JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)

1

Abstrak— Kebutuhan informasi yang akurat, cepat, serta

reliable mengharuskan perusahaan menjaga keamanan informasi

agar tidak mengganggu dan mempengaruhi peforma organisasi

atau perusahaan. Dengan adanya kebutuhan tersebut, keamanan

informasi harus dapat dikelola dengan baik. Pengelolaan

keamanan informasi akan memperkecil munculnya risiko yang

berkaitan dengan aspek keamanan informasi seperti kerusakan

perangkat TI, kehilangan data karena pencurian dan risiko

lainnya. Data kerugian yang diakibatkan oleh risiko keamanan

informasi pun telah mencapai 1 miliar dollar US [1]. Untuk itu

diperlukan tata kelola keamanan informasi yang melingkupi

seluruh aspek keamanan informasi. Namun dengan padatnya

aktivitas bisnis, organisasi atau perusahaan cenderung kesulitan

untuk menyiapkan alat kerja dalam melakukan tata kelola

keamanan informasi. Oleh karena itu jika melihat permasalahan

tersebut maka diperlukan template dokumen yang diharapkan

menjadi solusi dalam mempersiapkan tata kelola keamanan

informasi dalam organisasi atau perusahaan. Pembuatan

template tata kelola keamanan informasi akan berfokus dengan

area pengamanan yang diambil dari standar COBIT 5 dan

ISO/IEC 27001:2005, serta standar lain yang terkait.

Kata Kunci— Tata Kelola, Keamanan Informasi, Framework,

Standar, COBIT, ISO/IEC 27001, Template

I. PENDAHULUAN

ewasa ini, perkembangan teknologi informasi telah

memberikan dampak yang cukup signifikan terhadap

perubahan pada berbagai organisasi dan perusahaan. Seiring

berjalannya waktu organisasi dan perusahaan semakin

bergantung kepada teknologi informasi (TI) guna mencapai

tujuan bisnisnya. TI menjadi salah satu elemen dalam

mencapai tujuan bisnis, sehingga diarahkan untuk mendukung

proses bisnis, mulai dari aktivitas operasional sampai pada

tingkat strategik.

Disisi lain penyediaan sarana atau investasi TI belum

cukup untuk dapat memaksimalkan kontribusi fungsi TI

kedalam proses bisnis. Penerapan TI memerlukan biaya yang

relatif tinggi dengan resiko keamanan informasi yang cukup

besar. Berdasarkan survey yang dilakukan Future Workspace,

belanja TI perusahaan di Indonesia cukup tinggi, namun hanya

10% dari total belanja TI di investasikan untuk keamanan

informasi [2]. Selain itu data kerugian global akibat adanya

lubang pada keamanan informasi mencapai 1 miliar dollar

Amerika. Kultur pendokumentasian tata kelola keamanan

informasi pun yang masih rendah menyebabkan perusahaan

kurang memperhatikan pembuatan dokumentasi dari tata

kelola tersebut. Untuk itu, diperlukan sebuah tata kelola

keamanaan informasi yang dapat terdokumentasi secara baik

sebagai salah satu cara dalam mengatur pelaksanaan

penggunaan seluruh elemen TI dalam organisasi dan

perusahaan serta mekanisme dalam mengelola keamanan

informasi.

Untuk menjamin proses dan dokumentasi pengelolaan

keamanan informasi yang baik, diperlukan best practice atau

framework sebagai acuan pembuatan tata kelola keamanan

informasi. Salah satu best practice yang memiliki standar

proses pengelolaan keamanan informasi adalah ISO/IEC

27001:2005 [3]. Pada standar ini terdapat langkah-langkah

dalam melakukan pengelolaan keamanan informasi. Selain itu

untuk memaksimalkan pengelolaan keamanan informasi

diperlukan standar framework yang menyediakan kerangka

kerja pengelolaan keamanan informasi. Salah satunya adalah

COBIT 5. Dalam COBIT 5 terdapat domain dalam ruang

lingkup Align, Plan, Organize (APO) yang mengatur tentang

keamanan TI (Manage Security) [4]. Penggabungan best

practice dan framework ini diharapkan dapat memberi

gambaran mengenai bagaimana melakukan tata kelola

keamanan informasi dapat dilakukan dan terdokumenasikan

dengan baik.

