol

Kriptografi. 3 1,67



Kemampuan

Rata-Rata/

Objektif Kontrol

12.

Keamanan

Operasi

12.1 Tanggung jawab

dan Prosedur

Operasional

12.1.1 Prosedur Dokumentasi

Operasi 7 1,14

12.1.2 Manajemen Perubahan. 3 1

12.2 Perlindungan

terhadap malware

12.2.1 Kontrol terhadap

malware. 5 1,8

233

12.6 Manajemen

Kelemahan Teknikal

12.6.1 Manajemen dari

Kelemahan Teknikal. 6 1,5


Berikut ini adalah representasi nilai dalam bentuk grafik.



0

0,5

1

1,5

2

2,55. Kebijakan…

5.1.1 Kebijakan…

8. Manajemen aset


8.1.2 Kepemilikan…

8.1.3 Penggunaan…

8.1.4 Pengembalian…

9. Kontrol akses

9.1.1 Kebijakan…9.4.1 Pembatasan…

9.4.2 Prosedur…

10. Kriptografi

10.1.1 Kebijakan…

12. Keamanan Operasi

12.1.1 Prosedur…

12.1.2 Manajemen…

12.2.1 Kontrol…

12.6.1 Manajemen…

Representasi Nilai Maturity Level pada ISO 27002:2013

0

0,5

1

1,5

2

2,5

5. Kebijakan

keamanan informasi

8. Manajemen aset

9. Kontrol akses10. Kriptografi


Representasi Nilai Maturity Level Klausul ISO 27002: 2013

234

4.4 Tahap Act

Setelah melakukan penilaian terhadap maturity level pada

objektif kontrol dan kontrol keamanan informasi pada Divisi Information

Technology (IT), peneliti melakukan penentuan untuk rekomendasi yang

akan digunakan untuk perbaikan kontrol keamanan. Rekomendasi yang

dihasilkan berasal dari observasi dan wawancara yang dilakukan peneliti

pada Divisi Information Technology (IT) PT Jasa Marga. Nilai maturity

level dari rata-rata seluruh nilai klausul akan didapatkan setelah seluruh

penilaian selesai dilakukan. Berikut ini merupakan hasil dari penilaian

maturity level dari rata-rata keseluruhan nilai klausul.

Dari tabel di atas, didapatkan representasi hasil maturity level

seluruh klausul sebagai berikut:

Tabel 4.121 Hasil Maturity Level Klausul ISO/IEC 27001: 2013

Klausul ISO/IEC 27001:2013 Maturity Level

7. Keamanan Sumber Daya 1,5

11. Keamanan Fisik dan Lingkungan 1,4

16. Manajemen Insiden dan Keamanan

Informasi 1,58

18. Penyesuaian 2,3

Tabel 4.122 Hasil Maturity Level Klausul ISO/IEC 27002: 2013

Klausul ISO/IEC 27002:2013 Maturity Level

5. Kebijakan keamanan informasi 2

8. Manajemen aset 2,07

9. Kontrol akses 2,3

10. Kriptografi 1,67

12. Keamanan Operasi 1,37

235

Hasil maturity level dari representasi hasil seluruh klausul, yaitu

sebagai berikut:

Hasil maturity level ISO/IEC 27001: 2013


Hasil maturity level ISO/IEC 27002: 2013


00,5

11,5

22,5

7. Keamanan Sumber

Daya


Lingkungan

16. Manajemen Insiden

dan Keamanan

Informasi

18. Penyesuaian

Representasi Nilai Maturity Level Klausul ISO 27001: 2013

0

0,5

1

1,5

2

2,5

5. Kebijakan keamanan

informasi

8. Manajemen aset

9. Kontrol akses10. Kriptografi


Representasi Nilai Maturity Level Klausul ISO/IEC 27002: 2013

236


berdasarkan ISO/IEC 27001:2013

Setelah dilakukan penilaian maturity level, analisa, dan evaluasi,

selanjutnya adalah penentuan kondisi pada Divisi Information Technology

(IT) apakah sudah sesuai dengan standar ISO/IEC 27001: 2013 dan

ISO/IEC 27002: 2013 serta pemberian rekomendasi. Rekomendasi dapat

digunakan untuk perbaikan pada Divisi Information Technology (IT) PT

Jasa Marga. Berikut ini adalah kondisi sekaligus usulan yang diberikan

oleh peneliti:

Tabel 4. 123 Hasil Temuan dan Rekomendasi berdasarkan ISO/IEC 27001:2013

7. Keamanan Sumber Daya Manusia


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Seluruh pegawai

dan pihak lain yang

berkaitan dengan

organisasi

menerapkan

keamanan

informasi sesuai

dengan kebijakan

dan prosedur

Tersedianya panduan

keamanan informasi

organisasi yang

disesuaikan dengan

keamanan informasi

negara

Berdasarkan kontrol 7.2.1

pihak manajemen

seharusnya menyediakan

panduan terkait keamanan

informasi organisasi

Adanya pemberian

motivasi, program

pembelajaran

peningkatan

kemampuan dan

pengkualifikasian

terhadap kemampuan

dasar terkait keamanan

informasi


pihak manajemen


kegiatan yang dapat

memotivasi dan

meningkatkan kemampuan

pegawai terkait keamanan

informasi

Rekomendasi:

1. Pihak manajemen perlu menyediakan panduan yang sesuai dengan ketentuan negara terkait keamanan

informasi pada organisasi.

2. Pihak Manajemen perlu menyediakan kegiatan untuk memotivasi pegawai dan mengembangkan

kemampuan dasar terkait keamanan informasi.


237

Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Pendidikan dan

pelatihan rutin

untuk seluruh

pegawai dan pihak

eksternal yang

disesuaikan

jobdesk masing-

masing,

berdasarkan

kebijakan yang

telah diperbaharui

dan prosedur

organisasi

Perjanjian terhadap

keamanan informasi

saat pendidikan dan

pelatihan.


pihak manajemen


perjanjian pendidikan dan

pelatihan keamanan

informasi.

Prosedur dasar

keamanan informasi

dan baseline controls

(keamanan password,

malware controls, &

clear desk).


pihak manajemen


prosedur dasar keamanan

informasi dan baseline

controls (seperti keamanan

password, malware

controls, & clear desk).

Pihak manajemen dan

pegawai memiliki

tanggung jawab

pribadi terkait

perlindungan

kepemilikan informasi

organisasi


seharusnya pihak

manajemen dan pegawai

bertanggung jawab untuk

mengamankan atau

melindungi kepemilikan

informasi organisasi atau

pihak luar.

Rekomendasi:

1. Pihak manajemen perlu menyediakan fasilitas pendidikan dan pelatihan keamanan informasi.

2. Pihak manajemen perlu menyediakan prosedur dasar keamanan informasi dan baseline control.

3. Pihak manajemen dan pegawai memiliki tanggung jawab untuk melindungi informasi yang dimiliki

organisasi.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Proses disipliner

formal dan

pengkomunikasian

terhadap tindakan

pegawai terkait

pelanggaran

keamanan

informasi

Proses tata tertib

bersifat formal dan

komunikatif terkait

tindakan pelanggaran

pegawai pada

keamanan informasi.


pihak manajemen

seharusnya memiliki

proses tata tertib bersifat

formal dan komunikatif

terkait tindakan

pelanggaran pegawai pada

keamanan informasi.

Proses tata tertib

menjadi sebuah

motivasi atau sebuah

insentif jika sanksi

positif terkait perilaku

pada keamanan

informasi.


pihak manajemen

seharusnya menyiapkan

proses tata tertib agar

menjadi sebuah motivasi

atau sebuah insentif jika

sanksi positif terkait

perilaku pada keamanan

informasi.

Rekomendasi:

238

1. Perlunya proses tata tertib bersifat formal dan komunikatif terkait tindakan pelanggaran pegawai pada

keamanan informasi.

2. Proses tata tertib menjadi motivasi atau sebuah insentif jika sanksi positif terkait perilaku pada keamanan

informasi.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Tanggung jawab

terhadap keamanan

informasi tetap

berlaku setelah

pengakhiran atau

perubahan

pekerjaan

Memberitahukan

tanggung jawab

bekerja dan saat

pemberhentian

termasuk tanggung

jawab hukum

keamanan informasi

saat ini.


pihak manajemen

seharusnya

mengkomunikasikan

tanggung jawab

pemberhentian termasuk

kebutuhan tanggung jawab

hukum keamanan

informasi saat ini.

Syarat dan ketentuan

bekerja terkait

tanggung jawab dan

tugas tetap sah setelah

pemberhentian

bekerja.

Terdapat pasal

di dalam surat

perjanjian

Sesuai dengan standar

Rekomendasi:

1. Perlunya sosialisasi terkait tanggung jawab pemberhentian trerkait tanggung jawab hukum keamanan

informasi.

11. Keamanan Fisik dan Lingkungan


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Parameter

keamanan harus

didefinisikan dan

digunakan untuk

melindungi area

fasilitas pemrosesan

informasi yang

berisi informasi

sensitif

Lingkup keamanan

harus didefinisikan

dan penempatan serta

kekuatan lain (dapat

berbunyi) pada

lingkup berdasarkan

kebutuhan keamanan

aset & hasil dari

penilaian risiko.


lingkup keamanan

seharusnya didefinisikan

dan penempatan serta

kekuatan lain pada lingkup

berdasarkan kebutuhan

keamanan aset & hasil dari

penilaian risiko.

Area penerima tamu

untuk mengontrol

akses fisik.

Adanya

customer

service. Sesuai dengan standar

Rekomendasi:

1. Perlunya penjelasan untuk penempatan serta kekuatan lain pada lingkup sesuai dengan kebutuhan


2. Fasilitas pemrosesan informasi dapat berbunyi (seperti pintu atau jendela).


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

239

Area aman

dilindungi oleh

kontrol entri untuk

memastikan bahwa

hanya pegawai

yang berwenang

dapat mengakses

Waktu dan tanggal

dari masuk dan

keberangkatan atau

kepergian pengunjung

harus terekam kecuali

akses mereka sudah



seharusnya waktu dan

tanggal dari masuk dan

keberangkatan atau

kepergian pengunjung

harus terekam dan semua

pengunjung harus diawasi

kecuali akses mereka

sudah disetujui

sebelumnya.

Semua pegawai,

kontraktors dan pihak

luar harus

menggunakan tanda

pengenal yang terlihat

dan diketahui oleh

bagian keamanan.


seharusnya semua

pegawai, kontraktors dan

pihak luar harus

menggunakan tanda

pengenal yang terlihat dan

diketahui oleh bagian

keamanan.

Penerapan kontrol

akses ke area dimana

kerahasiaan informasi

diproses harus dibatasi

dan dilakukan otorisasi

individual


seharusnya dilakukan

penerapan kontrol akses ke

area dimana kerahasiaan

informasi diproses harus

dibatasi dan dilakukan

otorisasi individual

Rekomendasi:

1. Perlunya pengawasan terhadap waktu dan tanggal dari masuk dan keberangkatan atau kepergian

pengunjung yang terekam dan semua pengunjung kecuali akses mereka sudah disetujui sebelumnya.

2. Semua pegawai, kontraktors dan pihak luar harus menggunakan tanda pengenal yang terlihat dan

diketahui oleh bagian keamanan.

3. Perlunya penerapan kontrol akses ke area dimana kerahasiaan informasi diproses harus dilakukan

pembatasan dan otorisasi individual.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Prosedur untuk

bekerja di area

aman harus

dirancang dan

diterapkan

Pegawai menyadari

keberadaan, atau

kegiatan dalam sebuah

wilayah yang aman.


seharusnya personil

menyadari keberadaan,

atau kegiatan dalam

sebuah wilayah yang

aman.

Bekerja tanpa

pengawasan di daerah-

daerah yang harus

dihindari baik untuk

alasan keamanan dan

mencegah peluang

untuk kegiatan

berbahaya.


seharusnya bekerja tanpa

pengawasan di daerah-

daerah yang harus

dihindari baik untuk alasan

keamanan dan mencegah

peluang untuk kegiatan

berbahaya.

240

Daerah-daerah yang

kosong harus secara

fisik terkunci dan

ditinjau secara berkala.

Dilakukan

penguncian

untuk ruang

direksi dan

vice president

jika kosong


Pengambilan gambar,

video, suara atau

peralatan perekam

lainnya seperti kamera

di perangkat mobile

tidak diperkenankan,

kecuali telah di

otorisasi.


seharusnya pengambilan

gambar, video, suara atau

peralatan perekam lainnya

seperti kamera di

perangkat mobile tidak

diperkenankan, kecuali

telah di otorisasi.

Rekomendasi:

1. Perlunya peningkatan kesadaran personil terkait kegiatan dalam sebuah wilayah yang aman.

2. Pegawai dapat bekerja tanpa pengawasan di daerah-daerah yang harus dihindari baik untuk alasan

keamanan dan mencegah peluang untuk kegiatan berbahaya.

3. Perlunya aturan terkait pengambilan gambar, video, suara atau peralatan perekam lainnya seperti kamera

di perangkat mobile.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Penempatan

terhadap peralatan

disesuaikan dengan

tingkat risikonya

dan dilindungi dari

ancaman dan

bahaya lingkungan.

