AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27002 (Studi Kasus: PT. ANEKA JAYA BAUT SEJAHTERA) Marliana Halim 08.41010.0199.

Slides:



Advertisements
Presentasi serupa
Audit Keamanan Sistem Informasi pada BAGIAN sistem informasi management (Perguruan Tinggi ) BERDASARKAN standar iso
Advertisements

Audit Keamanan Sistem Informasi pada INSTaLASI sistem informasi management (sim-rs) BERDASARKAN standar iso (Studi Kasus: Rumah Sakit Umum Haji.
SISTEM MANAJEMEN KESELAMATAN DAN KESEHATAN KERJA
Tata Kelola Teknologi Informasi
Audit Sistem Informasi
Tatakelola dan audit ti
AUDIT SISTEM INFORMASI MANAJEMEN ASET BERDASARKAN PERSPEKTIF PROSES BISNIS INTERNAL BALANCED SCORECARD DAN STANDAR COBIT 4.1 (Studi Kasus: PT. Pertamina.
(Studi Kasus: Rumah Sakit Umum Haji Surabaya)
Tatakelola dan Audit TI Indri Sudanawati Rozas
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO PADA PT
14. Strategi Menilai Manfaat Teknologi Informasi
Sejarah & Pemahaman Audit Sistem/Teknologi Informasi
Mengaudit Sistem/ Teknologi Informasi
Disusun Oleh : Rachmad Sukma Putranto
Tata Kelola Teknologi Informasi
RENCANA INDUK PEMANFAATAN TEKNOLOGI INFORMASI DAN KOMUNIKASI DEPARTEMEN PERHUBUNGAN PUSAT DATA DAN INFORMASI 2006.
Tata Kelola TI.
AUDIT SISTEM KEPASTIAN MUTU
PENGUKURAN KESELARASAN TUJUAN BISNIS DAN SISTEM INFORMASI PADA PERSPEKTIF PELANGGAN DENGAN STANDAR COBIT 4.1 (STUDI KASUS STIKOM SURABAYA) Lucky Yulitasari1)
Panduan Audit Sistem Informasi
Oleh : Saripudin,MT.  After studying this chapter, you will be able to:  Recognize the difficulties in managing information resources.  Understand.
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO (Studi Kasus: PT.Karya karang asem indonesia) Felix nugraha k
Laporan dan rekomendasi hasil Audit
SEJARAH DAN PEMAHAMAN AUDIT SISTEM/TEKNOLOGI INFORMASI
PEDOMAN PENILAIAN PENERAPAN SISTEM MANAJEMEN K3
Pengendalian dan Sistem Informasi Akuntansi
SISTEM MUTU LABORATORIUM SESUAI ISO/IEC : 2005.
AUDIT SISTEM INFORMASI
SOP dan Audit Keamanan Keamanan Jaringan Pertemuan 12
Interpretasi Klausul 4 ISO Sistem Manajemen Mutu
Mengamankan Sistem Informasi
Pengenalan Kertas Kerja
KEAMANAN DAN PENGENDALIAN SISTEM
Metodologi Audit Sistem Informasi
Audit Sistem Informasi berbasis Komputer
Materi – 03 Sistem Kantor.
AUDIT MUTU INTERNAL TIM GAMA SOLUTION.
Audit Internal K3 By : Wahyuni, S.Psi, M.Kes.
Sistem Manajemen Mutu.
Keamanan Sistem Informasi
Implementasi Kerangka Kerja COBIT
Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi Tujuan: membahas domain-domain keamanan yang ada pada perusahaan asuransi. PRODUK:
Pengendalian dan Sistem Informasi Akuntansi
Danastri Rasmona Windriya
Tujuan: membahas domain keamanan yang ada pada perusahaan asuransi.
Pengendalian dan Sistem Informasi Akuntansi
Audit Produksi dan Operasi
KEAMANAN INFORMASI INFORMATION SECURITY
OVERVIEW AUDIT SISTEM INFORMASI
AUDIT TEKNOLOGI SISTEM INFORMASI BANK XYZ
CobiT Control Objectives for Information and Related Technology
ETIKA PROFESI Sesi 7.
Manajemen Resiko Dalam Pengembangan SI
PROGRAM KAMPANYE PENDIDIKAN KEAMANAN INFORMASI 25 Maret, 2017.
Sistem Manajemen Keselamatan dan Kesehatan Kerja (SMK3)
PENERAPAN SISTEM MANAJEMEN MUTU ISO 9001:2008
HAZARD MANAGEMENT Keselamatan Kerja.
Pentingnya Audit Sistem Informasi
Kesehatan Dan Keselamatan Kerja
Devinisi Audit Internal
UNIVERSITAS SARJANAWIYATA TAMANSISWA
Abdul latieff HSE Officer. Definisi Kesehatan dan keselamatan kerja (K3) adalah bidang yang terkait dengan kesehatan, keselamatan, dan kesejahteraan manusia.
COBIT An Introduction.
AUDIT SISTEM INFORMASI (Studi Kasus: PT. ANEKA JAYA BAUT SEJAHTERA)
Sistem Manajemen K3 OHSAS 18001:2007
SI702 Tata Kelola Sistem Informasi Pertemuan #9
COBIT untuk Penjaminan TI
1. Pokok Bahasan Pengertian audit Pengertian audit Jenis audit Jenis audit Pengertian audit internal Pengertian audit internal Manfaat audit internal.
Standar Tata Kelola TI Pertemuan 4
Pertemuan 6 Audit Teknologi Informasi Kel 4 : - Aditya pratama.
Transcript presentasi:

AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27002 (Studi Kasus: PT. ANEKA JAYA BAUT SEJAHTERA) Marliana Halim 08.41010.0199

Latar Belakang Perseroan Terbatas Aneka Jaya Baut Sejahtera (PT. AJBS) adalah sebuah perusahaan di bidang pengadaan perlengkapan dan peralatan pendukung industri. PT. AJBS memiliki jenis dan jumlah produk yang besar, hal ini yang mengharuskan PT. AJBS untuk menerapkan teknologi informasi yang memadai. Pengelolaan inventori, transaksi, data pelanggan, dan data supplier, serta keseluruhan pelaporan dan analisa keuangan ditangani dalam sistem operasional yang terintegrasi  ITS (Integrated Trading System)

Latar Belakang PT. AJBS memiliki 5 (lima) server yang beroperasi: 2 (dua) server  data aplikasi 1 (satu) server router dan proxy 1 (satu) server domain controller 1 (satu) server  mail server. Rahardjo (2005: 1) Masalah keamanan = salah satu aspek penting dari sebuah sistem informasi. Pentingnya nilai sebuah informasi menyebabkan informasi seringkali ingin diakses oleh orang-orang tertentu secara ilegal. Hal-hal lain juga dapat menimbulkan kerugian bagi perusahaan misalnya kerugian apabila sistem informasi tidak bekerja selama kurun waktu tertentu, kerugian apabila ada kesalahan data atau informasi dan kehilangan data.

Latar Belakang Selama penerapan aplikasi ITS ini telah terjadi beberapa kendala antara lain: Ditemukannya beberapa kasus penyalahgunaan password yang dapat mengancam kerahasiaan perusahaan. Selain itu dikhawatirkan dapat berdampak pada terjadinya penyalahgunaan informasi yang merugikan PT. AJBS dalam persaingan dengan para kompetitor. Kendala lain yang ditemukan adalah kurangnya pemeliharaan terhadap fasilitas pemrosesan informasi yang dapat menyebabkan sistem menjadi sering hang, jaringan down, hingga terbakarnya harddisk yang menyebabkan hilangnya data perusahaan. PT. AJBS juga belum memiliki aturan dan prosedur terhadap ancaman virus. Ancaman virus itu dapat menimbulkan gangguan kinerja sistem informasi bahkan dapat mengacau keberlangsungan operasional PT. AJBS.

