JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
1
Abstrak— Kebutuhan informasi yang akurat, cepat, serta
reliable mengharuskan perusahaan menjaga keamanan informasi
agar tidak mengganggu dan mempengaruhi peforma organisasi
atau perusahaan. Dengan adanya kebutuhan tersebut, keamanan
informasi harus dapat dikelola dengan baik. Pengelolaan
keamanan informasi akan memperkecil munculnya risiko yang
berkaitan dengan aspek keamanan informasi seperti kerusakan
perangkat TI, kehilangan data karena pencurian dan risiko
lainnya. Data kerugian yang diakibatkan oleh risiko keamanan
informasi pun telah mencapai 1 miliar dollar US [1]. Untuk itu
diperlukan tata kelola keamanan informasi yang melingkupi
seluruh aspek keamanan informasi. Namun dengan padatnya
aktivitas bisnis, organisasi atau perusahaan cenderung kesulitan
untuk menyiapkan alat kerja dalam melakukan tata kelola
keamanan informasi. Oleh karena itu jika melihat permasalahan
tersebut maka diperlukan template dokumen yang diharapkan
menjadi solusi dalam mempersiapkan tata kelola keamanan
informasi dalam organisasi atau perusahaan. Pembuatan
template tata kelola keamanan informasi akan berfokus dengan
area pengamanan yang diambil dari standar COBIT 5 dan
ISO/IEC 27001:2005, serta standar lain yang terkait.
Kata Kunci— Tata Kelola, Keamanan Informasi, Framework,
Standar, COBIT, ISO/IEC 27001, Template
I. PENDAHULUAN
ewasa ini, perkembangan teknologi informasi telah
memberikan dampak yang cukup signifikan terhadap
perubahan pada berbagai organisasi dan perusahaan. Seiring
berjalannya waktu organisasi dan perusahaan semakin
bergantung kepada teknologi informasi (TI) guna mencapai
tujuan bisnisnya. TI menjadi salah satu elemen dalam
mencapai tujuan bisnis, sehingga diarahkan untuk mendukung
proses bisnis, mulai dari aktivitas operasional sampai pada
tingkat strategik.
Disisi lain penyediaan sarana atau investasi TI belum
cukup untuk dapat memaksimalkan kontribusi fungsi TI
kedalam proses bisnis. Penerapan TI memerlukan biaya yang
relatif tinggi dengan resiko keamanan informasi yang cukup
besar. Berdasarkan survey yang dilakukan Future Workspace,
belanja TI perusahaan di Indonesia cukup tinggi, namun hanya
10% dari total belanja TI di investasikan untuk keamanan
informasi [2]. Selain itu data kerugian global akibat adanya
lubang pada keamanan informasi mencapai 1 miliar dollar
Amerika. Kultur pendokumentasian tata kelola keamanan
informasi pun yang masih rendah menyebabkan perusahaan
kurang memperhatikan pembuatan dokumentasi dari tata
kelola tersebut. Untuk itu, diperlukan sebuah tata kelola
keamanaan informasi yang dapat terdokumentasi secara baik
sebagai salah satu cara dalam mengatur pelaksanaan
penggunaan seluruh elemen TI dalam organisasi dan
perusahaan serta mekanisme dalam mengelola keamanan
informasi.
Untuk menjamin proses dan dokumentasi pengelolaan
keamanan informasi yang baik, diperlukan best practice atau
framework sebagai acuan pembuatan tata kelola keamanan
informasi. Salah satu best practice yang memiliki standar
proses pengelolaan keamanan informasi adalah ISO/IEC
27001:2005 [3]. Pada standar ini terdapat langkah-langkah
dalam melakukan pengelolaan keamanan informasi. Selain itu
untuk memaksimalkan pengelolaan keamanan informasi
diperlukan standar framework yang menyediakan kerangka
kerja pengelolaan keamanan informasi. Salah satunya adalah
COBIT 5. Dalam COBIT 5 terdapat domain dalam ruang
lingkup Align, Plan, Organize (APO) yang mengatur tentang
keamanan TI (Manage Security) [4]. Penggabungan best
practice dan framework ini diharapkan dapat memberi
gambaran mengenai bagaimana melakukan tata kelola
keamanan informasi dapat dilakukan dan terdokumenasikan
dengan baik.
