Disain Dan Analisa Proyek Audit

Audit Manajemen Aset Pada Bank Bukopin Cabang Surabaya Menggunakan Standar ISO 27001Version: 1.0

Spesifikasi kebutuhan proyek audit TITLE \* MERGEFORMAT Date 11-Juni-2014

RMP_versi1.0.docx

Ver: 1.0Dokumen:

Desain dan Analisa Proyek Audit

Audit Manajemen Aset Pada Bank Bukopin Cabang Surabaya Menggunakan Standar ISO 27001 2014

Sejarah Revisi Dokumen

TanggalVerDeskripsi / PerubahanPenulis

11 Juni 20141.0Menentukan judul dan mengisi seluruh isi dokumenTim

Disusun Oleh:

1. Irfan Kurniawan(11410100101)

2. Zayed Elfasa(11410100101)

3. Rio Sonja Rosmana(11410100133)

4.Berlita Tri Cahyaningasri(11410100192)

DAFTAR ISI61.Introduction

61.1.Tujuan Dokumen

61.2.Ruang Lingkup Dokumen

61.3.Definisi, Akronim, Singkatan yang Dipakai

81.4.Referensi

81.5.Gambaran Umum Dokumen

82.Representasi Arsitektur

92.1.Arsitektur Sistem

92.2.Deskripsi Umum dari Arsitektur Sistem

103.Desain Fungsional

103.1.Desain Proses

103.1.1.Context Diagram

113.1.2.Data Flow Diagram

153.2.Desain Data

153.2.1.Desain Konseptual

153.2.2.Transformasi kedalam SQL Tables

153.2.3.Normalisasi

153.3.Desain Antar Muka

153.3.1.Antar Muka Perangkat Lunak

163.3.2.Antar Muka Perangkat Keras

173.3.3.Antar Muka Jaringan

173.3.4.Antar Muka Pengguna

403.4.Desain Keamanan

403.4.1.Keamanan Fisik

413.4.2.Keamanan Logikal

413.4.3.Keamanan Personal

413.4.4.Enkripsi

414.Desain Sistem

414.1.Standar Pemrograman

424.2.Model Fisik

424.2.1.Physical Data Model

434.2.2.Data Dictionary

494.3.Rencana Uji Coba

505.Desain Program

505.1.Desain Unit/Modul

505.2.Pseudocode

505.2.1.Prosedur/Fungsi Auto Increement

505.2.2.Prosedur/Fungsi Simpan Data

515.2.3.Prosedur/Fungsi GetData (Object)

515.2.4.Prosedur/FungsiGetData (String)

525.2.5.Prosedur/Fungsi Ubah Data (Object)

525.2.6.Prosedur/Fungsi OpenKoneksi

525.2.7.Prosedur/Fungsi CloseKoneksi

1. PengenalanDokumen ini berisi desain dan analisa proyek audit untuk Audit Manajemen Aset Pada Bank Bukopin Cabang Surabaya Menggunakan Standar ISO 27001 yang akan dikerjakan. Dokumen ini berisi tentang gambaran dari dokumen ini sendiri, antara lain adalah perkenalan, tujuan, ruang lingkup dokumen, definisi & akronim singkatan yang dipakai, referensi, gambaran umum dokumen, klausul yang dipilih, audit working planning, pertanyaan audit, tabel penilaian, dan penentuan tingkat kedewasaan.

1.1. Tujuan Dokumen

Dokumen desain dan analisa proyek audit ini bertujuan untuk menyediakan rancangan audit dengan standar ISO 27001 klausul 7.

1.2. Ruang Lingkup Dokumen

Ruang Lingkup dari dokumen disain dan analisa proyek audit ini adalah :

1. Klausul yang digunakan2. Audit working planning

3. Pertanyaan audit4. Tabel penilaian

5. Penentuan tingkat kedewasaan (Maturity level)1.3. Definisi, Akronim, Singkatan yang Dipakai

Akronim atau singkatanDefinisi

Stakeholder Kelompok atau individu yang dukungannya diperlukan demi kesejahteraan dan kelangsungan hidup organisasi. Clarkson membagi stakeholder menjadi dua: stakeholder primer dan stakeholder sekunder. Stakeholder primer adalah pihak di mana tanpa partisipasinya yang berkelanjutan organisasi tidak dapat bertahan.

