AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27002 (Studi Kasus: PT. Aneka a!

a Baut Se"a#te$a%

Ma$&iana 'a&i( )%
1)

S1 / Jurusan Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya email smile!"#lia$yahoo%&om

A*st$a+t: PT.AJBS is a company that works in providing items/machinery for industrial purposes. PT.AJBS has many product lines Therefore, implementing a new and capa le information system is a must. The new system need to have modules such as invetory, transaction, customer ! supplier data and accounting "ournal. These modules need to e integratedto the new system, called #ntegrated Trading System. #n addition, information security management is important ecause company$s information is an important asset for the company. PT.AJBS need to audit their current information security system to find out the level of security PT.AJBS has. #S% &'((& is the standard that PT.AJBS has to e met when auditing. #S% &'((& standard is chosen ecause of its fle)i ility. #t can e tailored according to the company$s needs, company$s visions, company$s security system re*uirement, usiness processes, human resource needa and the structure of the organi+ation, as well as information security system management. The result of maturity level &.,- is produced from the implementation of information security system audit. The result is categori+ed to level &, which is repeata le. This research also produces reccomendations for PT.AJBS such as etter information system processes and improvement in level of information security Keywords: audit, information security, #S% &'((&

'erseroan Terbatas (neka Jaya )aut Sejahtera *'T% (J)S) a+alah sebuah perusahaan +i bi+ang penga+aan perlengkapan +an peralatan pen+ukung in+ustri% 'T% (J)S memiliki jenis +an jumlah pro+uk yang besar, hal ini yang mengharuskan menerapkan 'T% teknologi (J)S informasi untuk yang

Manajemen 'T% (J)S saat ini belum mengetahui sampai +i mana tingkat keamanan +imilikinya% sistem informasi *.!!" yang 1) -ahar+jo

menyatakan bah/a masalah keamanan merupakan salah satu aspek penting +ari sebuah sistem informasi% 'entingnya nilai sebuah informasi menyebabkan informasi seringkali ingin +iakses oleh orang0orang tertentu se&ara ilegal% 1al ini +apat menimbulkan kerugian bagi perusahaan misalnya kerugian apabila sistem informasi ti+ak bekerja selama kurun /aktu tertentu, kerugian apabila a+a kesalahan +ata atau informasi +an kehilangan +ata% Sementara itu, selama penerapan aplikasi ITS ini telah terja+i beberapa ken+ala antara lain +itemukannya beberapa kasus penyalahgunaan password yang +apat

mema+ai% 'engelolaan in,entori, transaksi, +ata pelanggan, +an +ata supplier, serta keseluruhan keuangan #ntegrated penting, perusahaan% pelaporan +itangani Trading karena +an +alam System seluruh analisa sistem *ITS)% informasi

operasional yang terintegrasi yang bernama 'engelolaan keamanan informasi sangat perusahaan merupakan aset berharga bagi

mengan&am kerahasiaan perusahaan% Selain itu +ikha/atirkan +apat ber+ampak pa+a terja+inya penyalahgunaan informasi yang merugikan 'T% (J)S +alam persaingan +engan para kompetitor% Ken+ala lain yang +itemukan a+alah kurangnya pemeliharaan terha+ap fasilitas pemrosesan informasi yang +apat menyebabkan sistem menja+i sering hang, jaringan down, hingga terbakarnya harddisk yang menyebabkan hilangnya +ata perusahaan% 2i samping itu, 'T% (J)S juga belum memiliki aturan +an prose+ur terha+ap an&aman ,irus% (n&aman ,irus itu +apat menimbulkan gangguan kinerja sistem informasi bahkan +apat menga&au keberlangsungan operasional 'T% (J)S% Selama ini 'T% (J)S belum pernah melakukan analisa penyebab terja+inya permasalahan tersebut +an 'T% (J)S ti+ak mengetahui sampai +i mana tingkat keamanan sistem informasi yang milikinya% 3leh karena itu 'T% (J)S membutuhkan e,aluasi keamanan sistem informasi untuk menjaga keamanan sistem informasi yang +imilikinya% 4,aluasi keamanan sistem informasi +apat +ilakukan +engan au+it keamanan sistem informasi *(smuni +an 5ir+aus, .!!" .6)% Keamanan informasi +itujukan untuk menjaga aspek kerahasiaan *.onfidentiality), keutuhan *#ntegrity) +an keterse+iaan *Availa ility) +ari Informasi *IS3/I47 .8!!., .!!" 1)% (gar au+it keamanan sistem informasi +apat berjalan +engan baik