II. METODOLOGI PENELITIAN
Proses pengerjaan penelitian ini dilakukan melalui
beberapa tahapan. Tahapan – tahapan tersebut meliputi
analisis kebutuhan tata kelola keamanan informasi, referensi
tata kelola keamanan informasi serta standar-standar terkait
yang akan digunakan yang dibagi menjadi beberapa tahap.
Gambar 1 : Metodologi
PENYUSUNAN TEMPLATE TATA KELOLA KEAMANAN
INFORMASI BERBASIS ISO/IEC 27001:2005 DAN PATUH
TERHADAP COBIT 5 MANAGEMENT PROCESSES
APO13 MANAGE SECURITY
Faridl Mughoffar, Ir. Ahmad Holil Noor Ali, M.Kom, dan Anisah Herdiyanti, S.Kom, M.Sc
Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS)
Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia
e-mail: [email protected], [email protected], [email protected]
D
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
2
Berikut penjelasan dari pelaksanaan metodologi :
A. Tahap Persiapan
Pada tahapan ini akan dilakukan analisis awal mengenai
literatur dan kebutuhan lain yang menunjang penelitian
meliputi studi literatur mengenai standar, framework dan tata
kelola keamanan informasi, serta extensive desk research
mengenai metodologi pengembangan template dokumen.
B. Tahap Pemetaan Best Practice
Pembuatan penyusunan template tata kelola diawali dengan
memetakan proses yang ada di ISO/IEC 27001:2005 ke dalam
COBIT 5 APO13 Manage Security atau standar lainnya. Pada
tahap penyusunan dokumen tata kelola ini nanti akan
dipetakan terlebih dahulu domain yang akan di buatkan tata
kelola. Dalam ISO/IEC 27001:2005 terdapat proses yang
dapat dipetakan kedalam domain manage security yang
memiliki beberapa proses kunci untuk mendukung tujuan
teknologi informasi yang digunakan.
C. Tahap Penyusunan Template
Pada tahap ini adalah menyusun template dokumen tata
kelola keamanan informasi yang mengacu pada pemetaan yang
telah dilakukan sebelumnya. Dalam pemetaan tersebut terdapat
aktivitas-aktivitas yang memerlukan dokumentasi berupa
kebijakan, prosedur, instruksi, formulir atau pun template
dokumen itu sendiri. Selain dokumen template
D. Tahap Verifikasi
Tahap ini menjelaskan bagaimana melakukan verifikasi
terhadap template dokumen yang telah dibuat terhadap standar
yang digunakan. Selanjutnya juga terdapat verifikasi antara
template zdan referensi tata kelola keamanan informasi yang
pernah dibuat di lingkungan tugas akhir sistem informasi ITS.
E. Tahap Akhir
Tahap akhir dari metodologi ini adalah menyimpulkan dan
memeberikan rekomendasi hasil peniyusunan template. Selain
itu output akhir dari tahap ini adalah buku tugas akhir,
template dokumen tata kelola keamanan informasi dan buku
panduan penggunaan template dokumen.
III. HASIL DAN PEMBAHASAN
A. Standar Best Practice Tata Kelola Teknologi Informasi
Terkait Dengan Kemanaan Informasi.
Berikut ini adalah hasil dari studi literatur mengenai standar
yang terkait dengan keamanan inforamasi. Standar ini akan
digunakan dalam membuat template dokumen tata kelola
keamanan informasi.
A.1 ISO/IEC 27001:2005 Section 4
Dalam penyusunan template dokumen tata kelola
keamanan informasi ini akan digunakan ISO/27001:2005
sebagai best practice yang akan dikaitkan dengan kerangka
kerja COBIT 5 khususnya APO13 Manage Security yang telah
dijelaskan sebelumnya. Secara umum ISO/IEC 27001:2005
telah dijelaskan pada daftar pustaka, namun keterkaitan
COBIT 5 dan ISO/IEC 27001:2005 terdapat pada bagian ke 4
best practice ini sesuai dokumen COBIT 5 Enabling Process.