ISO 27001Suatu standar internasional untuk Sistem Manajemen Kemanan Informasi (SMKI). SO 27001 menyediakan kerangka kerja untuk netralitas penggunaan teknologi, netralitas sistem manajemen pengelolaan rekanan yang memungkinkan suatu organisasi memastikan bahwa pengukuran keamanan informasi adalah efektif. Hal ini termasuk kemampuan mengakses data secara berkelanjutan, adanya kerahasiaan dan integritas atas informasi yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan demikian pula dengan kesesuaian hukum.

AuditSuatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara obyektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian haisl-hasilnya kepada pemakai yang berkepentingan

Klausul

Maturity level

1.4. Referensi

1.5. Gambaran Umum Dokumen

Dokumen ini akan menjelaskan perlengkapan penilaian untuk menilai kematangan dari hasil audit manajemen aset. Tentunya, akan ada beberapa dokumen yang dibutuhkan untuk audit yang akan dijelaskan pada dokumen ini. Mulai dari pertanyaan audit hingga cara penilaiannya. 2. Klausul yang Digunakan

Sistem informasi yang ada di Bank Bukopin sangat bervariasi sehingga proses audit harus dilaksanakan dengan tepat. Makalah ini akan menjelaskan satu sistem informasi dan auditnya.

Berdasarkan ISO 27001 yang di dalamnya terdapat lima belas klausul yang membahas mengenai keamanan untuk proteksi dari pihak-pihak yang tidak berkepentingan. Dari lima belas klausul yang ada, makalah ini menjelaskan klausul 7 yang membahas mengenai Manajemen Aset.

Berikut ini adalah detail struktur dokumen kontrol keamanan pada klausul 7 berdasarkan ISO 27001 :

2.1. Kontrol keamanan klausul 7Klausul 7 : Manajemen Aset

Kategori Keamanan Utama : 7.1 Tanggung jawab terhadap aset

Objektif Kontrol : Untuk memenuhi perlindungan dan memeliharaan terhadap aset organisasi

7.1.1 Inventarisasi terhadap asetKontrol : Seluruh aset organisasi harus diinventarisasi dan dipelihara

7.1.2Kepemilikan asetKontrol : Seluruh informasi dan aset yang berhubungan dengan fasilitas pemrosesan Informasi harus ditentukan kepemilikannya sesuai dengan ketentuan organisasi

7.1.3 Aturan penggunaan asetKontrol : Aturan - aturan penggunaan informasi yang berhubungan dengan fasilitas pemrosesan informasi harus diidentifikasi dan diimplementasikan

Kategori keamanan utama : 7.2 Klasifikasi informasi

Objektif kontrol : Untuk memastikan bahwa setiap informasi dalam organisasi mendapatkan keamanan yang memadai

7.2.1Aturan klasifikasi Kontrol : Informasi harus diklarifikasikan menurut nilainya, kepentingan dan tingkat kritikannya terhadap organisasi

7.2.2Penanganan dan pelabelan informasi Kontrol : Suatu prosedur yang cukup memadai harus dibuat untuk pelabelan dan penanganan Informasi sesuai dengan skema klarifikasi Informasi yang telah ditentukan oleh organisasi.

