PERATURAN MENTERI PEMUDA DAN OLAHRAGA …kemenpora.go.id/pdf/Buku Bakuan Audit Keamanan...

PERATURANMENTERI PEMUDA DAN OLAHRAGA REPUBLIK INDONESIA

NOMOR 0251 TAHUN 2014

TENTANGBAKUAN AUDIT KEAMANAN INFORMASIKEMENTERIAN PEMUDA DAN OLAHRAGA

BUKU

BAKUAN AUDIT KEAMANAN INFORMASIKEMENTERIAN PEMUDA DAN OLAHRAGA

KEMENTERIAN PEMUDA DAN OLAHRAGATAHUN 2014

Bakuan Audit Keamanan InformasiKemenpora

Juli 2014

Bakuan Audit Keamanan Informasi KemenporaISBN : 978- 979- 1278 - 37-9Ukuran Buku :15,7 cm x 24 cmJumlah Halaman: 98 + xii

Penanggung JawabSriyono, SH.,MM

KetuaDrs. Nuristya Agus Lesmana

Tim PenyusunDr. rer. nat. I Made Wiryana, S.Kom, S.Si, MAppScAndreas Hadiyono, ST, MMSISutresna Wati, ST, MMSIMiftah Andriansyah, S.Si, MMSINurhasanah, S.SosAhmad Musawir, S.Si, M.SiWulan Asri Meidyasari, S.SiEsti Ananingsih, S.KomHealthoper Akbar, S.E

SekretariatYordania, Fergi Restya, Fetri Asnadi,Sanen Arafat, Umriansyah, Diah Ariyani,Riri Hardiyanti, Beni Setyawan, Faisal Ishak,Aditya Eko P, M. Rizky

Penyiapan DataKemenpora

Diterbitkan Oleh:Kementerian Pemuda dan OlahragaRepublik Indonesia

Boleh dikutip dengan menyebut sumbernya

Daftar IsiRingkasan Eksekutif vii

Kata Pengantar viii

Sambutan ix

1 Pendahuluan 11.1 Tujuan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Lingkup Penggunaan . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.3 Dasar Hukum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2 Konsep Keamanan Informasi 42.1 Konsep Dasar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.2 Siklus Hidup Keamanan Informasi . . . . . . . . . . . . . . . . . 52.3 Jenis-jenis Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.4 Faktor Keamanan Utama . . . . . . . . . . . . . . . . . . . . . . . . 7

2.4.1 Jaringan dan Koneksi Internet . . . . . . . . . . . . . . . 92.4.2 Faktor Manusia . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.4.3 Perawatan Sistem TI . . . . . . . . . . . . . . . . . . . . . . . 102.4.4 Penanganan Password dan Enksripsi . . . . . . . . . . 102.4.5 Perlindungan atas Bencana dan Kerusakan . . . . 11

3 Standar Sistem Manajemen Keamanan Informasi 123.1 ISO/IEC 27000ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133.2 SNI ISO/IEC 27001 - Persyaratan Sistem Manajemen

Keamanan Informasi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143.3 ISO/IEC 27002 – Code of Practice for ISMS . . . . . . . . . 163.4 ISO/IEC 27003 - Information Security Management

System Implementation Guidance . . . . . . . . . . . . . . . . . 173.5 ISO/IEC 27004 - Information Security Management Me-

asurement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.6 ISO/IEC27005 - Information Security Risk Management

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183.7 ISO/IEC 27006 - Prasyarat Badan Audit dan Sertifikasi. 18

ii

Bakuan Audit Keamanan Informasi Kemenpora iii

4 Dokumentasi Manajemen Keamanan Informasi 194.1 Struktur Dokumentasi . . . . . . . . . . . . . . . . . . . . . . . . . . 194.2 Dokumentasi Tingkat 1 . . . . . . . . . . . . . . . . . . . . . . . . . 204.3 Dokumentasi Tingkat 2 . . . . . . . . . . . . . . . . . . . . . . . . . 204.4 Dokumentasi Tingkat 3 . . . . . . . . . . . . . . . . . . . . . . . . . 21

5 Audit Keamanan Informasi 275.1 Penilaian Resiko Keamanan . . . . . . . . . . . . . . . . . . . . . 275.2 Tujuan Audit Keamanan . . . . . . . . . . . . . . . . . . . . . . . . 285.3 Saat dan Kekerapan Audit . . . . . . . . . . . . . . . . . . . . . . . 295.4 Tahapan Audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

5.4.1 Perencanaan . . . . . . . . . . . . . . . . . . . . . . . . . . . 305.4.2 Pengumpulan Data Audit . . . . . . . . . . . . . . . . . . 335.4.3 Pengujian Audit . . . . . . . . . . . . . . . . . . . . . . . . . . 345.4.4 Pelaporan Hasil Audit . . . . . . . . . . . . . . . . . . . . . 345.4.5 Perlindungan Data dan Perangkat Audit . . . . . . . 355.4.6 Penambahan dan Tindak Lanjut . . . . . . . . . . . . . . 35

6 Pelaksanaan Audit IS 366.1 Persetujuan Pimpinan dan Penetapan Organisasi . . . . . 366.2 Pembagian Tanggung Jawab . . . . . . . . . . . . . . . . . . . . . 37

6.2.1 Siklus Audit IS . . . . . . . . . . . . . . . . . . . . . . . . . . . 396.2.2 Pengawasan Audit IS . . . . . . . . . . . . . . . . . . . . . 396.2.3 Tim Audit IS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396.2.4 Struktur Keamanan Informasi suatu Organisasi . . 416.2.5 Evaluasi Audit IS . . . . . . . . . . . . . . . . . . . . . . . . . 41

6.3 Mendefinisikan Cakupan (Ruang Lingkup) . . . . . . . . . . 446.4 Teknik Audit IS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456.5 Melakukan Analisis Kesenjangan (Gap Analysis) . . . . . 466.6 Penilaian Resiko dan Rencana Penilaian Resiko . . . . . 466.7 Menetapkan Kontrol dan Sasaran Kontrol . . . . . . . . . . 476.8 Menetapkan Kebijakan dan Prosedur Audit SMKI . . . . 476.9 Sosialisasi dan Pelatihan . . . . . . . . . . . . . . . . . . . . . . . 476.10 Menerapkan Kebijakan dan Prosedur . . . . . . . . . . . . . . 496.11 Mengukur Efektivitas Kendali . . . . . . . . . . . . . . . . . . . . . 50

7 Level Keamanan Informasi 52

Bakuan Audit Keamanan Informasi Kemenpora iv

8 Sumber Daya Manusia Tim Audit 558.1 Etika Profesi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558.2 Tanggung Jawab Klien . . . . . . . . . . . . . . . . . . . . . . . . . 568.3 Tanggung Jawab Auditor SI . . . . . . . . . . . . . . . . . . . . . 57

9 Bakuan Pelaksanaan Audit Keamanan Informasi 599.1 Langkah 1 - Persiapan Audit IS . . . . . . . . . . . . . . . . . . 619.2 Langkah 2 - Implementasi audit . . . . . . . . . . . . . . . . . . 639.3 Langkah 3 - Audit Operasional . . . . . . . . . . . . . . . . . . 649.4 Langkah 4 - Audit Infrastruktur . . . . . . . . . . . . . . . . . . 659.5 Langkah 5 - Evaluasi Audit On-site . . . . . . . . . . . . . . . 679.6 Langkah 6 - Laporan Audit . . . . . . . . . . . . . . . . . . . . . . 67

10 Tindak Lanjut Audit 7110.1 Pengawasan dan Tindak Lanjut . . . . . . . . . . . . . . . . . . 7310.2 Identifikasi Rekomendasi dan Perencanaan . . . . . . . . 7310.3 Status Aksi dan Kemajuan . . . . . . . . . . . . . . . . . . . . . . 74

11 Pengujian dan Latihan 7611.1 Jenis Uji dan Latihan . . . . . . . . . . . . . . . . . . . . . . . . . . . 7711.2 Dokumen Latihan dan Pengujian . . . . . . . . . . . . . . . . . 7911.3 Melaksanakan Pengujian dan Latihan . . . . . . . . . . . . . . 83

12 Indeks KAMI 85

13 Penutup 89

Daftar Gambar2.1 Proses Iteratif dari Manajemen Keamanan Informasi . . . . . 6

3.1 Relasi antar keluarga standar SMKI . . . . . . . . . . . . . . . . . 13

4.1 Struktur Organisasi Dokumentasi SMKI . . . . . . . . . . . . . . 19

5.1 Dokumen keamanan TI dalam pemerintahan . . . . . . . . . . 285.2 Diagram Tahapan Umum Audit . . . . . . . . . . . . . . . . . . . . 31

6.1 Fase prosedur audit IS dari sudut pandang organisasi . . . 386.2 Kinerja audit IS dari sudut pandang organisasi . . . . . . . . 406.3 Struktur Keamanan Informasi: Organisasi Besar . . . . . . . 426.4 Struktur Keamanan Informasi: Organisasi Sedang . . . . . . 426.5 Struktur Keamanan Informasi: Organisasi Kecil . . . . . . . 436.6 Empat prinsip dasar dalam evaluasi . . . . . . . . . . . . . . . . 43

9.1 Langkah Pelaksanaan Audit IS . . . . . . . . . . . . . . . . . . . . 60

10.1 Tindak Lanjut atas Rekomendasi yang diberikan . . . . . . 72

v

Daftar Tabel3.1 Peta PDCA dalam proses SMKI . . . . . . . . . . . . . . . . . . 15

4.1 Cakupan dokumen tingkat 1 (Prosedur) . . . . . . . . . . . . 224.2 Cakupan dokumen tingkat 1 (Prosedur) . . . . . . . . . . . . 234.3 Cakupan dokumen tingkat 1 (Prosedur) . . . . . . . . . . . . 244.4 Cakupan dokumen tingkat 2a (Kebijakan) . . . . . . . . . . . 254.5 Cakupan dokumen tingkat 2b (Kebijakan) . . . . . . . . . . . 26

6.1 Nilai standar untuk pengeluaran personil suatu audit IS . 416.2 Contoh Sasaran Keamanan Informasi . . . . . . . . . . . . . . 486.3 Pengukuran Ketercapaian Keamanan Informasi . . . . . . 51

9.1 Waktu Relatif yang diperlukan pada setiap langkah pa-da pelaksanaan audit IS . . . . . . . . . . . . . . . . . . . . . . . . . 61

9.2 Visualisasi Warna Penekanan atas Kelemahan Keamanan 68

11.1 Jenis Latihan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7911.2 Contoh Skrip Latihan . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

12.1 Kelengkapan Dokumen SMKI (1) . . . . . . . . . . . . . . . . . . 8612.2 Kelengkapan Dokumen SMKI (2) . . . . . . . . . . . . . . . . . . 87

vi

Ringkasan EksekutifAudit keamanan informasi (IS) atau penilaian resiko keamanan infor-masi merupakan komponen utama dalam Sistem Manajemen Kea-manan Informasi (SMKI), walaupun tidak mencakup semua elemendalam SMKI. Dalam buku ini diberikan model gambaran umum me-ngenai audit keamanan informasi dan penilaian resiko keamanan in-formasi.

Melalui pengenalan model ini, diharapkan pihak yang terlibat da-lamkeamanan sistem dan teknologi informasi seperti manajemen ting-katpuncak, manajer, petugas/staf teknologi informasi, administrator sistemdan pihak yang bertanggung jawab dapat lebih memahami so-alkeamanan informasi, mulai dari perencanaan hingga evaluasi ke-amanan informasi. Audit keamanan informasi merupakan salah satufase/proses yang harus dilakukan oleh organisasi/institusi untuk men-deteksi adanya kesalahan, deviasi, atau kerusakan dalam SMKI orga-nisasi agara pelaksanaan sistem teknologi informasi dalam organisasidapat berjalan aman, efektif dan efisien.

Panduan ini mengadopsi metode, teknologi, cakupan dan do-kumentasi dasar yang harus ada mulai skala minimal hingga skalapenuh. Panduan ini dibuat untuk acuan umum di lingkungan Kemen-terian Pemuda dan Olahraga yang memiliki sistem informasi yangtersebar dan yang sebagian saling terkoneksi di tingkat kantor pusat dankantor daerah. Pelaksanaan audit di lingkungan Kemenpora dapatmenggunakan panduan ini sebagai dokumen referensi atau rujukanmulai dari tahap perencanaan hingga evaluasi dan dokumentasi. Untukmencapai level SMKI yang baik, maka diharapkan keterlibatan semuapihak untuk secara bertanggung jawab melaksanaan audit keamananinformasi sesuai dengan panduan ini.

Jakarta, Juli 2014

Tim PenyusunKementerian Pemuda dan Olahraga

vii

Kata PengantarPengelolaan Teknologi Informasi dan Komunikasi yang baik akanmendorong hadir dan terwujudnya good governance. Metodologi dantata kelola yang baik merupakan suatu prasyarat yang menjadikewajiban dalam pengelolaan sebuah sistem yang baik. Dengan tatakelola yang baik, maka sistem informasi yang accountable sertasustainable dapat tercapai bagi badan pemerintah dan dapatmemberikan manfaat kepada publik seluas-luasnya.

Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK)saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi pe-nyelenggara pelayanan publik. Hal ini disebabkan oleh peran TIKyang semakin penting bagi upaya peningkatan kualitas layanansebagai sa-lah satu realisasi dari tata kelola pemerintahan yang baik(Good Corporate Governance). Dalam penyelenggaraan tata kelolaTIK, faktor keamanan informasi merupakan aspek yang sangatpenting diperhatikan mengingat kinerja tata kelola TIK akanterganggu jika informasi sebagai salah satu objek utama tata kelolaTIK mengalami masalah keamanan informasi yang menyangkutkerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan(availability). untuk mempermudah kegiatan penilaian mandiri (selfassessment) tentang kondisi keamanan informasi, maka perluditerbitkan Panduan Bakuan Audit Keamanan Informasi Kemenpora.

Panduan ini akan direvisi sesuai kebutuhan dan tingkat kema-tangan penerapan tata kelola keamanan informasi di lingkunganKemenpora baik di tingkat pusat maupun di tingkat/kantor daerah.

Jakarta, Juli 2014Kepala Biro Humas, Hukum danKepegawaian,

Sriyono, SH.,MM

viii

SambutanSebagai lembaga negara yang memiliki keinginan untuk menuju tatakelola pemerintahan yang sesuai dengan konsep good governance,Kementerian Pemuda dan Olahraga berusaha mengikuti good practiceyang ada dalam semua sisi pengelolaannya, tidak terkecuali dalampengelolaan Teknologi Informasi dan Komunikasi. Pemanfaatan Tek-nologi Informasi dan Komunikasi (TIK) diyakini dapat memungkinkanterlaksananya prinsip-prinsip good governance secara lebih baik.

Portal Kemenpora yang telah beroperasi lebih dari dua tahun inidengan berita mengenai kegiatan di lingkungan Kemenpora serta ke-giatan kepemudaan dan keolahragaan, merupakan salah satu upa-yamenuju hal tersebut. Pemberitaan di portal Kemenpora selain untukmempresentasikan kinerja Kemenpora juga di maksudkan sebagai salahsatu bentuk pertanggungjawaban langsung kepada publik, menyangkutkegiatan-kegiatan telah, sedang dan akan berlangsung.

Pemanfaatan TIK yang baik pada suatu lingkungan kementerianmembutuhkan beberapa persyaratan yang perlu dipenuhi, seperti ke-percayaan (trust), akuntabilitas yang terukur serta keamanan. Untukmemenuhi hal tersebut, maka disusun panduan ini agar kegiatan me-nyangkut TIK dapat memenuhi kaidah-kaidah audit sistem yang baik.

Dengan telah selesainya penyusunan Panduan ini. Kami meng-ucapkan selamat kepada Biro Hukum, Humas, dan Kepegawaian,khususnya bagian Sistem Informasi, yang telah bekerja keras danserius. Ucapan terima kasih dan penghargaan juga kami sampaikankepada secara pihak yang telah membantu dan memberikan ma-sukan, saran dan gagasan sehingga Panduan yang baru pertamakali di terbitkan oleh Kementerian Pemuda dan Olahraga ini dapatdiselesaikan dengan baik. Langkah berikutnya adalah sosialisasibagi seluruh pemangku kepentingan di Kementerian Pemuda danOlahraga agar maksud dari tujuan pembuatan Panduan ini dapattercapai.

Jakarta, Juli 2014Sekretaris Kementerian Pemuda dan Olahraga

Dr.H. Alfitra Salamm, APU

ix

1Pendahuluan

Pada saat ini sebagian besar proses pengelolaan adminsistrasi di bad-an pemerintah telah mulai menggunakan sistem elektronik yang me-nyimpan begitu besar informasi secara digital dan menggunakan jaluratau jaringan teknologi informasi dalam berkomunikasi. Dengan katalain, kegiatan bisnis, administrasi, dan publik bergantung pada tekno-logiinformasi apa yang digunakannya. Oleh karena itu, suatu hal yangpenting untuk memahami dan mengimplementasikan keamanan infor-masi pada sistem informasi yang digunakannnya, baik untuk kalanganorganisasi bisnis/swasta maupun instansi pemerintahan.

Penerapan keamanan informasi dimaksudkan untuk mengatasise-gala masalah dan kendala baik secara teknis maupun non-teknisse-perti faktor ketersediaan (availability), kerahasiaan(confidentiality), dan kesatuan (integrity). Audit keamanan informasimerupakan ba-gian dari setiap manajemen keamanan informasiyang sukses. Audit keamanan informasi merupakan suatu alat atauperangkat dalam me-nentukan, mendapatkan, dan mengelola setiaplevel keamanan dalam suatu organisasi.

1.1 Tujuan

Tujuan utama dari penyusunan panduan audit keamanan informasi(selanjutnya ditulis audit IS. IS: Information Security) adalah membe-rikan panduan pengelolaan, menyediakan manajemen, dan khusus-nya bagi petugas keamanan TI (Teknologi Informasi) sebagai pihak

1

Bakuan Audit Keamanan Informasi Kemenpora 2

yang mendukung implementasi dan optimasi keamanan informasi. AuditIS dimaksudkan untuk meningkatkan tingkat/level keamanan

informasi, mencegah rancangan keamanan informasi yang tidak layak,dan mengoptimalkan efisiensi benteng keamanan, dan proses kea-manan informasi itu sendiri. Audit ini akan memastikan atau menjaminberjalannya proses operasional, reputasi dan aset suatu organisasi.

Hasil dari audit IS adalah tersusunnya dokumen laporan audityang terkait pada keamanan teknologi informasi yang digunakan diling-kungan organisasi tersebut.

1.2 Lingkup Penggunaan

Penggunaan panduan ini bersifat umum, dalam arti semua petugasyang bertanggungjawab dalam pelaksanaan terkait keamanan infor-masi dapat menggunakannya. Di lingkungan Kementerian Pemudadan Olahraga yang memiliki kantor pusat dan kantor daerah dapatmenggunakan panduan ini agar tiga kriteria ujian keamananinformasi dapat ditempuh dengan optimal. Area penggunaandibedakan men-jadi dua menurut geografis dan tingkatannya yaitukantor pusat dan kantor daerah.

1.3 Dasar HukumDi dalam menuliskan panduan ini maka beberapa aturan digunakansebagai dasar hukum yaitu:

• Undang-Undang Republik Indonesia No. 11 Tahun 2008.Undang-Undang mengenai Informasi dan Transaksi Elektronik(UUITE) adalah ketentuan yang berlaku untuk setiap orang yangmelakukan perbuatan hukum sebagaimana diatur dalam Undang-Undang ini, baik yang berada di wilayah hukum Indo-nesiamaupun di luar wilayah hukum Indonesia, yang memili-ki akibathukum di wilayah hukum Indonesia dan/atau di luar wilayah hukumIndonesia dan merugikan kepentingan Indone-sia. Undang-Undang Informasi dan Transaksi Elektronik (UUI-TE) mengaturberbagai perlindungan hukum atas kegiatan yang memanfaatkaninternet sebagai medianya, baik transaksi mau-pun pemanfaataninformasinya. Pada UUITE ini juga diatur ber-bagai ancamanhukuman bagi kejahatan melalui internet. UU-


ITE mengakomodir kebutuhan para pelaku kegiatan di internetdan masyarakat pada umumnya guna mendapatkan kepastianhukum, dengan diakuinya bukti elektronik dan tanda tangan di-gital sebagai bukti yang sah di pengadilan.