Dalam standar ini membahas mengenai Sistem Manajemen
Keamanan Informasi (SMKI), dimana terdapat empat proses
utama yaitu :
Tabel 1 Proses Sistem Manajemen Keamanan Informasi[5]
No. Proses Deskripsi Proses
1. Menetapkan
SMKI
Dalam proses ini merupakan proses
pendefinisian perencanaan dan pembangunan
SMKI meliputi ruang lingkup, batasan,
kebijakan, risiko dan perlakuan resiko
2. Menerapkan dan
Mengoperasikan
SMKI
Proses ini menjelaskan bagaimana
merumuskan rencana perlakuan resiko,
implementasi SMKI, pengukuran SMKI dan
pengelolaan SMKI.
3. Memantau dan
Mengkaji SMKI
Proses ini menjelaskan aktivitas pemantauan
dan pengkajian dari implementasi dan
pengelolaan SMKI yang dilakukan
4. Meningkatkan
SMKI
Proses ini menjelaskan mengenai aktivitas
hasil evaluasi SMKI, hasil audit dan
rekomendasi untuk meningkatkan peformas
SMKI.
Keempat proses diatas akan dipetakan kedalam praktek kunci
yang ada pada COBIT 5 APO13 Manage Security.
.
A.2 Proses COBIT 5 APO13 Manage Security
Pada COBIT 5 APO13 Manage Security, terdapat
penjelasan mengenai proses pengelolaan keamanan yang
berada pada area manajemen. Proses pada COBIT 5 APO13
Manage Security bertujuan menjaga dampak dan terjadinya
insiden keamanan informasi dalam tingkat risk appetite
perusahaan melalui penentuan, pengoperasian dan monitoring
SMKI. Untuk menjalan proses ini, COBIT 5 membaginya
kedalam tiga praktek kunci yaitu sebagai berikut ini :
Tabel 2 Praktek Kunci Manajemen Manage Security[5]
Practice
ID
Practice
Name Governance Practice
APO13.01 Membangun
dan
memelihara
SMKI
Membangun dan memelihara SMKI
yang menyediakan standar, pendekatan
formal dan berkesinambungan untuk
manajemen keamanan informasi serta
memungkinkan penggunaan teknologi
dan operasional bisnis yang aman
dengan proses yang sesuai dengan
kebutuhan bisnis dan manajemen
keamanan perusahaan.
APO13.02 Menentukan
dan mengelola
rencana
perlakuan
resiko
keamanan
informasi.
Menjaga rencana keamanan informasi
yang menggambarkan bagaimana risiko
keamanan informasi harus dapat
dikelola dan diselaraskan dengan
strategi perusahaan serta arsitektur
enterprise. Selain itu memastikan
bahwa rekomendasi untuk
melaksanakan perbaikan keamanan
didasarkan pada kasus bisnis yang
disetujui dan dilaksanakan sebagai
bagian peningkatan layanan dan
pengembangan solusi yang kemudian
dioperasikan sebagai bagian
peningkatan operasi bisnis.
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
3
Practice
ID
Practice
Name Governance Practice
APO13.03 Memonitor
and mereview
SMKI.
Menjaga dan secara teratur
mengkomunikasikan kebutuhan, dan
manfaat serta peningkatan keamanan
informasi secara terus-menerus.
Mengumpulkan dan menganalisis data
mengenai SMKI, dan meningkatkan
efektivitas SMKI. Menilai
ketidaksesuaian untuk mencegah
terulangnya risiko yang sama serta
Mempromosikan budaya keamanan
dan perbaikan yang berkelanjutan.
Praktek kunci manajemen diatas dibagi kedalam RACI Chart
berdasarkan posisi atau organisasi umum pada COBIT 5.
Gambar 2 RACI Chart Praktik Kunci Manajemen[4]
B. Pemetaan ISO/IEC 27001:2005 dan COBIT 5 APO 13
Manage Security.
B.1. Pemetaan Proses ISO/IEC 27001:2005 ke Key
Management Practice COBIT 5 APO 13 Manage Security
Dari hasil pemetaan aktivitas dan proses pengelolaan
keamanan informasi ini nanti akan memberikan pandangan
bagaimana cara melakukan uji relevansi aktivitas terhadap
praktik kunci yang akan dimasukan kedalam dokumen
template tata kelola keamanan informasi yang akan dibuat.
