AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO PADA PT

Slides:



Advertisements
Presentasi serupa
TEKNOLOGI INFORMASI DAN KOMUNIKASI
Advertisements

Audit Keamanan Sistem Informasi pada BAGIAN sistem informasi management (Perguruan Tinggi ) BERDASARKAN standar iso
Audit Keamanan Sistem Informasi pada INSTaLASI sistem informasi management (sim-rs) BERDASARKAN standar iso (Studi Kasus: Rumah Sakit Umum Haji.
Audit Sistem Informasi
Enterprise Architecture
DAMPAK TEKNOLOGI INFORMASI PADA PROSES AUDIT
Tatakelola dan audit ti
AUDIT SISTEM INFORMASI MANAJEMEN ASET BERDASARKAN PERSPEKTIF PROSES BISNIS INTERNAL BALANCED SCORECARD DAN STANDAR COBIT 4.1 (Studi Kasus: PT. Pertamina.
(Studi Kasus: Rumah Sakit Umum Haji Surabaya)
Minggu Ke : 1 APAKAH SIA ITU ?
Rencana Induk Pemanfaatan IT dan Komunikasi Departemen Perhubungan Diajukan Oleh: PT. Medcom Indosa Engineering Departemen Perhubungan 2006 Interim Report.
BUSINESS CONTINUITY PLAN AND DISASTER RECOVERY
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO (Studi Kasus: PT. ANEKA JAYA BAUT SEJAHTERA) Marliana Halim
Mengaudit Sistem/ Teknologi Informasi
Disusun Oleh : Rachmad Sukma Putranto
TUJUAN AUDIT SI/TI Pertemuan 2.
DIVISI PERENCANAAN STRATEGIS
RENCANA INDUK PEMANFAATAN TEKNOLOGI INFORMASI DAN KOMUNIKASI DEPARTEMEN PERHUBUNGAN PUSAT DATA DAN INFORMASI 2006.
PENGUKURAN KESELARASAN TUJUAN BISNIS DAN SISTEM INFORMASI PADA PERSPEKTIF PELANGGAN DENGAN STANDAR COBIT 4.1 (STUDI KASUS STIKOM SURABAYA) Lucky Yulitasari1)
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO (Studi Kasus: PT.Karya karang asem indonesia) Felix nugraha k
SEJARAH DAN PEMAHAMAN AUDIT SISTEM/TEKNOLOGI INFORMASI
Customer Relationship Management
ANALISIS KINERJA KEUANGAN PT
Pertemuan 4 Perancangan Sistem Manajemen Mutu
AUDIT SISTEM INFORMASI
SISTEM JARINGAN KOMPUTER
Pendahuluan Pertemuan 5 - 8
SOP dan Audit Keamanan Keamanan Jaringan Pertemuan 12
Oleh : Etimanta Veronika Br. Pinem ( ) Oktariani Laoly ( )
Penerapan Manajemen Risiko
Metodologi Audit Sistem Informasi
Audit Sistem Informasi berbasis Komputer
Manajemen Resiko Terintegrasi
CRM CRM kependekan dari Customer Relationship Management. Dalam bahasa indonesia dapat kita artikan sebagai Manajemen Hubungan Pelanggan. Merupakan strategi.
INFRASTRUCTURE SECURITY
AUDIT INTERNAL Tujuan Program Audit
Audit Internal K3 By : Wahyuni, S.Psi, M.Kes.
Audit Planning and Management
Implementasi Kerangka Kerja COBIT
Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi Tujuan: membahas domain-domain keamanan yang ada pada perusahaan asuransi. PRODUK:
Maturity Model of DS5 (Delivery and Support) Ensure System Security
caaml / V / manajemen administrasi
Pengantar Teknologi Informasi (Teori)
PENGERTIAN TSI Teknologi Sistem Informasi (TSI) adalah suatu sistem pengolahan data keuangan dan pelayanan jasa perbankan secara elektronis dengan menggunakan.
Danastri Rasmona Windriya
Tujuan: membahas domain keamanan yang ada pada perusahaan asuransi.
INTERNAL AUDIT K3 TJIPTO S..
Kuesioner Pengelolaan Teknologi Informasi berdasarkan CobIT
KEAMANAN INFORMASI INFORMATION SECURITY
AUDIT TEKNOLOGI SISTEM INFORMASI BANK XYZ
Audit Teknologi Informasi Pertemuan 11
IT Audit M.4.
TEKNOLOGI INFORMASI DAN KOMUNIKASI
Manajemen Resiko Dalam Pengembangan SI
Rey Rakatiarna | | Teknik Informatika
PEMERINTAH KABUPATEN MALANG
PENERAPAN SISTEM MANAJEMEN MUTU ISO 9001:2008
Devinisi Audit Internal
CRM CRM kependekan dari Customer Relationship Management. Dalam bahasa indonesia dapat kita artikan sebagai Manajemen Hubungan Pelanggan. Merupakan strategi.
21 September September :24 SIDANG SKRIPSI
Struktur Tugas dan Fungsi Utama Layanan Teknologi Informasi
Sistem Informasi Akuntansi Tinjauan Sekilas
AUDIT SISTEM INFORMASI (Studi Kasus: PT. ANEKA JAYA BAUT SEJAHTERA)
CRM CRM kependekan dari Customer Relationship Management. Dalam bahasa indonesia dapat kita artikan sebagai Manajemen Hubungan Pelanggan. Merupakan strategi.
BAB I                       Mata Kuliah  Sistem Terdistribusi _______________________ Security Distribusi Oleh : Laseri, S.Kom.
Transisi Layanan Teknologi Informasi
COBIT untuk Penjaminan TI
CRM CRM kependekan dari Customer Relationship Management. Dalam bahasa indonesia dapat kita artikan sebagai Manajemen Hubungan Pelanggan. Merupakan strategi.
Strategi Implementasi ITIL
MENGELOLA BISNIS SECARA EFEKTIF
Transcript presentasi:

AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27001 PADA PT AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27001 PADA PT. BPR JATIM Fine Ermana 07.41010.0235

Latar Belakang Manajemen keamanan informasi sangatlah penting bagi kantor pusat PT. BPR JATIM, karena seluruh laporan yang berasal dari kantor cabang di seluruh Jawa Timur akan dikirimkan ke pusat setiap hari dan keamanan jaringan dalam transmisi data memungkinkan resiko kehilangan data rahasia perusahaan. Transmisi data dan informasi tersebut menggunakan jasa salah satu Internet Service Provider (ISP) lewat jaringan Virtual Private Network (VPN). Sistem perbankan atau Core Banking System (CBS) pada PT. BPR JATIM menggunakan produk salah satu vendor Teknologi Informasi (TI) yaitu Sarana Transaksi Keuangan (SATU) yang beroperasi secara online namun masih menggunakan server yang ada pada vendor. Meskipun demikian, kantor pusat tetap mendapatkan laporan rutin bulanan yang berasal dari cabang sehingga tetap harus memiliki server data untuk backup dan recovery yang berjalan dengan baik.

Latar Belakang Mengingat pentingnya informasi, maka kebijakan tentang pengamanan informasi harus mencakup sekurang- kurangnya terdapat prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logical security, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi (Direktorat Penelitian dan Pengaturan Perbankan, 2007: 52). Untuk itu diperlukan audit keamanan sistem informasi pada PT. BPR JATIM untuk memastikan keamanan informasi diterapkan sesuai dengan prosedur. Standar yang digunakan yaitu ISO 27001. Beberapa hal penting yang patut dijadikan pertimbangan mengapa standar ISO 27001 dipilih karena dengan standar ini sangat fleksibel dikembangkan karena sangat tergantung dari kebutuhan organisasi, tujuan organisasi, persyaratan keamanan, proses bisnis dan jumlah pegawai dan ukuran struktur organisasi serta ISO 27001 menyediakan sertifikat implementasi Sistem Manajemen Keamanan Informasi SMKI yang diakui secara internasional yang disebut Information Security Management System (ISMS) certification (Sarno dan Iffano, 2009: 59).

Perumusan Masalah Bagaimana membuat perencanaan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001. Bagaimana melaksanakan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001. Bagaimana menyusun hasil audit keamanan sistem informasi pada PT. BRP JATIM berdasarkan standar ISO 27001.

Batasan Masalah Klausul ISO 27001 yang digunakan adalah: Klausul 7: Manajemen Aset Klausul 8: Manajemen SDM Klausul 9: Keamanan Fisik dan Lingkungan Klausul 10: Manajemen Komunikasi dan Operasi Klausul 11: Kontrol Akses Klausul 12: Akuisisi Sistem Informasi Pembangunan dan Pemeliharaan Klausul 13: Manajemen Kejadian Keamanan Informasi Sistem Informasi yang di audit adalah Core Banking System (CBS) PT.BPR JATIM. Audit hanya dilakukan pada kantor pusat PT. BPR JATIM yang terletak di Jl. Musi 4 Surabaya

Tujuan Menghasilkan perancanaan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001 yang terdiri dari menentukan ruang lingkup, mengumpulkan data dan menentukan langkah-langkah pelaksanaan audit. Melaksanakan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001 dengan menganalisa hasil wawancara berupa bukti dan temuan-temuan audit sehingga dapat mengukur maturity level. Menyusun hasil audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001 dengan melakukan analisa dan evaluasi dari bukti dan temuan yang ada sehingga didapat laporan hasil audit yang berupa temuan dan rekomendasi.

Landasan Teori AUDIT Audit didefinisikan sebagai proses atau aktivitas yang sistematik, independen dan terdokementasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan. Tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi (ICASA dalam Sarno, 2009: 3).