• Undang-Undang Republik Indonesia No. 14 tahun 2008,ten-tang Keterbukaan Informasi Publik adalah salah satuproduk hu-kum Indonesia yang dikeluarkan dalam tahun 2008dan diun-dangkan pada tanggal 30 April 2008 dan mulaiberlaku dua ta-hun setelah diundangkan. Undang-undang yangterdiri dari 64 pasal ini pada intinya memberikan kewajibankepada setiap Bad-an Publik untuk membuka akses bagisetiap pemohon informasi publik untuk mendapatkan informasipublik, kecuali beberapa in-formasi tertentu.

• Standard Nasional Indonesia ISO/IEC 27001:2009. Standa-rd Nasional Indonesia ini merupakan pengadopsian standardISO/IEC 27001:2009 mengenai Sistem manajemen keamananinformasi. Pengelolaan serta kegiatan audit di Indonesia seba-iknya mengacu pada standard nasional ini.

• Surat Edaran Menteri Komunikasi dan Informatika. No.05/SE/M.KOMINFO/07/2001, tentang Penerapan Tata KelolaKeamanan Informasi bagi Penyelenggara Pelayanan Publik. Se-bagai upaya meningkatkan kualitas dan menjamin penyediaanpelayanan publik yang sesuai dengan tata kelola pemerintah-andan korporasi yang baik, khususnya pengelolaan informasi yangmenggunakan Sistem Elektronik, maka setiap Penyeleng-garaPelayanan Publik harus menerapkan Tata Kelola Keaman-anInformasi secara andal dan aman serta bertanggung jawab sesuaidengan ketentuan Pasal 15 Undang-Undang Nomor 11 Tahun2008 tentang Informasi dan Transaksi Elektronik.

Penyelenggara Pelayanan Publik adalah setiap institusi penyelenggaranegara, korporasi, lembaga independen yang dibentuk berdasarkanUndang-Undang untuk kegiatan pelayanan publik, dan badan hukum lainyang dibentuk semata-mata untuk kegiatan pelayanan publik

2Konsep Keamanan Informasi

2.1 Konsep Dasar

Terdapat tiga kriteria mendasar dari keamanan teknologi informasi:

Kerahasiaan (confidentiality). Informasi bersifat rahasia dan harusdilindungi terhadap keterbukaan dari yang tidak berhak atauber-kepentingan.

Ketersediaan (availability). Layanan, fungsi sistem teknologi infor-masi, data dan informasi harus tersedia bagi penggunaa saatdiperlukan

Integritas (integrity). Data harus komplit dan tidak diubah. Dalamteknologi informasi, kata ”informasi” terkait dengan ”data”. Hila-ngya integritas informasi berarti data tersebut telah tanpa ada-nya ijin atau ilegal.

Sedangkan untuk penggunaan Sistem Informasi yang terkait padasuatu keamananan negara. Biasanya ditambahkan kriteria tambahan(biasa diterapkan di negara Uni Eropa). Kriteria tersebut adalah:

Ketidakbergantungan (independency). Suatu sistem yang amandalam pengoperasian dan perawatannya tidak bolehbergantung pada entitas luar. Ketika suatu badan pemerintahbergantung pada entitas luar (apalagi perusahaan/organisasiluar negeri), maka badan tersebut menjadi tidak aman.

4


Adapun istilah lainnya terkait keamanan informasi seperti:

Autentikasi. Pada saat seseorang log in ke dalam sistem, sistemter-sebut akan menjalakan pemeriksaan proses autentikasiuntuk memverifikasi identitas orang tersebut.

Autorisasi. Merupakan proses pemeriksaan apakah seseorang,komponen TI atau aplikasi diberikan otoritas/ijin untukmenjalan aksi tertentu.

Perlindungan data. Merujuk pada perlindungan data personal terha-dap penyalahgunaan dari pihak ketiga

Keamanan data. Merujuk pada perlindungan data terkait dengan ke-butuhan atas kerahasiaan, ketersediaan dan integritas.

Cadangan Pendukung (Backup) Data. Melibatkan tindasan ataucopy dari data yang ada untuk mencegah kehilangan atau ke-rusakan data aslinya/utama.

Pengujian penetrasi. Pengujian dengan mensimulasikan seranganterhadapa sistem TI. Digunakan untuk menguji efisiensi perlin-dungan keamanan (safeguards) yang ada.

Penilaian atau Analisis Resiko: Menyediakan informasi atas proba-bilitas dari kejadian kerusukaan dan konsekuensi negatif darike-rusakan.

Kebijakan Keamanan: Dalam kebijakan keamanan, tujuan dari kea-manan diformulasikan sesuai dengan kebijakkkan masing ma-sing institusi baik swasta maupun pemerintah.

2.2 Siklus Hidup Keamanan Informasi

Manajemen Keamanan Informasi dapat dijelaskan dalam bentuksiklus hidup yang memiliki proses iteratif yang diperlukan dalampengawasan dan pengendalian. Setiap proses terdiri dari aktifitasyang berbeda sebagaimana pada Gambar 2.1.


Gambar 2.1: Proses Iteratif dari Manajemen Keamanan Informasi

Penilaian resiko keamanan informasi merupakan langkah awalun-tuk mengevaluasi dan mengidentifikasi resiko dan konsekuensiyang terkait keringkihan (vulnerabilitas), dan untuk menyediakanbahan ba-gi manajemen untuk menetapkan program keamanan yangberbiaya efektif.

2.3 Jenis-jenis Audit

Tujuan utama dari audit teknologi informasi (audit TI) awalnya untukmemeriksa sistem akuntansi berdaya dukung TI. Sudut pandang ter-sebut tidak dapat diterapkan lagi secara maksimal, karenasebagaima-na diketahui kebanyakan sistem yang sekarang sudahterkoneksi kuat dalam banyak jaringan dan tingkat ketergantunganyang tinggi anatara sistem dengan proses bisnis.

Oleh karena itu, seluruh infrastruktur TI suatu organisasi akan di-periksa manakala menjalankan proses audit TI atau audit IS. Dalamaudit TI, selalu diperhatikan tiga kriteria pengujian utama yaitu:

• efisiensi.

• keamanan.

• kebenarannya.


Perbandingan yang mencolok antara audit TI dengan audit IS adalahmerupakan kegiatan audit gaya baru, yang menekankan pada peme-riksaan menyeluruh akan keamanan informasi. Hal tersebut dimak-sudkan bahwa pada setiap level atau tingkatan, mulai dari pemba-ngunan keamanan informasi suatu organisasi, sampai faktor manu-sia/personil akan diperiksa dan diuji dengan ketat. Dua kriteria, yakniefisiensi dan kebenaran akan diperiksa pada urutan selanjutnyasete-lah kriteria keamanan.

2.4 Faktor Keamanan UtamaAda 7 (tujuh) faktor perlindungan keamanan utama yang perlu diper-timbangkan:

• Pendekatan sistematik atas keamanan TI

• Keamanan sistem TI

• Jaringan dan koneksi internet

• Faktor manusia

• Perawatan sistem TI: penanganan atas update yang relevande-ngan keamanan

• Penggunaan mekanisme keamanan: penanganan passworddan eksripsi

• Perlindungan atas bencana dan kerusakan oleh elemen-elemen

Adapun dalam masing masing tujuh faktor tersebut dijelaskanlangkah-langkah yang harus/tidak perlu dijalankan dalam penerapankeaman-an utama. Secara sistematik beberapa hal harus perludipertimbang-kan:

• Aspek keamanan TI harus dipertimbangkan secara jelas diawal semua proyek

• Perlu dipertimbangkan pendekatan solusi alternatif, ketikaketer-batasan sumber daya

• Tujuan keamanan TI dalam rangka pendefinisian safeguardha-rus dispesifikasikan.


• Perlu dilakukan kontrol yang baik untuk setiap tujuankeamanan dan safeguard yang sesuai dengannya

• Rencana aksi harus memiliki prioritas yang jelas, sebagaimanaharus adanya tujuan keamanan dan safeguards

• Beberapa prasyarat celah keamanan yang harus dihindari.

• Tanggung jawab harus didefinisikan.

• Adanya kebijakkan keamanan dan tanggung jawab harus dike-tahui.

• Keamanan TI harus diperiksa secara reguler.

• Rutinitas kerja yang ada dan kebijakan keamanan untuk menja-min kesesuaian dan efisiensi perlu diperiksa secara reguler.

• Manajemen keamanan yang penuh, dalam jangka panjangperlu direncanakan.

• Dokumentasi kebijakkan keamanan dalam konsep keamananharus ada.

Di dalam menyediakan perlindungan keamanan sistem TI, beberapahal harus dipertimbangkan, yaitu:

• Mekanisme perlindungan keamanan yang ada harus digunakan.

• Perangkat lunak anti virus dalam organisasi TI harus digunakan.

• Kemungkinan akses data untuk kebutuhan level yang minimumharus dibatasi.

• Peran dan profil ke semua pengguna sistem harus ditunjuk.

• Previlages administrator harus dibatasi untuk ke hal yang lebihpenting

• Program privilages harus dibatasi.

• Setting/aturan standar dari pabrik perangkat keras/lunak harusdilakukan modifikasi secukupnya

• Dokumentasi produk dan manual harus dibaca.

• Dokumentasi sistem dan rincian instalasi harus dibuat dan di-perbaharui.


2.4.1 Jaringan dan Koneksi InternetJaringan dan koneksi Internet, saat ini sudah tidak terpisahkan seba-gai bagian dari suatu pemanfaatan Teknologi Informasi di badan pe-merintah. Untuk itu beberapa hal terkait dengan jaringan perlu diper-hatikan, antara lain:

• Firewall keamanan harus memenuhi kebutuhan minimumterten-tu yang ditetapkan

• Data yang diberikan untuk pihak luar harus dibatasi hingga ketingkat minimum.

• Fungsionalitas program dan layanan yang diberikan untukpihak luar harus dibatasi hingga ke tingkat minimum

• Tidak diperbolehkan aksi yang beresiko, terutama terkaitdengan penanganan web browser

• Perlu dilatihnya peringatan tertentu terkait dengan attachmente-mail untuk mencegah masuknya malware lewat email.

• Stand-alone PC digunakan untuk selancar internet merupakansolusi berbiaya ringan untuk kebanyakkan masalah keamananterkait internet.

2.4.2 Faktor ManusiaManusia merupakan titik terlemah dalam kaitannya dengan keamanansistem. Untuk itu faktor manusia harus menjadi perhatian utama di dalampengelolaan sistem. Beberapa hal perlu diperhatikan:

• Kebutuhan dan kebijakkan keamanan harus diikuti dengan baikdan benar

• Perlu adanya keketatan dan keteraturan pada ruang kerja dantidak informasi bersifdat sensitif tidak dengan mudah dapat di-akses

• Pencegahan khusus harus diambil dalam kasus perawatan danperbaikan kerja

• Perlu adanya pelatihan teratur bagi staff


• Perlu adanya penilaian mandiri yang jujur dan untuk beberapahal perlu mengundang pakar untuk saran dan perbaikan

• Perlu adanya audit untuk semua tujuan keamanan

• Konsekusensi dari peretasan keamanan harus spesifik dan di-publikasikan

• Peretasan keamanan yang terdeteksi harus diberikan reaksi

2.4.3 Perawatan Sistem TIPerawatan TI tidak saja terkait pada perawatan rutin untuk perangkatkeras dan jaringan saja. Tetapi juga meliputi perangkat lunak yangdikenal dengan istilah melalukan ”patching” (penambalan) secara ru-tin. Pada dasarnya keamanan adalah suatu proses, bukanlah suatuproduk. Jadi suatu sistem yang setelah diinstal dengan baik danmen-jadi aman, maka tidak dapat selalu menjadi aman bila tidakdilakukan perawatan, penambalan, dan pengkinian yang dibutuhkan.

Untuk itu beberapa hal perlu diperhatikan pada saat menentukanstategi perawatan dalam upaya menjaga keamanan sistem adalahse-bagai berikut:

• Update keamanan harus diinstal secara reguler

• Penelitian rinci harus dilakukan pada periode reguler pada ka-rakteristik keamanan dari perangkat lunak yang digunakan

• Perlu adanya rencana aksi untuk menginstal setiap updatekea-manan

• Perlu pengujian pada pengubahan perangkat lunak

2.4.4 Penanganan Password dan EnksripsiSalah satu penggunaan mekanisme keamanan minimal saat ini adalahpassword dan enkripsi. Dalam pengelolaan Access Control kepadasumber daya sistem informasi, maka pengguna wajib menggunakanpassword dan enkripsi. Hal ini bertujuan untuk mengontrol sehinggasistem hanya dapat diakses oleh mereka yang berhak saja. Sedangk-anmereka yang tak berhak tak dapat mengakses sistem.

Penggunaan password dan enkripsi harus mempertimbangkanhal berikut ini:


• Perlu dipilihnya secara selektif atas mekanisme keamanan

• Password harus dipilih secara aman

• Password blank atau password bawaan awal harus diganti

• Workstation harus tetap aman walau tanpa kehadirannyapeng-guna dengan screen saver terproteksi password

• Perlu perlindungan atas data dan sistem yang sensitif

2.4.5 Perlindungan atas Bencana dan KerusakanSebaik-baiknya instalasi sistem telah direncanakan dan diimplementa-sikan, tetapi sebagai pengelola sistem harus mempertimbangkan ke-mungkinan terburuk yang terjadi. Sebagai contoh beberapa pertim-bangan yang perlu dilakukan terhadap terjadinya bencana adalah:

• Perlu dibuatnya daftar periksa darurat (emergency checklist)dan setiap pengguna harus terbiasa dengannya

• Perlu adanya backup reguler untuk semua data penting

• Perlu adanya perlindungan yang baik dari api, panasberlebihan, kerusakan karena air dan listrik terhadap sistem TI

• Perlu diterapkannya perlindungan anti penerobos dan perlin-dungan terhadap akses yang ilegal

• Perlu dicatat dalam daftar inventaris semua perangkat kerasdan perangkat lunak.

3Standar Sistem Manajemen

Keamanan InformasiSejak tahun 2005, International Organization for Standardization(ISO)atau Organisasi Internasional untuk Standarisasi telah mengembang-kansejumlah standar tentang Information Security Management Sys-tems(ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) ba-ikdalam bentuk persyaratan maupun panduan.

Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO27000 yang terdiri dari:

• ISO/IEC 27000:2009 – ISMS Overview and Vocabulary

• ISO/IEC 27001:2005 – ISMS Requirements

• ISO/IEC 27002:2005– Code of Practice for ISMS

• ISO/IEC 27003:2010 – ISMS Implementation Guidance

• ISO/IEC 27004:2009 – ISMS Measurements

• ISO/IEC 27005:2008 – Information Security Risk Management

• ISO/IEC 27006: 2007 – ISMS Certification Body Requirements

• ISO/IEC 27007 – Guidelines for ISMS Auditing

Dari standar seri ISO 27000 ini, hingga September 2011, baru ISO/IEC27001:2005 yang telah diadopsi Badan Standarisasi Nasional (BSN)

12


Gambar 3.1: Relasi antar keluarga standar SMKI

sebagai Standar Nasional Indonesia (SNI) berbahasa Indonesia ber-nomor SNI ISO/IEC 27001:2009. Catatan: angka di belakang tandatitik dua (:) menunjukkan tahun terbit.

3.1 ISO/IEC 27000ISMS

Standar ini dirilis tahun 2009, memuat prinsip-prinsip dasar Informa-tion Security Management Systems(Sistem Manajemen KeamananIn-formasi – SMKI), definisi sejumlah istilah penting dan hubunganantar standar dalam keluarga SMKI, baik yang telah diterbitkanmaupun se-dang dalam tahap pengembangan. Hubungan antarstandar keluarga ISO 27000 dapat dilihat pada Gambar 3.1.


3.2 SNI ISO/IEC 27001 - Persyaratan SistemManajemen Keamanan Informasi

SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakanversi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi ataupersyarat-an yang harus dipenuhi dalam membangun SistemManajemen Kea-manan Informasi (SMKI).

Standar ini bersifat independen terhadap produk teknologi infor-masi, mensyaratkan penggunaan pendekatan manajemen berbasisri-siko, dan dirancang untuk menjamin agar kontrol-kontrolkeamanan yang dipilih mampu melindungi aset informasi dariberbagai risiko dan memberi keyakinan tingkat keamanan bagi pihakyang berkepenting-an.

Standar ini dikembangkan dengan pendekatan proses sebagaisuatu model bagi penetapan, penerapan, pengoperasian, pemantau-an, tinjau ulang (review), pemeliharaan dan peningkatan suatu SMKI.Pendekatan proses mendorong pengguna menekankan pentingnya:

• Pemahaman persyaratan keamanan informasi organisasi dankebutuhan terhadap kebijakan serta sasaran keamananinforma-si

• Penerapan dan pengoperasian kontrol untuk mengelola risikokeamanan informasi dalam konteks risiko bisnis organisasi se-cara keseluruhan

• Pemantauan dan tinjau ulang kinerja dan efektivitas SMKI, dan

• Peningkatan berkelanjutan berdasarkan pada pengukuran ting-kat ketercapaian sasaran

Model PLAN – DO – CHECK – ACT (PDCA) diterapkan terhadapstruktur keseluruhan proses SMKI. Dalam model PDCA, keseluruhanproses SMKI dapat dipetakan seperti Tabel 3.1.

Standar menyatakan persyaratan utama yang harus dipenuhi me-nyangkut:

• Sistem manajemen keamanan informasi (kerangka kerja,proses dan dokumentasi)

• Tanggung jawab manajemen

• Audit internal SMKI


Tabel 3.1: Peta PDCA dalam proses SMKIPLAN (Menetapkan SMKI) Menetapkan kebijakan SMKI, sasaran,

proses dan prosedur yang relevan untukmengelola resiko dan meningkatkankeamanan informasi agar memberikanhasil sesuai dengan keseluruhankebijakan dari sasaran

DO (menerapkan dan Menetapkan dan mengoperasikanmengoperasikan SMKI kebijakan SMKICHECK (memantau dan Mengkaji dan mengukur kinerja prosesmelakukan tinjau ulang terhadap kebijakan, sasaran,SMKI) praktek-praktek dalam menjalankan SMKI

dan melaporkan hasilnya kepadamanajemen untuk ditinjau efektivitasnya

ACT (memelihara dan Melakukan tindakan perbaikan danmeningkatkan SMKI) pencegahan, berdasarkan hasil evaluasi,

audit internal dan tinjauan manajemententang SMKI atau kegiatan pemantauanlainnya untuk mencapai peningkatkanyang berkelanjutan.


• Manajemen tinjau ulang SMKI

Disamping persyaratan utama di atas, standar ini mensyaratkanpene-tapan sasaran kontrol dan kontrol-kontrol keamanan informasimeliputi 11 area pengamanan sebagai berikut:

• Kebijakan keamanan informasi

• Organisasi keamanan informasi

• Manajemen aset

• Sumber daya manusia menyangkut keamanan informasi

• Keamanan fisik dan lingkungan

• Komunikasi dan manajemen operasi

• Akses kontrol

• Pengadaan/akuisisi, pengembangan dan pemeliharaan sisteminformasi

• Pengelolaan insiden keamanan informasi

• Manajemen kelangsungan usaha (business continuity manage-ment)

• Kepatuhan

3.3 ISO/IEC 27002 – Code of Practice forISMS

ISO/IEC 27002 berisi panduan yang menjelaskan contoh penerapankeamanan informasi dengan menggunakan bentuk-bentuk kontrolter-tentu agar mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 areapengamanan sebagaimana ditetapkan dalam ISO/IEC 27001.

ISO/IEC27002 tidak mengharuskan bentuk-bentuk kontrol yangtertentu tetapi menyerahkan kepada pengguna untuk memilih danme-nerapkan kontrol yang tepat sesuai kebutuhannya, denganmemper-timbangkan hasil kajian risiko yang telah dilakukannya.Pengguna ju-ga dapat memilih kontrol di luar daftar kontrol yangdimuat standar ini sepanjang sasaran kontrolnya dipenuhi.