Selain itu, pemetaan ini juga berguna melihat bagaimana
cara memasukan best practice ISO/IEC 27001:2005 agar
memenuhi kerangka kerja COBIT 5 APO13 Manage Security.
Berikut ini adalah tabel hasil pemetaan aktivitas dan proses
dari standar best practice dan kerangka kerja yang digunakan.
Berikut ini adalah temuan dari hasil proses pemetaan best
practice ISO/IEC 27001:2005 terhadap COBIT 5 APO13
Manage Security :
a. 10 Aktivitas pada proses Menetapkan SMKI terpetakan
kedalam APO13.01 Membangun dan Memelihara SMKI
b. Aktivitas pada proses Menerapkan dan Mengoperasikan
SMKI terpetakan kedalam APO13.02 Menentukan dan
mengelola rencana perlakuan resiko keamanan informasi.
c. 4 Aktivitas pada proses Menerapkan dan
Mengoperasikan SMKI terpetakan kedalam APO13.01
Membangun dan Memelihara SMKI.
d. 7 Aktivitas pada proses Memantau dan Mengkaji SMKI
terpetakan kedalam APO13.03 Mrmantau dan Meninjau
SMKI
e. 4 Aktivitas pada proses Meningkatkan dan Memelihara
SMKI terpetakan kedalam APO13.01 Membangun dan
memelihara SMKI
f. Terdapat aktivitas pengimplementasian SMKI pada
ISO/IEC 27001:2005 yang terpetakan kedalam
APO13.01 Membangun dan memelihara SMKI karena
konteks yang patuh pada COBIT 5 APO13 Manage
Security adalah perencanaan pengelolaan sehingga
diasumsikan bahwa aktivitas pengimplementasian harus
direncanakan terlebih dahulu.
B.2. Pemetaaan Organisasi Keamanan Informasi ISO/IEC
27001:2005 ke dalam COBIT 5 APO13 Manage Security
Pemetaan pada tahap ini merupakan pendefinisian
relevansi organisasi keamanan informasi pada ISO/IEC 27001
terhadap organisasi keamanan informasi yang didefinisikan
pada COBIT 5 APO13 Manage Security.:
Gambar 3 Struktur Umum Organisasi Keamanan Informasi
Bagan diatas menggambarkan hierarki organisasi keamanan
informasi yang mengacu pada ISO/IEC 27001:2005.
Selanjutnya pendefinisian organisasi keamanan informasi
dipetakan berdasarkan ketiga praktek kunci yaitu sebagai
berikut :
Gambar 4 Pemetaan Organisasi Pada Praktek Kunci APO13.01
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
4
Gambar 5 Pemetaan Organisasi Pada Praktek Kunci APO13.02
Gambar 6 Pemetaan Organisasi Pada Praktek Kunci APO13.02
Pemetaan diatas berfungsi untuk melakukan penyesuaian
terhadap kondisi eksisting perusahaan jika perusahaan tidak
memiliki seluruh elemen stakeholder pada struktur
organisasinya, maka dapat dirangkap oleh posisi lain sesuai
dengan pemetaan diatas. Selain itu pemetaan diatas juga
berfungsi sebagai acuan prioritasi tanggung jawab organisasi
keamanan informasi.
C. Referensi Template Dokumen Tata Kelola Keamanan
Informasi
Referensi dokumen tata kelola keamanan informasi
diambil dari dokumen buku tugas akhir keamanan informasi
yang berada dalam lingkungan jurusan sistem informasi.