II. METODOLOGI PENELITIAN

Proses pengerjaan penelitian ini dilakukan melalui

beberapa tahapan. Tahapan – tahapan tersebut meliputi

analisis kebutuhan tata kelola keamanan informasi, referensi

tata kelola keamanan informasi serta standar-standar terkait

yang akan digunakan yang dibagi menjadi beberapa tahap.

Gambar 1 : Metodologi

PENYUSUNAN TEMPLATE TATA KELOLA KEAMANAN

INFORMASI BERBASIS ISO/IEC 27001:2005 DAN PATUH

TERHADAP COBIT 5 MANAGEMENT PROCESSES

APO13 MANAGE SECURITY

Faridl Mughoffar, Ir. Ahmad Holil Noor Ali, M.Kom, dan Anisah Herdiyanti, S.Kom, M.Sc

Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS)

Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia

e-mail: faridlmughoffar@gmail.com, holil@its-sby.edu, anisah@its-sby.edu

D

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)

2

Berikut penjelasan dari pelaksanaan metodologi :

A. Tahap Persiapan

Pada tahapan ini akan dilakukan analisis awal mengenai

literatur dan kebutuhan lain yang menunjang penelitian

meliputi studi literatur mengenai standar, framework dan tata

kelola keamanan informasi, serta extensive desk research

mengenai metodologi pengembangan template dokumen.

B. Tahap Pemetaan Best Practice

Pembuatan penyusunan template tata kelola diawali dengan

memetakan proses yang ada di ISO/IEC 27001:2005 ke dalam

COBIT 5 APO13 Manage Security atau standar lainnya. Pada

tahap penyusunan dokumen tata kelola ini nanti akan

dipetakan terlebih dahulu domain yang akan di buatkan tata

kelola. Dalam ISO/IEC 27001:2005 terdapat proses yang

dapat dipetakan kedalam domain manage security yang

memiliki beberapa proses kunci untuk mendukung tujuan

teknologi informasi yang digunakan.

C. Tahap Penyusunan Template

Pada tahap ini adalah menyusun template dokumen tata

kelola keamanan informasi yang mengacu pada pemetaan yang

telah dilakukan sebelumnya. Dalam pemetaan tersebut terdapat

aktivitas-aktivitas yang memerlukan dokumentasi berupa

kebijakan, prosedur, instruksi, formulir atau pun template

dokumen itu sendiri. Selain dokumen template

D. Tahap Verifikasi

Tahap ini menjelaskan bagaimana melakukan verifikasi

terhadap template dokumen yang telah dibuat terhadap standar

yang digunakan. Selanjutnya juga terdapat verifikasi antara

template zdan referensi tata kelola keamanan informasi yang

pernah dibuat di lingkungan tugas akhir sistem informasi ITS.

E. Tahap Akhir

Tahap akhir dari metodologi ini adalah menyimpulkan dan

memeberikan rekomendasi hasil peniyusunan template. Selain

itu output akhir dari tahap ini adalah buku tugas akhir,

template dokumen tata kelola keamanan informasi dan buku

panduan penggunaan template dokumen.

III. HASIL DAN PEMBAHASAN

A. Standar Best Practice Tata Kelola Teknologi Informasi

Terkait Dengan Kemanaan Informasi.

Berikut ini adalah hasil dari studi literatur mengenai standar

yang terkait dengan keamanan inforamasi. Standar ini akan

digunakan dalam membuat template dokumen tata kelola

keamanan informasi.

A.1 ISO/IEC 27001:2005 Section 4

Dalam penyusunan template dokumen tata kelola

keamanan informasi ini akan digunakan ISO/27001:2005

sebagai best practice yang akan dikaitkan dengan kerangka

kerja COBIT 5 khususnya APO13 Manage Security yang telah

dijelaskan sebelumnya. Secara umum ISO/IEC 27001:2005

telah dijelaskan pada daftar pustaka, namun keterkaitan

COBIT 5 dan ISO/IEC 27001:2005 terdapat pada bagian ke 4

best practice ini sesuai dokumen COBIT 5 Enabling Process.