3. Audit working planningNama KegiatanDurasiMulaiSelesai

Pembentukan Tim Proyek6 daysTue 04/03/14Sun 09/03/14

Menentukan Project Manager1 dayTue 04/03/14Tue 04/03/14

Menentukan Sekretaris dan Bendahara3 daysFri 07/03/14Sun 09/03/14

Mencari auditor3 daysWed 05/03/14Fri 07/03/14

Kick Off Meeting1 dayMon 10/03/14Mon 10/03/14

Menentukan waktu janjian dengan stakeholder 1 dayMon 10/03/14Mon 10/03/14

Pembagian Job Desk1 dayMon 10/03/14Mon 10/03/14

Rapat tim proyek1 dayMon 10/03/14Mon 10/03/14

Follow up1 dayMon 10/03/14Mon 10/03/14

Sosialisasi profil perusahaan (detil)1 dayMon 10/03/14Mon 10/03/14

Dokumen Proyek charter17 daysTue 11/03/14Wed 02/04/14

Executive summary1 dayTue 11/03/14Tue 11/03/14

Project Purpose1 dayWed 12/03/14Wed 12/03/14

Project Description1 dayThu 13/03/14Thu 13/03/14

Risks2 daysFri 14/03/14Mon 17/03/14

Project Deliverables2 daysTue 18/03/14Wed 19/03/14

Summarie Milestone Schedule2 daysThu 20/03/14Fri 21/03/14

Summary Budget2 daysMon 24/03/14Tue 25/03/14

Project Approval Requirements2 daysWed 26/03/14Thu 27/03/14

Project Manager2 daysFri 28/03/14Mon 31/03/14

Authorization2 daysTue 01/04/14Wed 02/04/14

Pembuatan Dokumen tanya jawab9 daysMon 07/04/14Thu 17/04/14

Penentuan standar manajemen keamanan sistem informasi3 daysMon 07/04/14Wed 09/04/14

Menyusun dokumen tanya jawab3 daysThu 10/04/14Mon 14/04/14

Menyusun dokumen pernyataan3 daysTue 15/04/14Thu 17/04/14

Wawancara dengan karyawan Bank Bukopin3 daysMon 21/04/14Wed 23/04/14

Wawancara klausul bagian I2 daysMon 21/04/14Tue 22/04/14

Wawancara klausul bagian II1 dayWed 23/04/14Wed 23/04/14

Pembuatan dokumen laporan audit8 daysThu 24/04/14Mon 05/05/14

Laporan tanya jawab3 daysThu 24/04/14Mon 28/04/14

Laporan dokumentasi3 daysTue 29/04/14Thu 01/05/14

Laporan maturity level2 daysFri 02/05/14Mon 05/05/14

Dokumentasi1 dayMon 07/04/14Mon 07/04/14

Laporan dokumentasi1 dayMon 07/04/14Mon 07/04/14

Closing Project1 dayThu 08/05/14Thu 08/05/14

penyerahan dokumen1 dayThu 08/05/14Thu 08/05/14

tanda tangan kontrak1 dayThu 08/05/14Thu 08/05/14

4. Pertanyaan auditTerlampir5. Tabel Penilaian5.1. Standar CMMI LevelRatingColorCMMI LevelISO 27002 Level

0Non ExistentTidak ada kontrol sama sekali

1InitialAda bukti bahwa masalah keamanan ada dan perlu di tangani, namun tidak ada kontrol untuk mengatasi masalah ini.

2RepeatableKeamanan kontrol masih dalam pengembangan dengan dokumentasi terbatas.

3DefinedKeamanan kontrol telah didokumentasikan dan dikomunikasikan melalui pelatihan, tetapi diserahkan kepada individu mengikuti kontrol.

4ManagedHal ini dimungkinkan untuk memantau dan mengukur kepatuhan kontrol keamanan tetapi management kontrol tidak sepenuhnya otomatis.

5OptimizedKeamanan kontrol telah disempurnakan ketingkat kode ISO praktek, berdasarkan hasil improvemen terus menerus.

5.2. Hasil Penilaian

Klausul 7: Manajemen Aset

No.PernyataanHasil PemeriksaanBobotMaturity Level

012345Nilai

7.1.1.1 Terdapat sistem informasi yang menangani masalah manajemen aset pada Bank Bukopin Cabang Surabaya.

7.1.1.2 Terdapat list inventaris pada Bank Bukopin cabang Surabaya.

7.1.1.3 Terdapat peraturan pemeliharaan aset Bank Bukopin cabang Surabaya.

Total BobotTotal Tingkat Kemampuan

Rata-rata Tingkat Kemampuan

7.1.2.1

Terdapat prosedur untuk mengetahui pemilik inventaris pada Bank Bukopin cabang Surabaya.

7.1.2.2 Terdapat list pemegang prosedur (tempat penyimpanan dan bagian yang bertanggung jawab) pada Bank Bukopin cabang Surabaya.

7.1.2.3 Terdapat pengawasan terhadap implementasi aturan penggunaan aset.



7.1.3.1 Terdapat identifikasi aturan penggunaan informasi mengenai aset pada Bank Bukopin cabang Surabaya.

7.1.3.2 Terdapat implementasi penggunaan informasi mengenai aset sesuai dengan aturan yang ada.



7.2.1.1

Adanya pengelompokan informasi aset pada Bank Bukopin cabang Surabaya

7.2.1.2

Terdapat prosedur pengelompokan informasi



7.2.2.1

Adanya skema klasifikasi informasi yang telah ditentukan

7.2.2.2

Terdapat pelabelan pada semua aset perusahaan



5.3. Maturity level

Tabel dibawah ini merupakan representasi nilai untuk penentuan maturity level kontrol keamanan pada klausul 7 yang membahas mengenai manajemen aset. Nilai kematangan pada setiap kontrol yang terdapat pada tabel dibawah ini didapatkan dari analisa dan evaluasi yang dilakukan.