Dokumen ini akan dijadikan salah satu acuan dalam membuat
template serta bagian dari evaluasi hasil template yang akan
dibuat. Berikut ini adalah hasil referensi template dokumen
tata kelola keamanan informasi yang meliputi 4 area
pengamanan yaitu sebagai berikut:
1. Area Pengamanan Lingkungan Fisik
Dokumen area pengaman ini didapatkan dari judul tugas
akhir “Pembuatan Tata Kelola Keamanan Informasi
Kontrol Lingkungan Fisik Berbasis ISO/IEC 27001:2005
Pada Kantor Pelayanan dan Perbendahaaran Negara
Surabaya II” oleh Rizky Bareta [6]
2. Area Pengamanan Komunikasi dan Operasional
Dokumen area pengamanan Komunikasi dan Operasional
didapatkan dari judul tugas akhir “Pembuatan Tata Kelola
Keamanan Informasi Kontrol Komunikasi dan Operasional
Pada Kantor Pelayanan dan Perbendaharaan Negara
Surabaya I" oleh M. Hasyim Wahid [7]
3. Area Pengamanan Sumber Daya Manusia
Dokumen area pengamanan Sumber Daya Manusia
didapatkan dari judul tugas akhir “Pembuatan Tata Kelola
Keamanan Informasi Kontrol Sumber Daya Manusia Pada
Kantor Pelayanan dan Perbendaharaan Negara Surabaya I"
oleh Harpanda Eka Swadarmana. [8]
4. Area Pengamanan Kontrol Akses
Dokumen area pengamanan Kontrol Akses didapatkan dari
judul tugas akhir “Pembuatan Tata Kelola Keamanan
Informasi Kontrol Akses Pada Kantor Pelayanan dan
Perbendaharaan Negara Surabaya I" oleh Margo Utomo.
[9]
Keempat dokumen tata kelola keamanan diatas memiliki
persamaan komposisi dalam bentuk dan struktur dokumen
yaitu : Kebijakan, Prosedur, Instruksi, dan Formulir.
D. Pembuatan Template Tata Kelola Keamanan Informasi
Pengembangan template dokumen ini merupakan bagian
dari adopsi best practice yang dikeluarkan oleh Kementerian
Teknologi Informasi dan Komunikasi yang mengacu pada
ISO/IEC 27001:2005 dan COBIT 5. Dalam dokumen ini
dibagi menjadi tiga tingkatan yaitu
Tabel 3 Tingkatan Dokumen
No. Tingkat Jenis Dokumen
1. Tingkat 1 Panduan, Pedoman, dan Kebijakan, Standar
2. Tingkat 2 Prosedur, Petunjuk pelaksanaan,
3. Tingkat 3 Instruksi Kerja, Formulir, Template
1. Pedoman
Berikut ini adalah dokumen template pedoman :
Tabel 4 Dokumen Pedoman
Nomor Dokumen Nama Dokumen
PE-APO13-01 R00 Pendahuluan
PE-APO13-02 R00 Dasar Acuan
PE-APO13-03 R00 Tujuan
PE-APO13-04 R00 Ruang Lingkup
PE-APO13-05 R00 Proses Bisnis
PE-APO13-06 R00 Istilah dan Definisi
2. Panduan
Berikut ini adalah dokumen template dokumen panduan
Tabel 5 Dokumen Panduan
Nomor Dokumen Nama Dokumen
PA-APO13-01 R00 Mengelola Keamanan
3. Kebijakan
Berikut ini adalah dokumen template untuk kebijakan
Tabel 6 Dokumen Kebijakan
Nomor Dokumen Nama Dokumen
KE-APO13-01 R00 Membangun dan Memelihara SMKI
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
5
KE-APO13-02 R00 Menentukan dan mengelola rencana
perlakuan risiko
KE-APO13-03 R00 Meninjau dan memantau SMKI
KE-APO13.01 R00 Kebijakan Umum SMKI
4. Pembuatan Prosedur
Berikut ini adalah dokumen prosedur
Tabel 7 Dokumen Prosedur Nomor Dokumen Nama Dokumen
PR-APO13.01 R00 Membangun dan Memelihara SMKI
PR-APO13.02 R00 Menentukan dan mengelola rencana
perlakuan risiko
PR-APO13.03 R00 Meninjau dan memantau SMKI
PR-ANNEX A Paket Prosedur Annex A*
*Yang tersedia hanya control fisik dan lingkungan
5. Instruksi
Berikut ini adalah template dokumen instruksi
Tabel 8 Dokumen Instruksi
Nomor Dokumen Nama Dokumen
IN-APO13.01.01 R00 Tindakan Detektif
IN-APO13.01.01 R00 Tindakan Detektif (Visio)