+iperlukan suatu stan+ar untuk melakukan au+it tersebut *Tanu/ijaya +an Sarno, .!1! 9!)% Menurut Sarno +an Iffano *.!!: ":) ti+ak a+a a&uan baku mengenai stan+ar apa yang akan +igunakan atau +ipilih oleh perusahaan untuk melaksanakan au+it keamanan sistem informasi% (u+it pa+a 'T% (J)S menggunakan stan+ar IS3 .8!!.% Stan+ar IS3 .8!!. +ipilih +engan pertimbangan bah/a stan+ar ini sangat

fleksibel +ikembangkan tergantung pa+a kebutuhan organisasi, tujuan organisasi, persyaratan jumlah organisasi% keamanan, +an Selain itu, proses ukuran bisnis, struktur pega/ai

pertimbangan

lainnya a+alah IS3 .8!!. menye+iakan sertifikat implementasi Sistem Manajemen Keamanan Informasi *SMKI) yang +iakui se&ara internasional yang +isebut #nformation Security /anagement Sistem *ISMS) certification *Sarno +an Iffano, .!!: ":0;!)% 2engan a+anya au+it keamanan sistem informasi pa+a 'T% (J)S ini +iharapkan (J)S% +apat ini mengukur juga tingkat keamanan teknologi yang +imiliki 'T% (u+it menghasilkan meningkatkan rekomen+asi untuk

keamanan informasi pa+a perusahaan, serta menja+i a&uan untuk memperoleh ISMS certification +engan stan+ar IS3 .8!!., sehingga menambah nilai tambah akan keper&ayaan pelanggan terha+ap 'T% (J)S%

,ANDASAN TEORI Siste( In-.$(asi

Kea(anan In-.$(asi Keamanan Informasi a+alah penjagaan informasi +ari seluruh an&aman yang mungkin terja+i +alam upaya untuk memastikan atau menjamin kelangsungan bisnis * usiness continuity), meminimasi resiko bisnis *reduce memaksimalkan usiness risk) +an memper&epat atau

Sistem informasi a+alah kombinasi +ari teknologi informasi +an akti,itas, yang menggunakan teknologi untuk men+ukung kinerja, manajemen +an pembuatan keputusan *)eynon, .!!<)%
Audit (u+it +i+efinisikan sebagai proses atau akti,itas yang sistematik, in+epen+en +an ter+okementasi untuk menemukan suatu bukti0bukti *audit evidence) +an +ie,aluasi se&ara obyektif untuk menentukan apakah telah a+alah kon+isi memenuhi untuk tertentu +an kriteria memberikan yang pelaporan pemeriksaan gambaran +i mengenai *au+it) yang +itetapkan% Tujuan +ari au+it berlangsung

pengembalian in,estasi +an peluang bisnis *IS3/I47 .8!!1, .!!")% ISO 27002

IS3 .8!!. .!!" berisi pan+uan yang menjelaskan keamanan &ontoh informasi penerapan +engan

menggunakan bentuk0bentuk kontrol tertentu agar men&apai sasaran kontrol yang +itetapkan% )entuk0bentuk kontrol yang +isajikan seluruhnya menyangkut 11 area pengamanan Iffano kontrol sebagaimana *.!!: 198) +itetapkan +i +alam IS3/I47 .8!!1% Sarno +an mengatakan keamanan