Klausul Kontrol ObjektifKontrol Keamanan Tingkat kemampuanRata-rata objektif kontrol

7. Manajemen aset7.1 Tanggung jawab terhadap aset7.1.1 Investarisasi Terhadap Aset

7.1.2 Kepemilikan Aset

7.1.3 Aturan Penggunaan Aset

7.2 Klasifikasi informasi7.2.1 Aturan klasifikasi

7.2.2 Penanganan dan pelabelan informasi

Maturity level klausul 7

Setelah dihasilkan nilai maturity level yang didapat dari seluruh rata-rata nilai tingkat kemampuan kontrol keamanan, selanjutnya nilai-nilai yang ada pada tabel tersebut akan direpresentasikan kedalam diagram radar pada gambar dibawah ini :

Gambar 2 Representasi Maturity Level Klausul 7 Manajemen Aset.Sedangkan diagram radar untuk kontrol objektif klausul 7 yang membahas mengenai tanggung jawab terhadap aset adalah sebagai berikut :

Gambar 3 Representasi Maturity Level Kontrol Objektif Tanggung Jawab Terhadap Aset.Sedangkan diagram radar untuk kontrol objektif klausul 7 yang membahas mengenai tanggung jawab terhadap aset adalah sebagai berikut :

Gambar 4 Representasi Maturity Level Kontrol Objektif Klasifikasi Informasi5.4. Temuan dan rekomendasi klausul 7

7.1.1Inventarisasi terhadap aset

No.PernyataanTemuan Rekomendasi

7.1.1.2Terdapat list inventaris pada Bank Bukopin cabang Surabaya.

7.1.2Kepemilikan Aset


7.1.2.1Terdapat prosedur untuk mengetahui pemilik inventaris pada Bank Bukopin cabang Surabaya.

7.1.3Aturan Penggunaan Aset


7.1.3.2Terdapat implementasi penggunaan informasi mengenai aset sesuai dengan aturan yang ada.

7.2.1Aturan Klasifikasi


7.2.1.2Terdapat prosedur pengelompokan informasi

LAMPIRAN PERNYATAAN, PERTANYAAN, DAN JAWABAN KLAUSUL MANAJEMEN ASET PADA BANK BUKOPIN CABANG SURABAYA

MATA KULIAH : MANAJEMEN PROYEKKategori Keamanan Utama : 7 Tanggung Jawab Terhadap AsetObjektif Kontrol : Untuk memenuhi perlindungan dan pemeliharaan terhadap aset organisasi7.1.1 Investarisasi Terhadap AsetSeluruh aset organisasi harus diinvetarisasi dan dipelihara

PernyataanPertanyaanJawaban

Terdapat sistem informasi yang menangani masalah manajemen aset pada Bank Bukopin Cabang Surabaya.Apakah terdapat sistem informasi khusus yang menangani manajemen aset di kantor Bank Bukopin Cabang Surabaya?

Dimana letak sistem infromasi tersebut?

Siapa yang boleh mengakses sistem informasi tersebut pada bagian Sarana dan Logistik?

Bagaimana keamanan sistem informasi aset tersebut?

Terdapat list inventaris pada Bank Bukopin cabang Surabaya.Apakah Bank Bukopin memiliki list inventaris?

Siapakah yang menyimpan list inventaris Bank Bukopin ?

Dimana tempat penyimpanan list invetaris tersebut ?

Apakah semua aset sudah sesuai dengan list yang ada ?

Adakah aset yang belum masuk dalam daftar inventaris perusahaan ?

Kapan saja bank bukopin melakukan pembaruan (update) list inventaris perusahaan?

Bagaimana cara mengamankan list inventaris pada Bank Bukopin?

Terdapat peraturan pemeliharaan aset Bank Bukopin cabang Surabaya.Apakah ada peraturan pemeliharaan aset pada Bank Bukopin?

Siapakah / bagian apa yang bertanggung jawab terhadap pemeliharaan aset Bank Bukopin ?