IN-APO13.01.02 R00 Tindakan Korektif
IN-APO13.01.02 R00 Tindakan Korektif (Visio)
IN-APO13.01.03 R00 Tindakan Preventif
IN-APO13.01.03 R00 Tindakan Preventif (Visio)
6. Formulir
Berikut ini adalah template dokumen formulir
Tabel 9 Dokumen Formulir
Nomor Dokumen Nama Dokumen
FM-APO13.01.01 Daftar Aset
FM-APO13.01.02 Rencana Managemen Komunikasi
FM-APO13.01.03 Persyaratan Bisnis dan Hukum
FM-APO13.01.04 Kriteria Risiko
FM-APO13.01.05 Metodologi Asesmen Risiko
FM-APO13.01.06 Kriteria Penerimaan Risiko
FM-APO13.01.07 Daftar Risiko
FM-APO13.01.08 Daftar Dampak Risiko
FM-APO13.01.09 Matriks Dampak dan Probabilitas Risiko
FM-APO13.01.10 Penilaian Dampak dan Probabilitas risiko
FM-APO13.01.11 Daftar Residual Resiko
FM-APO13.01.12 Rencana Manajemen Sumber Daya Manusia
FM-APO13.01.13 Pembelajaran Keamanan Informasi
FM-APO13.01.14 Rencana Tindakan Detektif
FM-APO13.01.15 Pengajuan Tindakan Pengendalian
FM-APO13.01.16 Rencana Tindakan Preventif
FM-APO13.01.17 Rencana Tindakan Korektif
FM-APO13.02.01 Daftar Perlakuan Risiko
FM-APO13.02.02 Daftar Sumber Daya
FM-APO13.02.03 Pernyataan Penyediaan Sumber Daya
FM-APO13.02.04 Sasaran Pengendalian Perlakuan Risiko
FM-APO13.02.05 Sumber Daya Pendanaan
FM-APO13.02.06 Peran dan Tanggung Jawab
FM-APO13.02.07 Rencana Manajemen Sumber Daya SMKI
FM-APO13.02.08 Rencana Pengukuran Efektifits Pengendalian
FM-APO13.03.01 Laporan Pendeteksian Penyimpangan
FM-APO13.03.02 Evaluasi Kegiatan Keamanan Informasi
FM-APO13.03.03 Laporan Berkala Peninjauan SMKI
FM-APO13.03.04 Checklist Persyaratan Keamanan
FM-APO13.03.05 Pengukuran Efektifitas Pengendalian
FM-APO13.03.06 Laporan Penerimaan Risiko
FM-APO13.03.07 Kejadian Eksternal
FM-APO13.03.08 Daftar Tim Audit
FM-APO13.03.09 Rekomendasi Peningkatan SMKI
FM-APO13.03.10 Temuan
Nomor Dokumen Nama Dokumen
FM-APO13.03.11 Rencana Realisasi Peningkatan SMKI
FM-ANNEX A Formulir Paket Annex A*
*Yang tersedia hanya control fisik dan lingkungan
7. Template
Berikut ini adalah template dokumen tata kelola keamanan
informasi Tabel 10 Dokumen Template
Nomor Dokumen Nama Dokumen
TE-APO13.01.01 Ruang Lingkup
TE-APO13.01.02 Kebijakan SMKI
TE-APO13.01.03 Inventori Aset Informasi
TE-APO13.01.04 Penilaian Risiko
TE-APO13.01.05 Proposal SMKI
TE-APO13.01.06 SoA (Statement of Applicability)
TE-APO13.01.07 Rencana Pengelolaan SMKI
TE-APO13.01.01 Rencana Perlakuan Resiko
TE-APO13.01.03 Rencana Program Pelatihan dan Kepedulian
TE-APO13.03.01 Panduan Audit SMKI
TE-APO13.03.02 Prosedur Internal Audit
TE-APO13.03.03 Audit Report
E. Pembuatan Buku Panduan Template Dokumen Tata
Kelola Keamanan Informasi
Pada tahap ini, template dokumen yang telah ada akan
dibuat panduan penggunaan template dokumen. Panduan ini
dikembangakan berdasarkan panduan buku dari Kementrian
Teknologi dan Informasi melalui tatanan dokumen
berdasarkan tingkatannya. Panduan ini berbentuk buku yang
memiliki komposisi sebagai berikut:
a. Pendahuluan
b. Panduan Umum
1. Petunjuk Pengisian Halaman Pengesahan
2. Petunjuk Pengisian Halaman Revisi
3. Petunjuk Pengisian Halaman Isi
4. Aturan Penomoran Dokumen
5. Pengecualian
c. Panduan Penyesuaian
1. Struktur Umum Organisasi Keamanan Inforamsi
2. Penyesuaian Organisasi Keamaman Informasi
d. Penutup
Dengan adanya buku panduan ini diharapkan template
dokumen tata kelola keamanan informasi ini dapat digunakan
pada organisasi dan perusahaan yang ingin menggunakan
template ini.