perusahaan

pemenuhan terha+ap sekumpulan stan+ar yang ter+efinisi *IS(7(, .!!;)% Audit Siste( In-.$(asi =eber *=eber, 1:::) men+efinisikan (u+it Sistem Informasi sebagai proses pengumpulan +an penge,aluasian bukti *evidence) untuk menentukan apakah sistem informasi +apat melin+ungi aset, serta apakah teknologi informasi yang a+a telah memelihara integritas +ata sehingga ke+uanya +apat +iarahkan kepa+a

ber+asarkan IS3/I47 .8!!1 ter+iri +ari 11 klausul kontrol keamanan *security control clauses), 6: objektif kontrol *control o "ectives) +an 166 kontrol keamanan/ kontrol *controls) /.*it 0.) 73)IT +ikembangkan #nstitute oleh #T yang 0overnance *IT>I),

pen&apaian tujuan bisnis se&ara efektif +engan menggunakan sumber +aya se&ara efektif%

merupakan bagian +ari #nformation System Audit and Kontrol Association *IS(7()%
Pe(etaan ISO 27002 den1an /OBIT 0.)

informasi sehingga

yang suatu

ter+iri organisasi

+ari +apat

pengembangan suatu meto+e penilaian mengukur +irinya sen+iri +ari non0 eksisten ke tingkat optimal *value ! sampai +engan value ")%
METODO,O3I PENE,ITIAN ?angkah0langkah pelaksanaan au+it keamanan sistem informasi men&angkup

Meto+e IS3 .8!!. +igunakan untuk mengi+entifikasi tingkat kematangan penerapan kategorisasi *.apa ility pengamanan yang menga&u /odel +engan pa+a 1or atau 77MI

kerangka kerja 73)IT /arturity

1% 'eren&anaan +an persiapan au+it sistem

informasi%

#ntegration)% Tingkat kematangan ini nantinya akan +igunakan sebagai alat untuk melaporkan pemetaan +an pemeringkatan kesiapan keamanan

.% 'elaksanaan au+it sistem informasi% 6% 'elaporan au+it sistem informasi%

IMP,EMENTASI DAN 'ASI, Penentuan Ruan1 ,in1ku4 Kea(anan Siste( In-.$(asi Audit

informasi +i 'T% (J)S%

Matu$it! ,e2e&

IS3 188:: memberikan kontrol keamanan tetapi ti+ak bagaimana kontrol itu +ikembangkan atau +iatur% Ini +isebabkan IS3 bukan stan+ar teknis juga bukan untuk teknologi tertentu% 3leh karena itu ti+ak a+a mekanisme penilaian atau meto+e e,aluasi 16"), *>una/an +an Suhono, .!!;

'enentuan ruang lingkup au+it keamanan sistem informasi +ilakukan +engan &ara menentukan objektif kontrol yang akan +igunakan% 'erusahaan perlu melakukan pemilihan terha+ap kontrol0kontrol yang a+a +engan memperhatikan kebutuhan organisasinya, bagaimana &ara penerapan +an penetapan resiko jika kontrol tersebut ti+ak +ipenuhi% Kontrol +i+esain untuk memberikan kepastian bah/a tin+akan manajerial yang +ilakukan +apat memberikan kepastian bah/a tujuan bisnis akan +i&apai +an keja+ian yang ti+ak +iinginkan akan +apat +i&egah, +i+eteksi, +an +iperbaiki *Sarno, .!!:)% Tabel 1 merupakan pemetaan +ari pe+oman yang

sehingga pengi+entifikasian maturity level menga&u pa+a kerangka kerja 73)IT /arturity Mo+el atau /odel yang 77MI 1or proses *.apa ility #ntegration)% untuk teknologi

+igunakan

mengen+alikan

<

+igunakan terha+ap klausul0klausul IS3 .8!!.% Tabel 1 'emetaan Klausul IS3 .8!!.
K&ausu& 9 : 1! 11 16 1< Desk$i4si Keamanan S2M Keamanan 5isik +an ?ingkungan Manajemen Komunikasi +an 3perasi Kontrol (kses Manajemen Keja+ian Keamanan Informasi Manajemen Kelangsungan )isnis