Dalam standar ini membahas mengenai Sistem Manajemen

Keamanan Informasi (SMKI), dimana terdapat empat proses

utama yaitu :

Tabel 1 Proses Sistem Manajemen Keamanan Informasi[5]

No. Proses Deskripsi Proses

1. Menetapkan

SMKI

Dalam proses ini merupakan proses

pendefinisian perencanaan dan pembangunan

SMKI meliputi ruang lingkup, batasan,

kebijakan, risiko dan perlakuan resiko

2. Menerapkan dan

Mengoperasikan

SMKI

Proses ini menjelaskan bagaimana

merumuskan rencana perlakuan resiko,

implementasi SMKI, pengukuran SMKI dan

pengelolaan SMKI.

3. Memantau dan

Mengkaji SMKI

Proses ini menjelaskan aktivitas pemantauan

dan pengkajian dari implementasi dan

pengelolaan SMKI yang dilakukan

4. Meningkatkan

SMKI

Proses ini menjelaskan mengenai aktivitas

hasil evaluasi SMKI, hasil audit dan

rekomendasi untuk meningkatkan peformas

SMKI.

Keempat proses diatas akan dipetakan kedalam praktek kunci

yang ada pada COBIT 5 APO13 Manage Security.

.

A.2 Proses COBIT 5 APO13 Manage Security

Pada COBIT 5 APO13 Manage Security, terdapat

penjelasan mengenai proses pengelolaan keamanan yang

berada pada area manajemen. Proses pada COBIT 5 APO13

Manage Security bertujuan menjaga dampak dan terjadinya

insiden keamanan informasi dalam tingkat risk appetite

perusahaan melalui penentuan, pengoperasian dan monitoring

SMKI. Untuk menjalan proses ini, COBIT 5 membaginya

kedalam tiga praktek kunci yaitu sebagai berikut ini :

Tabel 2 Praktek Kunci Manajemen Manage Security[5]

Practice

ID

Practice

Name Governance Practice

APO13.01 Membangun

dan

memelihara

SMKI

Membangun dan memelihara SMKI

yang menyediakan standar, pendekatan

formal dan berkesinambungan untuk

manajemen keamanan informasi serta

memungkinkan penggunaan teknologi

dan operasional bisnis yang aman

dengan proses yang sesuai dengan

kebutuhan bisnis dan manajemen

keamanan perusahaan.

APO13.02 Menentukan

dan mengelola

rencana

perlakuan

resiko

keamanan

informasi.

Menjaga rencana keamanan informasi

yang menggambarkan bagaimana risiko

keamanan informasi harus dapat

dikelola dan diselaraskan dengan

strategi perusahaan serta arsitektur

enterprise. Selain itu memastikan

bahwa rekomendasi untuk

melaksanakan perbaikan keamanan

didasarkan pada kasus bisnis yang

disetujui dan dilaksanakan sebagai

bagian peningkatan layanan dan

pengembangan solusi yang kemudian

dioperasikan sebagai bagian

peningkatan operasi bisnis.

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)

3

Practice

ID

Practice

Name Governance Practice

APO13.03 Memonitor

and mereview

SMKI.

Menjaga dan secara teratur

mengkomunikasikan kebutuhan, dan

manfaat serta peningkatan keamanan

informasi secara terus-menerus.

Mengumpulkan dan menganalisis data

mengenai SMKI, dan meningkatkan

efektivitas SMKI. Menilai

ketidaksesuaian untuk mencegah

terulangnya risiko yang sama serta

Mempromosikan budaya keamanan

dan perbaikan yang berkelanjutan.

Praktek kunci manajemen diatas dibagi kedalam RACI Chart

berdasarkan posisi atau organisasi umum pada COBIT 5.

Gambar 2 RACI Chart Praktik Kunci Manajemen[4]

B. Pemetaan ISO/IEC 27001:2005 dan COBIT 5 APO 13

Manage Security.

B.1. Pemetaan Proses ISO/IEC 27001:2005 ke Key

Management Practice COBIT 5 APO 13 Manage Security

Dari hasil pemetaan aktivitas dan proses pengelolaan

keamanan informasi ini nanti akan memberikan pandangan

bagaimana cara melakukan uji relevansi aktivitas terhadap

praktik kunci yang akan dimasukan kedalam dokumen

template tata kelola keamanan informasi yang akan dibuat.