F. Evaluasi Template Dokumen Tata Kelola Keamanan
Informasi
F.1 Evaluasi Pemenuhan Template Dokumen Terhadap
Standart
Proses verifikasi dilakukan dengan evaluasi pemenuhan
template tata kelola keamanan informasi yang dibuat terhadap
standar ISO/IEC 27001:2005 yang patuh COBIT 5 APO13
Manage Security. Evaluasi ini dilakukan untuk memeriksa
apakah dokumen template tata kelola keamanan informasi
memenuhi prose dan aktivitas pengelolaan keamanan
informasi (yang sudah disesuaikan dengan ISO/IEC
27001:2005 dan COBIT 5) serta standar lainya yang terkait.
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
6
Table 1 Checklist Mandatory Documents [10]
Nama Dokumen Status
ISMS Scope √
ISMS Statement √ Procedures supporting the ISMS √ Risk Assessment Methods √ Risk Assessment Report √ Risk Treatment Plan √ International Standard Records √ ISMS Operational Records √ Statement of Applicability √ Document Control Systems √ Management √ Prevention & Correction √ Company ISMS Audits √
F.2. Evaluasi Template dan Panduan Penggunaan terhadap
Referensi Tata Kelola Keamanan Inforamsi.
Evaluasi kedua merupakan checklist template terhadap
dokumen tata kelola keamanan informasi pada kontrol fisik
dan lingkungan pada KPPN II Surabaya. Dari hasil
penyesuaian organisasi keamanan informasi dan pembuatan
dokumen tata kelola berdasarkan template berikut ini checklist
pengakomodasian template terhadap dokumen :
Table 2 Checklist Pengakomodasian Template Tingkat
Dokumen Dokumen Tata Kelola Status
Tingkat 1 Kebijakan Umum Sistem Manajemen
Keamanan Informasi
Terakomodasi
Tingkat 1 SMKI-01 Kontrol Keamanan Fisik Dan
Lingkungan
Terakomodasi
Tingkat 2 Perimeter Keamanan Fisik Terakomodasi
Tingkat 2 Pengendalian Akses Masuk Terakomodasi
Tingkat 2 Mengamankan Kantor, Ruangan, Dan
Fasilitas
Terakomodasi
Tingkat 2 Perlindungan Terhadap Ancaman Ekternal Terakomodasi
Tingkat 2 Bekerja Di Area Yang Aman Terakomodasi
Tingkat 2 Area Akses Publik Dan Bongkar Muat Terakomodasi
Tingkat 2 Penempatan Dan Perlindungan Peralatan Terakomodasi
Tingkat 2 Sarana Pendukung Terakomodasi
Tingkat 2 Keamanan Kabel Terakomodasi
Tingkat 2 Pemeliharaan Peralatan Terakomodasi
Tingkat 2 Keamanan Peralatan Di Luar Lokasi Terakomodasi
Tingkat 2 Pembuangan Atau Penggunaan Kembali
Peralatan Secara Aman
Terakomodasi
Tingkat 2 Pemindahan Barang Terakomodasi
Tingkat 3 FM-01 – Buku Tamu Ruang Server Terakomodasi
Tingkat 3 FM-02 – Izin Akses Ruang Server Terakomodasi
Tingkat 3 FM-03 – Pemeliharaan Peralatan Terakomodasi
Tingkat 3 FM-04 – Catatan Back up Data Terakomodasi
Tingkat 3 FM-05 – Catatan Restore Data Terakomodasi
Tingkat 3 FM-06 – Berita Acara Pemindahan Barang Terakomodasi
IV. KESIMPULAN/RINGKASAN
Dari hasil proses pembuatan template dokumen ini dapat
diambil kesimpulan sebagai berikut.