/a/an&ara

+iperoleh

saat

prose+ur

pembuatan pertanyaan +ari pernyataan yang sebelumnya +ibuat% )ukti0bukti +an temuan au+it +iperoleh saat +ilakukan /a/an&ara kepa+a perusahaan% Setelah +i+apatkan bukti0bukti +an temuan au+it tersebut kemu+ian +ie,aluasi +an +ianalisa lalu menentukan nilai tingkat kemampuan tiap0 tiap kontrol keamanan% 7ontoh kerangka kerja perhitungan nilai maturity level +apat +ilihat pa+a Tabel ., untuk &ontoh hasil perhitungan tingkat kemampuan +apat +ilihat pa+a Tabel 6 +an &ontoh representasi hasilnya ke +alam +igram ra+ar +apat +ilihat pa+a >ambar 1%

Pe&aksanaan Audit Ke4atutan Penentuan Matu$it! ,e2e&

dan

'elaksanaan au+it kepatutan menghasilkan +okumen /a/an&ara, bukti0bukti au+it, temuan au+it +an nilai tingkat kematangan tiap kontrol keamanan% 2okumen

Tabel . 7ontoh Kerangka Kerja 'erhitungan /aturity 2evel

(pakah sepakat@ SekaliSamaTi+ak Aama 'roses Mengelola ?ingkungan 5isik tertentu2alam tingkatan

Seluruhnya 1%!! B B Total Ailai -ata0-ata 3bjektif Kontrol

Se+ikit

Aomor 'roses

DS)2

,e2e& Kede5asaan

N. 1 .

Pe$n!ataan Ter+apat kebutuhan untuk perlin+ungan fasilitas sumber +aya komputer Ter+apat kebutuhan untuk perlin+ungan fasilitas sumber +aya komputer T.ta& B.*.t

B.*.t 1%!! 1%!! 2.00

!%!!

!%66

!%; ;

1%!! 1%!! .%!!

Tin1kat Ke4atutan

).0 0

Tabel 6 7ontoh 1asil /aturity 2evel Klausul : Keamanan 5isik +an ?ingkungan
3bjektif Kontrol :%1 =ilayah Kontrol Kemananan :%1%1 'embatas Keamanan 5isik :%1%. Kontrol Masuk 5isik 7obit IT 'ro&esses 2S1. 2S1. /aturity 73)IT <%1 6%.! .%:: /aturity IS3 .8!!. 6%.! .%::

"

AI?(I

:%1%6 Keamanan Kantor, -uang, +an 5asilitasnya (man 3bjektif Kontrol :%1%< 'erlin+ungan Terha+ap (n&aman 2ari ?uar +an Sekitar Kontrol Kemananan

2S1. 2S1. 7obit IT 'ro&esses '3< '3; (I6 2S1. 2S" 2S1. 2S" 2S1. 2S1. (I6 2S1. 2S16 2S11

6%16 6%11 /aturity 73)IT <%1 .%9: .%"< 1%;" 6%18 1%:! 6%1! 1%:! 6%11 6%!9 1%;" 6%!9 .%"; .%<6 .%"< 6%.!

6%16 6%11 /aturity IS3 .8!!. .%"; .%:" .%"! .%"1 6%!9 .%<6 .%<6 .%98 2.7) .%;; -ata0-ata 3bjektif Kontrol

:%1 =ilayah (man *?anjutan)

:%1%" )ekerja +i =ilayah (man :%1%; (kses 'ublik, Tempat 'engiriman, +an 'enurunan )arang :%.%1 ?etak 'eralatan +an 'engamanannya :%.%. Ctilitas 'en+ukung

:%. Keamanan 'eralatan

:%.%< 'emeliharaan 'eralatan :%.%; Keamanan untuk 'embuangan atau 'emanfaatan Kembali 'eralatan :%.%8 1ak 'emanfaatan