3.4 ISO/IEC 27003 - Information SecurityMa-nagement System ImplementationGui-dance

Tujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagiperancangan dan penerapan SMKI agar memenuhi persyaratan ISO27001. Standar ini menjelaskan proses pembangunan SMKI meliputipersiapan, perancangan dan penyusunan dan pengembangan SMKIyang digambarkan sebagai suatu kegiatan proyek.

Sebagai kegiatan proyek, tahapan utama yang dijelaskan dalamstandar ini meliputi:

1. Mendapatkan persetujuan manajemen untuk memulai proyekSMKI

2. Mendefinisikan ruang lingkup, batasan dan kebijakan SMKI

3. Melakukan analisis persyaratan SMKI

4. Melakukan kajian risiko dan rencana penanggulangan risiko

5. Merancang SMKI

6. Merencanakan penerapan SMKI

3.5 ISO/IEC 27004 - Information SecurityMa-nagement Measurement

Standar yang diterbitkan pada bulan Desember 2009 ini menyedia-kanpanduan penyusunan dan penggunaan teknik pengukuran untukmengkaji efektivitas penerapan SMKI dan kontrol sebagaimana diper-syaratkan ISO/IEC 27001. Standar ini juga membantu organisasi da-lammengukur ketercapaian sasaran keamanan yang ditetapkan.

Standar ini mencakup bagian utama sebagai berikut:

• Penjelasan tentang pengukuran keamanan informasi;

• Tanggung jawab manajemen;

• Pengembangan metode pengukuran;

• Pengukuran operasi;


• Analisis data dan pelaporan hasil pengukuran;

• Evaluasi dan perbaikan program pengukuran keamanan infor-masi.

3.6 ISO/IEC27005 - Information SecurityRisk Management.

Standar ini menyediakan panduan bagi kegiatan manajemen risiko ke-amanan informasi dalam suatu organisasi, khususnya dalam rangkamendukung persyaratan-persyaratan SMKI sebagaimana didefinisik-anoleh ISO/IEC 27001. Standar ini diterbitkan pada bulan Juni 2008.

3.7 ISO/IEC 27006 - Prasyarat Badan Auditdan Sertifikasi.

Standar ini menetapkan persyaratan dan memberikan panduan ba-giorganisasi yang memiliki kewenangan untuk melakukan audit dansertifikasi sistem manajemen keamanan informasi (SMKI). Standarini utamanya dimaksudkan untuk mendukung proses akreditasiBadan Sertifikasi ISO/IEC 27001 oleh Komite Akreditasi dari negaramasing-masing.

4Dokumentasi Manajemen

Keamanan Informasi4.1 Struktur DokumentasiPekerjaan audit sistem TI membutuhkan dokumentasi yang baik.Ber-landaskan dokumentasi inilah dapat dilakukan assestment sertaper-baikan semestinya. Struktur dokumentasi sistem manajemenkeaman-an informasi pada umumnya terdiri dari 3 (tiga)level/tingkatan, seperti terlihat pada Gambar 4.1.

Gambar 4.1: Struktur Organisasi Dokumentasi SMKI

19


4.2 Dokumentasi Tingkat 1

Dokumen tingkat 1 merupakan dokumen dengan hirarki tertinggi da-lam struktur dokumentasi SMKI. Dokumen ini bersifat strategis yangmemuat komitmen yang dituangkan dalam bentuk kebijakan,standar, sasaran dan rencana terkait pengembangan sistem(development), penerapan (implementation) dan peningkatan(improvement) sistem manajemen keamanan informasi.

Dokumen Tingkat 1 paling tidak memiliki bagian yang terdiri dari:

• Kebijakan Keamanan Informasi

• Peran dan tanggung jawab organisasi keamanan informasi

• Klasifikasi informasi

• Kebijakan Pengamanan Akses Fisik dan Lojik

• Kebijakan Manajemen Risiko TIK

• Manajemen Kelangsungan Usaha (Business Continuity Mana-gement)

• Ketentuan Penggunaan Sumber Daya TIK

4.3 Dokumentasi Tingkat 2

Dokumen tingkat 2 ini umumnya meliputi prosedur dan panduanyang dikembangkan secara internal oleh instansi/lembagapenyelenggara pelayanan publik dan memuat cara menerapkankebijakan yang telah ditetapkan serta menjelaskan penanggungjawab kegiatan. Dokumen ini bersifat operasional.

Prosedur-prosedur dalam dokumen tingkat 2 meliputi antara lain:

• Prosedur pengendalian dokumen

• Prosedur pengendalian rekaman

• Prosedur audit internal SMKI

• Prosedur tindakan perbaikan dan pencegahan

• Prosedur penanganan informasi (penyimpanan, pelabelan, pe-ngiriman/pertukaran, pemusnahan)


• Prosedur penanganan insiden/gangguan keamanan informasi

• Prosedur pemantauan penggunaan fasilitas teknologi informasi

4.4 Dokumentasi Tingkat 3Dokumen tingkat 3 meliputi petunjuk teknis, instruksi kerja dan formu-liryang digunakan untuk mendukung pelaksanaan prosedur tertentusampai ke tingkatan teknis. Instruksi kerja tidak selalu diperlukan un-tuksetiap prosedur. Sepanjang prosedur sudah menguraikan langkah-langkah aktivitas yang jelas dan mudah dipahami penanggung jawabkegiatan, petunjuk teknis / instruksi kerja tidak diperlukan lagi.

Menurut Panduan Penerapan Tata Kelola Keamanan Informasiba-gi Penyelenggara Pelayanan Publik Kemenkominfo 2011,cakupan do-kumentasi SMKI dapat dijelaskan pada tabel yang padaumumnya dibangun sebagai kelengkapan kerangka kerja keamananinformasi. Mengenai nama dokumen tidak harus sama denganpanduan yang ada, namun cakupan dokumen hendaknya memenuhipenjelasan da-lam tabel 4.2,4.3 4.4, dan 4.5.


Tabel 4.1: Cakupan dokumen tingkat 1 (Prosedur)

No Nama Cakupan DokumenDokumen

1Kebijakan Menyatakan komitmen manajemen/pimpinanKeamanan instansi/lembaga menyangkut pengamanan

informasi yang didokumentasikan dan disahkanInformasi secara formal. Kebijakan keamanan informasi

dapat mencakup antara lain:• Definisi, sasaran dan ruang lingkup

keamanan informasi

• Persetujuan terhadap kebijakan danprogram keamanan informasi

• Kerangka kerja penetapan sasaran kontroldan kontrol

• Struktur dan metodologi manajemen risiko

• Organisasi dan tanggungjawab keamananinformasi

2 Organisasi, Uraian tentang organisasi yang ditetapkan untukperan dan mengelola dan mengkoordinasikan aspektanggungjawab keamanan informasi dari suatu instansi/lembagakeamanan serta uraian peran dan tanggung jawabnya.informasi Organisasi pengelola keamanan informasi tidak

harus berbentuk unit kerja terpisah3 Panduan Berisi tentang petunjuk cara melakukan klasifikasi

Klasifikasi informasi yang ada di instansi/lembaga danInformasi disusun dengan memperhatikan nilai penting dan

kritikalitas informasi bagi penyelenggaraanpelayanan publik, baik yang dihasilkan secaraintenal maupun diterima dari pihak eksternal.Klasifikasi informasi dilakukan dengan mengukurdampak gangguan operasional, jumlah kerugianuang, penurunan reputasi dan legal manakalaterdapat ancaman menyangkut kerahasiaan(confidentiality), keutuhan (integrity) danketersediaan (availability) informasi.


Tabel 4.2: Cakupan dokumen tingkat 1 (Prosedur)No Nama Cakupan Dokumen

Dokumen

4Kebijakan Menyatakan komitmen manajemen/pimpinanKeamanan instansi/lembaga menyangkut pengamananInformasi informasi yang didokumentasikan dan

disahkan secara formal. Kebijakankeamanan informasi dapat mencakup antaralain:

• Definisi, sasaran dan ruang lingkupkeamanan informasi

• Persetujuan terhadap kebijakan danprogram keamanan informasi

• Kerangka kerja penetapan sasarankontrol dan kontrol

• Struktur dan metodologi manajemenrisiko

• Organisasi dan tanggungjawabkeamanan informasi

5 Organisasi, Uraian tentang organisasi yang ditetapkanperan dan untuk mengelola dan mengkoordinasikantanggungja- aspek keamanan informasi dari suatuwab instansi/lembaga serta uraian peran dankeamanan tanggung jawabnya. Organisasi pengelolainformasi keamanan informasi tidak harus berbentuk

unit kerja terpisah6 Panduan Berisi tentang petunjuk cara melakukan

Klasifikasi klasifikasi informasi yang ada diInformasi instansi/lembaga dan disusun dengan

memperhatikan nilai penting dan kritikalitasinformasi bagi penyelenggaraan pelayananpublik, baik yang dihasilkan secara intenalmaupun diterima dari pihak eksternal.Klasifikasi informasi dilakukan denganmengukur dampak gangguan operasional,jumlah kerugian uang, penurunan reputasidan legal manakala terdapat ancamanmenyangkut kerahasiaan (confidentiality),keutuhan (integrity) dan ketersediaan(availability) informasi.


Tabel 4.3: Cakupan dokumen tingkat 1 (Prosedur)

No Nama Cakupan DokumenDokumen

7 Kebijakan Berisi metodologi / ketentuan untuk mengkajiManajemen risiko mulai dari identifikasi aset, kelemahan,Risiko TIK ancaman dan dampak kehilangan aspek

kerahasiaan, keutuhan dan ketersediaaninformasi termasuk jenis mitigasi risiko dantingkat penerimaan risiko yang disetujui olehpimpinan.

8 Kerangka Berisi komitmen menjaga kelangsunganKerja pelayanan publik dan proses penetapanManajemen keadaan bencana serta penyediaanKelangsungan infrastruktur TIK pengganti saat infrastrukturUsaha utama tidak dapat beroperasi agar(Business pelayanan publik tetap dapat berlangsungContinuity bila terjadi keadaan bencana/k darurat.Management) Dokumen ini juga memuat tim yang

bertanggungjawab (ketua dan anggota tim),lokasi kerja cadangan, skenario bencanadan rencana pemulihan ke kondisi normalsetelah bencana dapat diatasi/berakhir.

9 Kebijakan Berisi aturan penggunaan komputerPenggunaan (desktop/laptop/modem atau email danSumber daya internet).TIK


Tabel 4.4: Cakupan dokumen tingkat 2a (Kebijakan)

No Nama Prose- Cakupan Dokumendur/Pedoman

1Pengendalian

Berisi proses penyusunan dokumen,wewenang persetujuan penerbitan,

Dokumen identifikasi perubahan, distribusi,penyimpanan, penarikan dan pemusnahandokumen jika tidak digunakan dan daftarserta pengendalian dokumen eksternal yangmenjadi rujukan.

2 Pengendalian Berisi pengelolaan rekaman yang meliputi:Rekaman identifikasi rekaman penting, kepemilikan,

pengamanan, masa retensi, danpemusnahan jika tidak digunakan lagi.

3 Audit Internal Proses audit internal: rencana, ruangSMKI lingkup, pelaksanaan, pelaporan dan tindak

lanjut hasil audit serta persyaratankompetensi auditor.

4 Tindakan Berisi tatacara perbaikan/pencegahanPerbaikan & terhadap masalah/gangguan/insiden baikPencegahan teknis maupun non teknis yang terjadi dalam

pengembangan, operasional maupunpemeliharaan TIK.

5 Pelabelan, Aturan pelabelan, penyimpanan, distribusi,Pengamanan, pertukaran, pemusnahan informasi/dayaPertukaran & “rahasia” baik softcopy maupun hardcopy,Disposal baik milik instansi maupun informasiInformasi pelanggan/mitra yang dipercayakan kepada

instansi/lembaga.6 Pengelolaan Aturan penggunaan, penyimpanan,

Removable pemindahan, pengamanan media simpanMe- informasi (tape/hard disk/flashdisk/CD) dandia&Disposal penghapusan informasi ataupunMedia penghancuran media.


Tabel 4.5: Cakupan dokumen tingkat 2b (Kebijakan)

No Nama Prose- Cakupan Dokumendur/Pedoman

7 Pemantauan Berisi proses pemantauan penggunaan(Monitoring) CPU, storage, email, internet, fasilitas TIKPenggunaan lainnya dan pelaporan serta tindak lanjutFasilitas TIK hasil pemantauan.

8 User Access Berisi proses dan tatacara pendaftaran,Management penghapusan dan peninjauan hak akses

user, termasuk administrator, terhadapsumber daya informasi (aplikasi, sistemoperasi, database, internet, email daninternet).

9 Teleworking Pengendalian dan pengamanan penggunaanhak akses secara remote (misal melaluimodem atau jaringan). Siapa yang berhakmenggunakan dan cara mengontrol agarpenggunaannya aman.

10 Pengendalian Berisi daftar software standar yang diijinkanInstalasi di Instansi, permintaan pemasangan danSoftware& Hak pelaksana pemasangan termasukKekayaan penghapusan software yang tidak diizinkan.Intelektual

11 Pengelolaan Proses permintaan dan persetujuanPerubahan perubahan aplikasi/infrastruktur TIK, serta(Change pengkinian konfigurasi/basis data/versi dariManagement) aset TIK yang mengalami perubahan.TIK

12 Pengelolaan & Proses pelaporan & penangananPelaporan gangguan/insiden baik menyangkutInsiden ketersediaan layanan atau gangguan karenaKeamanan penyusupan dan pengubahan informasiInformasi secara tidak berwenang. Termasuk analisis

penyebab dan eskalasi jika diperlukan tindaklanjut ke aspek legal.

5Audit Keamanan Informasi

Untuk mempermudah pemahaman hubungan hubungan beberapado-kumen keamanan TI dalam pemerintahan, disajikan padadiagram Gambar 5.1 berikut ini (merujuk pada Security RiskAssestment & Au-dit Guidelines, Pemerintah Hongkong):

Audit keamanan adalah sutu proses atau kejadian yang memiliki ba-sis pada kebijakan atau standar keamanan untuk menentukansemua keadaan dari perlindungan yang ada, dan untukmemverifikasi apa-kah perlindungan yang ada berjalan dengan baik.Target dari audit ini adalah untuk mencari tau apakah lingkunganyang ada sekarang telah aman dilindungi sesuai dengan kebijakkankeamanan yang ditetapk-an.

Untuk menjaga independensi hasil audit, audit keamananinforma-si harus dilaksanakan oleh pihak ketiga yang terpercaya danindepen-den.

5.1 Penilaian Resiko Keamanan

Melihat dari Gambar 2.1 Audit Keamanan dan Penilaian Resiko Kea-manan (Security Risk Assessment) adalah sesuatu hal yang berbedadari sisi terminologi asal dan fungsi dalam siklus manajemenkeaman-an informasi.

27


Gambar 5.1: Dokumen keamanan TI dalam pemerintahan

Penilaian resiko keamanan (PRK) adalah dilakukan pada permu-laan tahapan yang dilakukan untuk mengindentifikasi apakah dibu-tuhkannya pengukuran keamanan dan kapan terjadi perubahan pa-da aset informasi atau lingkungannya. Sedangkan audit keamananadalah proses pemeriksaan berulang (repetitif) untuk menjamin bah-wa pengukuran keamanan diimplementasikan dengan baik dariwaktu ke waktu. Maka itu, audit keamanan biasanya dilakukan lebihsering dibandingkan PRK.

5.2 Tujuan Audit Keamanan

Tujuan utama dari audit keamanan, diantaranya adalah:

• Memeriksa kesesuaian dari mulai kebijakkan, bakuan, pedom-an, dan prosedur keamanan yang ada

• Mengidentifikasi kekurangan dan memeriksa efektifitas dari ke-bijakkan, bakuan, pedoman, dan prosedur keamanan yang ada

• Mengidentifikasi dan memahami kelemahan (vulnerability)yang ada


• Mengkaji kendala keamanan yang ada terhadap permasalahanoperasional, administrasi, dan manajerial, dan memastikan ke-sesuaian dengan bakuan keamanan minimum

• Memberikan rekomendasi dan aksi perbaikan/koreksi untuk pe-ningkatan

Dalam melaksanan audit perlu memperhatikan hal berikut ini, yaitu:

• Saat dan frekuensi audit

• Perangkat audit

• Langkah-langkah audit.

5.3 Saat dan Kekerapan Audit

Audit keamanan harus dilakukan secara periodik untuk memastikankesesuaian atau kepatuhan pada kebijakkan, bakuan, pedoman, danprosedur dan untuk menentukan suatu kendali minimum yang diper-lukan untuk mengurangi resiko pada level yang dapat diterima.Seba-gai catatan, audit keamanan hanya memberikan snapshot darikele-mahan yang diungkapkan pada titik waktu tertentu.

Audit keamanan adalah aktivitas yang terus berjalan, yang konti-nu.Secara umum, audit keamanan dilaksanakan dalam dua putaran. Yangkeduanya berlaku pada pola tertentu, namun putaran kedua me-rupakanproses verifikasi untuk memastikan ditemukannya semua ke-lemahanpada putaran pertama yang mana telah diperbaiki dan diatasi sebagairekomendasi hasil laporan putaran pertama.

Terdapat situasi yang berbeda ketika harus melakukan audit ke-amanan. Waktu yang pasti tergantung kebutuhan dan sumber dayasistem yang dimiliki.

• Instalasi Baru. Audit yang dilakukan pertama kali setelah imple-mentasi, dalamrangka memastikan konformasi pada kebijakkandan petunjuk yang ada serta memenuhi bakuan konfigurasi

• Audit Regular. Audit ini adalah audit yang dilakukan secaraperiodik baik manual maupun otomatis dengan menggunakanperangkat dalam rangka mendeteksi lubang (loopholes) atauke-lemahan, yang paling tidak dilakukan sekali dalam setahun


• Audit Acak: Audit ini dilakukan dengan melakukan pemeriksaanacak dalam rangka merefleksikan dengan praktik sesungguhnya

• Audit di Luar Jam Kerja: Audit ini dilakukan untuk mereduk-siresiko pengauditan dengan melakukannya di luar jam kerja,biasanya pada malam hari.

Ada banyak perangkat audit yang dapat digunakan untuk mencarike-lemahan. Pemilihan perangkat audit bergantung pada kebutuhanke-amanan dan dampak beban kerja dari pengawasan. Sebagaicontoh, perangkat pemindai keamanan dapat memeriksa untuksetiap kele-mahan pada jaringan dengan melakukan pindaian dansimulasi se-rangan.

5.4 Tahapan Audit.

Secara umum, tahapan audit dibagi menjadi bagian berikut ini:

1. Perencanaan

2. Pengumpulan data audit

3. Pengujian audit

4. Pelaporan hasil audit

5. Perlindungan atas data dan perangkat audit

6. Penambahan dan tindak lanjut

5.4.1 PerencanaanTahapan perencanaan dapat membantu dalam menentukan dan me-milih metode yang efisien dan efektif untuk melakukan audit dan men-dapatkan semua informasi penting yangdibutuhkan. Waktu yang di-butuhkan dalam tahapan ini disesuaikan dengan lingkungan/keadaan,tingkat perluasan, dan kerumitan dari audit tersebut.

Dalam tahapan ini akan dirincikan sub tahapan, diantaranya:

1. Ruang lingkup dan tujuan

2. Kendala

3. Peran dan tanggung jawab


Gambar 5.2: Diagram Tahapan Umum Audit


Ruang Lingkup dan TujuanRuang lingkup dan tujuan audit harus didefinisikan dan ditetapkande-ngan jelas. Kebutuhan pengguna harus diidentifikasi dan disetujuide-ngan auditor keamanan sebelum melanjutkan kerjanya. Berikutadalah contoh cakupan audit keamanan:

• Keamanan internet

• Keamanan umum dari jaringan internal

• Sistem tugas kritis

• Keamanan host

• Keamanan server jaringan seperti web server, email server,dan lain lain

• Komponen dan devais jaringan seperti firewall, router, dan lainlain

• Keamanan umum dari ruang komputer

Adapun tujuan dari audit keamanan diantaranya adalah:

• Memberikan kesesuaian /kepatuhan dengan kebijakkan kea-manan sistem

• Memeriksa dan menganalisa pengamanan sistem danlingkung-an operasional kerja

• Menilai implementasi teknis dan non teknis dari rancangankea-manan

• Memvalidasi wajar atau tidaknya integrasi dan operasi dari se-mua fitur keamanan.