Fasilitas yang

menangani data

sensitif pada

pemrosesan informasi

diletakkan dengan

hati-hati untuk

mengurangi risiko

yang dihindari.


seharusnya fasilitas yang

menangani data sensitif

pada pemrosesan informasi

diletakkan dengan hati-hati

untuk mengurangi risiko

yang dihindari

Perlindungan pada

peralatan pengolahan

informasi rahasia

untuk meminimalkan

risiko kebocoran

informasi.



perlindungan pada

peralatan pengolahan

informasi rahasia untuk

meminimalkan risiko

kebocoran informasi

Rekomendasi:

1. Penempatan fasilitas yang menangani data sensitif pada pemrosesan informasi dilakukan dengan hati-hati

untuk mengurangi risiko yang dihindari.

2. Perlunya penerapan perlindungan pada peralatan pengolahan informasi rahasia untuk meminimalkan

risiko kebocoran informasi.

12.2.2. Keperluan Pendukung

Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

241

Peralatan harus

dilindungi dari

gangguan listrik

dan gangguan lain

yang disebabkan

oleh kegagalan

dalam mendukung

utilitas

Peralatan sesuai

dengan spesifikasi

pabrik dan persyaratan

hukum setempat

Peralatan

disediakan

oleh pihak

ketiga yang

telah

memenuhi

hukum

setempat


Dilakukan penilaian

secara berkala untuk

mengetahui kapasitas

apakah sesuai dengan

pertumbuhan bisnis

Adanya

tinjauan ulang

terkait

kebutuhan dan

pertumbuhan

organisasi


Dilakukan

pemeriksaan dan

pengujian secara

teratur untuk

memastikan fungsinya

Dilakukan

oleh pihak

ketiga

berdasarkan

kontrak

perjanjian

kerjasama



Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Kabel listrik dan

telekomunikasi

yang membawa

data atau layanan

informasi

pendukung harus

dilindungi dari

intersepsi,

interferensi atau

kerusakan

Posisi saluran listrik

dan telekomunikasi

yang terhubung

dengan fasilitas


berada di bawah tanah

atau perlindungan

alternatif


seharusnya posisi saluran

listrik dan telekomunikasi

yang terhubung dengan


informasi berada di bawah

tanah atau perlindungan

alternatif

Pemisahan kabel daya

dan kabel komunikasi



pemisahan kabel daya dan

kabel komunikasi

Rekomendasi:

1. Penempatan posisi saluran listrik dan telekomunikasi yang terhubung dengan fasilitas pemrosesan

informasi harus berada di bawah tanah atau dengan perlindungan alternatif.

2. Perlu dilakukan pemisahan kabel daya dan kabel komunikasi.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Pengadopsian

kebijakan

keamanan

informasi terkait

media penyimpanan

kertas dan

removable serta

Penyimpanan

informasi sensitif atau

bersifat kritis harus

terkunci (seperti kertas

atau media

penyimpanan

elektronik)


seharusnya penyimpanan


bersifat kritis harus

terkunci (seperti kertas

atau media penyimpanan

elektronik)

242

layar pengolahan

informasi

Komputer and

terminals ditinggalkan

dalam keadaan

terkunci atau

terlindungi dengan

layar dan keyboard

dengan kontrol

penguncian seperti

password atau proses

authentication

Layar

Komputer atau

Laptop

terkunci

otomatis

apabila tidak

digunakan

beberapa saat


Media yang berisi


rahasia harus segera

dihapus dari printer


seharusnya media yang

berisi informasi sensitif

atau rahasia harus segera

dihapus dari printer

Rekomendasi:

1. Penyimpanan informasi sensitif atau bersifat kritis harus terkunci (seperti kertas atau media penyimpanan

elektronik)

2. Media yang berisi informasi sensitif atau rahasia harus segera dihapus dari printer.

16. Manajemen Insiden Keamanan Informasi dan Peningkatan


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Prosedur terkait

insiden keamanan

informasi harus

ditetapkan untuk

respon yang

diberikan

Prosedur untuk

perencanaan dan

persiapan tanggap

insiden


seharusnya pihak

manajemen menyediakan

prosedur untuk

perencanaan dan persiapan

tanggap insiden

Prosedur yang

memastikan bahwa

personel yang

menangani masalah

memiliki kompeten

terkait insiden tersebut


seharusnya pihak


prosedur yang memastikan

bahwa personel yang

menangani masalah

memiliki kompeten terkait

insiden tersebut.

Prosedur pelaporan

mencakup proses

umpan balik untuk

memastikan bahwa

orang-orang yang

melaporkan kejadian

keamanan informasi

diberitahu tentang

hasil setelah masalah

tersebut telah

ditangani dan ditutup


seharusnya pihak


prosedur pelaporan

mencakup proses umpan

balik untuk memastikan

bahwa orang-orang yang

melaporkan kejadian

keamanan informasi

diberitahu tentang hasil

setelah masalah tersebut

telah ditangani dan ditutup.

Rekomendasi:

1. Pihak manajemen perlu menyediakan prosedur untuk perencanaan dan persiapan tanggap insiden

243

2. Pihak manajemen perlu menyediakan prosedur yang memastikan bahwa personel yang menangani

masalah memiliki kompeten terkait insiden tersebut.

3. Pihak manajemen perlu menyediakan prosedur pelaporan mencakup proses umpan balik yang sesuai

untuk memastikan bahwa orang-orang yang melaporkan kejadian keamanan informasi diberitahu tentang

hasil setelah masalah tersebut telah ditangani dan ditutup.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Kejadian keamanan

informasi harus

dilaporkan melalui

saluran manajemen

Pelaporan kontrol

keamanan yang tidak

efektif



pelaporan kontrol

keamanan yang tidak

efektif

Pelaporan pelanggaran

pengaturan keamanan

fisik



pelaporan pelanggaran

pengaturan keamanan fisik

Rekomendasi:

1. Perlu dilakukan pelaporan kontrol keamanan yang tidak efektif.

2. Perlu dilakukan pelaporan pelanggaran pengaturan keamanan fisik.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Prosedur untuk

identifikasi,

pengumpulan,

perolehan, dan

pelestarian

informasi yang

dapat berfungsi

sebagai bukti

Prosedur

mempertimbangkan

keamanan bukti


pihak manajemen


prosedur yang

mempertimbangkan

keamanan bukti.

Prosedur

mempertimbangkan

keamanan personil

Disediakan

bagian

keamanan

pada masing-

masing lantai

dan CCTV


Prosedur

mempertimbangkan

keamanan

dokumentasi


pihak manajemen


prosedur yang

mempertimbangkan

keamanan dokumentasi

Rekomendasi:

1. Pihak manajemen perlu menyediakan prosedur yang mempertimbangkan keamanan bukti.

2. Pihak manajemen perlu menyediakan prosedur yang mempertimbangkan keamanan dokumentasi.

18. Penyesuaian


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

244

Prosedur yang

memastikan

kepatuhan dengan

persyaratan

legislatif, peraturan

dan kontrak yang

terkait dengan hak

kekayaan

intelektual dan

penggunaan produk

perangkat lunak

berpemilik

Mengeluarkan

kebijakan kepatuhan

hak kekayaan

intelektual yang

mendefinisikan

penggunaan sah

perangkat lunak dan

produk informasi


pihak manajemen

seharusnya mengeluarkan

kebijakan kepatuhan hak

kekayaan intelektual yang

mendefinisikan

penggunaan sah perangkat

lunak dan produk

informasi

Mendapatkan

perangkat lunak

melalui sumber yang

diketahui dan memiliki

reputasi baik, untuk

memastikan hak cipta

tidak dilanggar

Dilakukan

perjanjian

kontrak

kerjasama

dengan pihak

yang

mengeluarkan

perangkat

lunak


Menjaga kesadaran

kebijakan untuk

melindungi hak

kekayaan intelektual

dan memberikan

pemberitahuan tentang

niat untuk mengambil

tindakan disipliner

terhadap personel yang

melanggar mereka


pihak manajemen

seharusnya menjaga

kesadaran kebijakan untuk

melindungi hak kekayaan

intelektual dan

memberikan

pemberitahuan tentang niat

untuk mengambil tindakan

disipliner terhadap

personel yang melanggar

mereka

Rekomendasi:

1. Perlunya kebijakan kepatuhan hak kekayaan intelektual yang mendefinisikan penggunaan sah perangkat

lunak dan produk informasi.

2. Perlu menjaga kesadaran kebijakan untuk melindungi hak kekayaan intelektual dan memberikan

pemberitahuan tentang tindakan disipliner terhadap personel yang melanggar.

245


berdasarkan ISO/IEC 27002:2013

Tabel 4. 124 Hasil Temuan dan Rekomendasi berdasarkan ISO/IEC27002:2013

5.1 Kebijakan Keamanan Informasi


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Kebijakan terkait

keamanan

informasi yang

disetujui dan

diterbitkan oleh

pihak manajemen

Kebijakan keamanan

informasi

berdasarkan atau

sesuai dengan strategi

bisnis, undang-

undang dan

perjanjian


terdapat kebijakan

keamanan informasi

namun pelaksanaannya

belum sesuai dengan

strategi bisnis, undang-

undang dan perjanjian.

Kebijakan keamanan

informasi mendukung

prinsip kontrol akses,

hak akses dan

pembatasan untuk

peran pengguna


kebijakan keamanan

informasi sudah ada

namun belum mendukung

prinsip kontrol akses, hak

akses dan pembatasan

untuk peran pengguna.

Rekomendasi:

1. Perlunya pengimbauan dan contoh penerapan agar kebijakan dapat dilaksanakan oleh seluruh pegawai.

2. Perlunya kebijakan keamanan informasi yang mendukung prinsip kontrol akses, hak akses dan

pembatasan untuk peran pengguna.

8. Manajemen Aset

8.1.1 Inventarisasi Aset

Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Pengidentifikasian,

inventarisasi dan

pemeliharaan aset

terkait dengan

informasi dan


informasi

Mengidentifikasi aset

terkait siklus

informasi

(pembuatan,

pemrosesan,

penyimpanan,

penyampaian,

penghapusan, dan

penghancuran) dan

dokumen yang

penting



peengidentifikasian aset

terkait siklus informasi

(pembuatan, pemrosesan,

penyimpanan,

penyampaian,

penghapusan, dan

penghancuran) dan

dokumen yang penting.

246

Dokumentasi aset

dipelihara dalam

penjagaan atau

penyimpanan yang

tepat



pendokumentasian aset

dipelihara dalam

penjagaan atau


Rekomendasi:

1. Organisasi perlu mengidentifikasi aset terkait siklus informasi (pembuatan, pemrosesan, penyimpanan,

penyampaian, penghapusan, dan penghancuran) dan dokumen yang penting.

2. Perlunya dilakukan pendokumentasian aset dipelihara dalam penjagaan atau penyimpanan yang tepat.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Aset yang ada

diinventariskan

Organisasi dapat

menentukan aset

yang diinventariskan

Terdapat pada

dokumen

referensi

Sesuai standar

Organisasi dapat

menentukan

pengklasifikasian aset

dan perlindungan

yang tepat


seharusnya organisasi

dapat menentukan

pengklasifikasian aset dan


Penanganan yang

tepat bila aset

dihapus atau

dihancurkan



penanganan yang tepat bila

aset dihapus atau

dihancurkan

Rekomendasi:

1. Organisasi perlu menentukan pengklasifikasian aset dan perlindungan yang tepat.

2. Perlu dilakukan penanganan yang tepat bila aset dihapus atau dihancurkan.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Pengidentifikasian,

pendokumentasian

dan

pengimplentasian

terhadap peraturan

penerimaan dan

penggunaan aset

informasi

Adanya kesadaran

keamanan informasi

pada pegawai dan

pihak eksternal atau

pengguna yang

memiliki akses pada

aset organisasi


seharusnya pegawai dan

pihak eksternal atau

pengguna yang memiliki

kesadaran keamanan

informasi pada aset

organisasi

Tanggung jawab

terhadap penggunaan

pengolahan sumber

daya informasi


seharusnya tanggung

jawab terhadap

penggunaan pengolahan

sumber daya informasi

Rekomendasi:

1. Perlu kesadaran pegawai dan pihak eksternal atau pengguna yang memiliki akses pada aset organisasi.

247

2. Tanggung jawab terhadap penggunaan pengolahan sumber daya informasi.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Pengembalian

seluruh aset setelah

akhir masa kontrak

oleh semua pegawai

dan pihak eksternal

berdasarkan

perjanjian

Pemberhentian

pegawai atau pihak

eksternal harus

disahkan

(pengembalian aset

fisik dan elektronik)

oleh organisasi


seharusnya pemberhentian

pegawai atau pihak

eksternal harus disahkan

(pengembalian aset fisik

dan elektronik) oleh

organisasi

Pegawai atau pihak

eksternal yang

membeli peralatan

organisasi atau

menggunakan

peralatan mereka

secara pribadi, harus

mengikuti prosedur

bahwa semua

informasi telah

dialihkan ke

organisasi dan

dihapus dengan aman


seharusnya pegawai atau

pihak eskternal yang

membeli peralatan

organisasi atau

menggunakan peralatan

mereka secara pribadi,

harus mengikuti prosedur

bahwa semua informasi

telah dialihkan ke

organisasi dan dihapus dari

peralatan atau perangkat

Pendokumentasian

terkait pengetahuan

dan kemampuan

pegawai atau pihak

eksternal terkait

tanggung jawab pada

kegiatan selanjutnya.



pendokumentasian

pengetahuan dan

kemampuan pegawai atau

pihak eskternal terkait

tanggung jawab pada

kegiatan selanjutnya.