Selain itu, pemetaan ini juga berguna melihat bagaimana

cara memasukan best practice ISO/IEC 27001:2005 agar

memenuhi kerangka kerja COBIT 5 APO13 Manage Security.

Berikut ini adalah tabel hasil pemetaan aktivitas dan proses

dari standar best practice dan kerangka kerja yang digunakan.

Berikut ini adalah temuan dari hasil proses pemetaan best

practice ISO/IEC 27001:2005 terhadap COBIT 5 APO13

Manage Security :

a. 10 Aktivitas pada proses Menetapkan SMKI terpetakan

kedalam APO13.01 Membangun dan Memelihara SMKI

b. Aktivitas pada proses Menerapkan dan Mengoperasikan

SMKI terpetakan kedalam APO13.02 Menentukan dan

mengelola rencana perlakuan resiko keamanan informasi.

c. 4 Aktivitas pada proses Menerapkan dan

Mengoperasikan SMKI terpetakan kedalam APO13.01

Membangun dan Memelihara SMKI.

d. 7 Aktivitas pada proses Memantau dan Mengkaji SMKI

terpetakan kedalam APO13.03 Mrmantau dan Meninjau

SMKI

e. 4 Aktivitas pada proses Meningkatkan dan Memelihara

SMKI terpetakan kedalam APO13.01 Membangun dan

memelihara SMKI

f. Terdapat aktivitas pengimplementasian SMKI pada

ISO/IEC 27001:2005 yang terpetakan kedalam

APO13.01 Membangun dan memelihara SMKI karena

konteks yang patuh pada COBIT 5 APO13 Manage

Security adalah perencanaan pengelolaan sehingga

diasumsikan bahwa aktivitas pengimplementasian harus

direncanakan terlebih dahulu.

B.2. Pemetaaan Organisasi Keamanan Informasi ISO/IEC

27001:2005 ke dalam COBIT 5 APO13 Manage Security

Pemetaan pada tahap ini merupakan pendefinisian

relevansi organisasi keamanan informasi pada ISO/IEC 27001

terhadap organisasi keamanan informasi yang didefinisikan

pada COBIT 5 APO13 Manage Security.:

Gambar 3 Struktur Umum Organisasi Keamanan Informasi

Bagan diatas menggambarkan hierarki organisasi keamanan

informasi yang mengacu pada ISO/IEC 27001:2005.

Selanjutnya pendefinisian organisasi keamanan informasi

dipetakan berdasarkan ketiga praktek kunci yaitu sebagai

berikut :

Gambar 4 Pemetaan Organisasi Pada Praktek Kunci APO13.01

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)

4

Gambar 5 Pemetaan Organisasi Pada Praktek Kunci APO13.02

Gambar 6 Pemetaan Organisasi Pada Praktek Kunci APO13.02

Pemetaan diatas berfungsi untuk melakukan penyesuaian

terhadap kondisi eksisting perusahaan jika perusahaan tidak

memiliki seluruh elemen stakeholder pada struktur

organisasinya, maka dapat dirangkap oleh posisi lain sesuai

dengan pemetaan diatas. Selain itu pemetaan diatas juga

berfungsi sebagai acuan prioritasi tanggung jawab organisasi

keamanan informasi.

C. Referensi Template Dokumen Tata Kelola Keamanan

Informasi

Referensi dokumen tata kelola keamanan informasi

diambil dari dokumen buku tugas akhir keamanan informasi

yang berada dalam lingkungan jurusan sistem informasi.