KendalaWaktu yang diperbolehkan untuk audit haruslah cukup untukmenyele-saikan semua pengujian. Kadang kala pada saat prosesaudit, sistem atau jaringan harus pada keadaan off-line. Daninterupsi layanan da-pat saja dilakukan. Yang perlu diperhatikanadalah, adanya backup dan pemulihan konfigurasi dan informasiyang ada perlu dilakukan se-belum proses aduit berjalan.


Peran dan Tanggung jawabPeran dan tanggung jawab semua pihak yang terlibat dalam auditha-ruslah didefinisikan dengan jelas sebelumnya. Adapun khususbagi para auditor, haruslah melakukan tahapan pra-audit seperti:

• Mengidentifikasi dan verifikasi lingkungan yang ada dansedang berjalan melalui dokumentasi, wawancara,pertemuan/rapat, da-na telaah manual

• Mengidentifikasi area atau operasi yang signifikan/berarti yangterkait dengan proses audit

• Mengidentifikasi kendali umum yang mungkin berdampak padaaudit

• Memperkirakan dan mengidentifikasi sumber daya yang diper-lukan seperti perangkat audit dan tenaga kerja

• Mengidentifikasi proses khusus atau proses tambahan untukau-dit.

Dalam proses audit, perlu adanya kendali dan otorisasi sebelumdimu-lai dan perlu dibangunnya jalur komunikasi antara klien denganaudi-tor.

5.4.2 Pengumpulan Data AuditJumlah data yang dikumpulkan tergantung pada cakupan dan tujuanaudit, ketersediaan data dan ketersediaan penyimpanan media. Danmerupakan yang tidak bisa dilewatkan yaitu menentukan seberapa ba-nyak dan jenis apa dari data yang akan diambil dan bagaimana untukmemfilter, menyimpan, mengakses dan menelaah data dan log audit.

Perencanaan yang teliti diperlukan dalam pengumpulan data. Pe-ngumpulan data yang dilakukan harus sejalan dengan peraturan danregulasi pemerintah dan tidak menyebabkan/menimbulkan ancamandan keamanan bagi sistem. Pengumpulan data harus memenuhi kri-teria, antara lain sebagai berikut:

• Harus memadai untuk investigasi di masa depan atas insidenkeamanan

• Harus baik dalam penyimpanan dan perlindungan data dari ak-ses yang ilegal/tidak terotorisasi


• Harus dengan baik diproses dengan perencanaan penanganandata.

Data audit dapat simpan dalam banyak cara, diantaranya yaitu:

• Files logging: menyimpan data audit dalama file read/write, se-bagai contoh: informasi sistem start up dan shutdown; perco-baan logon dan logout, eksekusi command (perintah), dan lainlain

• Laporan: mencetak data audit dalam bentuk laporan, sebagaicontoh: jurnal, summaries, laporan lengkap, laporan statistik.

• Write-once storage: data disimpan pada media sekali cetak se-perti: CD-ROM/DVD-ROM.

5.4.3 Pengujian AuditSetelah melakukan dua tahap sebelumnya, auditor keamanan dapatmelakukan kegiatan berikut:

• Telaah umum atas kebijakkan atau bakuan keamanan yangada menurut pada cakupan audit yang ditentukan

• Telaah umum atas konfigurasi keamanan

• Penyelidikan teknis dengan menggunakan perangkat otomasiberbeda untuk mendiagnosa telaah atau pengujian penetrasi.

5.4.4 Pelaporan Hasil AuditPelaporan audit keamanan dibutuhkan untuk penyelesaian akhir daripekerjaan audit. Auditor keamanan harus menganalisa hasil penga-uditan dan menyediakan laporan besertanya yang menjelaskan ling-kungan keamanan yang berlaku.

Laporan audit yang ada harus dapat dibaca pihak yangberkepen-tingan, diantaranya oleh:

• Manajemen TI,

• Manajemen eksekutif,

• Administrator sistem

• Pemilik sistem.


5.4.5 Perlindungan Data dan Perangkat AuditSetelah pelaksanaan audit, penting untuk melakukan perlindunganda-ta dan perangkat audit untuk audit selanjutnya atau dikemudianhari. Data audit tidak diperkenankan disimpan online. Jikamemungkinkan, sebaiknya data audit dienkrispi terlebih dahulusebelum disimpan da-lam media pemyimpanan sekunder. Semuadokumen fisik terkait de-ngan audit seharusnya aman juga secarafisik dari pihak atau penggu-na yang tidak berkepentingan.

Perangkat audit harus dirawat, dijaga dan diawasi dengan baik un-tuk mencegah penyalahgunaan. Perangkat tersebut harus dipisahk-andari sistem pengembangan maupun sistem pengoperasian. Cara lainnyayaitu, dengan menghilangkan/menyingkirkan perangkat audit secepatnyasetelah penggunaan selesai, kecuali dilindungi dari akses yang tidakdiinginkan.

Auditor keamanan harus segera mengembalikan semua informasiaudit ke setiap departemen setelah penyelesaian proses audit.

5.4.6 Penambahan dan Tindak LanjutJika langkah pembetulan dibutuhkan, harus melakukan alokasi sum-ber daya untuk menjamin bahwa penambahan/peningkatan dapat di-lakukan pada kesempatan paling awal.

6Pelaksanaan Audit IS

Suatu organisasi harus menilai keamanan sistem informasi secarare-guler. Hal tesebut dilakukan dengan melalukan prosedur audit ISber-dasarkan konsep keamanan informasi yang diadopsi organisasi.

6.1 Persetujuan Pimpinan dan PenetapanOrganisasi

Setiap proyek memerlukan investasi baik untuk penyediaan sumberdaya maupun untuk pelatihan yang diperlukan. Pimpinan harusmem-berikan persetujuannya terhadap rencana investasi tersebut.Sebelum rencana penerapan audit SMKI, pimpinan harusmendapatkan penje-lasan yang memadai tentang seluk beluk, nilaipenting dan untung ru-gi menerapkan audit SMKI serta konsekuensiataupun komitmen yang dibutuhkan dari pimpinan sebagai tindaklanjut persetujuan terhadap proyek audit SMKI.

Persetujuan pimpinan harus diikuti dengan arahan dan dukunganselama berlangsungnya proyek tersebut. Oleh karena itu, perkem-bangan proyek audit SMKI harus dikomunikasikan secara berkalake-pada pimpinan pasca persetujuannya agar setiap masalah yangme-merlukan pengambilan keputusan pimpinan dapat diselesaikansecara cepat dan tepat.

Salah satu bentuk komitmen pimpinan pasca persetujuan terhadaprencana penerapan audit SMKI adalah dengan menetapkan organisa-

36


si atau tim penanggung-jawab keamanan informasi. Organisasi atautim ini harus ditetapkan secara formal dan diketuai oleh koordinatoratau ketua tim. Jumlah anggota tim disesuaikan dengan ruang ling-kup organisasinya. Tugas utama tim ini adalah menyiapkan,menjamin dan/atau melakukan seluruh kegiatan dalam tahapanpenerapan audit SMKI (yang diuraikan dalam Bab ini) agar dapatterlaksana dengan baik sesuai rencana.

Organisasi penanggung-jawab keamanan informasi ini dapat dite-tapkan sebagai struktur organisasi yang bersifat permanen atau seba-gai“tim adhoc” (tim proyek) sesuai kebutuhan. Tanggung-jawab ketua dananggota tim serta unit kerja terkait dalam hal keamanan informasi harusdiuraikan secara jelas. Ketua tim hendaknya ditetapkan/dipilih daripejabat tertinggi sesuai ruang lingkup penerapan audit SMKI atau yangpejabat/petugas/perwakilan yang didelegasikan.

6.2 Pembagian Tanggung JawabLevel manajemen menanggung semua tanggung jawab audit IS. Pihakmanajemen harus diinformasikan secara reguler tentang semua ma-salah dan hasilnya serta aktifitas dari Audit IS. Manajemen juga harusmengetahui/diberitahu mengenai pengembangan baru, kondisi umumperubahan atau hal yang baru, atau kemungkinan untuk peningkatandalam rangka memenuhi fungsi dan kendalinya atas sistem.

Satu orang dalam organisasi (sebagai contoh, petugaskeamanan TI) harus bertanggung jawab dalam audit IS. Petugastersebut yang kemudian mengawasi atau mensupervisi keseluruhanproses dan ek-sekusi aktual dari audit IS. Petugas tersebut harusmemiliki hal-hal sebagai berikut:

• posisi independen dalam struktur organisasi (untuk mencegahkonflik kepentingan)

• hak untuk berbicara langsung kepada pihak manajamen, dan

• memilki kemampuan yang cukup dan memenuhi dalam bidangkeamanan informasi.

Tugas dari seseorang yang bertanggung jawab dalam audit IS suatuorganisasi, yaitu: menyusun rencana kasar untuk projek audit IS se-bagai dasar dalam audit IS. Orang tersebut akan berperan sebagaikontak person utama dalam tim audit IS selama audit berlangsung


Gambar 6.1: Fase prosedur audit IS dari sudut pandang organisasi

dan bertanggung jawab khususnya dalam menyediakan dokumen re-ferensi dan mengkordinasikan jadwal serta sumber daya materi ataupersonil lainnya pada saat pemeriksaan langsung.

Setiap spesifikasi terkait dengan prosedur audit IS dan penugas-an harus didokumentasikan secara individual dalam manual audit IS.Manual tersebut harus mengandung aspek-aspek berikut ini:

• Tujuan strategis yang dicapai dari audit IS

• Ordinansi dan regulasi legal yang mungkin

• Pengorganisasi audit IS dalam suatu organisasi

• Sumber daya (baik waktu, keuangan, dan manusia/personil)

• Pengarsipan dokumentasi


Manual audit IS merupakan dasar dan instruksi manual dari audit IS.Manual ini mengatur satu sama lainnya mengenai hak dan tugas individuyang terlibat dalam audit IS. Perwakilan personil harus dican-tumkandalam proses sebelum diadopsi oleh pihak manajemen.

6.2.1 Siklus Audit ISPada dasarnya suatu audit Information Security (IS) dilakukandengan siklus berikut ini:

• Audit parsial IS untuk proses bisnis yang kritis harus direnca-nakan. Proses bisnis yang kritis, khususnya yang memerlukanketersediaan tinggi (High Availability) harus lebih seringdilakuk-an. Interval audit harus dengan benar dilakukan untukhal kritis yang khusus.

• Audit parsial IS tambahan dapat dilakukan, misalnya pada saathal berikut: pemeriksaan mendalam setelah terjadinya kecela-kaan keamanan, setelah penerapan prosedur baru, atau padasaat perencanaan restrukturisasi.

6.2.2 Pengawasan Audit ISOrang yang bertanggung jawab dalam audit IS juga merupakan orangyang dapat dihubungi pada saat audit IS. Orang tersebut membantu timaudit IS dalam menjawab pertanyaan teknis dan organisasional (sebagaicontoh pada saat rapat organisasi, pada saat mengumpulkan dokumen,dan pada saat pemeriksaan langsung (on-site)).

Tugas organisasional orang yang bertanggung jawab dalam auditIS suatu organisasi ditunjukkan dalam Gambar 6.2.

6.2.3 Tim Audit ISUntuk setiap audit dilakukan, perlu dibangunnya tim audit yangsesuai. Anggota dari tim audit ini harus memiliki kualifikasi teknisyang sesuai baik secara tim maupun kualifikasi individu.

Berikut ini adalah tim-tim audit yang ada dalam organisasi:

• Tim Audit IS Internal. Perlu dibentuknya tim audit IS internal yangtergantung pada tipe dan ukuran suatu organisasi. De-nganmenugaskan beberapa orang untuk melakukan audit IS ak-


Gambar 6.2: Kinerja audit IS dari sudut pandang organisasi

an memberikan keuntungan tersedianya pengetahuan darikom-pleksitas struktur dan prosedur organisasi.

• Kerjasama antara Tim Audit IS. Karena tidak semua organi-sasi dapat membentuk tim audit internal yang lengkap, perlu di-lakukannya kerjasama dengan tim audit dari organisasilainnya, seperti penukaran pakar keamanan.

• Departemen/Divisi Tim Audit IS. Dengan membentuknya de-partemen/divisi khusu yang melakukan audit IS.

• Penyedia layanan audit IS eksternal. Pihak eksternal yangmenyediakan layanan audit.

Berikut ini adalah nilai dari sumber daya personil dari tim audit IS,yang didapatkan berdasarkan pengalaman yang dapat digunakansebagai dasar untuk memperkirakan total waktu dan pengeluarandari audit IS berdasarkan tingkat kompleksitasnya:

Waktu yang digunakan adalah perkiraan waktu kotor.


Kompleksitas Ukuran Ukuran UkuranOrganisasi: Organisasi: Organisasi:Kecil (<101 Medium (<501 Besar (>501karyawan) karyawan) karyawan)

Normal 30 hari personil 50 hari personil 60 hari personilTinggi 50 hari personil 65 hari personil 80 hari personil

Sangat Tinggi 60 hari personil 80 hari personil 100 hari personil

Tabel 6.1: Nilai standar untuk pengeluaran personil suatu audit IS

6.2.4 Struktur Keamanan Informasi suatu Organisasi

Struktur organisasi keamanan informasi, bergantung pada ukuran or-ganisasi itu sendiri. dapat berukuran kecil, sedang atau besar. Gam-bar berikut menunjukkan tiga kemungkinan. Gambar 6.3menunjukkan struktur organisasi IS dalam organisasi besar. Gambar6.4 kedua me-nunjukkan organisasi ukuran sedang, dimana adanyakombinasi per-an petugas TI dan Manajemen IS. Gambar 6.5menunjukkan struktur organisasi IS berukuran kecil, dimana petugasTI melakukan semua tugasnya.

6.2.5 Evaluasi Audit ISAda empat prinsip dasar dalam evaluasi:

• Objectiviy

• Impartiality

• Reproducibility

• Repeatability

Yang semuanya memiliki hubungan satu sama lainnya, seperti dilus-trasikan pada Gambar 6.6.


Gambar 6.3: Struktur Keamanan Informasi: Organisasi Besar

Gambar 6.4: Struktur Keamanan Informasi: Organisasi Sedang


Gambar 6.5: Struktur Keamanan Informasi: Organisasi Kecil

Gambar 6.6: Empat prinsip dasar dalam evaluasi


Implementasi seluruh kebijakan, prosedur atau standar yang dite-tapkan kemudian dievaluasi efektivitasnya. Periksalah kebijakan danprosedur mana yang telah dapat diterapkan dengan tepat dan manayang belum. Jika prosedur belum diterapkan dengan tepat, maka di-lakukanlah analisis mengapa hal itu terjadi. Apakah karena sosialiasiyang terlalu singkat atau prosedurnya yang terlalu rumit atau kurangpraktis.

Hasil pengukuran efektivitas kontrol dan laporan audit internal ju-ga dievaluasi untuk diperiksa mana kontrol yang belum mencapai sa-saran, masih lemah (belum efektif) atau yang masih menjadi temuandalam audit internal. Seluruh kelemahan kontrol harus segera diper-baiki ataupun disempurnakan sehingga tidak menimbulkan kelemah-an/kesalahan yang sama di kemudian hari.

Hasil dari audit IS dilaporkan kepada manajemen organisasi,orang yang bertanggung jawab untuk audit IS, dan petugaskeamanan TI ser-ta diintegrasikan ke dalam proses SMKI. Proseduryang didefinisikan dengan jelas harus tersedia dan dinyatakan dalampetunjuk pemerik-saan dan peningkatan proses keamanan informasi.

Kebutuhan dalam menghilangkan ketidak efisienan danpeningkat-an kualitas merupakan hasil evaluasi dari laporan audit IS.Petugas keamanan TI kemudian akan mengarahkan tindak lanjutdari kebu-tuhan tersebut. Akitifitas tindak lanjut tersebut termasuk didalamnya: pemutakhiran/update dokumen keamanan, sebagaicontoh, pemerik-saan keamanan dasar dan konsep keamanan.

6.3 Mendefinisikan Cakupan (Ruang Ling-kup)

Dalam pelaksanaan audit keamanan informasi, perlu ditentukan ruanglingkup dari pekerjaan audit tesrebut. Ruang lingkup ini meliputi:

• Proses dan/atau Kegiatan. Misalnya: Penyediaan layanan pu-blik, Pengamanan Pusat Data, pengembangan aplikasi, peng-gunaan jaringan dan fasilitas email, dan sebagainya.

• Satuan Kerja. Misalnya: Direktorat, Departemen atau Bidang.

• Lokasi kerja. Misalnya: Tingkat Pusat, daerah atau keduanya.Mana saja lokasi yang dipilih untuk menerapkan audit SMKI?Apakah audit SMKI akan langsung diterapkan ke seluruh lokasi


kerja? Atau apakah diterapkan secara bertahap dengan memp-rioritaskan pada lokasi tertentu terlebih dahulu?

Penetapan ruang lingkup ini harus didiskusikan dengan Satuan Ker-ja terkait dengan memperhatikan tingkat kesiapan masing-masingter-masuk ketersediaan sumber daya yang diperlukan untukmembangun dan menerapkan audit SMKI.

6.4 Teknik Audit IS

Teknik audit dipahami sebagai metode yang digunakan untukmenen-tukan fakta dari permasalahan. Berikut adalah beberapateknik audit yang dapat digunakan selama audit IS:

• Wawancara (pertanyaan verbal)

• Inspeksi visual suatu sistem, lokasi, ruang, kamar, dan objek

• Observasi

• Analisis file/berkas (termasuk data elektronik)

• Pemeriksaan teknis (misal menguji sistem alarm, sistemkontrol akses, aplikasi)

• Analisis Data (misal log files, evaluasi database, dll)

• Pertanyaan tertulis (misal, kuesioner).

Teknik audit sebenarnya digunakan tergantung pada kasus spesifikdan akan dispesifikasikan oleh tim audit IS. Tim audit IS harus me-mastikan bahwa hasil yang didapat selama semua pemeriksaandise-suaikan dengan jumlah data dan usaha yang dikeluarkan.

Jika tim audit IS menemukan adanya deviasi atau penyimpangandari status dokumen selama pemeriksaan dari sampel yang dipilih,maka jumlah sampel perlu ditambahkan guna mendapatkanpenjelas-an yang lebih baik. Pemeriksaan dapat dihentikan apabilamasalah deviasi atau penyimpangan dapat dicari alasan dandijelaskan. Bebe-rapa teknik audit dapat dikombinasikan untukmenentukan suatu devi-asi.


6.5 Melakukan Analisis Kesenjangan (GapAnalysis)

Kegiatan ini dilakukan dengan tujuan utamanya untuk membanding-kan seberapa jauh persyaratan klausul-klausul ISO 27001 telah dipe-nuhi, baik pada aspek kerangka kerja (kebijakan dan prosedur) mau-pun aspek penerapannya. Untuk aspek kerangka kerja,identifikasilah apakah kebijakan dan prosedur sebagaimanadicantumkan telah dipe-nuhi.

Sedang untuk aspek penerapan, ketersediaan rekaman perludipe-riksa sebagai bukti-bukti penerapan. Gap Analysis umumnyadilakuk-an dengan bantuan checklist pemeriksaan. Selain ChecklistIndeks KAMI, checklist lain untuk kegiatan gap analysis ISO 27001dapat di-unduh dari berbagai situs tentang keamanan informasi.