Rekomendasi:

1. Perlunya pengesahan pengembalian semua aset yang diberikan sebelumnya baik aset fisik dan elektronik

oleh organisasi pada saat proses penghentian atau pemberhentian pegawai atau pihak luar.

2. Perlu mengikuti prosedur untuk menentukan bahwa semua informasi yang terkait telah dipindahkan atau

dialihkan ke organisasi dan dihapus dengan aman dari peralatan atau perangkat.

3. Perlu dilakukan dokumentasi terkait pengetahuan dan kemampuan pegawai atau pengguna pihak luar

yang memiliki peran penting pada kegiatan selanjutnya dan diberikan ke organisasi.

9. Kontrol Akses


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Penetapan,

pendokumentasian,

dan peninjauan

terhadap kebijakan

kontrol akses

Kebijakan terkait

keamanan dari

aplikasi bisnis


seharusnya kebijakan

mempertimbangkan

keamanan dari aplikasi

bisnis

248

berdasarkan

persyaratan

keamanan bisnis

dan informasi

Kebijakan

penyebaran dan

otorisasi informasi


seharusnya terdapat

kebijakan penyebaran dan

otorisasi informasi.

Kebijakan terkait hal

yang dilarang dan

pemberian izin secara

tersurat


seharusnya terdapat

kebijakan untuk hal yang

dilarang dan pemberian

izin secara tersurat

Rekomendasi:

1. Perlunya kebijakan akan pertimbangan kebutuhan keamanan dari aplikasi bisnis.

2. Perlunya kebijakan untuk penyebaran dan otorisasi informasi.

3. Perlunya kebijakan terkait hal yang dilarang dan pemberian izin yang berlaku.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Penerapan

kebijakan kontrol

akses terhadap

informasi dan

fungsi sistem

aplikasi

Menyediakan menu

untuk akses kontrol

terhadap fungsi

sistem aplikasi

Adanya fitur

single sign on


Mengontrol hak akses

pengguna

Pembagian

hak akses

berdasarkan

jabatan dan

tugas


Terdapat akses

kontrol fisik atau

logis terkait isolasi

aplikasi sensitif (data

atau sistem)



akses kontrol fisik atau

logis untuk isolasi aplikasi

sensitif, (data atau sistem)

Rekomendasi:

1. Perlunya menyediakan akses kontrol fisik atau logis untuk isolasi aplikasi sensitif, seperti data atau

sistem.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Kebijakan kontrol

akses oleh prosedur

Log on yang aman

Upaya peningkatan

keamanan jika

terdeteksi ancaman

yang masuk pada

kontrol login

Admin

melakukan

penolakan

akses terhadap

internet

protocol (IP)

pengguna


249

Menghentikan

session yang telah

berakhir atau tidak

aktif setelah

pemberitahuan

periode



penghentian session yang

telah berakhir atau tidak

aktif setelah

pemberitahuan periode

Membatasi waktu

koneksi untuk

penambahan

penyediaan

keamanan pada

aplikasi berisiko

tinggi



pembatasan waktu koneksi

untuk penambahan

penyediaan keamanan

pada aplikasi berisiko

tinggi

Rekomendasi:

1. Perlu dilakukan penghentian session yang telah berakhir atau tidak aktif setelah pemberitahuan periode,

khusus lokasi berisiko tinggi seperti lingkungan umum atau diluar organisasi atau pada perangkat mobile.

2. Perlu dilakukan pembatasan waktu koneksi untuk penambahan penyediaan keamanan pada aplikasi

berisiko tinggi dan mengurangi window/celah dari kesempatan akses yang tidak berhak.

10. Kriptografi


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Kebijakan

penggunaan kontrol

kriptografi harus

dikembangkan dan

diimplementasikan

Pihak manajemen

menerapkan kontrol

kriptografi di seluruh

lingkup organisasi

(informasi bisnis)


seharusnya pihak

manajemen menerapkan

kontrol kriptografi di

seluruh lingkup organisasi

(informasi bisnis)

Dibutuhkan tingkatan

perlindungan yang

dapat

mengidentifikasi

jenis, kekuatan,

kualitas kebutuhan

algoritma enkripsi


dibutuhkan tingkatan

perlindungan yang dapat

mengidentifikasi jenis,

kekuatan, kualitas

kebutuhan algoritma

enkripsi

Penerapan enkripsi

untuk melindungi

perpindahan

informasi dari

berbagai media yang

membawanya


seharusnya penerapan

enkripsi dilakukan untuk

melindungi perpindahan

informasi

Rekomendasi:

1. Perlunya pendekatan oleh pihak manajemen terkait penerapan kontrol kriptografi di seluruh lingkup

organisasi (termasuk prinsip umum yang melingkupi informasi bisnis harus dilindungi).

2. Dibutuhkan tingkatan perlindungan yang dapat mengidentifikasi jenis, kekuatan, kualitas kebutuhan

algoritma enkripsi.

3. Perlunya penggunaan enkripsi untuk melindungi perpindahan informasi ke mobile atau removable media

devices atau seluruh jaringan komunikasi.


250


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Prosedur operasi

harus

didokumentasikan

dan tersedia bagi

semua pengguna

yang

membutuhkannya

Prosedur

dokumentasi terkait

pengolahan dan

penanganan

informasi baik

(otomatis dan

manual)


seharusnya terdapat

prosedur dokumentasi

terkait pengolahan dan

penanganan informasi

(otomatis dan manual)

Dilakukan

pembackup-an Adanya

penjadwalan

pada sistem


Manajemen jejak

(rekam jejak) audit

dan log sistem

informasi



manajemen jejak (rekam

jejak) audit dan log sistem

informasi

Rekomendasi:

1. Perlu prosedur dokumentasi terkait pengolahan dan penanganan informasi baik secara otomatis dan

manual.

2. Perlu dilakukan manajemen jejak (rekam jejak) audit dan log sistem informasi.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Pengontrolan

terhadap perubahan

proses bisnis,


informasi, dan

sistem yang

mempengaruhi

keamanan

informasi

Mengidentifikasi dan

merekam perubahan

yang signifikan atau

berarti



pengidentifikasian dan

perekaman perubahan

yang signifikan atau berarti

Mengontrol

perencanaan dan

pengujian perubahan



pengontrolan perencanaan

dan pengujian perubahan

Mengukur dampak

kemungkinan

perubahan (dampak

pada keamanan

informasi)



pengukuran dampak

kemungkinan perubahan

(dampak pada keamanan

informasi)

Rekomendasi:

1. Perlu dilakukan pengidentifikasian dan perekaman perubahan yang signifikan atau berarti.

2. Perlu dilakukan pengontrolan perencanaan dan pengujian perubahan.

3. Perlu dilakukan pengukuran dampak kemungkinan perubahan (dampak pada keamanan informasi).


251

Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Penerapan terhadap

pendeteksian,

pencegahan dan

pemulihan kontrol

terhadap kesadaran

pengguna untuk

melindungi dari

malware

Kebijakan yang

melarang penggunaan

perangkat lunak yang

tidak sah


seharusnya terdapat

kebijakan yang melarang

penggunaan perangkat

lunak yang tidak sah

Prosedur dan

tanggung jawab

terkait perlindungan,

pelatihan, pelaporan

dan pemulihan dari

serangan malware


seharusnya terdapat

prosedur dan tanggung

jawab terkait perlindungan,

pelatihan, pelaporan dan

pemulihan dari serangan

malware

Perencanaan bisnis

terkait pemulihan

dari serangan

malware (semua data

yang dibutuhkan,

perangkat lunak

cadangan, pengaturan

pemulihan)


seharusnya ada

perencanaan bisnis untuk

pemulihan dari serangan

malware (semua data yang

dibutuhkan, perangkat

lunak cadangan,

pengaturan pemulihan)

Rekomendasi:

1. Perlunya kebijakan resmi yang melarang penggunaan perangkat lunak yang tidak sah.

2. Perlunya prosedur dan tanggung jawab yang terkait dengan perlindungan malware pada sistem, pelatihan

dalam penggunaannya, pelaporan dan pemulihan dari serangan malware.

3. Perlunya persiapan rencana keberlanjutan bisnis untuk pemulihan dari serangan malware, termasuk

semua data yang dibutuhkan dan perangkat lunak cadangan, pengaturan pemulihan.


Kontrol Petunjuk

Penggunaan

Dilakukan Bukti GAP

Ya Tidak

Informasi terkait

kerentanan sistem

harus diketahui

secara cepat,

kemudian

dievaluasi dan

ditindaklanjuti

untuk mengurangi

risiko

Penetapan peran dan

tanggung jawab

terkait kerentanan

teknis (pemantauan

atau monitoring,

pengukuran risiko,

penelusuran aset dan

koordinasinya)


seharusnya organisasi

menetapkan peran dan

tanggung jawab terkait

kerentanan teknis

(pemantauan atau

monitoring, pengukuran

risiko, penelusuran aset

dan koordinasinya)

252

Sebuah kronologi

(timeline)

digambarkan untuk

mengetahui aksi dari

kerentanan teknis


seharusnya sebuah

kronologi (timeline) harus

digambarkan untuk

mengetahui aksi dari

kerentanan teknis

Manajemen

kerentanan teknis

dipantau secara

teratur dan dievaluasi

untuk menjamin

keefektifitasan dan

keefisiensiannya


seharusnya manajemen

kerentanan teknis dipantau

secara teratur dan

dievaluasi untuk menjamin

keefektifitasan dan

keefisiensiannya

Catatan/log audit

disimpan untuk

semua prosedur yang

dilakukan

Referensi

laporan

verifikasi

indeks

keamanan

informasi


Rekomendasi:

1. Perlunya penetapan peran dan tanggung jawab terkait kerentanan teknis (pemantauan atau monitoring,

pengukuran risiko, penelusuran aset dan koordinasinya).

2.Perlunya penggambaran dari sebuah kronologi (timeline) yang mungkin terjadi untuk mengetahui kondisi

dari kerentanan teknis yang ada.

3. Perlunya dilakukan pemantauan teratur dan pengevaluasi terhadap manajemen kerentanan teknis untuk

menjamin keefektifitasan dan keefiensiannya.

Dari hasil penelitian dapat diketahui bahwa ISO/IEC 27001:2013

berfokus pada kebijakan bagi perusahaan atau instansi yang belum

menerapkan kebijakan teknologi informasi sebelumnya, sedangkan

ISO/IEC 27002:2013 berfokus kepada kebijakan yang lebih khusus seperti

pada bagian pengoperasian atau penerapan dari kebijakan yang telah

ditentukan sebelumnya.

253

4.5 Rekomendasi untuk Aset

a. Rekomendasi untuk Aset Utama pada Divisi Information Technology

Tabel 4. 125 Rekomendasi untuk Aset Utama pada Divisi Information Technology

No Nama Aset Risiko yang Diterima Nilai

Risiko

Level

Risiko

Diterima/

Ditolak Mitigasi Rekomendasi

1 Database Web

Portal Internal

- Akses illegal atau user tanpa hak

(unautorized)

- Bencana alam

- Hacker dan cracker

- Memastikan letak server aman dari aman

dari berbagai macam risiko lain (short

circuit, float)

- Memastikan tidak masuknya pengguna yang

tidak memiliki hak akses ke dalam server

273,6 High

Risk Diterima

Pihak Divisi

Information

Technology

(IT) telah

menyediakan

generator set

dan cloud

computing

- Melakukan auto backup

- Perlunya melakukan

defragment

- Memasang UPS atau

stabilizer untuk melindungi

ketika listrik padam

- Membuat batasan hak akses

level untuk setiap aktor yang

menggunakan sistem

2 Database

Kepegawaian


(unautorized)

- Bencana alam




circuit, float)



307,8 High

Risk Diterima

Pihak Divisi

Information

Technology

(IT) telah

menyediakan

generator set

dan cloud

computing



defragment

- Memasang UPS atau





menggunakan sistem

3

Database

Knowledge

Management


(unautorized)

- Bencana alam




circuit, float)

229,5 High

Risk Diterima

Pihak Divisi

Information

Technology

(IT) telah

menyediakan

generator set



defragment

- Memasang UPS atau



254



dan cloud

computing



menggunakan sistem

4

Database

Lalu Lintas

Tol


(unautorized)

- Bencana alam




circuit, float)



334,4 High

Risk Diterima

Pihak Divisi

Information

Technology

(IT) telah

menyediakan

generator set

dan cloud

computing



defragment

- Memasang UPS atau





menggunakan sistem

5

Database

PKBL

(Program

Kemitraan dan

Bina

Lingkungan)


(unautorized)

- Bencana alam




circuit, float)



183,6 High

Risk Diterima

Pihak Divisi

Information

Technology

(IT) telah

menyediakan

generator set

dan cloud

computing



defragment

- Memasang UPS atau





menggunakan sistem

6 Database

ERP


(unautorized)

- Bencana alam




circuit, float)



271,7 High

Risk Diterima

Pihak Divisi

Information

Technology

(IT) telah

menyediakan

generator set

dan cloud

computing



defragment

- Memasang UPS atau





menggunakan sistem

255

b. Rekomendasi untuk Aset Pendukung pada Divisi Information Technology

Tabel 4. 126 Rekomendasi untuk Aset Pendukung pada Divisi Information Technology

No Nama Aset Risiko yang Diterima Nilai

Risiko

Level

Risiko

Diterima/

Ditolak Mitigasi Rekomendasi

1

Windows

Server

2012 R.2

- Memastikan letak server

aman dari berbagai

macam risiko (short

circuit, float)

- Memastikan tidak

masuknya pengguna

yang tidak memiliki hak

akses ke dalam server

189 High

Risk Diterima

Pihak Divisi Information

Technology (IT) telah

menyediakan backup data

berupa cloud computing

dan sistem penyimpanan

di tempat lain

- Perlunya penempatan server pada

posisi yang aman

- Perlunya auto backup database pada

server

- Membuat hak akses level untuk

ruangan server dengan

menggunakan security door dan

finger print

2 Fiber Optic

- Memastikan pemasangan

kabel sesuai dengan

kekuatan bandwithnya

agar tidak terjadi

bottleneck

116,4 High

Risk Ditolak

Pihak Divisi Information

Technology (IT) belum

mempunyai perangkat

khusus untuk menangani

masalah di bagian kabel

fiber optic

- Melakukan pengecekan manhole /

handhole untnuk mengindari

gangguan pada titik sambung

- Diadakan pengecekan kabel serta

optic untuk menelusuri rute kabel

optic

256

4.6 Kesimpulan Hasil dan Pembahasan Metode PDCA

Berikut ini adalah tabel yang memuat kesimpulan hasil penelitian.