1. Standar best practice ISO/IEC 27001:2005 hanya
berfokus pada proses implementasi SMKI
sedangkan COBIT 5 APO13 Manage Security
berorientasi pada proses bisnis dan tata kelola TI.
Untuk membuat dokumen tata kelola keamanan
informasi diperlukan proses pengelolaan yang
berorientasi proses bisnis serta berfokus pada
implementasi SMKI. Untuk itu, diperlukan
pemetaan antara ISO 27001:2005 dan COBIT 5
APO13 Manage Security. Hasil dari pemetaan
ISO/IEC 27001:2005 terhadap COBIT 5 APO13
Manage Security menunjukkan bahwa pemetaan ini
mampu melingkupi seluruh aktivitas proses
keamanan dan praktek kunci keamanan informasi,
tidak hanya pada aktivitas implementasi SMKI.
2. Dari menghasilkan proses pembuatan template
dokumen ini 2 produk yaitu template dokumen tata
kelola keamanan informasi dan buku panduan
penggunaan template.
3. Hasil checklist mandatory documents pada dua
standar yang digunakan yaitu COBIT 5 APO13
Manage Security dan ISO/IEC 27001:2005 dan
memenuhi output standar minimal dokumentasi
sesuai yang diisyaratkan pada kedua standart.
UCAPAN TERIMA KASIH
Penulis F.M mengucapkan terima kasih kepada Direktorat
Pendidikan Tinggi, Departemen Pendidikan dan Kebudayaan
Republik Indonesia yang telah memberikan dukungan finansial
melalui Beasiswa Bidik Misi tahun 2010-2014.
DAFTAR PUSTAKA
[1] ISACA, "isaca.org," COBIT 5 Information Security, [Online].
Available: http://www.isaca.org/CIO/Pages/CIO-Privacy-
Compliance.aspx. [Accessed 23 May 2014].
[2] Tempo, "www.tempo.co," Tempo, 25 Februari 2014. [Online].
Available:
http://www.tempo.co/read/news/2014/02/25/072557517/Perusahaan-
Indonesia-Abaikan-Sistem-Keamanan-IT. [Accessed 23 May 2014].
[3] A. Calder, Implementing Information Security based on ISO 27001/
ISO 27002 - A Management Guide, Zaltbommel: Van Haren
Publising, 2009.
[4] ISACA, "COBIT 5," in COBIT 5 Enabling Process, Rolling
Meadows, IL 6008 USA, ISACA, 2012, p. 230.
[5] ISO/IEC 27001:2005, "ISO/IEC 27001:2005," in Information
Security Management Systems (ISMS), Geneva, ISO, 2005, p. 52.
[6] R. Bareta and H. N. A. Ahmad , "Pembuatan Tata Kelola Keamanan
Informasi Kontrol Fisik dan Lingkungan Berbasis ISO/IEC
27001:2005 Pada Kantor Pelayanan Perbendaharaan Surabaya II,"
2013.
[7] M. H. Wahid, Pembuatan Tata Kelola Keamanan Informasi Kontrol
Komunikasi dan Operasional Pada Kantor Pelayanan dan
Perbendaharaan Negara Surabaya I, Surabaya: ITS, 2012.
[8] H. E. Swardarmana, Pembuatan Tata Kelola Keamanan Informasi
Kontrol Sumber Daya Manusia Pada Kantor Pelayanan dan
Perbendaharaan Negara Surabaya I, Surabaya: ITS, 2012.
[9] M. Utomo, Pembuatan Tata Kelola Keamanan Informasi Kontrol
Akses Pada Kantor Pelayanan dan Perbendaharaan Negara Surabaya
I, Surabaya : ITS, 2012.
[10] J. Gardiner, "Mandatory Document of ISO/IEC 27001:2005,"
December 2012. [Online]. Available: http://joegardiner.co.uk/iso-
27001-mandatory-documents/.
Top Related