6.6 Penilaian Resiko dan Rencana PenilaianResiko

Sebelum melakukan risk assessment (pengkajian risiko), metodologirisk assessment harus ditetapkan terlebih dahulu. Periksalah apakahinstansi anda telah memiliki atau menetapkan kebijakan/metodologirisk assessment. Metodologi risk assessment TIK harus merujuk pa-da metodologi risk assessment yang ditetapkan di tingkat pusat, jikasudah ada. Jika belum ada metodologi risk assessment, lakukan pe-nyusunan metodologinya dengan merujuk pada standar-standaryang ada, baik standar nasional ataupun internasional. Khusus untukrisk assessment TIK beberapa dokumen standar di bawah ini dapatdija-dikan rujukan, antara lain:

1. Pedoman Standar Penerapan Manajemen Risiko bagi BankUmum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 Sep-tember 2003)

2. ISO/IEC27005 - Information Security Risk Management yangte-lah diadopsi menjadi SNI

3. Handbook of Risk Management Guidelines CompaniontoAS/NZ 4360:2004 d. NIST Special Publication 800-30:RiskManage-ment Guide for Information Technology Systems.


Dalam metodologi risk assessment juga terdapat kriteria penerimaanrisiko, dimana risiko yang berada pada tingkat tertentu (umumnyating-kat “RENDAH”) akan diterima tanpa perlu melakukan rencanapenang-gulangan (Risk Treatment Plan). Risk Assessment dilakukandengan merujuk pada metodologi yang telah ditetapkan tersebut.

6.7 Menetapkan Kontrol dan Sasaran Kon-trol

Dari hasil identifikasi risiko kemudian dipilih kontrol dan sasaran kon-trol ISO 27001 yang dapat diterapkan sesuai dengan ruang lingkupyang ditetapkan. Sasaran kontrol dapat ditetapkan sebagaisasarankeamanan informasi tahunan yang digunakan sebagai patokan untukmengukur efektivitas penerapan SMKI pada periode yang ditetapkan.Sasaran keamanan informasi tahunan dapat ditetapkan sesuai hasilkajian risiko dan prioritas pembenahan dengan mempertimbangkanketersediaan dan kemampuan sumber daya.

Contoh sasaran keamanan informasi tahunan, misal tahun 2011,diberikan pada Tabel 6.2 dalam berikut.

Catatan: Sasaran keamanan ini belum lengkap. Masing-masingin-stansi/lembaga dapat menambahkan sasarannya sesuai denganhasil kajian risiko dan skala prioritas yang ditetapkan.

6.8 Menetapkan Kebijakan dan ProsedurAudit SMKI

Kebijakan dan prosedur disusun dengan memperhatikan kontrolyang memang berlaku dan diterapkan dalam penyelenggaraanpelayanan publik.

6.9 Sosialisasi dan PelatihanSeluruh kebijakan dan prosedur yang telah disetujui oleh pimpinan ke-mudian disosialisasikan kepada seluruh personel/karyawan yang ter-kaitsesuai dengan ruang lingkup yang ditetapkan di atas. Kegiatan


Tabel 6.2: Contoh Sasaran Keamanan InformasiNo Kontrol ISO 27001 Sasaran

1 A.13.1 Pengelolaan insiden Menurunkan jumlah insiden karenavirus 10% dibanding tahunsebelumnya

2 A.8.3.3 Penutupan hak akses Hak akses user yang menjalanimutasi/berhenti bekerja harus ditutupmaksimum 2 hari setelah statusnyadilaporkan secara resmi

3 A.9.1.2 Akses data center (ruang Seluruh pihak ketiga (vendor,server) konsultan) yang memasuki Pusat

Data harus didampingi karyawan4 A.11.2 Manajemen password 80% perangkat komputer yang

sensifit sudah menerapkan strongpassword

5 A.8.2.2 Kepedulian, pendidikan Seluruh karyawan dalam satuan kerjadan pelatihan keamanan yang dimasukkan dalam ruanginformasi lingkup harus telah mengikuti

sosialisasi/pelatihan keamananinformasi

6 A.10.1.2 Pengelolaan perubahan Versi aplikasi yang operasional harus(change management) sama dengan versi source code

terakhir7 A.10.1.3 Pemisahan tugas Setiap instalasi aplikasi dilakukan

oleh penanggung-jawab operasionalTI (bukan oleh programmer)


ini untuk menjamin bahwa kebijakan dan prosedur SMKI telahdipaha-mi sehingga penerapannya dilakukan secara tepat.Sosialisasi dapat dilakukan dengan berbagai cara, seperti:

• Tatap muka di dalam kelas

• Simulasi langsung di lokasi kerja

• Penyampaian brosur, leaflet, spanduk untuk meningkatkan ke-pedulian karyawan

• Penggunaan email, nota dinas, portal atau majalah internal

• Media komunikasi lainnya

Untuk meningkatkan kompetensi personel, perlu dilakukan pelatihanyang lebih mendalam baik pada aspek teknis maupun tata kelolaTIK. Berbagai jenis pelatihan menyangkut pengamanan informasiyang da-pat diprogramkan, misalnya: pengenalan ISO 27001, auditinternal, pelatihan lead auditor, risk management, pelatihan untukadministra-tor ataupun jenis-jenis pelatihan untuk programmer.

Bukti sosialisasi dan pelatihan baik berupa:

• materi,

• daftar hadir,

• hasil pre/post test,

• laporan evaluasi pelatihan ataupun

• sertifikat

Yang kesemua bukti harus disimpan dan terpelihara dengan baik.

6.10 Menerapkan Kebijakan dan Prosedur

Strategi penerapan/implementasi audit SMKIsebaiknya dilakukan de-ngan menyelaraskan kegiatan yang sedang berlangsung di instan-si/lembaga. Jika instansi/lembaga sedang melakukan proyekpengem-bangan aplikasi, arahkan dan dampingi agar setiap tahapanpengem-bangan aplikasi dapat mematuhi kebijakan dan proseduryang telah ditetapkan yang antara lain mencakup:


• Persetujuan investasi proyek (untuk proyek outsource ataukegi-atan yang memerlukan anggaran)

• Persyaratan keamanan aplikasi (syarat password minimum,ses-sion time-out, otentikasi, dan sebagainya)

• Non Disclosure Agreement (perjanjian menjaga kerahasiaan)untuk pihak ketiga

• Manajemen Perubahan (Change Management)

• Lisensi dan standar software yang digunakan.

Hasil penerapan SMKI harus dicatat dalam bentuk laporan, log, re-kaman atau isian formulir yang relevan yang mendukung kebijakan atauprosedur yang ditetapkan seperti laporan pencatatan insiden danpenyelesaiannya, daftar pengguna aplikasi, log aktivitas user, lapor-anpelatihan/sosialisasi, permintaan perubahan dan realisasinya, hasilpengujian aplikasi, laporan perawatan komputer, dan sebagainya.

6.11 Mengukur Efektivitas Kendali

Kontrol yang telah ditetapkan baik berupa kebijakan, prosedur ataustandar yang telah ditetapkan diukur efektivitasnya denganmempela-jari hasil-hasil penerapan yang dicatat atau dituliskandalam laporan atau formulir-formulir yang relevan. Metodepengukuran kontrol harus ditetapkan terlebih dahulu, baru kemudiandiukur efektivitas kontrolnya secara periodik sesuai kebutuhan dankarakteristik kegiatan. Pengu-kuran ketercapaian sasaran keamananinformasi dapat menjadi salah satu alat untuk mengukur efektivitaskontrol seperti pada Tabel 6.3 ber-ikut ini.


Tabel 6.3: Pengukuran Ketercapaian Keamanan InformasiNo Kontrol ISO 27001 Sasaran Metoda Pengukuran Frekuensi Hasil Pengukuran

Pengukuran

1 A.13.1 Pengelolaan Menurunkan jumlah Prosentase jumlah insiden Per 3 bulan

insiden insiden karena virus tahun lalu dikurangi

sebanyak 10% dibanding prosentase insiden

tahun sebelumnya sekarang

2 A.8.3.3 Penutupan Hak akses user yang Prosentase jumlah user Per 6 bulan

hak akses menjalani mutasi/berhenti yang telah ditutup haknya

bekerja harus ditutup dibagi jumlah user yang

maksimum 2 hari setelah mutasi/keluar

statusnya dilaporkan

secara resmi

3 A.9.1.2 Akses data Seluruh (100%) pihak Prosentase pihak ketiga Per 6 bulan

center (ruang ketiga (vendor, konsultan) yang memasuki Pusat

server) yang memasuki Pusat Data yang didampingi

Data harus didampingi karyawan

karyawan

4 A.11.2 Manajemen 80% perangkat komputer Jumlah PC dengan strong Per 6 bulan

password yang sensifit sudah password dibanding

menerapkan strong jumlah PC yang ada

password

5 A.8.2.2 Kepedulian, Seluruh karyawan dalam Jumlah karyawan yang Per tahun

pendidikan dan satuan kerja yang mengikuti pelatihan

pelatihan keamanan dimasukkan dalam ruang dibanding jumlah total

informasi lingkup harus telah karyawan

mengikuti

sosialisasi/pelatihan

keamanan informasi

6 A.10.1.2 Versi aplikasi yang Bandingkan versi

Pengelolaan operasional harus sama operasional dengan versi

perubahan (change dengan versi source code terakhir

management) terakhir

7 A.10.3.2 Setiap aplikasi yang Periksa UAT untuk setiap

Penerimaan sistem operasional harus aplikasi yang operasional

menjalani UAT yang

disetujui pengguna

7Level Keamanan Informasi

Kriteria level/tingkat keamanan informasi (normal, tinggi, atau sangattinggi) ditentukan menurut keadaan yang sangat berkaitan dengansi-tuasi yang terjadi. Adapun level keamanan informasi:

Sangat Tinggi• Perlindungan informasi rahasia harus dijamin dan mematuhi

ke-butuhan kerahasiaan dalam area kritis keamanan

• Sangat penting akan informasi yang benar

• Tugas utama tidak dapat dilakukan tanpa TI. Waktu reaksiyang tanggap untuk keputusan kritis mensyaratkan kehadir-an/kemunculan yang konstan dari informasi up-date; downtimemerupakan suatu keadaan yang tidak dapat diterima

• Perlindungan atas data personal mutlak harus dijamin. Karenadikhawatirkan resiko kecelakaan atau kematian dapat terjadipa-da pihak yang terlibat, atau dapat membahayakankebebasan personil pihak yang terlibat.

Tinggi• Perlindungan atas informasi rahasia harus memenuhi persyarat-an

tinggi, dan bahkan lebih kuat untuk area kritis keamanan

52


• Informasi yang diproses harus benar; error/kesalahan haruster-deteksi dan dapat dihindari

• Ada prosedur waktu kritis atau multitude dari tugas yang dila-kukan dalam area pusat suatu organisasi yang tidak dapatdilak-sanakan tanpa penggunaan TI. Hanya downtime singkatyang dapat ditoleransi.

• Perlindungan atas data personal harus memenuhi persyaratantinggi. Jika tidak, akan ada resiko sosial maupun keuanganbagi pihak yang terlibat atau terkena dampak.

Normal• Perlindungan informasi hanya dimaksudkan untuk penggunaan

internal juga harus dijamin

• Error/kesalahan kecil dapat ditoleransi. Error signifikan yangmempengaruhi kemampuan untuk melakukan tugas harus ter-deteksi dan dapat dihindari.

• Downtime tambahan yang mengarah pada lewatnya tenggatwaktu, tidak dapat ditoleransi

• Harus adanya penjaminan data personil. Jika tidak, maka akanada resiko sosial atau keuangan yang terjadi.

Perlu dicatat, bahwa setelah menentukan level keamanan yang dii-nginkan, beberapa pertanyaan masih perlu dijawab oleh pengelolasis-tem:

• Informasi apa yang kritis bagi organisasi yang terkaitkerahasia-an, integritas, dan ketersediaan?

• Tugas kritis apa dalam organisasi yang tidak semuanya dapatdilakukan, hanya dilakukan secukupnya, atau hanya dapat di-anggap sebagai usaha tambahan tanpa dukungan TI?

• Keputusan esensial apa yang diambil dalam organisasi yangbergantung pada kerahasiaan, integritas, dan ketersediaan in-formasi dan sistem pemrosesan informasi?

• Efek apa yang mungkin dari kejadian keamanan yang tidak dii-nginkan?


• Sistem TI apa yang digunakan untuk memproses informasiyang membutuhkan perlindungan khusus terkait kerahasiaan?

• Apakah keputusan kunci/penting yang bergantung pada kebe-naran, kemutakhiran (up-dateness), dan ketersediaaninformasi yang diproses menggunakan TI?

• Persyaratan legal apa atas hasil dari perlindungan?

8Sumber Daya Manusia Tim Audit

8.1 Etika Profesi

Untuk mendapatkan kepercayaan dalam proses audit IS, perluadanya etika profesional yang dimiliki dan dijalankan oleh individuyang me-laksanakan dan institusinya. Adapun prinsip etikadiantaranya adalah sebagai berikut:

• Jujur dan Rahasia. Kejujuran adalah dasar dari kepecayaandan akan membentuk kehandalan (reliabilitas) dari penilaian.Dan kerahasiaan juga menjadi hal yang penting, karena prosesbisnis dan informasi bersifat bergantung pad keamanan infor-masi, oleh karena itu prinsip kerahasiaan sangat diperlukanme-nyangkut hasil audit. Auditor IS harus sadar akan nilaisuatu informasi yang diterima dan diketahuinya, oleh karena itutidak diperkenankan membuka informasi tanpa ijin daripemiliknya ke-cuali terkait dengan peraturan/hukum dankepentingan profesio-nal jika diperlukan.

• Kepakaran dalam ilmu. Audior IS hanya menerima pekerjaanyang sesuai dengan kepakarannya. Harus senantiasa mening-katkan pengetahuan, efektifitas, dan kualitas dari pekerjaan.

• Teliti dan objektif. Auditor IS harus mampu mendemonstasikanobjektifitas dan ketelitian kepakarannya pada level yang palingtinggi dan pada saat mengumpulkan, mengevaluasi dan mem-

55


berikan informasi pada proses bisnis dan aktifitas auditnya.Eva-luasi pada segala kemungkinan pekerjaan auditnya tidakboleh memimak dan dipengaruhi oleh kepentingan/keinginanpemilik-nya atau orang lain.

• Presentasi objektif. Auditor IS harus dapat melaporkan hasilpenilaiannya secara tepat dan jelas serta jujur kepadakliennya. Presentasi yang mudah dimengerti dan imparsialserta sesuai fakta harus dilakukan atas laporannya. Sertaharus dapat me-nyampaikan evaluasi atas fakta temuannya,rekomendasi khu-sus/spesifik untuk meningkatkan proses danperlindungan (sa-feguards).

• Verifikasi dan reproduksibilitas. Harus dapat melakukan ve-rifikasi dan memilki kemampuan untuk mereproduksi denganmengikuti dokumentasi dan metodologi reproduksi (rencanaau-dit IS, laporan audit IS) dalam menuju suatu kesimpulan.

8.2 Tanggung Jawab Klien

Dalam pelaksanaan audit keamanan IS oleh tim audit, klien harusatau pihak manajemen organisasi yang di audit harus memantau danber-tanggung jawab atas aktifitas berikut ini:

• Memeriksa latar belakang dan kualifikasi dari vendorpendukung dan auditor keamanan untuk melihat apakahmemiliki pengalam-an dan keahlian khusus.

• Mempersiapkan perjanjian untuk kerjasama dengan vendorpen-dukung yang, seperti disclaimer liability , detail layanan,pernya-taan non-disclosure, sebelum memulai satu kegiatanaudit atau penilaian. Hal ini penting ketika memutuskan untukmelakukan pengujian penetrasi eksternal, misalkanperetasan/hacking ke dalam jaringan internal dari Internet.

• Menugaskan staf sebagai kontak utama atau tambahandengan vendor

• Menyediakan daftar kontak ke vendor yang dapat dihubungipa-da saat jam kerja atau bukan jam kerja, jika dibutuhkan

• Dapat bekerjasama dan berfikiran terbuka


• Mengijinkan akses fisik dan logikal hanya ke sistem, jaringanatau peralatan komputer yang penting untuk melakukanevalua-si, dan melindungi semua aset yang dapat terkenadampak de-ngan layanan/kegiatan tersebut.

• Mendapatkan peringatan atau pemberitahuan formal dari ven-dor mengenai tingkat/level dampak atau kerusakan padajaring-an, layanan atau sistem pada saat pengujian,sedemikian hingga skema recovery dan prosedur penanganankejadian dapat dija-lankan sebelum kejadian.

• Memberikan tanggapan/respon terhadap permintaan auditorke-amanan IS sepanjang dalam waktu yang sesuai

• Memberikan ruang kerja yang memadai beserta peralatannyabagi vendor atau tim audit dalam menjalankan tugasnya

• Menyediakan semua dokumen yang diperlukan sesuai denganarea audit atau penilaian yang disepakati

• Memiliki hak untuk mengadakan rapat/pertemuan dengan ven-dor untuk proses kontrol dan review

• Melakukan perubahan atau penambahan pada kesempatanawal, terutama pada hal yang beresiko tinggi

8.3 Tanggung Jawab Auditor SI

Auditor IS seharusnya memiliki tanggung jawab sebagai berikut:

• Memiliki keahlian dan kepakaran yang sesuai/dibutuhkan

• Mengetahui dampak dari setiap perangkat dan memperkirakandampaknya ke klien yang sesuai dengan kebutuhan bisnis

• Memilki otoritas/ijin tertulis dari pihak terkait seperti dari ISPdan kepolisian, terutama pada pengujian peretasan/hacking

• Mendokumentasikan setiap pengujian apapun hasilnya, baiksukses maupun tidak

• Menjamin bahwa laporan sesuai dengan kebutuhan dan kebi-jakkan klien


• Memberikan penilaian yang baik dan melaporkan dengansege-ra setiap resiko signifikan yang ditemukan kepada klien

9Bakuan Pelaksanaan Audit

Keamanan InformasiPelaksanaan audit IS dapat mengikuti metodologi dasar berikut ini,seperti ditunjukkan pada Gambar 9.1.

1. Langkah 1. Pada prosedur awal, penentuan kondisi umumperlu dilakukan dan dokumen pendukung perlu disiapkan untukbahan rapat terbuka institusi dengan tim audit IS

2. Langkah 2. Dengan dokumen pendukung yang telah diterimapada langkah 1, tim audit akan memperoleh gambaran besarinstitusi/organisasi yang akan diperiksa dan membuat rencanaaudit IS.

3. Langkah 3. Berdasarkan rencana audit IS yang dibuat, makadilakukan penilaian konten/isi dokumen yang ada. Apabila di-perlukan, dokumen lainnya akan diminta untuk penilaian. Ber-dasarkan pada dokumen revisi dan rencana audit IS (dimana telahdi update selama proses audit berlangsung), terminologikronologis dan organisasi pada pemeriksaan langsung di tem-pat(on-site) dikordinasikan dengan penanggung jawab (contactperson) yang ditunjuk sebagai perwakilan organisasi/institusi.

4. Langkah 4. Pemeriksaan langsung di tempat (on-site) dimu-laidengan rapat terbuka yang dihadiri oleh partisipan utama.

59


Gambar 9.1: Langkah Pelaksanaan Audit IS


Fase Tugas Waktudalam %

Langkah 1 Persiapan Audit IS 5Langkah 2 Pembuatan 15

Rancangan Audit ISLangkah 3 Revisi Dokumen 20Langkah 4 Pemeriksaan on-site 35Langkah 5 Evaluasi 5

Pemeriksaan on-siteLangkah 6 Pembuatan Laporan 20

Audit IS

Tabel 9.1: Waktu Relatif yang diperlukan pada setiap langkah padapelaksanaan audit IS

Setelah itu, akan dilakukan wawancara, lokasi akan diinspek-si/dikunjungi, dan evaluasi permulaan dilaksanakan. Fase pe-meriksaan on-site diakhiri dengan rapat tertutup.

5. Langkah 5. Informasi yang diperoleh dari pemeriksaan on-sitedikonsolidasikan dan dievaluasi lebih jauh oleh tim audit IS.

6. Langkah 6. Hasil dari audit IS diringkas dalam laporan audit ISpada akhir telaah/review. Perkiraan jumlah kerja yang diperluk-an untuk setiap langkah harus berdasarkan pada jadwal padaberikut ini:

9.2 Langkah 1 - Persiapan Audit ISManajemen tingkat atas untuk setiap instansi pemerintah dan perusa-haan bertanggung jawab untuk: pelaksanaan tugas dan fungsi di se-muaarea bisnis, pencapaian target proses bisnis, dan pendeteksian danminimalisasi resiko tiap waktunya. Sebagaimana ketergantung-an prosesbisnis dengan TI meningkat, persyaratan untuk menjamin keamananinformasi eksternal dan internal juga meningkat.