Tabel 4. 127 Kesimpulan Hasil dan Pembahasan Metode PDCA

Metode

Evaluasi

Hasil

ISO/IEC 27001: 2013 ISO/IEC 27002:2013

Plan 1. Berdasarkan hasil analisis peneliti, ditemukan

struktur organisasi Divisi Information Technology

(IT) yang berisi 20 bagian dimana setiap bagian

memiliki satu sampai dua pegawai, namun untuk

bagian keamanan informasi hanya ada satu orang

yang menangani.

2. Menganalisis visi misi perusahaan, dengan visi

menjadi perusahaan dengan finansial yang tinggi

dan menjadi panutan khususnya human capital

namun dengan permasalahan yang ditemukan

maka visi belum sepenuhnya berjalan sesuai

dengan harapan. Dan analisis dari misi yaitu

meningkatkan dan melancarkan distribusi barang

dan jasa namun dengan permasalahan seperti

serangan cyber yang dapat mengganggu kegiatan

perusahaan.

3. Penentuan kebijakan yaitu tujuan dari pelaksanaan

SMKI melibatkan seluruh pegawai PT Jasa Marga,

Ketua Divisi Information Technology sebagai

pengawas dari jalannya kebijakan SMKI, dan

kontrol keamanan sistem informasi dilakukan

secara bertahap.

4. Terdapat 20 daftar aset dengan jenis perangkat

keras, perangkat lunak, dan fasilitas pendukung

-

Do 1. Mengidentifikasi risiko:

- Berdasarkan pengidentifikasian dan

perhitungan nilai aset ditemukan nilai aset

utama dengan nilai 8-11 dan nilai aset

pendukung dengan nilai 3-7,

- Hasil dari pengidentifikasian kelemahan,

ancaman, dan nilai pada aset yaitu aset

utama dan pendukung berada di kategori

Low-Medium.

2. Menganalisis dan evaluasi risiko:

- Hasil dari menganalisis dampak dan risiko

pada aset utama dan pendukung yaitu nilai

Business Impact Analysis (BIA) berada

pada kategori very high critical yaitu aset

yang memiliki pengaruh besar terhadap

proses kerja perusahaan,

- Mengidentifikasi tingkat risiko pada aset

utama dan pendukung dengan nilai BIA 80-

95,

- Hasil menilai risiko pada divisi IT yaitu

risiko bisnis dapat terjadi karena vendor

-

257

lama menanganinya, risiko kehilangan data,

dan bencana alam.

Check 1. Memilih objektfif kontrol

2. Memilih sebagian klausul ISO/IEC 27001:2013

3. Menentukan maturity level pada:

Klausul 7 Keamanan Sumber Daya

Manusia dengan hasil 1,5 (dilakukan

informal);

Klausul 11 Keamanan Fisik dan

Lingkungan dengan hasil 1,4 (dilakukan

informal);

Klausul 16 Manajemen Insiden Keamanan

Informasi dan Peningkatan dengan hasil

1,58 (dilakukan informal);

Klausul 18 Penyesuaian dengan hasil 2,3

(direncanakan dan dilacak).

1. Memilih objektfif kontrol

2. Memilih sebagian klausul ISO/IEC

27002:2013

3. Menentukan maturity level pada:

Klausul 5 Kebijakan Keamanan

Informasi dengan hasil 2

(direncanakan dan dilacak)

Klausul 8 Manajemen Aset dengan

hasil 2,08 (direncanakan dan

dilacak)

Klausul 9 Kontrol Akses dengan

hasil 2,3 (direncanakan dan dilacak)

Klausul 10 Kriptografi dengan hasil

1,67 (dilakukan informal)

Klausul 12 Keamanan Operasi

dengan hasil 1,36 (dilakukan

informal)

Act 1. Menentukan GAP/celah dan;

2. Memberikan rekomendasi dari hasil tahap check.

a. Klausul 7 Keamanan Sumber Daya Manusia:

- Perlunya panduan keamanan informasi

sesuai dengan peran organisasi

berdasarkan ketentuan negara;

- Perlunya fasilitas pendidikan dan

pelatihan guna meningkatkan

kemampuan pegawai terkait keamanan

informasi.

b. Klausul 11 Keamanan Fisik dan

Lingkungan:

- Perlu dilakukannya penempatan sesuai

dengan kebutuhan keamanan aset;

- Perlunya pengawasan terhadap

pengunjung yang datang, dan kesadaran

pegawai terhadap penggunaan kartu

pengenal;

- Perlunya peningkatan kesadaran personil

terkait wilayah bekerja.

c. Klausul 16 Manajemen Insiden Keamanan

Informasi dan Peningkatan:

- Perlunya prosedur untuk perencanaan

dan persiapan tanggap insiden;

- Perlunya pelaporan kontrol keamanan

dan pelanggaran fisik;

- Perlunya prosedur untuk keamanan bukti

dan dokumentasi.

d. Klausul 18 Penyesuaian:

- Perlunya kebijakan kepatuhan HAKI

terhadap penggunaan perangkat lunak

dan produk informasi yang sah.

1. Menentukan GAP/celah dan;

2. Memberikan rekomendasi dari hasil tahap

check.

a. Klausul 5 Kebijakan Keamanan

Informasi:

- Perlunya kebijakan terkait

keamanan informasi yang

sesuai strategi bisnis, undang-

undang, dan yang mendukung

prinsip kontrol akses pengguna.

b. Klausul 8 Manajemen Aset:

Perlu dilakukan pengidentifikasian,

pengklasifikasian dan

pendokumentasian terhadap

tanggung jawab aset organisasi.

c. Klausul 9 Kontrol Akses:

Perlunya kebijakan untuk keamanan

aplikasi bisnis dan;

Perlunya otorisasi informasi yang

diberikan.

d. Klausul 10 Kriptografi:

Perlunya penerapan kontrol

kriptografi di seluruh lingkup

organisasi.

e. Klausul 12 Keamanan Operasi:

Perlunya prosedur

pendokumentasian operasi;

Dilakukannya pengidentifikasian

dan perekaman perubahan yang

signifikan;

Perlunya prosedur dan tanggung

jawab perlindungan terhadap

malware;

258

Perlunya penetapan peran dan

tanggung jawab terkait kerentanan

teknis.

Berdasarkan tabel diatas dapat diketahui bahwa pengevaluasian

ISO/IEC 27001 menggunakan empat (4) klausul yaitu klausul 7

(keamanan sumber daya manusia), klausul 11 (keamanan fisik dan

lingkungan), klausul 16 (manajemen insiden), dan klausul 18

(penyesuaian). Dari keempat klausul tersebut diketahui bahwa klausul 18

berada pada level dua dibandingkan klausul lainnya yang masih di level

satu. Selanjutnya diketahui ISO/IEC 27002 pengevaluasiannya

menggunakan lima klausul yang berbeda yaitu klausul 5 (kebijakan

keamanan informasi), klausul 8 (manajemen aset), klausul 9 (akses

kontrol), klausul 10 (kriptografi), dan klausul 12 (keamanan operasi). Dari

kelima klausul tersebut terdapat tiga klausul yang berada pada level dua

yaitu klausul 5, 8 dan 9 sedangkan klausul 10 dan 12 berada pada level

satu. Dari penjelasan ISO/IEC 27001 diatas dapat diketahui bahwa masih

kurangnya perhatian pihak manajerial terkait penentuan dan penetapan

kebijakan pada keamanan informasi, sedangkan hasil dari ISO/IEC 27002

dapat diketahui bahwa kegiatan operasional sudah dalam tahap

perencanaan dan dilacak. Dimana dari dua standar ini diketahui bahwa

kegiatan operasional berjalan dengan perencanaan namun masih

kurangnya penentuan dan penetapan kebijakan yang ada terkait keamanan

informasi pada Divisi Information Technology (IT) PT Jasa Marga.

259

BAB V

PENUTUP

5.1 Kesimpulan

Berdasarkan hasil dan pembahasan yang telah dibahas pada bab

sebelumnya dapat disimpulkan bahwa laporan dari hasil analisis dapat

digunakan untuk mencapai standar sistem manajamen keamanan informasi

(SMKI) dengan menggunakan ISO/IEC 27001 dan ISO/IEC 27002

sebagai rekomendasi dan peningkatan keamanan informasi. Berikut adalah

hasil dari penelitian ini dengan menggunakan metode Plan, Do, Check,

Act.

1. Tahap Plan

Pada tahap ini menghasilkan penentuan ruang lingkup penelitian

yaitu Divisi Information Technology PT Jasa Marga khususnya pada web

portal internal yang digunakan sebagai gerbang utama untuk masuk ke

sistem masing-masing divisi. Penentuan arahan dan tujuan dari kebijakan

keamanan informasi berdasarkan ISO/IEC 27001 dan ISO/IEC 27002

yaitu seluruh pegawai harus mengikuti keseluruhan SMKI untuk

membantu dalam melindungi aset informasi dan teknis pemberdayaan

maupun pemeliharaan aset secara fisik, Ketua Divisi Information

Technology bertanggung jawab dalam pengelolaan proses SMKI dan

penilaian risiko dilakukan secara berkala, dan untuk kontrol akses

260

keamanan informasi berfokus pada teknis pemberdayaan, pemeliharaa aset

dan tingkat keamanan yang dimiliki khususnya pada kondisi fisik.

2. Tahap Do

Tahapan ini menghasilkan analisis terkait kondisi aset terkait dengan

web portal internal yaitu nilai aset utama berada di range nilai 8-11 dengan

kategori Medium, dan nilai aset pendukung berada di range nilai 3-7

dengan kategori Low, dengan rata-rata hasil analisis risiko pada aset utama

dan aset pendukung berada di level risiko high risk.

3. Tahap Check

a. Menghasilkan penilaian maturity level ISO/IEC 27001 rata-rata

berada di level satu yaitu belum adanya kebijakan yang mengatur

aktivitas tersebut sehingga pegawai bertindak berdasarkan kesadaran

diri sendiri dan ISO/IEC 27002 rata-rata berada level dua yaitu kinerja

sudah dijalankan dan dikelola dengan cukup baik.

b. Berdasarkan hasil pemilihan klausul dari ISO/IEC 27001 dan

ISO/IEC 27002, peneliti merekomendasikan beberapa klausul untuk

menjawab identifikasi masalah, yaitu:

- Penggunaan ISO/IEC 27001 pada objek kontrol 16.1 (Manajemen

Insiden Keamanan Informasi dan Peningkatannya) tentang web

portal internal berada pada level kematangan 1,58 (Performed

Informally) yaitu belum adanya kebijakan yang mengatur kegiatan

pegawai terhadap manajemen insiden pada web portal internal

sehingga pegawai bertindak sendiri atau berdasarkan kesadaran diri

261

dengan ditemukannya hasil bukti bahwa saat ini PT. Jasa Marga

belum memiliki standarisasi kebijakan terkait permasalahan

tersebut.

- Hasil penggunaan ISO/IEC 27002 pada objek kontrol 8.1 (Tanggung

Jawab terhadap Aset) tentang web portal internal berada pada level

kematangan 2,08 (Planned and Tracked) yaitu proses kinerja telah

direncanakan dan dikelola dengan cukup baik dengan ditemukannya

hasil saat ini bahwa PT Jasa Marga sudah mengidentifikasi ancaman

dan kelemahan terkait aset informasi.

- Penggunaan ISO/IEC 27001 pada objek kontrol 7.2 (Keamanan

Sumber Daya Manusia Selama Bekerja) tentang beban kerja

pegawai berada pada level kematangan 1,3 (Performed Informally)

yaitu belum adanya kebijakan yang mengatur beban kerja pegawai

selama masih bekerja sehingga pegawai bertindak sendiri atau

berdasarkan kesadaran diri dengan ditemukannya hasil bukti bahwa

saat ini PT Jasa Marga belum memiliki standarisasi kebijakan terkait

permasalahan tersebut.

- Hasil penggunaan ISO/IEC 27002 pada objek kontrol 5.1 (Arahan

Manajemen untuk Keamanan Informasi) tentang beban kerja

pegawai berada pada level kematangan 2,0 (Planned and Tracked)

yaitu proses kinerja telah direncanakan dan dikelola dengan cukup

baik dengan ditemukannya hasil bukti bahwa saat ini PT Jasa Marga

262

telah menyusun kebijakan dan prosedur terkait peran dan

tanggungjawab pihak-pihak yang berwenang untuk menerapkannya.