'3; 2S1. Maturity Level K&ausu& 6

temuan0temuan +an rekomen+asi tersebut +igunakan sebagai saran untuk perbaikan kontrol keamanan% Setelah seluruh perhitungan selesai +i+apatkan nilai maturity level +ari rata0rata keseluruhan nilai klasul yang +apat +ilihat pa+a Tabel <% >ambar 1 7ontoh -epresentasi Ailai /aturity 2evel Klausul : Keamanan 5isik +an ?ingkungan Penentuan dan Pen!usunan 'asi& Audit Siste( In-.$(asi 1asil au+it keamanan sistem informasi berupa temuan +an rekomen+asi untuk perusahaan% Temuan +an rekomen+asi
11 16 1<

Tabel < 1asil /aturity 2evel Seluruh Klausul yang 2igunakan

Klausul 9 : 1! 2eskripsi Keamanan S2M Keamanan 5isik +an ?ingkungan Manajemen Komunikasi +an 3perasi Kontrol (kses Manajemen Keja+ian Keamanan Informasi Manajemen Kelangsungan )isnis /aturity 2evel .%8. .%91 .%.! .%.; .%". .%<6

tersebut berasal +ari hasil /a/an&ara yang +ilakukan, yang sebelumnya +ie,aluasi +an +ianalisa% ?aporan hasil au+it yang berupa

Ni&ai Maturity Level

2.06

<% Ter+apat tanggung ja/ab manajemen pa+a pengelolaan keja+ian keamanan informasi% Se+angkan kon+isi yang perbaikan yaitu masih perlu

2i+apat representasi hasil maturity level seluruh klausul pa+a >ambar . +an terlihat bah/a Manajemen (set +an Keja+ian Keamanan Informasi memiliki nilai yang belum baik, sehingga harus +imanajemen ulang pa+a prose+ur untuk mengelola kontrol keamanannya%

1% 'erjanjian +ijabarkan spesifik%

kerahasiaan se&ara +etail

belum +an

.% )elum a+a pelatihan0pelatihan terkait

keamanan informasi, misalnya kriteria password yang baik, pelatihan tentang antisipasi serangan ,irus, +an lain0lain%

6% )elum +ilakukan pengkajian ulang +an pembaharuan hak akses se&ara berkala% 'embaharuan hak akses
>ambar . -epresentasi 1asil /aturity 2evel Seluruh Klausul Pen!usunan Te(uan Setelah +ilakukan analisa +an e,aluasi +ari au+it keamanan sistem informasi pa+a 'T% (J)S +i+apatkan beberapa kon+isi yang sesuai +engan kontrol keamananan pa+a IS3 .8!!. yang telah +itetapkan% )eberapa kon+isi tersebut yaitu

ti+ak +i/ajibkan se&ara berkala% <% )anyak belum prose+ur operasi yang yaitu ter+okumentasi,

prose+ur pemulihan, program start3 up, close3down, ack3up, sistem restart, penja+/alan pemeliharaan, instruksi penanganan kesalahan atau kon+isi istime/a lain, pembatasan penggunaan fasilitas sistem, +ll%
Pen!usunan Rek.(endasi )er+asarkan +ari temuan yang +i+apat +ari au+it keamanan sistem informasi maka +isusun rekomen+asi guna perbaikan untuk kon+isi0kon+isi pa+a perusahaan yang belum sesuai +engan prose+ur% )eberapa rekomen+asi tersebut yaitu

1% Ter+apat aturan mengenai tanggung

ja/ab keamanan informasi pa+a kontrak kerja pega/ai%

.% Ter+apat perimeter keamanan untuk

melin+ungi ruang yang berisikan fasilitas pemrosesan informasi%

6% Ter+apat penetapan persyaratan bisnis

untuk kontrol akses%

1% Menjabarkan perjanjian kerahasiaan se&ara +etail +an spesifik termasuk menjaga kerahasiaan password.
.% Membuat mo+ul0mo+ul pelatihan +an menga+akan pelatihan pa+a karya/an mengenai keamanan informasi%

a+a aturan baku yang bersifat formal% 6% Ailai maturity level yang +ihasilkan oleh 'T% (neka Jaya )aut Sejahtera yaitu .%<: yang termasuk pa+a kategori le,el . yaitu repeata le% 1al tersebut proses