Pihak manajemen harus memulai, mengendalikan dan mengawasiproses keamanan. Tanggung-jawab sepenuhnya di pihak manajemen,namun usaha untuk mencapai level keamanan yang diinginkan dapat


didelegasikan ke petugas TI. Dalam prosesnya, manajemen harus se-cara intensif terlibat dalam proses manajemen keamanan informasi, haltersebut merupakan satu-satunya jalan bahwa manajemen kea-mananinformasi dapat menjamin tidak adanya resiko yang tidak dapat diterimadan sumber daya diinvestasikan secara tepat.

Ketika memulai audit IS, pihak manajemen harus berpartisipasipa-da saat institusi atau organisasinya sedang diperiksa. Dalamtahap-an ini, objek yang akan diperiksa harus spesifik/jelas, adanyakontrak yang jelas, dan dalam kontrak tim audit IS harus diberikanotoritas (mi-salkan otoritas untuk melihat dokumen yang ada).

Orang yang bertanggung jawab dalam organisasi dalam audit IS,bagaimanapun haru menjelaskan fungsi inti organisasi kepada audi-tor dan menyediakan penjelasan singkat akan teknologi informasi(TI) yang digunakan. Dokumen rujukan berikut ini harus disediakanoleh institusi bagi tim audit IS, yang akan menjadi dasar bagipelaksanaan audit IS:

• Dokumen Institusi/Organisasi

– Diagram Struktur Organisasi (Organigram)

– Konsep kerangka kerja (framework) TI

– Jadwal Pertanggungjawaban

• Dokumen Teknis

– Konsep Keamanan. Konsep keamanan adalah dokumenutama dalam proses dan konten keamanan, seperti ren-cana jaringan, analisis struktur, definisi kebutuhan perlin-dungan, analisis keamanan tambahan, pemeriksaan kea-manan dasar.

– Ekspor database manajemen keamanan informasi, jikamemungkinkan

– Kebijakkan Keamanan. Pihak manajemen bertanggungjawab atas fungsi organisasi yang berjalan layak dan efisi-endan juga menjamin keamanan informasi baik internalmaupun eksternal. Untuk alasan tersebut, pihak mana-jemenharus memulai kontrol,dan memandu atau proses keamananinformasi. Hal tersebut termasuk diantaranya


mengeluarkan pernyataan strategis menyangkut keaman-aninformasi, spesifikasi konseptual, dan kondisi umum or-ganisasi dalam rangka untuk mencapai level keamanan in-formasi yang diinginkan dalam seluruh proses bisnis.

– Daftar Proses Bisnis yang penting. Daftar tersebut ha-ruslah ditampilkan karena merupakan kepentingan pilihandari objek target dan pemutakhiran (up-date) dari rencanaaudit IS dengan pendekatan berbasis resiko berikut.

– Jika memungkinkan, diperlukan adanya laporan audit ISdari enam (6) tahun sebelumnya.

9.3 Langkah 2 - Implementasi auditLangkah ini pada dasarnya adalah pembuatan rencana audit IS dantahapan pemindaian dokumen. Semua dokumen rujukan harus dipe-riksa kelengkapan dan kemutakhirannya (up-date-ness). Pada saatmengevaluasi kemutakhiran dokumen, sebagai catatan, bahwabebe-rapa dokumen akan lebih umum (generik) dibandingkandokumen la-innya,oleh karena itu diperlukan untuk dan tergantungpad dokumen tersebut.

Bagaimanapun, suatu institusi/organisasi harus mengevaluasi se-luruh dokumen secara reguler untuk melihat apakan sudah sesuai de-ngan keadaan sekarang/yang berlaku. Tim audit IS memeriksa pro-sedurtersebut dengan penyaringan apakah sesuai atau tidak denganmembandingkannya dengan hasil pemeriksaan langsung (on site).

Untuk faktor kelengkapan, konten/isi dari dokumen diperiksauntuk melihat jika semua aspek telah didokumentasi dan jika adanyapenu-gasan yang sesuai. Dokumen yang ditampilkan haruslahkomprehen-sif untuk tim audit IS.

Dengan penyaringan dokumen, tim audit IS akan mendapatkangambaran tugas-tugas utama, organisasi itu sendiri, dan pengguna-an TI dalam organisasi yang diperiksa. Berdasarkan hal-hal tersebutdi atas, tim audit mulai membuat rencana audit IS. Dimana rencanatersebut merupakan perangkat (tools) utama yang digunakan dalamkeseluruhan audit, dan mendokumentasikan semua aktifitas audit.


9.3 Langkah 3 - Audit Operasional

Pemeriksaan dokumen dilaksanakan dengan dasar atasperlindungan yang spesifik dalam rencana audit IS. Pemeriksaandokumen utama-nya berfokus pada kelengkapan (completeness)dan pemahaman atas dokumen. Dalam pengertian kelengkapan,dokumen harus diperiksa untuk menjamin semua aspek utama(seperti sistem, jaringan, aplika-si TI, dan ruangan) terdokumentasidan peran yang dijelaskan sudah ditugaskan secara aktual.

Evaluasi kelayakan mencakup antara lain, evaluasi personil,orga-nisasi, dan perlindungan teknik dalam lingkup keefektifannya.Untuk mengevaluasi kelayakan dari perlindungan, pertanyaan berikutini se-harusnya dijawab:

• Ancaman apa yang seharusnya direduksi dengan penerapanperlindungan (safeguards)

• Apakah resiko sampingan/residual yang harus diambil oleh or-ganisasi? Apakah level resiko sampingan dapat ditangani orga-nisasi menurut dokumen yang ada?

• Apakah perlindungan yang ada sesuai dan dapat secara aktualditerapkan dalam prakteknya?

• Apakah perlindungan dapat diaplikasikan, mudah dipahami,dan tidak cenderung mengakibatkan error?

Dokumen yang dipresentasikan harus dapat dipahami komprehensifoleh tim audit IS. Alasan atas keputusan yang dibuat organisasiharus disediakan dan tercantum dalam dokumen yang diperiksa.

Bagian kecil dari perlindungan yang diperiksa dapat dievaluaside-ngan lengkap sebelumnya dalam fase pemeriksaan dokumen.Ren-cana audit IS harus dilengkapi oleh hasil perlindungan dariperbedaan yang ditemukan pada saat pemeriksaan dokumen. Untuksetiap per-lindungan dalam rencana audit IS, pertanyaan utama yangperlu dija-wab dikumpulkan dalam spesifikasi teknis audit yangdigunakan, dan partner wawancara dalam organisasi untukpemeriksaan langsung di lokasi (on-site).

Setelah itu, pertanyaan ini perlu dilakukan konsolidasi. Hal terse-butberarti bahwa pertanyaan mengenai perlindungan harus diurutkan, danjika mungkin, menurut rekan wawancara diringkas menurut sistem


yang diperiksa, dan pertanyaaan yang redundan dihilangkan. Hal ter-sebut akan memudahkan prosedur audit IS, meningkatkan kemudah-an pemahaman atas hasil, dan diberikan pada dokumen pengujianaksi.

Dalam kerjasama dengan dengan staff penghubung dariorganisa-si yang diperiksa, tim audit IS bekerja diluar waktupenjadwalan untuk pemeriksaan langsung (on-site) yang tercakupdalam rencana audit IS. Staff penghubung dalam organisasi yangdiperiksa bertanggung jawab untuk penjadwalan koordinasi danmenyediakan ruangan yang dibutuhkan apabila perlu.

Rencana audit pada saat ini terdiri dari hal-hal berikut ini:

• Spesifikasi dari objek dan perlindungan target modul yangdipe-riksa

• Perlindungan tambahan untuk menguji kemunculan konjungsidengan defisiensi yang ditemukan selama pemeriksaanberlang-sung

• Pemilihan teknik audit untuk tipe perlindungan tertentu

• Jika memungkinkan, spesifikasi dan peran dari rekananwawan-cara

• Spesifikasi dari penjadwalan

9.4 Langkah 4 - Audit Infrastruktur

Langkah ini dilakukan dengan pemeriksaan di lokasi (on site). Tujuandari pemeriksaan langsung di lokasi adalah untk membandingkandan memeriksa dokumen yang dsajikan, seperti konsep danpanduan, de-ngan kondisi aktual di lokasi sehingga dapat dilihatapakah keamanan informasi digaransi dalam bentuk yang cukup danpraktis dengan jenis perlindungan yang dipilih.

Namun pada pelaksanaannya, tim audit IS tidak harus mutlak ber-paku setiap saat pada rencana audit IS. Mungkin dan wajar pada suatuwaktu melewatkan beberapa bagian dari rencana audit. Hal tersebutmerupakan kasus yang terjadi dikarenakan perlindungan untuk sam-pelpertama yang direview tidak diimplentasikan dengan baik dan cu-kup,yang berarti perlu dilakukan pengujian mendalam. Selain pengu-jianmendalam perlu diperlukan pengujian lebih jauh untuk mencari


kesenjangan (gap) keamanan. Rencana audit IS perlu dilakukan pe-mutakhiran atasnya.

Keputusan untuk membatalkan atau memperluas pemeriksaanob-jek target modul atau perlindungan merupakan diskresi dari timaudit IS. Perluasan pemeriksaan merupakan suatu keharusan, yangbagai-manapun juga tetap ada pembatasan atas objek audit sesuaidengan spesifikasi dalam kontrak dengan manajemen.

Tim audit IS mengadakan rapat pembukaan pada permulaan pe-meriksaan on-site dengan pihak manajemen institusi/organisasi yangbersangkutan diantaranya, baik orang yang bertanggung jawab akanaudit IS, Kepala TI, dan petugas TI. Jika dibutuhkan, dimungkin jugarapat dihadiri perwakilan dari bagian lain. Pada saat rapat perlu dije-laskan oleh mengenai objek audit dan prosedur audit. Tim audit ha-rus mempresentasikan mengenai dokumen apa saja yang diperlukanuntuk memperlancar proses audit IS. Perlu dijelaskan juga dalam ra-pat mengenai anggota tim auditor, waktu pemeriksaan, regulasiakses, dan jam kerja.

Rencana audit IS yang digunakan oleh tim audit IS berperanseba-gai perangkat bantuan yang bertujuan mempercepat prosespenger-jaan, dan digunakan untuk mendokumentasikan kegiatanpengujian yang dilakukan.

Pengujian dilaksanakan pada permulaan menggunakan teknikau-dit yang dipilih, biasanya dalam bentuk wawancara dan inspeksi.Tim audit IS tidak dapat langung mengintervensi langsung ke sistem,ter-utama ketika sistem dan metode yang rumit atau karena ukurandata yang sangat besar telah berjalan. Untuk mengatasinya, timdapat me-minta informasi pendukung seperti berkas ataudokumentasi elektro-nik untuk proses evaluasi lebih lanjut. Tetap, timaudit IS harus ter-up-date setiap saat.

Jika tim audit menemukan adanya deviasi atau penyimpangan daristatus dokumen yang ada pada saat pemeriksaan sampel, oleh kare-naitu perlunya penambahan jumlah sampel untuk mendapatkan pen-jelasan yang beralasan. Pemeriksaan hanya bisa berhenti manakalapenjelasan mengenai alasan deviasi sudah dapat terjawab.

Selama pemeriksaaan berlangsung, semua fakta seperti spesifi-kasi sumber daya dan informasi dari dokumentasi yang diminta baikdalam hasil wawancara atau dokumen tertulis. Bantuan teknis seper-ti foto dan screen shot dapat digunakan untuk dokumentasi. Semuasumber daya dokumentasi teknis harus disetujui oleh pihak manaje-men institusi dan hanya dapat digunakan dengan ijin.


Pada akhir pemeriksaan on-site, semua hasil sementara, sisaker-ja dan prosedur yang belum terlaksana perlu disampaikan dalamrapat penutupan. Pihak terkait seperti Kepala TI, Petugas TI,penanggung jawab TI institusi harus hadir dalam rapat tersebut,termasuk perwakil-an bidang/bagian lain jika diperlukan.

9.5 Langkah 5 - Evaluasi Audit On-site

Setelah pemeriksaan/audit on-site, informasi yang didapat perludiga-bungankan dan dievaluasi. Tahap evaluasi ini dapat puladilakukan oleh pakar/ahli apabila memerlukan pengetahuan pakartersebut, jika tim audit tidak dapat menjalankan tahap tersebut. Jikaada kontrak dengan pakar tersebut, perlu dijelaskan dan memintaizin dari institu-si yang diperiksa, atau dapat membuat informasianonim sedemikian dapat ditarik kesimpulan terkait organisasi ataupersonil. Evaluasi in-formasi termasuk kedalam evaluasi keseluruhandari pengujian atas perlindungan (safeguards).

Setelah evaluasi dokumen dan informasi lainnya, dilakukanevalu-asi final/akhir pada perlindungan yang diuji dan hasil diringkasdalam laporan audit IS.

9.6 Langkah 6 - Laporan Audit

Laporan audit IS, termasuk dokumen rujukan, dilaporkan dalam ben-tuk tertulis untuk diserahkan pada pihak manajemen institusi yang di-periksa, Kepala TI, Penanggung jawab audit, dan petugas TI terkait.Versi draft laporan audit IS diberikan kepada pihak manajemen untukmemverifikasi fakta yang ditemukan oleh tim audit IS. Pihak manaje-men institusi yang diaudit bertanggung jawab untuk memastikan bah-wa memberikan informasi kepada semua pihak yang terkenadampak terkait hasil audit.

Laporan audit IS, minimal terdiri dari isi sebagai berikut:

• Ringkasan Eksekutif,

• Evaluasi bergambar dari status keamanan informasi

• Deskripsi lengkap atas fakta temuan

• Evaluasi setiap perlindungan (safeguards) yang diuji.


Evaluasi Keamanan Visualisasi Warnadalam Laporan

Kelemahan MerahKeamanan tingkat

SeriusKelemahan KuningKeamanan

Rekomendasi HijauKeamanan

Tabel 9.2: Visualisasi Warna Penekanan atas Kelemahan Keamanan

Laporan audit terdiri dari bagian berikut ini:

1. Bagian 0, terdiri atas informasi institusi/organisasi, misal dasarpengauditan, kronologis per langkah kegiatan audit IS,deskripsi singkat tentang kontrak audit

2. Bagian 1, merupakan ringkasan eksekutif/manajemen. Ring-kasan ini terdiri dari maksimal dua halaman, isi fakta utamayang ditemukan dalam audit IS dalam bentuk singkat danmenyeluruh, rekomendasi hasil dari fakta temuan.

3. Bagian 2, sebagai tambahan bagi ringkasan eksekutif, perludi-dukung dengan gambar atau grafik hasil audit.

4. Bagian 3, terdiri dari deskripsi detil area pengujian dan faktatemuan berikut detil teknis dan rekomendasi. Disarankan untukmempersingkat bagian ini sesuai dengan objek target modul danpengujian perlindungan. Hanya perlindungan yang tidak mema-daidan rekomendasi perlindungan keamanan yang perlu dican-tumkan di bagian ini. Sebaiknya digunakan visualisasi warna yangmenarik/mentereng untuk memberi penekanan mengenai faktadan rekomendasi, seperti pada Tabel 9.2:

Pada pembuatan laporan audit IS, aspek formal berikut harus di-cantumkan. Semua uji yang dilakukan, hasilnya, dan evaluasi hasilharus dokumentasi yang dapat direproduksi dan dimengerti.

• Tabel dari isi harus mengandung laporan aktual termasuk apen-dik(misal: screen shot, gambar, log file, dll). Setiap apendik


harus mudah diidentifikasi sehingga pengecekan laporan auditdan apendik dengan lengkap.

• Semua dokumen rujukan harus didaftarkan

• Data yang disimpan, misalkan catatan notulensi rapat atau logfile evaluasi yang merujuk pada laporan harus disertakandalam apendik

• Setiap halaman dirancang untuk kemudahan proses identifikasi(misalkan, menggunakan nomor halaman, nomor versi danjudul serta tanggal laporan)

• Jika ada perangkat lunak yang digunakan dalam kegiatanaudit, misal perangkat untuk analisis, maka perlu dicantumkanjenis dan versinya serta hasil cetaknya.

• Terminologi khusus atau singkatan yang tidak biasa digunakandan muncul dalam laporan, maka perlu ditulis dalam glossaryatau indeks singkatan

Pihak manajemen perlu mendapatkan secara reguler laporansebagai berikut:

• Hasil utama dari laporan audit IS

• Status keamanan dan pengembangan status keamanan ditun-jukkan dalam laporan audit IS

• Tindak lanjut kegiatan

Laporan audit dan dokumen referensi harus disimpan dalam bentukbebas dari revisi (revision-proof) dari insitusi yang diaudit minimal un-tuk selama 10 tahun sejak laporan diserahkan. Laporan tersebutmen-jadi rujukan dasar bagi audit di periode selanjutnya.

Kriteria untuk pengarsipan bebas dari revisi adalah sebagaiberikut (IT-Grundschutz module 1.12):

• Ketepatan (Correctness)

• Kelengkapan (Completeness)

• Perlindungan dari perubahan dan kesalahan

• Aman dari kehilangan


• Hanya dapat digunakan oleh pihak yang memiliki otoritas

• Perawatan untuk setiap periode pengarsipan

• Dokumentasi prosedur

• Dapat diuji

• Dapat direproduksi

10Tindak Lanjut Audit

Keuntungan dari penilaian resiko IS dan audit adalah bukan dari re-komendasi yang dihasilkan, namun pada implementasi yang efektif.Ketika rekomendasi diberikan, pada dasarnya pihak manajemen ak-an merespon untuk penerapannya. Namun, keputusanmanajemenlah yang menentukan terjadinya resiko keamananapabila diterapkan atau tidaknya rekomendasi tersebut. Perlualasan-alasan yang cukup guna mendukung keputusan yang dibuat.

Ada tiga hal penting terkait dengan rekomendasi yang dibuatdalam audit:

• Rekomendasi yang berkualitas, dan efektif

• Komitmen

• Pengawasan dan tindak lanjut

Auditor IS diperlukan untuk menghasilkan rekomendasi yang ber-kualitas dan efektif, yang harus memiliki karakteristik berikut ini:

• Spesifik dan jelas, mudah dimengerti dan teridentifikasi

• Meyakinkan dan persuasif dengan bukti yang cukup

• Signifikan (berarti)

• Memungkinkan untuk diterapkan

71


Gambar 10.1: Tindak Lanjut atas Rekomendasi yang diberikan

Komitmen seseorang atau suatu departemen sangatlah pentinguntuk implementasi suatu rekomendasi. Auditor, staff, dan pihakmanajemen memiliki bermacam kepentingan, penekanan danprioritas atas suatu rekomendasi yang diberikan.

• Auditor IS, merupakan pihak pertama yang memberikan reko-mendasi untuk peningkatan lebig baik, oleh karena itu auditorharus:

– percaya diri atas rekomendasi yang diberikannya dan ji-karekomendasi ditindaklanjuti maka seharusnya ada suatupeningkatan yang terjadi

– memahami lingkungan kerja unit/departemen berikut ken-dalanya seperti kendala waktu, sumber daya dan budaya

– berkomunikasi melalui jalur yang efektif dan seharusnyadalam memberikan rekomendasi

• Staff, merupakan pihak yang secara langsung atau tidak lang-sung terpengaruh oleh rekomendasi.Seorang staff haruslah:

– dimotivasi dan didorong untuk bekerjasama denganauditor IS

– diberikan waktu dan sumber daya yang cukup untuk mela-kukan kerja tambahan dan pengembangan


– dijamin mendapatkan keuntungan atas suatu rekomendasi

• Manajemen, memegang peranan penting dalam pemberdayaanpengembangan. Pihak manajemen seharusnya:

– proaktif bukan reaktif terhadap permasalahan keamanan– menyediakan dukungan yang berarti akan proses audit

dan penilaian– mengalokasikan sumber daya yang cukup untuk pengem-

bangan– memahami bahwa penindaklajutan merupakan hal yang

berharga dan menjadi tanggung jawabnya– mendorong munculnya pengembangan dengan rencana,

kendali dan komunikasiyang cukup– mempromosikan kesadaran dan pelatihan bagi staff

10.1 Pengawasan dan Tindak Lanjut

Pengawasan dan tindak lanjut memiliki 3 langkah utama:

• Menyiapkan sistem pengawasan dan tindak lanjut yang efektif

• Mengidentifikasi rekomendasi dan mengembangkan rencanatindak lanjut

• Melakukan pengawasan aktif dan pelaporan

Pihak manajemen seharusnya menyiapkan sistem tindak lanjut danpengawasan untuk menindak lanjuti suatu rekomendasi. Selain itu,manajemen bertanggung jawab memberikan dukunga yang cukup,panduan keseluruhan, dan arahan.