Landasan Teori AUDIT SISTEM INFORMASI Weber dalam Sarno (2009: 28) mendefinisikan Audit Sistem Informasi sebagai proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif.

Landasan Teori KEAMANAN INFORMASI Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (ISO 27001 dalam Sarno dan Iffano, 2009: 27).

Landasan Teori SISTEM INFORMASI Sistem Informasi (SI) adalah suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan- laporan yang diperlukan (Leitch dan Davis dalam Jogiyanto 2005: 11).

Landasan Teori SISTEM INFORMASI Sistem Informasi (SI) adalah suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan- laporan yang diperlukan (Leitch dan Davis dalam Jogiyanto 2005: 11).

Landasan Teori ISO 27001 ISO/IEC 27001 merupakan dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management Systems (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi di perusahaan. Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan ISO/IEC 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls)

Landasan Teori SSE-CMM SSE-CMM adalah Capability Maturity Model (CMM) untuk System Security Engineering (SSE). CMM adalah kerangka untuk mengembangkan proses, seperti proses teknis baik informal maupun formal. SSE-CMM terdiri dari dua bagian yaitu: 1. Model untuk teknik keamanan proses, proyek dan organisasi. 2. Metoda penilaian untuk mengetahui kematangan proses.

Landasan Teori PEMBOBOTAN Penilaian pada tiap pernyataan kontrol-kontrol yang telah ditentukan perlu diberikan bobot yang sesuai dengan panduan implementasi SMKI. Pembobotan yang digunakan mengadopsi dari penilaian resiko. Menurut Sarno dan Iffano (2009: 89) dalam hubungannya dengan SMKI, resiko adalah dampak yang ditimbulkan atas terjadinya sesuatu yang mengancam keamanan informasi di organisasi, yang dimaksud adalah ancaman terhadap aspek keamanan informasi yaitu CIA (Confidentiality, Integrity, Availability).

Metodologi Penelitian

Implemantasi dan Hasil Penyusunan Temuan Terdapat aturan mengenai tanggung jawab keamanan informasi pada kontrak kerja pegawai. Terdapat perimeter keamanan untuk melindungi ruang yang berisikan fasilitas pemrosesan informasi. Terdapat dokumentasi terhadap prosedur operasi. Terdapat dokumentasi penetapan persyaratan bisnis untuk kontrol akses. Terdapat persyaratan kebutuhan keamanan sistem informasi pada sistem baru.

Implemantasi dan Hasil Penyusunan Rekomendasi Mengiidentifikasi dengan jelas dan menginventarisasi seluruh aset yang dimiliki oleh organisasi. Mengklarifikasikan dan membuat panduan klasifikasi Informasi agar dapat dilakukan pengamanan yang memadai sesuai dengan klasifikasinya. Membuat prosedur penandaan klasifikasi misalnya informasi ”rahasia” (misalnya data simpanan nasabah, data pribadi nasabah), ”internal” (misalnya peraturan tentang gaji pegawai Bank) dan ”biasa” (misalnya informasi tentang produk perbankan yang ditawarkan ke masyarakat).

Kesimpulan Perencanaan audit keamanan sistem informasi pada PT. BPR JATIM menghasilkan identifikasi ruang lingkup pada pedoman Bank Indonesia dalam menerapkan manajemen resiko pada TI. Pengumpulan data dilakukan dengan wawancara untuk menentukan dokumen-dokumen yang diperlukan. Langkah pelaksanaan audit keamanan sistem informasi dilakukan dengan pembuatan pernyataan, penentuan nilai bobot, pembuatan pertanyaan dan penentuan nilai kematangan. Pelaksanaan audit keamanan sistem informasi dengan pengumpulan data memperoleh dokumen hasil wawancara. Hasil maturity level didapat dari seluruh kontrol keamanan mendapatkan nilai sebesar 2,90 yang berarti bahwa kontrol keamanan masih berada pada level 2 planned and tracked (direncanakan dan dilacak) namun telah mendekati level 3 well defined (didefinisikan dengan baik) yang merupakan level yang diharapkan oleh perusahaan, sehingga diperlukan peningkatan kontrol keamanan yang telah direkomendasikan.

Saran Audit keamanan sistem informasi belum menerapkan seluruh kontrol keamanan yang sesuai dengan pedoman BI, karena perusahaan baru saja mengalami perubahan sistem sehingga masih dalam tahap pengembangan. Untuk itu diharapkan setelah seluruh sistem perusahaan telah berjalan sesuai dengan proses bisnis yang ada atau bahkan telah membuat prosedur sistem manajemen keamanan informasi maka perlu dilakukan audit keamanan sistem informasi kembali. Audit keamanan sistem informasi ini menggunakan standar ISO 27001 dan penilaian maturity level menggunakan SSE-CMM, dikarenakan ISO memang belum memiliki metode penilaian maka dari itu untuk pengembangan penelitian selanjutnya dapat menggunakan maturity model lain untuk bahan perbandingan.