4. Tahap Act

Berdasarkan analisis dengan menggunakan ISO/IEC 27001 dapat

diketahui bahwa PT Jasa Marga perlu:

a. Menyediakan kebijakan keamanan informasi seperti menanamkan

kesadaran (awareness) keamanan informasi pada level pimpinan

maupun pegawai.

b. Menyediakan kebijakan terkait peningkatan dan kepatuhan

penggunaan terhadap fasilitas keamanan fisik seperti kebijakan

pemakaian id card untuk mengakses ruangan.

c. Menyediakan kebijakan terkait manajemen insiden seperti

pengidentifikasian kondisi yang membahayakan keamanan informasi

dan menetapkannya sebagai insiden untuk ditindaklanjuti sesuai

prosedur yang ditetapkan.

Sedangkan dengan menggunakan ISO/IEC 27002 dapat diketahui bahwa PT

Jasa Marga perlunya perhatian terhadap:

d. Kontrol keamanan operasi perlu kebijakan terkait prosedur

operasional untuk seluruh pegawai dan manajemen perubahan yang

terjadi di dalam perusahaan seperti perubahan proses bisnis, fasilitas

pemrosesan informasi dan sistem yang mempengaruhi informasi.

5. Dari hasil analisis penelitian, ISO/IEC 27001 berfokus pada bagaimana

menentukan standarisasi kebijakan bagi perusahaan dan manajemen risiko

263

yang belum menerapkan kebijakan IT khususnya pada bagian keamanan

informasi, sedangkan ISO/IEC 27002 berfokus pada pemeliharaan aset

perusahaan dan manajemen operasional, yang disesuaikan dengan

kebutuhan perusahaan.

6. Hasil dalam penelitian ini dapat diketahui bagaimana menetapkan tujuan,

kebijakan, dan arahan kontrol keamanan informasi yang dilanjutkan

dengan analisis nilai aset dan risiko yang digunakan untuk menentukan

penggunaan klausul pada ISO/IEC 27001 dan ISO/IEC 27002 yang

menghasilkan rekomendasi penetapan kebijakan keamanan informasi pada

web portal internal yaitu pengidentifikasian kondisi yang membahayakan

dan keamanan sumber daya manusia terkait awareness pada keamanan

informasi.

5.2 Saran

Berdasarkan penelitian yang telah dilakukan peneliti yaitu evaluasi

tata kelola teknologi informasi dengan fokus manajemen keamanan

informasi menggunakan framework ISO 27001 dan ISO 27002 pada PT

Jasa Marga memiliki cakupan yang luas untuk dikembangkan lagi. Oleh

karena itu, peneliti mencoba memberikan saran untuk penelitian

selanjutnya sebagai berikut:

1. Bagi para peneliti selanjutnya dapat mengukur tingkat keamanan

khususnya SMKI menggunakan indeks KAMI yang telah dikeluarkan

oleh KOMINFO pada PT Jasa Marga.

264

2. Peneliti selanjutnya dapat menggunakan framework ITIL untuk

mengetahui kondisi kesiapan manajemen insiden yang ada pada PT

Jasa Marga.

3. Peneliti selanjutnya dapat menggunakan framework COBIT 5 untuk

melakukan evaluasi khususnya pada bagian keamanan.

4. Peneliti selanjutnya dapat mengevaluasi dengan ISO 27001 dan 27002

dengan menambahkan responden dan klausul yang berbeda.

5. Peneliti selanjutnya dapat mengevaluasi kembali klausul yang masih

berada di level satu menggunakan framework jenis lain.

265

DAFTAR PUSTAKA

A, O’Brien, James. (2006). Introducing to Information System. Jakarta: Salemba

Empat.

Abdulghani, Tarmin. (2015). Manajemen Insiden dan Manajemen Problem

Teknologi Informasi Perguruan Tinggi. Bandung: Universitas

Langlangbuana

Abzug et al. (2003). System Security Engineering Capability Maturity Model (SSE-

CMM) Model Description Document Version 3.0. Pennsylvania.

Carnegie Mellon University.

Bernard, Pierre. (2011). Foundations of ITIL 2011 Edition. Zaltbommel: Van Haren

Publishing.

British Standard 7799-2. (2002). Information Security Management Systems –

Specification with Guidance for Use.

Bygstad & Hanseth. (2010). IT Governance through Regulatory Modalities. Health

Care Information Infrastructure and The “Blue Fox” Project.

Cialdini & Goldstein. (2004). Social Influence: Compliance and Conformity. US

National Library of Medicine National Institutes of Health. doi:

https://doi.org/10.1146/annurev.psych.55.090902.142015

Ciptaningrum et al. (2015). Audit Keamanan Sistem Informasi pada Kantor

Pemerintah Kota Yogyakarta Menggunakan COBIT 5. Seminar Nasional

Teknologi Informasi dan Komunikasi. Yogyakarta.

Dessler, Gary. (2015). Human Resource Management, 14th Edition. Florida

International University.

Disterer, Georg. (2013). ISO/IEC 27000, 27001 and 27002 for Information Security

Management. Journal of Information Security, 4, 92-100. doi:

http://dx.doi.org/10.4236/jis.2013.42011

https://doi.org/10.1146/annurev.psych.55.090902.142015

http://dx.doi.org/10.4236/jis.2013.42011

266

Fitroh & Rustamaji. (2017). Determining Evaluated Domain Process Through

Problem Identification Using COBIT 5 Framework. Conference Paper.

doi: 10.1109/CITSM.2017.8089281

Galbraith, J. R. (2012). The Evolution of Enterprise Organization Designs.

Giyarto. (2015). Pengaruh Analisis Jabatan terhadap Pencapaian Kinerja

Organisasi di Universitas Muhammadiyah Surakarta.

Hamzah, M. R. (2018). Skripsi Audit Keamanan Sistem Informasi dengan

Menggunakan Standar ISO/IEC 27001:2013 dan ISO/IEC 27002:2013

pada Sub Bagian Data dan Informasi Direktorat Jenderal Kebudayaan

Republik Indonesia. Jakarta: UIN Syarif Hidayatullah.

Hariyanto, Bambang. (2004). Sistem Manajemen Basis Data. Bandung:

Informatika

Hasibuan, Malayu. (2001). Manajemen Sumber Daya Manusia: Pengertian Dasar,

Pengertian dan Masalah. Jakarta: PT. Toko Gunung Agung.

ISACA. (2012). COBIT 5: Process Reference Guide Exposure Draft. Rolling

Meadows, USA.

ISO/IEC 27001. (2005). Information Technology - Security Techniques -

Information Security Management System. Switzerland.

ISO/IEC 27001. (2013). Information Technology - Security Techniques -

Information Security Management System Second Edition. Switzerland.

ISO/IEC 27002. (2013). Information Technology - Security Techniques - Code of

Practice for Information Security Controls Second Edition. Switzerland.

IT Governance Institute. (2011). Global Status Report on the Governance of

Enterprise IT (GEIT).

Jankov et al. (2017). The Impact of Information Technologies on Commincation

Satisfaction and Organizational Learning in Companies in Serbia.

Computers in Human Behavior. doi:10.1016/j.chb.2017.07.012

Jogiyanto, H.M. (2005). Analisa dan Desain Sistem Informasi: Pendekatan

Terstruktur Teori dan Praktik Aplikasi Bisnis. Yogyakarta: ANDI.

Jong et al. (2008). ITIL V3 Foundation Exam – The Study Guide. Zaltbommel: Van

Haren Publishing.

267

Kadir, A. (2003). Pengenalan Sistem Informasi. Yogyakarta: ANDI.

Kristanto, Andri. (2003). Perancangan Sistem Informasi dan Aplikasinya. Jakarta:

Gava Media.

Kusumastuti & Sugiama. (2014). Manajemen Aset. Bandung: AN-Polban.

Lampiran Keputusan Direksi. (2014). Master Plan Teknologi Informasi 2014-2018.

Jakarta. PT Jasa Marga.

Lestari, Putri. (2018). Skripsi Analisis Faktor-Faktor yang Mempengaruhi

Kepercayaan dalam Bertransaksi Online Shopping pada Mahasiswa

UIN Syarif Hidayatullah Jakarta.

Menezes et al. (1996). Handbook of Applied Cryptography. Middletown: AT&T

Laboratories.

Mulyadi & Rivai. (2009). Manajemen Sumber Daya Manusia. Jakarta.

Open Geospatial Consortium. (2014). OGC Testbed 10 Cross Community

Interoperability (CGI) Ontology Engineering Report. Public Engineering

Report.

Rao & Nayak. (2014). The InfoSec Handbook An Introduction to Information

Security. Apress Open.

Sarno & Iffano. (2009). Sistem Manajemen Keamanan Informasi. Surabaya: ITS

Press.

Satori, D. dan. Komariah, A. (2013). Metodologi Penelitian Kualitatif. Bandung:

Alfabeta.

Sheikhpour & Modiri. (2012). A Best Practice Approach for Integration of ITIL

and ISO/IEC 27001 Services for Information Security Management.

Indian journal of science and technology, Vol. 5, No. 2.

Siregar, D. D. (2004). Manajemen Aset, Strategi Penataan Konsep Pembagunan

Berkelanjutan Secara Nasional dalam Konteks Kepala Daerah Sebagai

CEO’s pada Era Globalisasi dan Otonomi Daerah. PT Gramedia

Pustaka Utama.

Sofyanti. (2014). Skripsi Rancang Bangun Sistem Informasi Penerimaan Karyawan

Berbasis WEB (Studi Kasus: PT Desalite Esbang Jaya). Jakarta:

Universitas Islam Negeri Syarif Hidayatullah.

268

Susanto, A., Lee, H., Zo, H dan Ciganek, A. P. (2012). Usser Acceptaptance of

Internet Banking in Indonesia : Initial Trust Formation. Information

Development, Vol. 20, No.4, pp. 309-322.

Susanto, Arief. (2003). Pengenalan Komputer, dilihat 11 Desember 2018,

IlmuKomputer.com.

Susanto et al. (2012). A Novel Method on ISO 27001 Reviews : ISMS Compliance

Readiness Level Measurement. Computer Science Journal, Volume 2,

Issue 1.

Susanto et al. (2012). Information Security Challenge and Breaches: Novelty

Approach on Measuring ISO 27001 Readiness Level. International

Journal of Engineering & Technology, Volume 2, No. 1.

Susanto et al. (2011). Information Security Management System Standards: A

Comparative Study of the Big Five. International Journal of Electrical &

Computer Sciences IJECS-IJENS, Vol:11, No:05.

Susanto, Tri. (2012). Manajemen Insiden dalam Pengelolaan Infrastruktur

Teknologi Informasi (Studi Kasus UPT Laboratorium STMIK AMIKOM

Yogyakarta). Jurnal Telematika, Vol. 5, No.2.

Sutabri, Tata. (2005). Sistem Informasi Manajemen. Jakarta.

Torten et al. (2018). The Impact of Security Awarness on Information Technology

Professionals’ Behavior. Computers & Security. doi:

https://doi.org/10.1016/j.cose.2018.08.007

Tripton & Krause. (2011). Information Security Management Handbook, Volume

5, 6th Edition. Boca Raton: CRC Press.

Whitman & Mattord. (2017). Management of Information Security 5th Edition.

Winata, Hendryan. (2012). Pemeliharaan Keamanan Fisik Atas Kontrol Fasilitas

Sistem Komputer. Medan: Sekolah Tinggi Manajemen Ilmu Komputer.

Wu et al. (2015). How Information Technology Governance Mechanisms and

Strategic Alignment Influence Organizational Performance: Insights

From A Matched Survey of Business and IT Managers. MIS Quarterly,

Vol. 39, No. 2, pp 497-516.

https://doi.org/10.1016/j.cose.2018.08.007

269

LAMPIRAN 1

WAWANCARA

Hari/Tanggal : 30 Mei 2018

Tempat : Ruang Divisi Information Technology (IT)

Narasumber : Febrina Amir

Jabatan : Manajer Compliance

Nurul Sistem apakah yang berperan penting dalam kegiatan harian kantor pusat

PT.Jasa Marga?

Mba Rina Web Portal Internal (WPI), karena di dalamnya terdapat semua aplikasi yang

digunakan oleh seluruh unit kerja. Seperti informasi mengenai kepegawaian

dan macam-macam informasi lainnya.

Nurul Bagaimana sejarah sistem terdahulu sehingga menerapkan sistem yang

sekarang?

Mba Rina Karena meningkatnya kebutuhan dari perusahaan dan didorong banyaknya

aplikasi di unit kerja yang perlu untuk dipantau dan diawasi, sehingga terjadi

kesulitan untuk menghapal aplikasi apa saja yang sudah ada di perusahaan

khususnya pada bagian IT yang melakukan pengawasan dan pemeliharaan

terhadap aplikasi-aplikasi tersebut.

Dimana dengan adanya sistem portal internal ini memudahkan dalam

memberikan informasi seperti surat keputusan (SK) terbaru atau kuesioner

yang perlu diisi oleh pegawai dan menghubungkan semua aplikasi-aplikasi

yang digunakan oleh perusahaan.

Nurul Apa saja fitur-fitur yang dimiliki sistem ini?