10.2 Identifikasi Rekomendasi dan Perenca-naan

Untuk melakukan pengembangan yang efektif, hal berikut perlu dila-kukan:


• Mengidentifikasi rekomendasi yang kritis, signifikan dan reko-mendasi kunci dengan tambahan pengawasan dan kerja mak-simal

• Mengembangkan rencana tindak lanjut untuk semua rekomen-dasi; termasuk rencana implementasi, perkiraan waktu, daftaraksi, metode dan prosedur verifikasi hasil

• Menekankan pada rekomendasi kunci yang dilaporkan danmen-jadi prioritas pada proses tindak lanjut

• Menindaklanjuti semua rekomendasi sesuai rencana

Secara proaktif mengawasi dan melaporkan kemajuan dan status ak-si, dan mengambil langkah penindaklajutan semua rekomendasiyang dibutuhkan sampai implementasi selesai.

10.3 Status Aksi dan Kemajuan

Ada beberapa status aksi dan kemajuan:

• Aksi belum dimulai

• Aksi selesai/lengkap/selesai

• Aksi sedang dilakukan dengan tanggal penyelesaian target

• Alasan suatu aksi belum dijalankan

• Aksi alternatif jika ada perbedaan dari rekomendasi

Berikut ini adalah beberapa aksi tindak lanjut sebagai pertimbangan:

• Review/telaah rencana implementasi, dokumentasi dan jadwalwaktu rencana aksi

• Temukan alasan yang kuat kenapa suatu aksi tidak dilakukan

• Tetapkan langkah atau tugas tambahan untuk menanganikesu-litan teknis, operasional dan manajerial

• Temukan rekomendasi alternatif terkait dengan lingkunganyang tidak diharapkan atau ada perubahan persyaratan


• Tentukan penyelesaian atau pemberhentian rekomendasi apa-bila sudah berhasil diterapkan dan diujikan, atau tidak lagi validatau tidak berhasil walaupun sudah dilakukan aksi lebih lanjut

• Menilai keefektifan dari aksi korektif

• Melaporkan pencapaian, status dan kemajuan/progress kepihak manajemen

• Eskalasikan ke manajemen apabila dapat diterapkan, terutamaketika implementasi atas rekomendasi kunci tidak cukup atautertunda.

11Pengujian dan Latihan

Setelah mengetahui konsep manajemen keamanan informasi, danse-belum memulai secara aktual proses audit IS, manajemen dapatmela-kukan uji/pengujian dan latihan terlebih dahulu terhadaprencana au-dit IS yang ditentukan agar proses audit IS nanti dapatberjalan de-ngan efektif dan efisien serta meminimalkan resiko ataudampak yang mungkin terjadi pada proses audit.

Pengujian dan latihan memverifikasi asumsi dasar dari konsep ituberada. Penerapan pengukuran atau paket pengukuran individu me-meriksa aspek ketepatan (correctness), dan operasional akan tekno-logi yang digunakan. Latihan juga menunjukkan jika dokumentasi ke-berlangsungan bisnis dapat berguna dan juga melihat apakah faktoryang terlibat dapat menjalankan tugas yang diperintahkan pada saatdarurat.

Latihan-latihan akan melatih prosedur yang dijelaskan dalam ren-cana audit IS, membuat personil menjalankan aksi yang dibutuhkansecara rutin, dan memverifikasi apakah solusi efisien. Latihan akanmeningkatkan waktu reaksi dan menyediakan rasa atau tingkat kea-manan bagi pegawai pada saat bekerja menggunakan sistem TI. Ka-rena kecenderungan orang yang bertindak tanpa berfikir secarabenar dan rasional ketika terjadinya krisis, maka latihan sangat perludilakuk-an dan jangan pernah dianggap hal yang remeh.

Pengujian dan latihan akan selalu terkait dengan faktor waktu danpengeluaran. Untuk memastikan investasi yang ditanam dalam pe-ngujian dan latihan menjadi hal yang masuk akal, maka perlu adanya

76


suatu rencana. Rencana yang dibuat harus memasukan serangkaiantes dan latihan, tidak hanya satu. Jenis pengujian dan latihan dipilihbergantung pada tipe dan ukuran organisasi beserta lingkunganlokal-nya dan harus dipilih dalam bentuk kasus -per-kasus.

11.1 Jenis Uji dan LatihanBerikut ini adalah beberapa jenis uji dan latihan, mulai dari yang se-derhana hingga komplek:

• Pengujian pengukuran pencegahan teknis. Untuk menja-min kelayakan dan operasional dan solusi teknis, solusi terse-but haruslah diuji. Sebagai contoh, pengujian baris yang redun-dant, power supply, restorasi data dari backup data, keandal-an cluster, teknologi alarm yang digunakan, infrastruktur teknisatau komponen-komponen TI lainnya. Komponen individualdan masing-masing fungsinya harus diuji secara reguler dandiuji ke-tika ada perubahan besar akan sistem untuk melihatdan me-mastikan interoperasinya.

• Pengujian fungsi. Jenis uji ini, fungsionalitas dari prosedur-prosedur, subproses, dan kelompok sistem dinyatakan dalam subrencana yang bermacam-macam dari buku tangan (han-dbook)keberlangsungan bisnis yang akan diperiksa. Selam pe-meriksaanberlangsung, prosedur-prosedur, perlu diperiksa ter-utamamenyangkut interoperasi dan ketergantungan dari kom-ponen ataupengukuran yang berbeda. Hal tersebut termasuk diantaranyarencana recovery, rencana restorasi, dan rencanakeberlangsungan bisnis untuk pengukuran segera (misal prosesevakuasi personil ketika alarm kebakaran berbunyi).

• Telaah (review) rencana. Tujuan dari telaah rencana adalahuntuk memeriksa rencana individual atas tanggapan akankrisis dan keadaan darurat.

• Latihan tabletop. Pengertian latihan tabletop digunakan untukmerujuk pada pemeriksaan teoritis suatu masalah dan skenario diatas meja. Dalam latihan ini, skenario hipotesis diberikan dankemudian secara teoritis diperiksa. Latihan jenis mudah dalampelaksanaannya. Latihan ini harus dilakukan berulang kali sela-mapenetapan fase manajemen keberlangsungan bisnis.


• Latihan tim krisis. Merupakan bentuk khusus dari latihan ta-bletop, dalam hal ini latihan dilakukan bekerjasama dengan timkrisis

• Latihan command post (ruang kendali). Juga merupakanbentuk lain dari latihan tabletop yang berdasar pada versi tam-bahan/pengembangan dari latihan tim krisis yang digunakanun-tuk memeriksa dan melatih kerjasama dalam tim krisis sertame-meriksa tingkat kerjasama antara tim krisis dengan timopera-sional. Secara umum struktur dari command post diujidalam latihan praktik yang simultan dengan implementasioperasional secara teoritis

• Latihan alam dan komunikasi. Titik kritis pada saat meresponkeadaan darurat atau krisis adalah melaporkan dan memperi-ngatkan (alarm) tim krisis dan orang lain yang bertanggung ja-wab.Oleh karena itu, perlu diperiksa secara reguler akan prose-durpelaporan, eskalasi dan alarming (peringatan). Ruang ling-kup darites ini mulai dari pemeriksaan sederhana atas sumber dayakomunikasi hingga pengumpulan tim krisis dalam ruangpertemuan tim krisis. Dalam uji ini, tanggung jawab dan no-mortelepon perlu dicantumkan dalam rencana, seperti halnya strategieskalasi, prosedur, dan kemampuan menjangkau orang terkaitserta aturan pergantian. Contohnya adalah pencantuman dalamrencana untuk komponen: sistem alarm, telepone daru-rat, SMS,pager,Internet, komunikasi radio atau satelit)

• Simulasi skenario. Dalam simulasi realistis, prosedur dan pe-ngukuruan dinyatakan untuk merespon skenario atau kejadiankeberlangsungan bisnis harus dilakukan pengujian.

• Latihan keberlangsungan bisnis atau skala penuh. Tipe si-mulasi yang paling komplek adalah latihan keberlangsungan bis-nis atau skala penuh. Adalah hal yang harus dilakukan untukmemasukan organisasi eksternal seperti pemadam kebakaran,organisasi bantuan, instansi pemerintahan dalam latihan. Latih-anskala penuh berdasarkan situasi realistis dan integrsi semua levelhirarki, mulai manajemen hingga ke tingkat bawah seper-tikaryawan yang perlu dilatih. Rencana dan pengeluaran yangdibutuhkan untuk persiapan, eksekusi, dan evaluasi tidak bolehdianggap sepele. Latihan skala penuh dilakukan apabila ingindicapainya persyaratan keberlangsungan bisnis tingkat tinggi.


Tabel 11.1: Jenis Latihan

Latihan keberlangsungan bisnis dilakukan secara reguler de-ngan interval waktu yang lebih panjang antara tiap latihan.

• Perbandingan tipe latihan berbeda. Berbagai kriteria diguna-kan untuk membedakan antaa tipe latihan dan pengujian. Yangdapat diklasifikasikan menurut jenis prosedur, kelompok target,lingkup atau perluasan. Terdapat tiga area tanggung jawab un-tuk kelompok sasaran/target: area strategi, area taktik, danarea operasional. Tabel 11.1 merupakan peta untuk tiga areaterse-but.

11.2 Dokumen Latihan dan PengujianUntuk mendukung pengujian dan latihan diperlukan adanyadokumen pendukung, adapun jenisnya adalah sebagai berikut.

• Manual/Panduan Latihan. Semua pengujian dan latihan ma-najemen keberlangsungan bisnis dalam organisasi harus diren-


canakan dan disiapkan. Oleh karena itu untuk tetap menjagajumlah gangguan pada tingkat yang rendah, perlu dilakukan ujidan latihan atas faktor berikut: keputusan strategis, spesifikasidasar, kondisi umum dan perjanjian-perjanjian. Manual latihanharus dapat menjawab pertanyaan-pertanyaan berikut:

– Apa strategi penting dari uji dan latihan keberlangsunganbisnis dari organisasi?

– Apa tujuan dari uji dan latihan?– Berapa besar bobot nilai yang diberikan organisasi untuk

kegiatan pengujian dan latihan?– Masuk dalam klasifikasi jenis apa suatu pengujian dan la-

tihan dilakukan? Berapa banyak waktu yang dibutuhkanuntuk tiap jenis dan berapa biaya kasar untuk tiap jenis-nya?

– Apa tujuan dari setiap jenis pengujian dan latihan?

– Berapa banyak pengujian dan latihan yang harus dilakuk-an? Apakah ada badan/institusi pengawas resmi terkaitde-ngan frekuensi latihan dan pengujian?

– Peran apa yang didefinisikan ketika merencanakan danmelakukan pengujian dan latihan? Apa tugas, hak, dankewajiban dari peran tersebut?

– Area mana yang harus diuji: pengetahuan dan kemampu-anpartisipan dan karyawan, prosedur manajemen keber-langsungan bisnis, mekanisme dan teknologi yang digu-nakan, dokumentasi keberlangsungan bisnis, operasionalsumber daya pusat, pengukuran terencana , dan lain lain?

– Metode latihan apa yang digunakan?– Pada level apa suatu latihan dioerbolehkan

mempengaruhi operasi bisnis harian?– Bagaimana dokumentasi pengujian dan latihan? Seberapa

detil akan didokumentasikan?– Bagaimana cara mendapatkan hasil latihan tersebut?

Manual latihan terdiri dari prinsip dasar strategis sebagai ban-tuan detil untuk merencanakan, melakukan dan mengevaluasi


pengujian dan latihan. Termasuk di dalamnya, sebagai con-toh, template dokumen untuk undangan, pengumuman, rekam-an log, atau kuesioner evaluasi yang perlu diisi untuk atau dia-daptasi untuk latihan khusus.

• Rencana latihan. Merupakan kewajaran membuat serangkai-an pengujian dan latihan yang sesuai, yang mencakup semuaarea organisasi atas rencana keberlangsungan bisnis yanghen-dak diujikan. Dalam rencana latihan, skenario terrencana,jenis latihan, tujuannya, metode latihan (diumumkan atautidak), per-an yang terrencana, dan durasi waktu latihan yangdiharapkan harus jelas disebutkan dalam setiap pengujian dansetiap latih-an. Taksiran kasar dari persyaratan sumber dayapersonil dan sumber daya keuangan harus dibuat.

• Konsep pengujian dan latihan. Konsep terpisah pengujian danlatihan harus bekerja untuk setiap uji dan latihan. Konsep ini ter-diri dari rencana eksekusi detil. Konsep pengujian menjelask-anpengunaan metode dalam pengujian sistem, perangkat apa yangdigunakan , dan penjelasan kondisi umum. Konsep latih-anmenjelaskan kelompok/grup partisipan, asumsi peran setiappartisipan, kerangka kerja kronologis, dan kriteria untuk menye-lesaikan atau mengakhiri latihan. Dan spesifikasi minimum beri-kutyang harus ada dalam konsep pengujian latihan:

– Nama latihan

– Waktu, Tanggal, Durasi Latihan yang direncanakan

– Lokasi latihan

– Jenis latihan

– Tujuan

– Pemimpin latihan

– Partisipan, pengamat dan penjaga rekaman

– Petunjuk latihan (dalam bentuk singkat)

– Skenario

Konsep latihan harus dibuat dalam dua tahap. Pertama, kon-sepdasar dibuat dan masukkan dalam persetujuan manajemen. Yangkemudian dibuat konsep detailnya. Tambahan berikut ha-rusdiambil dalam akun jangka panjang, latihan skala besar dan


Tabel 11.2: Contoh Skrip Latihan

latihan skala penuh. Termasuk di dalamnya, sebagai contoh,mengambil langkah pencegahan selama latihan yang mencegahpartisipan dalam mendapatkan makanan dan minuman.

• Skrip latihan. Skrip latihan harus dibuat untuk skenario latihanekstensif. Dalam skrip, situasi awal, rangkaian spesifik darikeja-dian dalam latihan, kejadian-kejadian, dan urutan dimanaeven terjadi dijelaskan sedetil mungkin. Skrip dapat membantumode-rator latihan untuk menspesifikasikan rentetan kejadianselama latihan berlangsung. Format skrip latihan dapatmenggunakan Tabel 11.2. Tabel tersebut, nomor sekuensialdiletakkan disam-ping tiap aktifitas individual (situasi tunggal).

• Waktu Pengujian dan Latihan. Eksekusi dan serangkaian keja-dian dalam pengujian dan latihan didokumentasikan secara cer-mat dalam menit pengujian dan latihan. Menit tersebut mengan-dung informasi dimana jadwal waktu digunakan sebagai dasar.Menit pengujian dan latihan membentuk basis untuk melakukanpenilaian setelah pengujian dan latihan, penentuan kelemahan,dan masukkan untuk peningkatan.


11.3 Melaksanakan Pengujian dan Latihan

Beberapa prinsip dasar berikut harus diikuti pada saat pelaksanaanpengujian dan latihan. Sebagai contoh, uji atau latihan tidak hanyauntuk meminimalkan gangguan operasi normal. Pada saat memilihwaktu dan tanggal eksekusi harus dimasukkan dalam akun bahwa ujidan latihan tersebut memiliki pengaruh langsung pada operasional.Sistem yang diuji mungkin saja dapat berada pada kinerja produktiftingkat rendah selama tes atau mungkin tidak tersedia sama sekali.Oleh karena itu, perlu direkomendasikan untuk melakukan pengujiandan latihan di luar jam kerja biasa.

Karyawan yang terlibat dalam ujian latihan harus meninggalkanpe-kerjaan hariannya selama fase latihan. Waktu megikuti latihanbagi karyawan harus dianggap sebagai waktu kerja karyawanbersangkut-an dan sekaligus penilaian. Jika ujian dan latihandilakukan di luar jam kerja biasa maka perlu adanya perjanjian kerjadibuat dengan perwa-kilan manajemen.

Pengukuran harus direncanakan dan memastikan bahwa latihantetap di bawah kendali pihak yang terlibat dan tidak boleh mengarahpada malfungsi. Kriteria penghentian/pengakhiran untuk latihandapat termasuk ekspirasi waktu tertentu atau pengenalan bahwapengukur-an diimplementasikan tidak dapat digunakan untukmencapai sukses yang diinginkan.

Kerja ekstensif dibutuhkan untuk perencanaan, persiapan dan ek-sekusi latihan. Untuk alasan ini, peran untuk mempersiapkan dan ek-sekusi latihan harus di jelaskan bersama dengan tugas dan haknya.

• Penulis latihan (exercise author ). Penulis/pengarang latih-anharus ditentukan untuk mempersiapkan latihan. Pekerjaanorang ini terdiri dari pengembangan rencana latihan termasukperancangan latihan individu, dimulai dari spesifikasi skenariodan seleksi atas partisipan hingga ke persiapan lingkungan di-mana latihan akan dilaksanakan. Tugas ini tidak boleh dipan-dag sepele dan membutuhkan banyak waktu tergantung padajenis latihan yang dilaksanakan. Penulis latihan ini harus terbi-asa dengan konsep rencana kontigensi dan rencan darurat in-dividu, rencana recovery dan rencana restorasi. Peran ini bisadialamatkan pada petugas keberlangsungan bisnis ataupemim-pin tim krisis.

• Tim persiapan. Untuk membuat dan membangun konsep latih-


an dan skrip latihan, penulis latihan membutuhkan bantuan daritim persiapan. Tim ini dapat terdiri dari kepala unit atau kepalabagian.

• Manajer/moderator latihan. Peran sentral pada latihan yai-tumoderator/manajer latihan. Tugas orang ini adalah meng-awalilatihan, mengkordinasikan aktifitas masing-masing indivi-du,membuat keputusan alternatif atau simpangan dari rencana,mengakhiri latihan.

• Tim inti. Tugas tim inti terdiri dari penyediaan konsultasi tek-nis, menjawab pertanyaan dari peserta latihan ataumengenalk-an situasi tunggal untuk mengilustrasikan situasidalam skenario latihan.

• Penjaga waktu. Tugas dari kelompok ini menentukansehingga waktu latihan tidak berkepanjangan atau kurang.

• Pengamat. Pengamat bisa berasal dari anggota departemenaudit, pegawai dari bagian lain yang ditunjuk, atau pakar dariluar atau perwakilan instansi pemerintah atau lembagabantuan lainnya.

• Pemain. Kelompok pemain dapat berasal dari orang yangbertanggung jawab terhadap proses, perwakilan karyawan, pe-langgan/nasabah, dan lain lain.

Eksekusi suatu latihan secara mendasar dibagai ke dalam empat fase:

1. Fase Perencanaan dan pelepasan (planning and release)

2. Fase Persiapan

3. Fase eksekusi

4. Fase evaluasi

12Indeks KAMI

Kementerian Komunikasi dan Informatik telah mengeluarkan indeksKAMI (Keamanan Informasi) yang digunakan untuk melakukanpenila-ian dari penerapan tata kelola keamanan Sistem Informasi dilingkung-an badan pemerintah.