Latar Belakang Selama ini PT. AJBS belum pernah melakukan analisa penyebab terjadinya permasalahan tersebut dan PT. AJBS tidak mengetahui sampai di mana tingkat keamanan sistem informasi yang milikinya. Oleh karena itu  perlu mengevaluasi keamanan sistem informasi menjaga keamanan sistem informasi yang dimiliki  audit keamanan sistem informasi (Asmuni dan Firdaus, 2005:23). Keamanan informasi untuk menjaga aspek kerahasiaan (Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability) dari Informasi (ISO/IEC 27002, 2005:1)

Latar Belakang Audit keamanan sistem informasi perlu suatu standar (Tanuwijaya dan Sarno, 2010:80). Standar yang dipilih  ISO 27002 Pertimbangan : Fleksibel dikembangkan tergantung pada - kebutuhan organisasi, - tujuan organisasi, - persyaratan keamanan, - proses bisnis, - jumlah pegawai dan ukuran struktur organisasi. Sertifikat implementasi Sistem Manajemen Keamanan Informasi (SMKI)  Information Security Management System (ISMS) certification (Sarno dan Iffano, 2009: 59-60).

Latar Belakang Audit keamanan sistem informasi pada PT. AJBS  mengukur tingkat keamanan teknologi informasi Menghasilkan rekomendasi untuk meningkatkan keamanan informasi pada perusahaan  acuan memperoleh ISMS certification dg standar ISO 27002 menambah nilai tambah akan kepercayaan terhadap PT. AJBS.

Perumusan Masalah Bagaimana membuat perencanaan audit keamanan sistem informasi PT. AJBS berdasarkan standar ISO 27002. Bagaimana melaksanakan audit keamanan sistem informasi pada PT. AJBS berdasarkan standar ISO 27002. Bagaimana menyusun hasil audit keamanan sistem informasi pada PT. AJBS berdasarkan standar ISO 27002.

Batasan Masalah Semua klausul ISO 27002 yang digunakan, telah disesuaikan dengan keadaan yang ada pada PT. AJBS. Klausul ISO 27002 yang digunakan adalah: Klausul 8: Manajemen SDM Klausul 9: Keamanan Fisik dan Lingkungan Klausul 10: Manajemen Komunikasi dan Operasi Klausul 11: Kontrol Akses Klausul 13: Manajemen Kejadian Keamanan Informasi Klausul 14: Manajemen Kelangsungan Bisnis Sistem Informasi yang di audit  ITS (Integrated Trading System) PT. AJBS Audit hanya dilakukan PT. AJBS yang terletak Jl. Semarang 116 D-E Surabaya.

Tujuan Membuat perancangan audit keamanan sistem informasi pada PT. AJBS berdasarkan standar ISO 27002 untuk menghasilkan penentuan ruang lingkup, pengumpulkan data, dan langkah-langkah pelaksanaan audit. Melaksanakan audit keamanan sistem informasi pada PT. AJBS berdasarkan standar ISO 27002 dengan melakukan wawancara, melakukan pemeriksaan, melakukan penilaian masing-masing klausul, menghitung dan menganalisis maturity level, sampai ditemukannya temuan-temuan audit untuk mengetahui sejauh mana tingkat keamanan yang dimiliki PT. AJBS. Menyusun hasil audit keamanan sistem informasi pada PT. AJBS berdasarkan standar ISO 27002 dengan melakukan analisa dan evaluasi dari bukti-bukti dan temuan yang ada didapat laporan hasil audit yang berupa temuan dan rekomendasi yang dapat digunakan untuk perbaikan dan peningkatan keamanan sistem yang dimiliki PT. AJBS.

Landasan Teori SISTEM INFORMASI = kombinasi dari teknologi informasi dan aktivitas, yang menggunakan teknologi untuk mendukung kinerja, manajemen dan pembuatan keputusan (Beynon, 2004). AUDIT = proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan. Tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi (ISACA, 2006).

Landasan Teori KEAMANAN INFORMASI AUDIT SISTEM INFORMASI (Weber, 1999) = proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif. KEAMANAN INFORMASI = penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (ISO/IEC 27001, 2005).