Mba Rina Fitur-fiturnya yaitu penambahan konten yang dapat diisi oleh setiap unit

kerja, terdapat kalender, informasi kontak pegawai, forum diskusi, menu

berita, menu pengumuman (SK) terbaru, galeri, aplikasi-aplikasi unit kerja.

Nurul Kenapa sistem ini memiliki peranan penting?

Mba Rina Karena web portal internal memiliki fungsi untuk menghubungkan semua

aplikasi yang ada pada PT Jasa Marga (kantor pusat dan cabang). Dimana

sebelum pegawai masuk ke aplikasi unit kerja terlebih dahulu login ke web

portal internal kemudian baru dapat memasuki aplikasi unit kerja yang dituju

sesuai dengan hak akses yang diberikan.

Di dalam web portal internal terdapat kebijakan-kebijakan atau SK yang

dikeluarkan oleh perusahaan sehingga sangat penting untuk dilindungi,

dimana SK dapat diunduh pada menu Download pada web portal internal,

namun untuk menu ini masih perlu dikembangkan lagi (pemisahan SK

bersifat publik, yaitu ditujukan ke seluruh pegawai dan private, yaitu

ditujukan ke pegawai atau divisi tertentu).

Nurul Bagaimana proses bisnis pada web portal internal?

Mba Rina Proses bisnisnya yaitu login terlebih dahulu untuk bisa masuk ke web portal

internal, kemudian akses aplikasi unit kerja sesuai dengan unit kerja.

Pegawai biasa hanya memiliki akses pada web portal internal yaitu melihat

fitur seperti mencari dokumen atau kontak pegawai, untuk penambahan atau

perubahan konten dapat dilakukan oleh admin masing-masing unit kerja.

Sedangkan divisi IT bertugas sebagai super admin yang mengawasi dan

memelihara kinerja dari web portal internal.

Nurul Apakah web portal internal dapat diakses melalui jaringan publik?

270

Mba Rina Bisa, karena sistem ini telah menggunakan perlindungan seperti HTTPS://

Nurul Siapa saja yang dapat mengakses web portal internal?

Mba Rina Seluruh pegawai perusahaan baik di kantor pusat, unit kerja dan cabang.

Sedangkan untuk anak perusahaan tidak bisa, karena entitasnya beda.

Nurul Apa saja kelebihan dari web portal internal?

Mba Rina Kelebihan dari web portal internal dapat dilihat dari dua sisi yaitu fungsional

dan teknis. Dari sisi fungsional yaitu dapat menampilkan informasi berbagai

unit kerja dan kantor cabang, dan dari sisi teknisnya yaitu penggunaan

platformnya menggunakan sharepoint yang memiliki license untuk terus

pembaharuan (update) sehingga bisa diakses menggunakan jaringan publik.

Pada platform ini terdapat fitur Configuration Management System (CMS)

memudahkan pengelolaan seperti data pegawai, dan fitur Document

Management System (DMS) yang membantu dalam pengelolaan dokumen-

dokumen yang ada.

Nurul Apa perbedaan dari sistem ini dibandingkan yang lainnya yang sudah ada

atau yang terdahulu?

Mba Rina Aplikasi yang lama sulit untuk dilakukan pemeliharaan (maintenance) sistem

dan pengembangan menggunakan bahasa PHP Native sehingga terjadi

kebobolan pada sistem, aplikasi yang digunakan pada setiap unit kerja dan

kantor cabang berdiri sendiri dan tidak terintegrasi sehingga sulit diawasi dan

dipelihara, tampilan sistem (user interface) tidak user friendly dan tidak

mendukung fungsi CMS dan DMS.

Nurul Apa yang dirasakan pengguna dengan penerapan sistem ini?

Mba Rina Mempermudah mendapatkan informasi, mengetahui aplikasi apa saja yang

digunakan oleh perusahaan dan membantu pengintegrasian data.

Nurul Apakah ada dukungan dari pihak manajemen untuk pengembangan teknologi

informasi ke dalam anggaran keuangan?

Mba Rina Ada, biaya yang dianggarkan besar, namun belum adanya kebijakan yang

terdokumentasi hanya dibahas pada persetujuan agenda rapat diskusi saja.

Nurul Bagaimana kondisi jaringan internet yang digunakan oleh sistem?

Mba Rina Stabil, karena menggunakan 2 link dengan kecepatan 50Mbps, jika terjadi

masalah dapat ditangani oleh link satunya lagi.

Nurul Bagaimana kewenangan dalam pengelolaan sumber dana dan fasilitas

ruangan? Atau sumber lainnya?

Mba Rina Dilakukan pengalokasian dana khususnya pada bagian development dan

pembayaran license setiap tahun.

Nurul Ada berapa jumlah sumber daya manusia berbasis kompetensi teknologi

informasi? Apa saja bagian-bagiannya?

Mba Rina Jumlah ada 20 orang. Terdapat tiga (3) departemen utama yaitu Departement

Planning Development, IT Architecture and Portfolio Management, dan

Departement Operation and Control.

Nurul Apakah ada job description pada bagian IT?

Mba Rina Ada, namun tidak boleh di publish.

Nurul Apa saja hasil dari penerapan sistem ini?

Mba Rina Memudahkan user dalam mengetahui seluruh informasi yang ada pada

PT.Jasa Marga.

Nurul Bagaimana proses pemeliharaan (maintenance) dan pembaharuan (update)

dari sistem yang diterapkan sekarang?

Mba Rina Jika terjadi masalah langsung ditangani oleh vendor dan untuk update

dilakukan secara otomatis dari vendor.

Nurul Adakah tuntutan dari pihak luar ataupun pihak internal terhadap pelayanan

web portal internal?

Mba Rina Divisi IT melakukan dengan inisiatif sendiri, dikarenakan banyaknya aplikasi

yang dimiliki sehingga sulit dikontrol dan dipelihara (maintenanced).

271

Nurul Apa saja risiko-risiko yang dihadapi dalam penerapan web portal internal?

Mba Rina Kendala yang ditemukan adalah saat pengenalan web portal internal dan

sosialisasi ke seluruh pegawai (3 bulan).

Nurul Faktor-faktor apa yang dapat membahayakan web portal internal?

Mba Rina Serangan eksternal seperti hacker yang berusaha membobol sistem dan faktor

cuaca yang mempengaruhi perangkat seperti server dan manusianya sendiri

seperti sharing password.

Nurul Bagaimana tindakan-tindakan yang dilakukan dalam menangulangi atau

menghindari dari risiko yang mungkin terjadi?

Mba Rina Menerapkan penggunaan SSL pada web portal internal, identification login,

firewall (server), pemasangan antivirus pada laptop user dengan brand

Kaspersky dan security awareness untuk people (faktor yang sulit ditindak).

Nurul Apa alasannya sistem perlu dilakukan evaluasi?

Mba Rina Perlu, karena untuk mengetahui seefektif apa informasi bisa sampai ke user

unit kerja dan kantor cabang apakah sampai goal-nya. Sistem portal internal

digunakan untuk menghubungkan semua aplikasi di unit kerja dan kantor

cabang.

Nurul Apakah ada kebijakan terkait keamanan informasi pada kantor pusat PT.Jasa

Marga?

Mba Rina Belum ada, namun sudah dimasukkan ke dalam agenda rapat diskusi. Proses

keamanan yang diterapkan berdasarkan kebutuhan perusahaan saat ini.



Narasumber : Fajar Willys

Jabatan : Penanggung Jawab Keamanan Informasi

Nurul Bagaimana kondisi keamanan informasi pada web portal internal ?

Mas Willy Secara keseluruhan keamanan dibagi menjadi beberapa layer, pada end point

diberi antivirus pada server, proxy, firewall. Sedangkan untuk keamanan

gedung ditangani oleh pihak manajerial.

Nurul Apakah ada kebijakan terkait keamanan informasi pada kantor pusat PT Jasa

Marga?

Mas Willy Dilakukannya penerapan web detection pada server.

Nurul Pernahkah ada permasalahan yang terjadi (misalnya ancaman atau insiden)

terkait dengan keamanan informasi?

Mas Willy Pernah, salah satunya terjadi kebobolan pada web portal internal yang

mengakibatkan hilangnya seluruh data yang tersimpan terjadi pada tahun

2016.

Nurul Bagaimana rencana kantor pusat PT Jasa Marga terkait pendokumentasian

terhadap standar keamanan informasi?

Mas Willy Pendokumentasian baru dilakukan setelah insiden tersebut dan ini dilakukan

berdasarkan inisiatif dari saya sendiri. Untuk kebijakan keamanan informasi

terkait web portal internal belum ada.

Nurul Apakah ada job description dalam pengelolaan keamanan informasi?

Mas Willy Tidak ada. Saya melakukan semuanya sendiri.

Nurul Sudah adakah selama ini pencatatan terkait insiden keamanan pada kantor

pusat PT Jasa Marga yang dapat digunakan sebagai analisis penyebab

kejadian keamanan informasi?

Mas Willy Belum dilakukan sepenuhnya. Baru dimulai pada tahun 2017 setelah kejadian

kebobolannya web portal internal pada tahun 2016.

272



Narasumber : Ayudya Rizka Fauzia

Jabatan : Admin Data dan Informasi

Nurul Apa saja aset-aset teknologi informasi yang dimiliki oleh Divisi Information

Technology (IT) pada kantor pusat PT. Jasa Marga?

Mba Ayu Asetnya terdiri dari aplikasi, infrastruktur, manusianya, license software,

seperti SAP, office 365, web server XAMPP, Tomcat, Database HANA,

Oracle, MySQL, SQL Server, Postgree. Berdasarkan aplikasi web based ada

aplikasi Lelang Jabatan, Nota Elektronik, Portal Internal, KMS (Knowledge

Management System), Portal Divisi (setiap divisi, totalnya ada 9 divisi),

EOPA, LPSE (Layanan Pengadaan Sistem Elektronik), IT Service Desk,

SILAPMEN (sistem informasi laporan manajemen), Jasa Marga Award

(dikelola bagian CORSEC digunakan untuk pemetaan kompetensi atau

pengukuran kinerja), Aplikasi Informasi Kondisi Lalu Lintas (ditangani oleh

pegawai kantor cabang), Info Tol (ditangani oleh pegawai kantor cabang),

Sport Online (digunakan untuk monitoring peralatan tol), Oracle BI (Business

Intellegent).

Nurul Menurut Anda seberapa besar peran teknologi informasi dan komunikasi?

Mba Ayu Berperan penting karena membantu dalam menunjang kegiatan operasional

dan strategis perusahaan secara keseluruhan

Nurul Bagaimana cara manajemen risiko yang sudah atau akan diterapkan?

Mba Ayu Dengan menggunakan aplikasi sistem manajemen risiko, divisi IT bertugas

setiap tahun input risiko dan me-monitoring setiap 3 bulan sekali.

Nurul Apakah kantor pusat PT Jasa Marga memiliki rencana kedepan untuk dapat

meningkatkan sistem keamanan informasi?

Mba Ayu Iya ada, tertuang di masterplan divisi IT.

Nurul Sejauh ini pernakah kantor pusat PT Jasa Marga di evaluasi tata kelola

informasi oleh framework yang ada?

Mba Ayu Iya sudah dengan Cobit 4.1 dan ISO 27001 menggunakan Indeks KAMI.

Nurul Kalau SMKI ini berjalan ruang lingkupnya akan ditempatkan dibagian mana?

Mba Ayu Kantor cabang dan pusat.

Nurul Sudahkah ada aturan mengenai siapa saja yang diperbolehkan mengakses ke

ruang-ruang yang memiliki informasi penting?

Mba Ayu Belum ada.

Nurul Apakah ada jejak audit elektronik atau buku masuk fisik dari semua akses

yang harus diamati?

Mba Ayu Ada. Desember 2017 terakhir menggunakan cobit 4.1, dan awal tahun 2017

awal menggunakan Indeks KAMI.

Nurul Apakah para pegawai sudah melakukan tanggung jawabnya untuk

melaporkan kejadian terkait keamanan?

Mba Ayu Dapat dilakukan melalui helpdesk atau telepon.

273


Tempat : Ruang Divisi Risk and Quality Management

Narasumber : Dodi Lambardo

Jabatan : Manager Risk and Quality Management

Nurul Bagaimana menurut bapak dengan sistem web portal internal ?

Pak Dodi Membantu pengguna mengetahui informasi terbaru apa saja yang ada di

perusahaan dan dengan fungsi sekali login dapat langsung masuk ke sistem

divisi risk and quality management.

Nurul Dengan fungsinya yang sekali login memudahkan untuk langsung mengakses

sistem setiap divisi, apakah ada batas durasi untuk login-nya pak?

Pak Dodi Untuk sekarang ini belum ada.

Nurul Apa saja fungsi dari sistem divisi yang terhubung dengan web portal

internal ?

Pak Dodi Fungsinya memudahkan dalam penyampaian informasi dari divisi ke seluruh

stakeholder perusahaan dengan web portal internal.

Nurul Apa saja keterkaitan sistem risk and quality management dengan divisi IT ?

Pak Dodi Sistem risk and quality management digunakan untuk penilaian risiko yang

ada di perusahaan salah satunya pada divisi IT. Namun tetap dilakukan

diskusi terlebih dahulu untuk dapat mengetahui kemungkinan dari risiko yang

akan terjadi.

Nurul Bagaimana risiko yang mungkin dihadapi oleh sistem web portal internal?