Indeks KAMI merupakan alat evaluasi untuk menganalisa tingkatkesiapan pengamanan informasi di Instansi pemerintah. Alat evaluasi initidak ditujukan untuk menganalisa kelayakan atau efektifitas bentukpengamanan yang ada, melainkan sebagai perangkat untuk membe-rikan gambaran kondisi kesiapan (kelengkapan) kerangka kerja kea-manan informasi kepada pimpinan Instansi. Evaluasi dilakukan terha-dapberbagai area yang menjadi target penerapan keamanan informa-sidengan ruang lingkup pembahasan yang juga memenuhi semua as-pekkeamanan yang didefinisikan oleh standar ISO/IEC 27001:2005.

Kelengkapan Dokumen Kerangka Kerja Sistem Manajemen Kea-manan Informasi (SMKI) secara ditail dapat dilihat pada Tabel 12.1dan Tabel 12.2.

Setelah dilakukan verifikasi makan akan dinilai berdasarkan :

1. Kekuatan Kematangan SMKI

(a) Aspek Kerangka Kerja

(b) Aspek Perencanaan Keamanan Informasi

(c) Aspek Penerapan

2. Kelemahan/Kekurangan SMKI

85


Tabel 12.1: Kelengkapan Dokumen SMKI (1)No Nama Dokumen Ya Tidak Keterangan

D: Draft, R:RilisT: Tersosialisasikan

Kebijakan, Sasaran, Rencana,Standard

1 Kebijakan Keamanan Informasi(ref. kebijakan yang disyaratkanISO 27001)

2 Penggunaan Email dan Internet3 Sasaran TI/Keamanan Informasi4 Organisasi TI/ Keamanan

Informasi (IT StreeringCommitee, Fungsi Keamanan TI)

5 Metodologi Manajemen Resiko TI6 Business Continuity Plan7 Kualifikasi Informasi8 Standard software desktop9 Metoda Pengukuran Efektifitas

Kontrol


Tabel 12.2: Kelengkapan Dokumen SMKI (2)No Nama Dokumen Ya Tdk Keterengan

D: Drat, R:RilisT: Tersosialisasikan

Prosedur-prosedur1 Pengendalian dokumen2 Pengendalian rekaman3 Tindakan perbaikan dan

pencegahan4 Audit internal5 Penanganan (handling)6 Pengelolaan media removable7 Change Control Sistem TI8 Pengelolaan Akses Kontrol9 Pengelolaan gangguan TI/Insidn

Keamanan Informasi10 Monitoring Sumber Daya TI11 Instalasi software12 Backup & restore

(prosedur/jadwal)13 Teleworking


(a) Aspek Kerangka Kerja

(b) Aspek Perencanaan Keamanan Informasi

(c) Aspek penerapan

13Penutup

Kegiatan audit dan penilaian resiko keamanan informasi di suatu or-ganisasi seperti badan pemerintahan memerlukan tahapan-tahapanyang tepat, dokumen pendukung yang lengkap dan memadai. Tentusaja proses audit harus dilakuan oleh pihak-pihak yang bertanggungjawab. Perencanaan kegiatan merupakan tahapan utama yang harusdilakukan untuk menjamin optimasi dan pengawasan serta evaluasikegiatan audit dan penilaian resiko keamanan.

Pihak yang terlibat harus dapat duduk bersama dan memiliki visidan misi yang sama dan selaras yaitu tercapainya tujuan keamananinformasi bagi organisasi. Pihak pejabat badan pemerintah eselon 1dan 2 wajib memberi dukungan awal dan keseluruhan bagi pelaksa-naan kegiatan. Staff dan petugas TI harus didukung dan mendukungpenuh pelaksanaan kegiatan. Keterbukaan dari pihak organisasimut-lak diperlukan bagi arahan audit ke depan. Kemampuan,keahlian dan reputasi pihak ketiga yakni tim audit harus dipenuhioleh tim audit itu sendiri. Kolaborasi dan kordinasi tiga pihak utamatersebut menjadi ni-lai tersendiri bagi pencapaian level keamananinformasi yang diingink-an.

Sistem informasi yang semakin kompleks ini memerlukan pena-nganan, pengelolaan, dan perawatan oleh badan pemerintah penggu-nasistem informasi tersebut. Banyak kendala yang dihadapi dalam pe-laksaan audit IS pada badan pemerintah seperti di Kemenpora harusdapat ditangani, seperti dukungan manajemen puncak yang penuh, egosektoral yang cenderung memiliki ketertutupan, petugas TI yang

89


minim pengalamanan, dan keterbukaan dokumentasi dari vendor yangsebelumnya telah menjalin kerjasama dengan Kemenepora dalam pe-ngembangan sistem, kesemuanya itu harus segera diminimalisasi dandiselesaikan dengan segera dan menyeluruh. Keamanan informasi dilingkungan Kemenpora harus mencapai level yang tertinggi sesuai de-ngan kebutuhan dan kemampuan yang miliki olehnya.

Level keamanan informasi yang maksimal di lingkunganKemenpo-ra baik di tingkat pusat dan daerah diharapkan dapatmenjadi motivasi bagi perkembangan Kemenpora ke depan. Hal inidiharapkan secara tidak langsung dapat menjadi tolak ukur ataucerminan bagi instansi lainnya di pemerintahan.

Bibliography[1] IT Security Guidelines. Section 114 IT Security Management and

IT-Grundschutz . Federal Office for Information Security. 2007.

[2] Security Risk Assessment & Audit Guidelines [G51] Version:4.0. The Government of the Hong Kong Special AdministrativeRe-gion. December 2009.

[3] Information Technology Security Evaluation Criteria ( ITSEC ).Department of Trade and Industry, London, Juni 1991.

[4] Panduan Penerapan Tata Kelola Keamanan Informasi bagiPenyelenggara Pelayanan Publik. Direktorat KeamananInformasi Kementerian Komunikasi dan Informatika RI. Edisi:2.0,Septem-ber 2011.

[5] Bel G. Raggad dan Emilio Collar, Jr. The Simple InformationSecurity Audit Process: SISAP. IJCSNS International Journal ofComputer Science and Network Security, VOL.6 No.6, June2006.

[6] Information Technology Security Evaluation Manual (ITSEM) Ver-sion 1.0. COMMISSION OF THE EUROPEAN COMMUNITIES.ECSC-EEC-EAEC,Brussels - Luxembourg 1992, 1993.

[7] BSI-Standard 100-1: Information Security Management Sys-tem(ISMS). Version 1.5. 2008. http://www.bsi.bund.de/ grundschutz.

[8] BSI-Standard 100-2: IT-Grundschutz Methodology. Version 2.0.2008. http://www.bsi.bund.de/grundschutz.

[9] BSI-Standard 100-3: Risk analysis based on IT-Grundschutz.Version 2.5. 2008. http://www.bsi.bund.de/grundschutz

[10] BSI-Standard 100-2: Business Continuity Management. Version1.0. 2009. http://www.bsi.bund.de/grundschutz.

[11] CISA (Certified Information System Auditor): CISA ReviewQues-tions, Answers & Explanations Manual 2006. InformationSys-tems Audit and Control Association 2005.

91


[12] CISA: Chapter 3: System and Infrastructure Life Cycle Manage-ment. CISA Review Manual 2008.

[13] CISA: Chapter 5: Protection of Information Assets. CISA ReviewManual 2008.

[14] CISA: Chapter 6: IT Service Delivery and Support. CISA ReviewManual 2008.

[15] Abadi, Martin (1997). Secrecy by typing in security protocols.Theoretical Aspects of Computer Software, third InternationalSymposiumm TACS 97. hlm. 611 - 637.

[16] Abadi, Martin, Roger Needham (1996). Prudent engineeringpra-ctice for Cryptographic Protocols. IEEE Transactions onSoftware Engineering, vol 22 (1), Januari 1996, hlm. 6 - 15.

[17] Adams, Anne dan Martina Angela Sasse (1999). Users are notthe enemy. Communication of the ACM . Desember 1999, vol42 (12), 41-45.

[18] Butler, Randy, Von Welch, Douglas Engert, Ian Foster, StevenTuecke, John Volmer, Carl Kesselman (2000). A national scaleauthentication infrastructure. IEEE Computer , Desember 2000,60-64.

[19] Cybenko, George, Guofei Jiang (2000). Developing a distributedsystem for infrastructure protection. IT Pro , July/Agustus 1999hlm. 17 - 22.

[20] Edwards, John (2001). Next-generation viruses present newcha-nllenges, IEEE Computer, May 2001, hlm. 16-18.

[21] Feiertag, Richard J, Peter G Neumann (1979). The Foundationof Provable Secure System.

[22] Felten, Edward W, Dirk Balfans, Drew Dean, Dan S Wallach (1997).Web Spoofing : An Internet Con Came. Technical Report 540-96.Department of Computer Science, Princeton University

[23] Gollmann, Dieter (1999). Computer Security. England : John Wi-lley & Sons Inc.

[24] Gutzmann, Kurt (2001). Access Control and Session Mana-gement in the HTTP Environment. IEEE Internet Computing,January-February 2001, hlm 26-35.


[25] Heintze, Nevin, J. D. Tyger (1996). A model for secure protocolsand their compositions. IEEE Transactions on SoftwareEnginee-ring, vol 22 (1), Januari 1996. hlm. 16 - 30.

[26] James B.D. Joshi, Walid G. Aref, Arif Ghafoor, Eugene H. Spaffo-rd(2001). Security Models for Web-Based Applications. Commu-nications of the ACM, February 2001/Vol. 44. No 2, page 38-44.

[27] James B.D. Joshi, Walid G. Aref, Arif Ghafoor, Eugene H. Spa-fford (2001). Digital Government Security Infrastructure DesignChallenges. IEEE Computer, February 2001, hlm 66-72.

[28] Joshi, Ghafoor, Aref, Spafford, “Digital Government Security In-frastructure Design Challenges”

[29] Michener, John (1999). System Insecurity in the Internet Age.IE-EE Software , July/August 1999, 62-68.

[30] Ronald, Edmund M.A, Moshe Sipper (2000). The challenge oftamperproof Internet Computing. IEEE Computer. Oktober2000, hlm 98-99.

[31] Schneier, Bruce (2008). Applied Cryptography. Canada : JohnWilley & Sons Inc.

[32] Schneier, Bruce (2000). Semantic Network Attacks.Communica-tions of the ACM vol 43(12), Desember 200.

[33] Schneier, Bruce (2000). Secrets & Lies. USA : John Willey andSons.

[34] Simon Liu, John Sullivan, Jerry Ormaner. A Practical Approach toEnterprise IT Security. IT Pro, September-Oktobe 2001, 35-42.

[35] White House (2000). National Plan for Information SystemProte-ction ver 1.0

[36] Zwicky, Elizabeth D, Simon Cooper, D. Brent Chapman (2000).Building Internet Firewall. OReilly and Associates

LampiranLembar Kuesioner

Nama : .................................Jabatan : .................................Tanggal : .................................

A. Kebijakan Keamanan2 Kebijakan keamanan telah didokumentasikan dengan baik

dan mudah dimengerti.2 Mudah diakses oleh seluruh pihak yang terlibat.2 Semua peran dan tanggung jawab yang jelas telah didefiniskan.2 Kebijakan keamanan diperiksa dan diperbarharui.2 Pengguna informasi dan berkomitmen untuk kebijakan **2 Pelatihan keamanan yang diberikan telah cukup bagi pihak terkait.2 Semua aturan yang tercantum dalam kebijakan

telah diimplementasikan.

B. Keamanan Fisik1. Ruang Komputer/ Server2 Terdapat standar keamanan yang digunakan pada ruang komputer.2 Lingkungan fisik memenuhi persyaratan yang ditentukan

dalam departemen TI kebijakan keamanan, PeraturanKeamanan dan standar terkait lainnya.

2 Keseluruhan kabel dipasang secara rapih dan diberi labeluntuk membantu pemeliharaan dan pendeteksian kesalahan.

2 Semua ruang di bawah lantai, dibersihkan secara teratur.2 Langit-langit dibersihkan secara teratur untuk menghindari

debu dan kotor.2 Pendeteksi air dipasang di bawah lantai untuk mendeteksi banjir.2 Kabel di langit-langit terpasang dengan benar.2 UPS dipasang untuk keperluan perlengkapan.2 UPS mampu menyediakan pasokan tenaga selama waktu tertentu.2 UPS diperiksa secara teratur.2 UPS ditempatkan di tempat yang aman.2 Operator yang berada di ruang komputer/ server selalu

diberi pelatihan dalam mengontrol power supply.2 Tidak meninggalkan peralatan / bahan yang mudah terbakar

di ruang komputer/ server


2 Seluruh sistem pendeteksi api otomatis dioperasikandengan pemeriksaan secara teratur

2 Seluruh sistem pemadam kebakaran otomatis yang telahterpasang diperiksa secara teratur dan selalu berkondisi baik

2 Seluruh pipa air yang melewati ruangan atau bawah lantaiberada dalam kondisi yang baik.

2 Suhu dan kelembaban ruangan dimonitor dan diatur dengancara yang sesuai untuk peralatan komputer untuk dioperasikanpada kondisi yang baik.

2 Seluruh kunci pintu ruang komputer disimpan dengan benar.2 Terdapat prosedur dalam menangani dan mendistribusikan kunci.2 Seluruh personil dilatih dan diinformasikan mengenai mekanisme

penggunaan pemadam kebakaran dan peralatan pelindung lainnya.2 Makanan, minuman, merokok tidak diijinkan masuk ke

ruang komputer/ server.2 Notebook, komputer, dan peralatan komputer lainnya yang

dibawa ke ruang komputer dikontrol.2 Terdapat staf khusus yang ditugaskan untuk bertanggung

jawab mengatur kebersihan ruang komputer.

2. Daftar Komputer/ Media Penyimpanan2 Seluruh media cadangan diberi nama dan dikunci di tempat

yang aman.2 Tempat atau lemari penyimpanan media cadangan selalu di kunci.2 Terdapat kontrol transportasi yang tepat untuk penyimpanan.2 Pengaksesan media dikontrol dan dicatat secara teratur.2 Inventarisasi disimpan untuk semua media penyimpanan.2 Peralatan komputer diadakan di ruang komputer hanya cukup

untuk operasi.2 Semua alat tulis komputer mahal benar dijaga dan dikendalikan.2 Ada prosedur untuk mengeluarkan, otorisasi dan pencatatan

alat tulis komputer mahal.2 Sebuah persediaan yang tepat disimpan untuk semua

peralatan komputer.2 Contoh fisik memeriksa peralatan komputer terhadap

catatan persediaan benar.

3. Akses Kontrol Media Fisik2 Seluruh pengunjung harus diidentifikasi sebelum memasuki

ruang komputer.


2 Seluruh pengunjung harus didampingi dengan internal stafsetiap waktu.

2 Seluruh pengunjung disediakan tanda pengenal pengunjungketika masuk ke ruang komputer/ server.

2 Seluruh staf yang datang harus dicatat.2 Terdapat pengontrol batasan yang dapat masuk ke ruang komputer.2 Seluruh tempat masuk ruang komputer dikontrol dengan

pintu berkunci.2 Hanya staf yang diberi kuasa yang dapat masuk ke ruang komputer.2 Seluruh panduan dan dokumen tidak disimpan secara bebas

melainkan terdapat akses kontrol untuk memperolehnya.

C. Backup dan Recovery2 Terdapat prosedur yang dibangun dan didokumentasikan

untuk backup dan recovery.2 Log selalu disimpan untuk kebutuhan backup dan recovery

meliputi tanggal/ waktu, media yang digunakan untuk backup,siapa yang mengambil, dll.

2 Minimum terdapat 2 backup yang berada di satu tempat.2 Ada periode retensi yang didefinisikan dengan baik untuk backup.

D. Pengaturan Perubahan2 Prosedur pengaturan perubahan didokumentasikan dengan baik2 Evaluasi dan perkiraan dibuat berdasarkan efek dari

permintaan perubahan2 Seluruh perubahan disetujui, disimpan dan diuji terlebih

dahulu sebelum diimplementasi.2 Dilakukan backup yang memadai sebelum dan setelah perubahan.2 Prosedur perbaikan didefinisikan terlebih dahulu sebelum

terjadi perubahan.2 Terdapat kontrol yang menjamin tidak adanya data/program

pengujian yang tertinggal di lingkungan produksi.2 Setelah menerapkan di lingkungan produksi, verifikasi dibuat

untuk memastikan bahwa itu dilaksanakan seperti yang diinginkandan direncanakan.

2 Terdapat hak akses yang tepat yang mengijinkan hanya stafdan administror untuk mengubah konfigurasi sistem/ jaringan.

E. Logical Access Control1. Kebijakan Sandi


2 Kebijakan sandi sistem/ jaringan didokumentasikan dengan baik.2 Panjang sandi paling sedikit 6 karakter2 Sandi tidak ditampilkan dalam plain text selama dimasukkan.2 Sandi hanya diketahui oleh pemiliknya atau administrator

ketika pertama kali membuat.2 Terdapat masa kadaluarsa sandi.2 Maksimum 3 kali mencoba mengisi sandi.2 Tidak ada kamus kata, nama pengguna, atau fase yang jelas

yang ditemukan pada isi sandi.2 Pengguna mengubah sandi segera ketka akun baru mereka dibuat.2 Pengguna tidak menulis sandinya di label atau di tempat yang jelas.2 Pengguna merubah sandinya paling sedikit setiap 60 - 90 hari.

2. Kebijakan Akun Pengguna2 Setiap user diberikan identitas pengguna yang unik.2 Semua pengguna diberikan dengan hak akses minimum

yang cukup untuk menjalankan tugas mereka.2 Pengguna diinformasikan mengenai hak istimewa dan

hak asksesnya.2 Ada prosedur yang tepat dan aman untuk distribusi akun

pengguna dan sandi. Sandi ditulis di kertas dianggap sebagaiinformasi rahasia.

2 Log disimpan selama aktivitas pengguna seperti waktu log in/out, periode koneksi, sambungan koneksi, dll.

2 Tidak ditemukannya akun yang tidak terpakai pada sistem/ jaringan.2 Administrator juga memiliki akun pengguna.2 Akun administrator digunahan hanya untuk pekerjaan administrasi.2 Pengguna dibagi kedalam kategori yang berbeda dengan

pendefinisian hak istimewa yang jelas bagi setiap kategorinya.

F. Keamanan Jaringan2 Jaringan yang terhubung dengan internet dilindungi oleh Firewall.2 Semua akses ke jaringan internal dikontrol dengan autentikasi

dan log.2 Administrasi untuk jaringan komputer dilakukan hanya oleh staf.2 Kontrol diletakkan pada penggunaan sumber daya jaringan

seperti file sharing, percetakan dll untuk hanya memperbolehkandan mengkonfirmasi pengguna untuk menggunakan.

2 Upgrade pada perangkat lunak yang terletak dalamjaringan dilakukan oleh orang yang berwenang saja.


2 Kebijakan ditetapkan untuk mengontrol penggunaan yang tepatdari jaringan dan sumber dayanya.

2 Terdapat perlindungan keamanan (misal enkripsi) bagiinformasi yang akan dikirim.

2 Log harian misalnya sistem log, error log atau logaktivitas pengguna selalu ditinjau dan dianalisis.

2 Seseorang ditugaskan untuk memantau kinerja jaringandan operasi sehari-hari.

2 Profil jaringan pengguna Semua benar dilindungi dari aksesyang tidak sah.

2 Konfigurasi jaringan didokumentasikan dan dimasukkan ketempat yang aman.

2 Komponen jaringan ditempatkan di tempat yang aman.

G. Sistem Operasi2 Update dilakukan secara teratur pada sistem operasi

untuk memperbaiki kelemahan yang diketahui mereka.2 Terdapat kontrol pada perubahan konfigurasi sistem operasi.2 Akses ke utilitas sistem operasi dibatasi untuk orang

yang berwenang saja.2 Tidak ada layanan yang tidak digunakan/ mencurigakan

yang berjalan di akun sistem operasi.2 Tidak ada akun pengguna yang tidak terpakai yang tetap

dalam sistem operasi.2 Log sistem dihasilkan dan diperiksa setiap hari secara teratur.

PERATURAN MENTERI PEMUDA DAN OLAHRAGA …kemenpora.go.id/pdf/Buku Bakuan Audit Keamanan...

Documents

Transcript of PERATURAN MENTERI PEMUDA DAN OLAHRAGA …kemenpora.go.id/pdf/Buku Bakuan Audit Keamanan...