6% Melakukan

pengkajian

ulang

tentang hak akses masing0masing +an pembaharuan hak akses apabila terja+i pemin+ahan bagian maupun kenaikan jabatan sesuai +engan hak akses masing0masing%
Kesi(4u&an )er+asarkan hasil au+it keamanan sistem informasi, maka +i+apat kesimpulan

menan+akan

bah/a

keamanan sistem informasi pa+a 'T% (neka Jaya )aut Sejahtera telah +ilakukan se&ara rutin, namun belum ber+asarkan aturan +an pan+uan formal%
Sa$an )eberapa saran yang +apat +iberikan untuk pengembangan lebih lanjut yaitu

1%

'enyalahgunaan +isebabkan karena

password peraturan

1% (u+it keamanan sistem informasi ini masih belum menggunakan keseluruhan klausul +an kontrol keamanan yang a+a pa+a IS3 .8!!.% 2iharapkan +apat +ilakukan au+it keamanan sistem informasi kembali +engan menggunakan keseluruhan klausul +an kontrol keamanan IS3 .8!!. setelah pihak perusahaan melakukan perbaikan keamanan sistem informasinya% .% )er+asarkan hasil au+it keamanan sistem informasi telah +ilakukan, +i+apatkan pernyataan bah/a pihak perusahaan belum pernah +iau+it +engan stan+ar0stan+ar lain% Cntuk 9

perusahaan yang kurang tegas +an kurang spesififk untuk kerahasiaan password, belum a+anya perjanjian atau pernyataan tertulis yang +itan+atangani untuk benar0benar menjaga kesa+aran karya/an .% kerahasiaan serta terha+ap password kurangnya pengetahuan pentingnya masing0masing,

merahasiakan password% Ter+apat kebijakan +an prose+ur yang bahkan belum a+a ter+okumentasi, beberapa tin+akan

+alam perusahaan yang +ilakukan ber+asarkan spontanitas +an tanpa

itu +apat +ilakukan au+it sistem informasi menggunakan stan+ar lain selain IS3%

Sarno, -% +an Iffano, I% .!!:% Sistem Manajemen Keamanan Informasi% Surabaya ITS 'ress%

Da-ta$ Pustaka

)eynon, 2%'% .!!<% 43Business% )asingstoke 'algra,e%

>una/an, 1 +an Suhono, - 2% .!!;% Studi #S% 5''--6&((7 8an Systems Security 4ngineering .apa ility /aturity /odel 9SS43.//: ;ntuk <eamanan Aplikasi =e . )an+ung Institut Teknologi )an+ung%

Tanu/ijaya, 1% +an Sarno, -% .!1!% .omparation of .o iT /aturity /odel and Structural 4*uation /odel for /easuring the Alignment etween ;niversity Academic >egulations and #nformation Technology 0oals, International Journal of 7omputer S&ien&e an+ Aet/ork Se&urity, E3?%1! Ao%;, June .!1!% =eber, -on% .!!!% #nformation System .ontrol and Audit. Ae/ Jersey 'renti&e 1all, In&%

Information Te&hnology >o,ernan&e Institute% .!!8% .%B#T ,.5(6 .ontrol % "ective, /anagement 0uidelines, /aturity /odels% Cnite+ States of (meri&a IT >o,ernan&e Institute% IS(7(% .!!;% .#SA >eview /anual% IS3/I47% .!!"% #nformation Technology3Security Techni*ues3.ode of Practice for #nformation Security /anagement #S%/#4. 5''-9&'((&:6&((7% S/itDerlan+% IS3/I47%.!!"%#nformation Technology3 Security Techni*ues3 #nformation Security /anagement System #S%/#4. &'((56 &((7% S/itDerlan+% -ahar+jo, )u+i% .!!"% <eamanan Sistem #nformasi Ber asis #nternet% )an+ung 'T% Insan In+onesia%
Sarno, -iyanarto% .!!:% (u+it Sistem & Teknologi Informasi% Surabaya ITS 'ress%