Adakah sosialisasi mengenai pemeliharaan aset ?

Siapakah orang/target sosialisasi mengenai pemeliharaan aset?

Bagaimana cara kerja pemeliharaan aset?

Bagaimana cara mengamankan aset pada Bank Bukopin?

7.1.2 Kepemilikan AsetSeluruh informasi dan aset yang berhubungan dengan fasilitas pemrosesan informasi harus ditentukan kepemilikannya sesuai ketentuan organisasi


Terdapat prosedur untuk mengetahui pemilik inventaris pada Bank Bukopin cabang Surabaya.Apakah Bank Bukopin memiliki prosedur untuk mengetahui inventaris aset?

Standar apakah yang digunakan untuk membuat prosedur untuk mengetahui pemilik inventaris?

Terdapat list pemegang prosedur (tempat penyimpanan dan bagian yang bertanggung jawab) pada Bank Bukopin cabang Surabaya.Apa bentuk list pemegang prosedur tersebut (hardcopy atau softcopy) ?

Siapa atau bagian apa yang bertanggung jawab menyimpan list prosedur tersebut ?

Dimana letak penyimpanan list prosedur tersebut ? Apakah ada ruang khusus atau bagaimana ?

Terdapat pengawasan terhadap implementasi aturan penggunaan aset.Siapa atau bagian apa yang melakukan pengawasan terhadap implementasi aturan penggunaan informasi ?

Bagaimana bentuk pengawasannya ?

7.1.3 Aturan Penggunaan Aset Aturan-aturan penggunaan informasi yang berhubungan dengan fasilitas pemrosesan informasi harus diidentifikasikan dan diimplementasikan


Terdapat identifikasi aturan penggunaan informasi mengenai aset pada Bank Bukopin cabang Surabaya.Siapa atau bagian apa yang menerbitkan aturan penggunaan informasi mengenai aset?

Terdapat implementasi penggunaan informasi mengenai aset sesuai dengan aturan yang ada.Apakah semua karyawan telah mengerti mengenai peraturan dalam penggunaan informasi mengenai aset?

Adakah bagian yang memantau dalam implementasi peraturan di kehidupan sehari-hari ?

Kategori Keamanan utama : 7.2 Klasifikasi Informasi Objek kontrol : Untuk memastikan bahwa setiap informasi dalam organisasi mendapatkan keamanan yang memadai7.2.1 Aturan klasifikasi7.2 Informasi harus diklasifikasikan menurut nilainya, kepentingan dan tingkat kritikalnya terhadap organisasi


Adanya pengelompokan informasi aset pada Bank Bukopin cabang SurabayaApakah dasar yang digunakan untuk mengelompokkan informasi pada Bank Bukopin?

Bagian apa yang bertugas mengelompokkan informasi tersebut?

Kapan informasi tersebut dikelompokkan ?

Terdapat prosedur pengelompokan informasi

Siapa yang bertanggung jawab dalam pengelompokkan informasi ?

Dimana tempat penyimpanan prosedur pengelompokkan informasi?

7.2.2 Penanganan dan pelabelan informasiSuatu prosedur yang cukup memadai harus dibuat untuk pelabelan dan penanganan informasi sesuai dengan skema klasifikasi informasi yang telah ditentukan oleh organisasi


Adanya skema klasifikasi informasi yang telah ditentukanAdakah prosedur skema klasifikasi informasi?

Klasifikasi informasi tersebut berdasarkan apa?

Bagian apa yang mengklasifikasikan skema informasi?

Kapan informasi di klasifikasikan?

Dimana tempat penyimpanan hasil klasifikasi informasi?

Terdapat pelabelan pada semua aset perusahaanBagian apa yang bertanggung jawab terhadap list klasifikasi aset perusahaan?

Dimana tempat penyimpanan list label perusahaan?

Surabaya, 27 November 2013

Tertanda,

Zayed Elfasa (11410100127)Tertanda,

Suparman (Koordinator Sarana & Logistik)

PROGRAM STUDI S1 SISTEM INFORMASI

SEKOLAH TINGGI MANAJEMEN INFORMATIKA &

TEKNIK KOMPUTER SURABAYA

2014

Confidential(Dapur Audit, 2014Page 7 of 23

Disain Dan Analisa Proyek Audit

Documents

Transcript of Disain Dan Analisa Proyek Audit