Pak Dodi Risiko yang mungkin dihadapi adalah kekuatan kemampuan dari sistem

menangani jumlah permintaan dari pengguna. Dan pembatasan durasi login

jika tidak ada aktivitas pada web portal internal untuk menghindari kejadian

yang tidak diinginkan.

274

LAMPIRAN 2

DAFTAR KUESIONER

a. Kuesioner Berdasarkan Standar ISO 27001

7 Keamanan Sumber Daya Manusia

7.2 Selama Bekerja



1 Pihak manajemen menyediakan panduan sesuai dengan

keamanan informasi negara yang disesuaikan dengan

peran organisasi.


memenuhi kebijakan keamanan informasi organisasi.

3 Pihak manajemen melanjutkan persiapan kemampuan






terhadap keamanan informasi di seluruh organisasi.

2



controls (seperti keamanan password, malware controls,

& clear desk).

3 Accountability pribadi untuk tindakan dan kelambanan

seseorang dan tanggung jawab untuk mengamankan atau

melindungi kepemilikan informasi organisasi atau pihak

luar.



1

Proses tata tertib bersifat formal dan komunikatif terkait

tindakan pelanggaran karyawan pada keamanan

informasi.

2



keamanan informasi.

7.3 Pemutusan Hubungan Kerja dan Perubahan Pekerjaan




termasuk kebutuhan tanggung jawab hukum keamanan

informasi saat ini.

2 Mengkomunikasikan syarat dan ketentuan bekerja.

275

3 Tanggung jawab dan tugas tetap sah setelah


ketentuan bekerja.

11 Keamanan Fisik dan Lingkungan

11.1 Area Aman



1 Lingkup keamanan harus didefinisikan dan penempatan

serta kekuatan lain pada lingkup berdasarkan kebutuhan


2

Lingkup lokasi yang termasuk fasilitas pemrosesan


jendela).


akses fisik (membatasi otorisasi, hanya untuk pegawai).



1





2



diketahui oleh divisi keamanan.

3 Akses ke area dimana kerahasiaan informasi diproses

harus dibatasi dan dilakukan otorisasi individual dengan

menerapkan kontrol akses yang tepat.






2 Bekerja tanpa pengawasan di daerah-daerah yang harus

dihindari baik untuk alasan keamanan dan mencegah

peluang untuk kegiatan berbahaya.



4

Pengambilan gambar, video, suara atau peralatan



11.2 Peralatan



1 Fasilitas yang menangani data sensitif pada pemrosesan

informasi diletakkan dengan hati-hati untuk mengurangi

risiko yang dihindari


ancaman risiko fisik dan lingkungan

276


keyboard

4 Perlindungan pada peralatan pengolahan informasi

rahasia untuk meminimalkan risiko kebocoran informasi






kapasitas apakah sesuai dengan pertumbuhan bisnis





1 Posisi saluran listrik dan telekomunikasi yang terhubung

dengan fasilitas pemrosesan informasi berada di bawah

tanah atau perlindungan alternatif

2 Pemisahan kabel daya dan kabel komunikasi



1

Penyimpanan informasi bisnis yang sensitif atau bersifat

kritis harus terkunci (seperti kertas atau media


2



dengan kontrol penguncian seperti password atau proses

authentication



16 Manajemen Insiden Keamanan Informasi

16.1 Manajemen Insiden Keamanan Informasi dan Peningkatan




insiden

2

Prosedur untuk memantau, mendeteksi, menganalisis


informasi

3

Prosedur yang ditetapkan memastikan bahwa personel


insiden tersebut

4

Prosedur pelaporan mencakup proses umpan balik yang

sesuai untuk memastikan bahwa orang-orang yang

melaporkan kejadian keamanan informasi diberitahu

tentang hasil setelah masalah tersebut telah ditangani

dan ditutup



1 Pelaporan kontrol keamanan yang tidak efektif

277


ketersediaan informasi

3 Pelaporan pelanggaran pengaturan keamanan fisik



1 Prosedur mempertimbangkan keamanan bukti

2 Prosedur mempertimbangkan keamanan personel

3 Prosedur mempertimbangkan keamanan dokumentasi

18 Penyesuaian

18.1 Penyesuaian dengan Hukum dan Kebutuhan Kontraktual/Perjanjian



1

Mengeluarkan kebijakan kepatuhan hak kekayaan

intelektual yang mendefinisikan penggunaan sah

perangkat lunak dan produk informasi

2

Mendapatkan perangkat lunak melalui sumber yang

diketahui dan memiliki reputasi baik, untuk memastikan

hak cipta tidak dilanggar

3

Menjaga kesadaran kebijakan untuk melindungi hak

kekayaan intelektual dan memberikan pemberitahuan

tentang niat untuk mengambil tindakan disipliner


b. Kuesioner Berdasarkan Standar ISO 27002

5 Kebijakan keamanan informasi

5.1 Arahan manajemen untuk keamanan informasi




dengan strategi bisnis


dengan peraturan, undang-undang, dan kontrak perjanjian

3 Kebijakan untuk keamanan informasi sesuai kebutuhan saat

ini dan proyeksi keamanan informasi terhadap ancaman

lingkungan

4 Kebijakan keamanan informasi mendukung prinsip kontrol

akses, hak akses dan pembatasan untuk peran pengguna

tertentu

5 Kebijakan keamanan informasi mendukung keamanan fisik

dan lingkungan

8 Manajemen aset




278

1 Organisasi harus mengidentifikasi aset yang relevan pada

siklus informasi (pembuatan, pemrosesan, penyimpanan,

penyampaian, penghapusan, dan penghancuran) dan

dokumen yang penting

2 Dokumentasi aset dipelihara dalam pendedikasian atau




1 Organisasi dapat menentukan aset yang diinventariskan

2 Organisasi dapat menentukan pengklasifikasian aset dan


3 Penanganan yang tepat bila aset dihapus atau dihancurkan



1 Pegawai dan pihak eksternal atau pengguna yang memiliki

akses pada aset organisasi harus memiliki kesadaran

kebutuhan keamanan informasi dan fasilitas pemrosesan

informasi dan sumber daya lainnya

2 Tanggung jawab terhadap penggunaan pengolahan sumber

daya informasi dan penggunaan tersebut dilakukan

berdasarkan tanggung jawab yang dimiliki.



1 Proses penghentian atau pemberhentian pegawai atau pihak

luar harus disahkan termasuk pengembalian semua aset yang

diberikan sebelumnya baik aset fisik dan elektronik oleh

organisasi.

2 Pegawai atau pengguna dari pihak luar yang membeli

peralatan organisasi atau menggunakan peralatan mereka

secara pribadi, prosedur harus diikuti untuk menentukan

bahwa semua informasi yang terkait telah dipindahkan atau

dialihkan ke organisasi dan dihapus dengan aman dari

peralatan atau perangkat.

3 Pengetahuan dan kemampuan pegawai atau pengguna pihak

luar yang memiliki peran penting pada kegiatan selanjutnya,

perlu dilakukan dokumentasi terkait informasi tersebut dan

diberikan ke organisasi.

4 Selama periode pemberitahuan penghentian, organisasi harus

mengontrol penyalinan yang tidak sah terkait informasi yang

relevan (seperti intelektual) oleh karyawan dan kontraktor

yang telah berhenti

9 Kontrol akses




1 Kebijakan harus mempertimbangkan kebutuhan keamanan

dari aplikasi bisnis

2 Kebijakan dari penyebaran dan otorisasi informasi (seperti

kebutuhan untuk tahu prinsip dan informasi tingkat

keamanan dan klasifikasi informasi)

279

3 Konsistensi antara hak-hak akses dan informasi klasifikasi

kebijakan sistem dan jaringan

4 Perundangan yang relevan dan kewajiban kontrak apapun

terkait dengan pembatasan akses ke data atau layanan

5 Menentukan aturan-aturan terkait "segala sesuatu yang

umumnya dilarang kecuali diizinkan secara tersurat"

6 Aturan khusus yang dibutuhkan terkait sebelum berlakunya

persetujuan dan tidak disetujui

9.4 Kontrol akses sistem dan aplikasi



1 Menyediakan menu untuk akses kontrol terhadap fungsi

sistem aplikasi

2 Mengontrol data yang dapat diakses oleh pengguna pribadi

3 Mengontrol hak akses pengguna

4 Mengontrol hak akses dari aplikasi lain

5 Menyediakan akses kontrol fisik atau logis untuk isolasi

aplikasi sensitif, seperti data atau sistem.



1 Upaya melindungi login terhadap serangan brute force

2 Upaya memberitahu log berhasil atau sebaliknya

3 Upaya peningkatan keamanan jika terdeteksi kemungkinan

atau ancaman yang masuk pada kontrol login

4 Tidak mengirimkan password pada teks yang jelas pada

sebuah jaringan

5 Menghentikan session yang telah berakhir atau tidak aktif

setelah pemberitahuan periode, khusus lokasi berisiko tinggi

seperti lingkungan umum atau diluar organisasi atau pada

perangkat mobile

6 Membatasi waktu koneksi untuk penambahan penyediaan

keamanan pada aplikasi berisiko tinggi dan mengurangi

window/celah dari kesempatan akses yang tidak berhak.

10 Kriptografi




1 Pendekatan manajemen menggunakan kontrol kriptografi di

seluruh lingkup organisasi (termasuk prinsip umum yang

melingkupi informasi bisnis harus dilindungi)

2 Berdasarkan penilaian risiko, dibutuhkan tingkatan

perlindungan yang dapat mengidentifikasi jenis, kekuatan,

kualitas kebutuhan algoritma enkripsi

3 Penggunaan enkripsi untuk melindungi perpindahan

informasi ke mobile atau removable media devices atau

seluruh jaringan komunikasi

12 Keamanan Operasi

12.1 Tanggung jawab dan Prosedur Operasional

280



1 Prosedur dokumentasi terkait instalasi dan konfigurasi sistem

2 Prosedur dokumentasi terkait pengolahan dan penanganan

informasi baik secara otomatis dan manual

3 Dilakukan pembackup-an

4 Kebutuhan penjadwalan termasuk ketergantungan dengan

sistem lain, awal waktu pekerjaan dimulai (job start) dan

pekerjaan terbaru selesai

5 Prosedur sistem restart dan pemulihan untuk digunakan

dalam hal kegagalan sistem

6 Manajemen jejak (rekam jejak) audit dan log sistem

informasi

7 Prosedur pemantauan (monitoring)



1 Mengidentifikasi dan merekam perubahan yang signifikan

atau berarti

2 Mengontrol perencanaan dan pengujian perubahan

3 Mengukur dampak kemungkinan perubahan (dampak pada

keamanan informasi)

12.2 Perlindungan terhadap malware



1 Membuat sebuah kebijakan resmin yang melarang

penggunaan perangkat lunak yang tidak sah

2 Menerapkan kontrol yang mencegah atau mendeteksi

penggunaaan perangkat lunak yang tidak sah

3 Kontrol penerapan untuk mencegah atau mendeteksi

penggunaan dugaan atau pelanggaran situs web berbahaya

4 Mendefinisikan prosedur dan tanggung jawab untuk

berurusan dengan perlindungan malware pada sistem,

pelatihan dalam penggunaannya, pelaporan dan pemulihan

dari serangan malware

5 Menyiapkan rencana keberlanjutan bisnis untuk pemulihan

dari serangan malware, termasuk semua data yang

dibutuhkan dan perangkat lunak cadangan, pengaturan

pemulihan

12.6 Manajemen Kelemahan Teknikal



1 Organisasi harus mendefinisikan dan menetapkan peran dan

tanggung jawab asosiasi dengan manajemen kerentanan

teknis, termasuk pemantauan (monitoring), pengukuran

kerentanan risiko, penelusuran aset dan dibutuhkan


2 Sebuah kronologi (timeline) harus didefinisikan untuk

mereaksi pemberitahuan terkait potensi kerentanan teknis

3 Catatan/log audit harus disimpan untuk semua prosedur yang

dilakukan

281

4 Keefektifitasan proses manajemen kerentanan teknis harus

sesuai dengan kegiatan manajemen insiden untuk

mengkomunikasikan data dalam kerentanan terhadap fungsi

tanggapan insiden dan menyediakan prosedur teknikal yang

harus dilakukan saat insiden terjadi

5 Sistem dengan risiko tinggi harus diutamakan

6 Manajemen kerentanan teknis harusnya dipantau secara

teratur dan dievaluasi dengan maksud untuk menjamin

keefektifitasan dan keefisiensiannya

282

LAMPIRAN 3

DAFTAR TEMUAN KONDISI DIVISI INFORMATION TECHNOLOGY

c. ISO 27001, 2013

7. Keamanan Sumber Daya Manusia


Kontrol Petunjuk Penggunaan Dilakukan

Bukti GAP

Ya Tidak

Seluruh pegawai dan

pihak lain yang

berkaitan dengan

organisasi

menerapkan

keamanan informasi

sesuai dengan

kebijakan dan

prosedur

Tersedianya panduan

keamanan informasi

organisasi yang disesuaikan

dengan keamanan informasi

negara

Adanya pemberian motivasi,

program pembelajaran

peningkatan kemampuan

dan pengkualifikasian

terhadap kemampuan dasar

terkait keamanan informasi



Bukti GAP Ya Tidak

Pendidikan dan

pelatihan rutin untuk

seluruh pegawai dan

pihak eksternal yang

disesuaikan jobdesk

masing-masing,

berdasarkan

kebijakan yang telah

diperbaharui dan

prosedur organisasi

Perjanjian terhadap

keamanan informasi saat

pendidikan dan pelatihan.