Dokumen ini akan dijadikan salah satu acuan dalam membuat

template serta bagian dari evaluasi hasil template yang akan

dibuat. Berikut ini adalah hasil referensi template dokumen

tata kelola keamanan informasi yang meliputi 4 area

pengamanan yaitu sebagai berikut:

1. Area Pengamanan Lingkungan Fisik

Dokumen area pengaman ini didapatkan dari judul tugas

akhir “Pembuatan Tata Kelola Keamanan Informasi

Kontrol Lingkungan Fisik Berbasis ISO/IEC 27001:2005

Pada Kantor Pelayanan dan Perbendahaaran Negara

Surabaya II” oleh Rizky Bareta [6]

2. Area Pengamanan Komunikasi dan Operasional

Dokumen area pengamanan Komunikasi dan Operasional

didapatkan dari judul tugas akhir “Pembuatan Tata Kelola

Keamanan Informasi Kontrol Komunikasi dan Operasional

Pada Kantor Pelayanan dan Perbendaharaan Negara

Surabaya I" oleh M. Hasyim Wahid [7]

3. Area Pengamanan Sumber Daya Manusia

Dokumen area pengamanan Sumber Daya Manusia

didapatkan dari judul tugas akhir “Pembuatan Tata Kelola

Keamanan Informasi Kontrol Sumber Daya Manusia Pada

Kantor Pelayanan dan Perbendaharaan Negara Surabaya I"

oleh Harpanda Eka Swadarmana. [8]

4. Area Pengamanan Kontrol Akses

Dokumen area pengamanan Kontrol Akses didapatkan dari

judul tugas akhir “Pembuatan Tata Kelola Keamanan

Informasi Kontrol Akses Pada Kantor Pelayanan dan

Perbendaharaan Negara Surabaya I" oleh Margo Utomo.

[9]

Keempat dokumen tata kelola keamanan diatas memiliki

persamaan komposisi dalam bentuk dan struktur dokumen

yaitu : Kebijakan, Prosedur, Instruksi, dan Formulir.

D. Pembuatan Template Tata Kelola Keamanan Informasi

Pengembangan template dokumen ini merupakan bagian

dari adopsi best practice yang dikeluarkan oleh Kementerian

Teknologi Informasi dan Komunikasi yang mengacu pada

ISO/IEC 27001:2005 dan COBIT 5. Dalam dokumen ini

dibagi menjadi tiga tingkatan yaitu

Tabel 3 Tingkatan Dokumen

No. Tingkat Jenis Dokumen

1. Tingkat 1 Panduan, Pedoman, dan Kebijakan, Standar

2. Tingkat 2 Prosedur, Petunjuk pelaksanaan,

3. Tingkat 3 Instruksi Kerja, Formulir, Template

1. Pedoman

Berikut ini adalah dokumen template pedoman :

Tabel 4 Dokumen Pedoman

Nomor Dokumen Nama Dokumen

PE-APO13-01 R00 Pendahuluan

PE-APO13-02 R00 Dasar Acuan

PE-APO13-03 R00 Tujuan

PE-APO13-04 R00 Ruang Lingkup

PE-APO13-05 R00 Proses Bisnis

PE-APO13-06 R00 Istilah dan Definisi

2. Panduan

Berikut ini adalah dokumen template dokumen panduan

Tabel 5 Dokumen Panduan

Nomor Dokumen Nama Dokumen

PA-APO13-01 R00 Mengelola Keamanan

3. Kebijakan

Berikut ini adalah dokumen template untuk kebijakan

Tabel 6 Dokumen Kebijakan

Nomor Dokumen Nama Dokumen

KE-APO13-01 R00 Membangun dan Memelihara SMKI

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)

5

KE-APO13-02 R00 Menentukan dan mengelola rencana

perlakuan risiko

KE-APO13-03 R00 Meninjau dan memantau SMKI

KE-APO13.01 R00 Kebijakan Umum SMKI

4. Pembuatan Prosedur

Berikut ini adalah dokumen prosedur

Tabel 7 Dokumen Prosedur Nomor Dokumen Nama Dokumen

PR-APO13.01 R00 Membangun dan Memelihara SMKI

PR-APO13.02 R00 Menentukan dan mengelola rencana

perlakuan risiko

PR-APO13.03 R00 Meninjau dan memantau SMKI

PR-ANNEX A Paket Prosedur Annex A*

*Yang tersedia hanya control fisik dan lingkungan

5. Instruksi

Berikut ini adalah template dokumen instruksi

Tabel 8 Dokumen Instruksi

Nomor Dokumen Nama Dokumen

IN-APO13.01.01 R00 Tindakan Detektif

IN-APO13.01.01 R00 Tindakan Detektif (Visio)