Landasan Teori ISO 27002 = panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan di dalam ISO/IEC 27001. Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan ISO/IEC 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls)

Landasan Teori Cobit 4.1 (Control Objective for Information and Related Technologies 4.1) COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information System Audit and Kontrol Association (ISACA). Pemetaan ISO 27002 dengan COBIT 4.1 Metode ISO 27002 digunakan untuk mengidentifikasi tingkat kematangan penerapan pengamanan dengan kategorisasi yang mengacu pada kerangka kerja COBIT atau CCMI (Capability Marturity Model For Integration). Tingkat kematangan ini nantinya akan digunakan sebagai alat untuk melaporkan pemetaan dan pemeringkatan kesiapan keamanan informasi di PT. AJBS.

Landasan Teori Model Kedewasaan (Maturity Model Cobit 4.1) ISO 17799 memberikan kontrol keamanan tetapi tidak bagaimana kontrol itu dikembangkan atau diatur. Ini disebabkan ISO bukan standar teknis juga bukan untuk teknologi tertentu. Oleh karena itu tidak ada mekanisme penilaian atau metode evaluasi (Gunawan dan Suhono, 2006: 135), sehingga pengidentifikasian maturity level mengacu pada kerangka kerja COBIT atau CCMI (Capability Marturity Model For Integration). Model yang digunakan untuk mengendalikan proses teknologi informasi yang terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi dapat mengukur dirinya sendiri dari non-eksisten ke tingkat optimal (value 0 sampai dengan value 5).

Metodologi Penelitian

Implementasi dan Hasil Penyusunan Temuan Perjanjian kerahasiaan belum dijabarkan secara detail dan spesifik. Belum ada pelatihan-pelatihan terkait keamanan informasi, misalnya kriteria password yang baik, pelatihan tentang antisipasi serangan virus, dan lain-lain. Belum dilakukan pengkajian ulang dan pembaharuan hak akses secara berkala. Pembaharuan hak akses tidak diwajibkan secara berkala. Banyak prosedur operasi yang belum terdokumentasi, yaitu prosedur pemulihan, program start-up, close-down, back-up, sistem restart, penjadwalan pemeliharaan, instruksi penanganan kesalahan atau kondisi istimewa lain, pembatasan penggunaan fasilitas sistem, dll.

Implementasi dan Hasil Penyusunan Rekomendasi Menjabarkan perjanjian kerahasiaan secara detail dan spesifik termasuk menjaga kerahasiaan password. Membuat modul-modul pelatihan dan mengadakan pelatihan pada karyawan mengenai keamanan informasi. Melakukan pengkajian ulang tentang hak akses masing-masing dan pembaharuan hak akses apabila terjadi pemindahan bagian maupun kenaikan jabatan sesuai dengan hak akses masing-masing.

Kesimpulan Penyalahgunaan password disebabkan karena peraturan perusahaan yang kurang tegas dan kurang spesififk untuk kerahasiaan password, belum adanya perjanjian atau pernyataan tertulis yang ditandatangani untuk benar-benar menjaga kerahasiaan password masing-masing, kurangnya kesadaran serta pengetahuan karyawan terhadap pentingnya merahasiakan password. Terdapat kebijakan dan prosedur yang belum terdokumentasi, bahkan ada beberapa tindakan dalam perusahaan yang dilakukan berdasarkan spontanitas dan tanpa ada aturan baku yang bersifat formal. Nilai maturity level yang dihasilkan oleh PT. Aneka Jaya Baut Sejahtera yaitu 2.49 yang termasuk pada kategori level 2 yaitu repeatable. Hal tersebut menandakan bahwa proses keamanan sistem informasi pada PT. Aneka Jaya Baut Sejahtera telah dilakukan secara rutin, namun belum berdasarkan aturan dan panduan formal.

Saran Audit keamanan sistem informasi ini masih belum menggunakan keseluruhan klausul dan kontrol keamanan yang ada pada ISO 27002. Diharapkan dapat dilakukan audit keamanan sistem informasi kembali dengan menggunakan keseluruhan klausul dan kontrol keamanan ISO 27002 setelah pihak perusahaan melakukan perbaikan keamanan sistem informasinya. Berdasarkan hasil audit keamanan sistem informasi telah dilakukan, didapatkan pernyataan bahwa pihak perusahaan belum pernah diaudit dengan standar-standar lain. Untuk itu dapat dilakukan audit sistem informasi menggunakan standar lain selain ISO.