Prosedur dasar keamanan

informasi dan baseline

controls (keamanan

password, malware controls,

& clear desk).

Pihak manajemen dan

pegawai memiliki tanggung

jawab pribadi terkait

perlindungan kepemilikan

informasi organisasi



Bukti GAP Ya Tidak

Proses disipliner

formal dan

pengkomunikasian

terhadap tindakan

pegawai terkait

Proses tata tertib bersifat

formal dan komunikatif

terkait tindakan pelanggaran

pegawai pada keamanan

informasi.

283

pelanggaran

keamanan informasi

Proses tata tertib menjadi

sebuah motivasi atau sebuah

insentif jika sanksi positif

terkait perilaku pada

keamanan informasi.



Bukti GAP Ya Tidak

Tanggung jawab

terhadap keamanan

informasi tetap

berlaku setelah

pengakhiran atau

perubahan pekerjaan

Memberitahukan tanggung

jawab bekerja dan saat

pemberhentian termasuk

tanggung jawab hukum

keamanan informasi saat ini.

Syarat dan ketentuan bekerja

terkait tanggung jawab dan

tugas tetap sah setelah

pemberhentian bekerja.

11. Keamanan Fisik dan Lingkungan



Bukti GAP Ya Tidak

Parameter keamanan

harus didefinisikan

dan digunakan untuk

melindungi area


informasi yang berisi

informasi sensitif

Lingkup keamanan harus

didefinisikan dan

penempatan serta kekuatan

lain (dapat berbunyi) pada

lingkup berdasarkan

kebutuhan keamanan aset &

hasil dari penilaian risiko.

.

Area penerima tamu untuk

mengontrol akses fisik.



Bukti GAP Ya Tidak

Area aman dilindungi

oleh kontrol entri

untuk memastikan

bahwa hanya pegawai

yang berwenang

dapat mengakses

Waktu dan tanggal dari

masuk dan keberangkatan

atau kepergian pengunjung

harus terekam kecuali akses

mereka sudah disetujui

sebelumnya.

284

Semua pegawai, kontraktors

dan pihak luar harus

menggunakan tanda

pengenal yang terlihat dan

diketahui oleh bagian

keamanan.

Penerapan kontrol akses ke

area dimana kerahasiaan

informasi diproses harus

dibatasi dan dilakukan

otorisasi individual



Bukti GAP Ya Tidak

Prosedur untuk

bekerja di area aman

harus dirancang dan

diterapkan

Pegawai menyadari

keberadaan, atau kegiatan

dalam sebuah wilayah yang

aman.

Bekerja tanpa pengawasan

di daerah-daerah yang harus

dihindari baik untuk alasan

keamanan dan mencegah

peluang untuk kegiatan

berbahaya.

Daerah-daerah yang kosong

harus secara fisik terkunci


Pengambilan gambar, video,

suara atau peralatan perekam

lainnya seperti kamera di

perangkat mobile tidak

diperkenankan, kecuali telah

di otorisasi.



Bukti GAP Ya Tidak

Penempatan terhadap

peralatan disesuaikan

dengan tingkat

risikonya dan

dilindungi dari

ancaman dan bahaya

lingkungan.

Fasilitas yang menangani

data sensitif pada


diletakkan dengan hati-hati

untuk mengurangi risiko

yang dihindari.

Perlindungan pada peralatan

pengolahan informasi

rahasia untuk meminimalkan

risiko kebocoran informasi.

12.2.2. Keperluan Pendukung


Bukti GAP Ya Tidak

285

Peralatan harus

dilindungi dari

gangguan listrik dan

gangguan lain yang

disebabkan oleh

kegagalan dalam

mendukung utilitas

Peralatan sesuai dengan

spesifikasi pabrik dan


Dilakukan penilaian secara

berkala untuk mengetahui

kapasitas apakah sesuai

dengan pertumbuhan bisnis

Dilakukan pemeriksaan dan

pengujian secara teratur




Bukti GAP Ya Tidak

Kabel listrik dan

telekomunikasi yang

membawa data atau

layanan informasi

pendukung harus

dilindungi dari

intersepsi,

interferensi atau

kerusakan

Posisi saluran listrik dan

telekomunikasi yang

terhubung dengan fasilitas


berada di bawah tanah atau

perlindungan alternatif

Pemisahan kabel daya dan

kabel komunikasi



Bukti GAP Ya Tidak

Pengadopsian

kebijakan keamanan

informasi terkait

media penyimpanan

kertas dan removable

serta layar

pengolahan informasi

Penyimpanan informasi

sensitif atau bersifat kritis

harus terkunci (seperti kertas

atau media penyimpanan

elektronik)

Komputer and terminals

ditinggalkan dalam keadaan

terkunci atau terlindungi

dengan layar dan keyboard

dengan kontrol penguncian

seperti password atau proses

authentication

Media yang berisi informasi

sensitif atau rahasia harus


16. Manajemen Insiden Keamanan Informasi dan Peningkatan



Bukti GAP Ya Tidak

Prosedur terkait

insiden keamanan

informasi harus

ditetapkan untuk

respon yang

diberikan

Prosedur untuk perencanaan

dan persiapan tanggap

insiden

286

Prosedur yang memastikan

bahwa personel yang

menangani masalah

memiliki kompeten terkait

insiden tersebut

Prosedur pelaporan

mencakup proses umpan

balik untuk memastikan

bahwa orang-orang yang

melaporkan kejadian

keamanan informasi

diberitahu tentang hasil

setelah masalah tersebut

telah ditangani dan ditutup



Bukti GAP Ya Tidak

Kejadian keamanan

informasi harus

dilaporkan melalui

saluran manajemen

Pelaporan kontrol keamanan

yang tidak efektif

Pelaporan pelanggaran

pengaturan keamanan fisik



Bukti GAP Ya Tidak

Prosedur untuk

identifikasi,

pengumpulan,

perolehan, dan

pelestarian informasi

yang dapat berfungsi

sebagai bukti

Prosedur

mempertimbangkan

keamanan bukti

Prosedur

mempertimbangkan

keamanan personil

Prosedur

mempertimbangkan

keamanan dokumentasi

18. Penyesuaian



Bukti GAP Ya Tidak

Prosedur yang

memastikan

kepatuhan dengan

persyaratan legislatif,

peraturan dan kontrak

yang terkait dengan

Mengeluarkan kebijakan

kepatuhan hak kekayaan

intelektual yang

mendefinisikan penggunaan

sah perangkat lunak dan

produk informasi

287

hak kekayaan

intelektual dan

penggunaan produk

perangkat lunak

berpemilik

Mendapatkan perangkat

lunak melalui sumber yang

diketahui dan memiliki

reputasi baik, untuk

memastikan hak cipta tidak

dilanggar

Menjaga kesadaran

kebijakan untuk melindungi

hak kekayaan intelektual dan

memberikan pemberitahuan

tentang niat untuk

mengambil tindakan

disipliner terhadap personel

yang melanggar mereka

d. ISO 27002, 2013

5.1 Kebijakan Keamanan Informasi



Bukti GAP

Ya Tidak

Kebijakan terkait

keamanan

informasi yang

disetujui dan

diterbitkan oleh

pihak manajemen

Kebijakan keamanan informasi

berdasarkan atau sesuai dengan

strategi bisnis, undang-undang

dan perjanjian

Kebijakan keamanan informasi

mendukung prinsip kontrol akses,

hak akses dan pembatasan untuk

peran pengguna

8. Manajemen Aset

8.1.1 Inventarisasi Aset


Bukti GAP

Ya Tidak

Pengidentifikasian,

inventarisasi dan

pemeliharaan aset

terkait dengan

informasi dan


informasi

Mengidentifikasi aset terkait

siklus informasi (pembuatan,

pemrosesan, penyimpanan,

penyampaian, penghapusan, dan

penghancuran) dan dokumen yang

penting

288

Dokumentasi aset dipelihara

dalam penjagaan atau




Bukti GAP

Ya Tidak

Aset yang ada

diinventariskan

Organisasi dapat menentukan aset

yang diinventariskan

Organisasi dapat menentukan

pengklasifikasian aset dan


Penanganan yang tepat bila aset

dihapus atau dihancurkan



Bukti GAP

Ya Tidak

Pengidentifikasian,

pendokumentasian

dan

pengimplentasian

terhadap peraturan

penerimaan dan

penggunaan aset

informasi

Adanya kesadaran keamanan

informasi pada pegawai dan pihak

eksternal atau pengguna yang

memiliki akses pada aset

organisasi

Tanggung jawab terhadap

penggunaan pengolahan sumber

daya informasi



Bukti GAP

Ya Tidak

Pengembalian

seluruh aset setelah

akhir masa kontrak

oleh semua pegawai

dan pihak eksternal

berdasarkan

perjanjian

Pemberhentian pegawai atau

pihak eksternal harus disahkan

(pengembalian aset fisik dan

elektronik) oleh organisasi

Pegawai atau pihak eksternal

yang membeli peralatan

organisasi atau menggunakan

peralatan mereka secara pribadi,

harus mengikuti prosedur bahwa

semua informasi telah dialihkan

ke organisasi dan dihapus dengan

aman

289

Pendokumentasian

terkait pengetahuan dan

kemampuan pegawai atau pihak

eksternal terkait tanggung jawab

pada kegiatan selanjutnya.

9. Kontrol Akses



Bukti GAP

Ya Tidak

Penetapan,

pendokumentasian,

dan peninjauan

terhadap kebijakan

kontrol akses

berdasarkan

persyaratan

keamanan bisnis

dan informasi

Kebijakan terkait keamanan dari

aplikasi bisnis

Kebijakan penyebaran dan

otorisasi informasi

Kebijakan terkait hal yang

dilarang dan pemberian izin

secara tersurat



Bukti GAP

Ya Tidak

Penerapan

kebijakan kontrol

akses terhadap

informasi dan

fungsi sistem

aplikasi

Menyediakan menu untuk akses

kontrol terhadap fungsi sistem

aplikasi

Mengontrol hak akses pengguna

Terdapat akses kontrol fisik atau

logis terkait isolasi aplikasi

sensitif (data atau sistem)



Bukti GAP

Ya Tidak

Kebijakan kontrol

akses oleh prosedur

Log on yang aman

Upaya peningkatan keamanan jika

terdeteksi ancaman yang masuk

pada kontrol login

Menghentikan session yang telah

berakhir atau tidak aktif setelah

pemberitahuan periode

Membatasi waktu koneksi untuk

penambahan penyediaan

keamanan pada aplikasi berisiko

tinggi

10. Kriptografi


Kontrol Petunjuk Penggunaan Dilakukan Bukti GAP

290

Ya Tidak

Kebijakan

penggunaan kontrol

kriptografi harus

dikembangkan dan

diimplementasikan

Pihak manajemen menerapkan

kontrol kriptografi di seluruh

lingkup organisasi (informasi

bisnis)

Dibutuhkan tingkatan

perlindungan yang dapat

mengidentifikasi jenis, kekuatan,

kualitas kebutuhan algoritma

enkripsi

Penerapan enkripsi untuk

melindungi perpindahan

informasi dari berbagai media

yang membawanya




Bukti GAP

Ya Tidak

Prosedur operasi

harus

didokumentasikan

dan tersedia bagi

semua pengguna

yang

membutuhkannya

Prosedur dokumentasi terkait

pengolahan dan penanganan

informasi baik (otomatis dan

manual)

Dilakukan pembackup-an Manajemen jejak (rekam jejak)

audit dan log sistem informasi



Bukti GAP

Ya Tidak

Pengontrolan

terhadap perubahan

proses bisnis,


informasi, dan

sistem yang

mempengaruhi

keamanan

informasi

Mengidentifikasi dan merekam

perubahan yang signifikan atau

berarti

Mengontrol perencanaan dan

pengujian perubahan

Mengukur dampak kemungkinan

perubahan (dampak pada

keamanan informasi)



Bukti GAP

Ya Tidak

Penerapan terhadap

pendeteksian,

pencegahan dan

pemulihan kontrol

Kebijakan yang melarang

penggunaan perangkat lunak yang

tidak sah

291

terhadap kesadaran

pengguna untuk

melindungi dari

malware

Prosedur dan tanggung jawab

terkait perlindungan, pelatihan,

pelaporan dan pemulihan dari

serangan malware

Perencanaan bisnis terkait

pemulihan dari serangan malware

(semua data yang dibutuhkan,

perangkat lunak cadangan,

pengaturan pemulihan)



Bukti GAP

Ya Tidak

Informasi terkait

kerentanan sistem

harus diketahui

secara cepat,

kemudian

dievaluasi dan

ditindaklanjuti

untuk mengurangi

risiko

Penetapan peran dan tanggung

jawab terkait kerentanan teknis

(pemantauan atau monitoring,

pengukuran risiko, penelusuran

aset dan koordinasinya)

Sebuah kronologi (timeline)

digambarkan untuk mengetahui

aksi dari kerentanan teknis

Manajemen kerentanan teknis

dipantau secara teratur dan

dievaluasi untuk menjamin

keefektifitasan dan

keefisiensiannya

Catatan/log audit disimpan untuk

semua prosedur yang dilakukan

292

LAMPIRAN 4

SURAT DAN DOKUMEN

skripsi analisis sistem manajemen keamanan...

Documents