IN-APO13.01.02 R00 Tindakan Korektif

IN-APO13.01.02 R00 Tindakan Korektif (Visio)

IN-APO13.01.03 R00 Tindakan Preventif

IN-APO13.01.03 R00 Tindakan Preventif (Visio)

6. Formulir

Berikut ini adalah template dokumen formulir

Tabel 9 Dokumen Formulir

Nomor Dokumen Nama Dokumen

FM-APO13.01.01 Daftar Aset

FM-APO13.01.02 Rencana Managemen Komunikasi

FM-APO13.01.03 Persyaratan Bisnis dan Hukum

FM-APO13.01.04 Kriteria Risiko

FM-APO13.01.05 Metodologi Asesmen Risiko

FM-APO13.01.06 Kriteria Penerimaan Risiko

FM-APO13.01.07 Daftar Risiko

FM-APO13.01.08 Daftar Dampak Risiko

FM-APO13.01.09 Matriks Dampak dan Probabilitas Risiko

FM-APO13.01.10 Penilaian Dampak dan Probabilitas risiko

FM-APO13.01.11 Daftar Residual Resiko

FM-APO13.01.12 Rencana Manajemen Sumber Daya Manusia

FM-APO13.01.13 Pembelajaran Keamanan Informasi

FM-APO13.01.14 Rencana Tindakan Detektif

FM-APO13.01.15 Pengajuan Tindakan Pengendalian

FM-APO13.01.16 Rencana Tindakan Preventif

FM-APO13.01.17 Rencana Tindakan Korektif

FM-APO13.02.01 Daftar Perlakuan Risiko

FM-APO13.02.02 Daftar Sumber Daya

FM-APO13.02.03 Pernyataan Penyediaan Sumber Daya

FM-APO13.02.04 Sasaran Pengendalian Perlakuan Risiko

FM-APO13.02.05 Sumber Daya Pendanaan

FM-APO13.02.06 Peran dan Tanggung Jawab

FM-APO13.02.07 Rencana Manajemen Sumber Daya SMKI

FM-APO13.02.08 Rencana Pengukuran Efektifits Pengendalian

FM-APO13.03.01 Laporan Pendeteksian Penyimpangan

FM-APO13.03.02 Evaluasi Kegiatan Keamanan Informasi

FM-APO13.03.03 Laporan Berkala Peninjauan SMKI

FM-APO13.03.04 Checklist Persyaratan Keamanan

FM-APO13.03.05 Pengukuran Efektifitas Pengendalian

FM-APO13.03.06 Laporan Penerimaan Risiko

FM-APO13.03.07 Kejadian Eksternal

FM-APO13.03.08 Daftar Tim Audit

FM-APO13.03.09 Rekomendasi Peningkatan SMKI

FM-APO13.03.10 Temuan

Nomor Dokumen Nama Dokumen

FM-APO13.03.11 Rencana Realisasi Peningkatan SMKI

FM-ANNEX A Formulir Paket Annex A*

*Yang tersedia hanya control fisik dan lingkungan

7. Template

Berikut ini adalah template dokumen tata kelola keamanan

informasi Tabel 10 Dokumen Template

Nomor Dokumen Nama Dokumen

TE-APO13.01.01 Ruang Lingkup

TE-APO13.01.02 Kebijakan SMKI

TE-APO13.01.03 Inventori Aset Informasi

TE-APO13.01.04 Penilaian Risiko

TE-APO13.01.05 Proposal SMKI

TE-APO13.01.06 SoA (Statement of Applicability)

TE-APO13.01.07 Rencana Pengelolaan SMKI

TE-APO13.01.01 Rencana Perlakuan Resiko

TE-APO13.01.03 Rencana Program Pelatihan dan Kepedulian

TE-APO13.03.01 Panduan Audit SMKI

TE-APO13.03.02 Prosedur Internal Audit

TE-APO13.03.03 Audit Report

E. Pembuatan Buku Panduan Template Dokumen Tata

Kelola Keamanan Informasi

Pada tahap ini, template dokumen yang telah ada akan

dibuat panduan penggunaan template dokumen. Panduan ini

dikembangakan berdasarkan panduan buku dari Kementrian

Teknologi dan Informasi melalui tatanan dokumen

berdasarkan tingkatannya. Panduan ini berbentuk buku yang

memiliki komposisi sebagai berikut:

a. Pendahuluan

b. Panduan Umum

1. Petunjuk Pengisian Halaman Pengesahan

2. Petunjuk Pengisian Halaman Revisi

3. Petunjuk Pengisian Halaman Isi

4. Aturan Penomoran Dokumen

5. Pengecualian

c. Panduan Penyesuaian

1. Struktur Umum Organisasi Keamanan Inforamsi

2. Penyesuaian Organisasi Keamaman Informasi

d. Penutup

Dengan adanya buku panduan ini diharapkan template

dokumen tata kelola keamanan informasi ini dapat digunakan

pada organisasi dan perusahaan yang ingin menggunakan

template ini.

F. Evaluasi Template Dokumen Tata Kelola Keamanan

Informasi

F.1 Evaluasi Pemenuhan Template Dokumen Terhadap

Standart

Proses verifikasi dilakukan dengan evaluasi pemenuhan

template tata kelola keamanan informasi yang dibuat terhadap

standar ISO/IEC 27001:2005 yang patuh COBIT 5 APO13

Manage Security. Evaluasi ini dilakukan untuk memeriksa

apakah dokumen template tata kelola keamanan informasi

memenuhi prose dan aktivitas pengelolaan keamanan

informasi (yang sudah disesuaikan dengan ISO/IEC

27001:2005 dan COBIT 5) serta standar lainya yang terkait.

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)

6

Table 1 Checklist Mandatory Documents [10]

Nama Dokumen Status

ISMS Scope √

ISMS Statement √ Procedures supporting the ISMS √ Risk Assessment Methods √ Risk Assessment Report √ Risk Treatment Plan √ International Standard Records √ ISMS Operational Records √ Statement of Applicability √ Document Control Systems √ Management √ Prevention & Correction √ Company ISMS Audits √

F.2. Evaluasi Template dan Panduan Penggunaan terhadap

Referensi Tata Kelola Keamanan Inforamsi.

Evaluasi kedua merupakan checklist template terhadap

dokumen tata kelola keamanan informasi pada kontrol fisik

dan lingkungan pada KPPN II Surabaya. Dari hasil

penyesuaian organisasi keamanan informasi dan pembuatan

dokumen tata kelola berdasarkan template berikut ini checklist

pengakomodasian template terhadap dokumen :

Table 2 Checklist Pengakomodasian Template Tingkat

Dokumen Dokumen Tata Kelola Status

Tingkat 1 Kebijakan Umum Sistem Manajemen

Keamanan Informasi

Terakomodasi

Tingkat 1 SMKI-01 Kontrol Keamanan Fisik Dan

Lingkungan

Terakomodasi

Tingkat 2 Perimeter Keamanan Fisik Terakomodasi

Tingkat 2 Pengendalian Akses Masuk Terakomodasi

Tingkat 2 Mengamankan Kantor, Ruangan, Dan

Fasilitas

Terakomodasi

Tingkat 2 Perlindungan Terhadap Ancaman Ekternal Terakomodasi

Tingkat 2 Bekerja Di Area Yang Aman Terakomodasi

Tingkat 2 Area Akses Publik Dan Bongkar Muat Terakomodasi

Tingkat 2 Penempatan Dan Perlindungan Peralatan Terakomodasi

Tingkat 2 Sarana Pendukung Terakomodasi

Tingkat 2 Keamanan Kabel Terakomodasi

Tingkat 2 Pemeliharaan Peralatan Terakomodasi

Tingkat 2 Keamanan Peralatan Di Luar Lokasi Terakomodasi

Tingkat 2 Pembuangan Atau Penggunaan Kembali

Peralatan Secara Aman

Terakomodasi

Tingkat 2 Pemindahan Barang Terakomodasi

Tingkat 3 FM-01 – Buku Tamu Ruang Server Terakomodasi

Tingkat 3 FM-02 – Izin Akses Ruang Server Terakomodasi

Tingkat 3 FM-03 – Pemeliharaan Peralatan Terakomodasi

Tingkat 3 FM-04 – Catatan Back up Data Terakomodasi

Tingkat 3 FM-05 – Catatan Restore Data Terakomodasi

Tingkat 3 FM-06 – Berita Acara Pemindahan Barang Terakomodasi

IV. KESIMPULAN/RINGKASAN

Dari hasil proses pembuatan template dokumen ini dapat

diambil kesimpulan sebagai berikut.

1. Standar best practice ISO/IEC 27001:2005 hanya

berfokus pada proses implementasi SMKI

sedangkan COBIT 5 APO13 Manage Security

berorientasi pada proses bisnis dan tata kelola TI.

Untuk membuat dokumen tata kelola keamanan

informasi diperlukan proses pengelolaan yang

berorientasi proses bisnis serta berfokus pada

implementasi SMKI. Untuk itu, diperlukan

pemetaan antara ISO 27001:2005 dan COBIT 5

APO13 Manage Security. Hasil dari pemetaan

ISO/IEC 27001:2005 terhadap COBIT 5 APO13

Manage Security menunjukkan bahwa pemetaan ini

mampu melingkupi seluruh aktivitas proses

keamanan dan praktek kunci keamanan informasi,

tidak hanya pada aktivitas implementasi SMKI.

2. Dari menghasilkan proses pembuatan template

dokumen ini 2 produk yaitu template dokumen tata

kelola keamanan informasi dan buku panduan

penggunaan template.

3. Hasil checklist mandatory documents pada dua

standar yang digunakan yaitu COBIT 5 APO13

Manage Security dan ISO/IEC 27001:2005 dan

memenuhi output standar minimal dokumentasi

sesuai yang diisyaratkan pada kedua standart.

UCAPAN TERIMA KASIH

Penulis F.M mengucapkan terima kasih kepada Direktorat

Pendidikan Tinggi, Departemen Pendidikan dan Kebudayaan

Republik Indonesia yang telah memberikan dukungan finansial

melalui Beasiswa Bidik Misi tahun 2010-2014.

DAFTAR PUSTAKA

[1] ISACA, "isaca.org," COBIT 5 Information Security, [Online].

Available: http://www.isaca.org/CIO/Pages/CIO-Privacy-

Compliance.aspx. [Accessed 23 May 2014].

[2] Tempo, "www.tempo.co," Tempo, 25 Februari 2014. [Online].

Available:

http://www.tempo.co/read/news/2014/02/25/072557517/Perusahaan-

Indonesia-Abaikan-Sistem-Keamanan-IT. [Accessed 23 May 2014].

[3] A. Calder, Implementing Information Security based on ISO 27001/

ISO 27002 - A Management Guide, Zaltbommel: Van Haren

Publising, 2009.

[4] ISACA, "COBIT 5," in COBIT 5 Enabling Process, Rolling

Meadows, IL 6008 USA, ISACA, 2012, p. 230.

[5] ISO/IEC 27001:2005, "ISO/IEC 27001:2005," in Information

Security Management Systems (ISMS), Geneva, ISO, 2005, p. 52.

[6] R. Bareta and H. N. A. Ahmad , "Pembuatan Tata Kelola Keamanan

Informasi Kontrol Fisik dan Lingkungan Berbasis ISO/IEC

27001:2005 Pada Kantor Pelayanan Perbendaharaan Surabaya II,"

2013.

[7] M. H. Wahid, Pembuatan Tata Kelola Keamanan Informasi Kontrol

Komunikasi dan Operasional Pada Kantor Pelayanan dan

Perbendaharaan Negara Surabaya I, Surabaya: ITS, 2012.

[8] H. E. Swardarmana, Pembuatan Tata Kelola Keamanan Informasi

Kontrol Sumber Daya Manusia Pada Kantor Pelayanan dan

Perbendaharaan Negara Surabaya I, Surabaya: ITS, 2012.

[9] M. Utomo, Pembuatan Tata Kelola Keamanan Informasi Kontrol

Akses Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya

I, Surabaya : ITS, 2012.

[10] J. Gardiner, "Mandatory Document of ISO/IEC 27001:2005,"

December 2012. [Online]. Available: http://joegardiner.co.uk/iso-

27001-mandatory-documents/.