Latar Belakang

1. Audit Keamanan Sistem Informasi pada BAGIAN sisteminformasi management (PerguruanTinggi )BERDASARKAN standar iso 27002

2. Latar Belakang • Perkembanganteknologidansisteminformasipadainstitusipendidikansemakinpesat, risikokeamanan yang melekatpadainformasijugasemakinbesar.Lemahnyakendalikeamananatasasetinformasimemudahkanpihak-pihak yang tidakbertanggungjawabuntukmencurinyaatausekedarmengganggujalannyaaktivitas yang terkaitdenganasettersebut.Salahsatuinstitusipemerintahan yang membutuhkanperlindunganasetadalahPerguruanTinggisebagaisebuahinstitusipelayananpendidikan /pengajaran, penelitiandanpengabdianpadamasyarakat. • PerguruanTinggisangatmemerlukanperlindungankeamananaset, karenaasetmerupakanbagian yang pentingbagikelangsunganprosesoperasionalpadaPerguruanTinggi .

3. Rumusan Masalah • Bagaimanamelaksanakan Audit KeamananSistemInformasipadaPerguruanTinggidi Indonesia berdasarkanstandar ISO 27002: 2005 untukmencaritemuan yang dapatmenimbulkanrisiko, yaitu: tidakadanyakeutuhan (Integrity) data, kerahasiaan (Confidentiality) data, keamanansisteminformasi, kerusakansoftwaredangangguanterhadaptempatdanperalatanpemrosesaninformasi. • Bagaimanamengukurmaturitylevel untukmengetahuitingkatkedewasaaan, menganalisahasilwawancaradankuesionersehinggadidapatkantemuan-temuan audit. • Bagaimanamemberikanrekomendasiuntukmenyelesaikankendalatersebut

4. Batasan Masalah • Audit dilakukanpadaPerguruanTinggiSwastaatauNegri. • Aplikasisisteminformasi yang di audit adalah (misalkanbagiansisteminformasiakademik). • Standarpelaksanaan Audit SistemKeamananInformasi yang digunakanmengacupada ISO 27002. • Pelaksanaan Audit SistemKeamananInformasidimulaidaribulan Mei 2013 sampaidenganJuni 2013. • Periode data yang digunakanuntuk Audit SistemKeamananInformasi Sept 2012 sampaiMaret 2013. • Klausul yang digunakansesuaikesepakatandenganpimpinanPerguruanTinggi, yaitu: Klausul 8: KeamananSumberDayaManusia Klausul 9: KeamananFisikdanLingkungan Klausul 11: KontrolAkses Klausul 12: AkuisisiSistemInformasiPembangunandanPemeliharaan

5. Tujuan • Melakukan dan menghasilkan perancangan audit keamanansisteminformasipadabagiansisteminformasiakademikberdasarkanstandar ISO 27002: 2005 darimenentukandokumen yang diperlukan, membuatkuesionerdanmelakukanwawancarakepadabagian-bagianPimpinandanstaf yang adadiakademik. • Mengetahuitingkatkedewasaaanberdasarkantemuan-temuan yang telahditemukandenganmengukurmaturity level. • Menyusunhasil audit keamananinformasipadasisteminformasiakademikPerguruanTinggiberdasarkanstandar ISO 27002 darimengevaluasibukti-bukti yang ada, mendokumentasikantemuan-temuan audit sertamenyusunlaporanhasil audit yang berupakesimpulandanrekomendasi.

6. Landasan Teori • 1. Keamanan Informasi • 2. Audit Keamanan • 3. Audit Sistem Informasi • 4. Tahapan-tahapan Audit Sistem Informasi • 5. ISO 27002: 2005 • 6. Maturity Level

7. Metode Penelitian

8. IMPLEMENTASI DAN HASIL • Identifikasi Proses Bisnis auditor harusmelakukanpemahamanprosesbisnisdan TI perusahaan yang akandiaudit. Pemahamandilakukandengancaramempelajaridokumen-dokumen yang terkaitdenganperusahaan, yaituprofilperusahaan, visidanmisiPerguruanTinggi, strukturorganisasiPerguruanTinggi, gambaranumumInstalasiPerguruanTinggi, danprosesbisnisdan TI PerguruanTinggi. Auditor jugaharusmengetahuiapakahsebelumnyaperusahaantelahdilaksanakanproses audit. Apabilapernahmaka auditor jugamengetahuitentanglaporan audit periodesebelumnya.

9. PenentuanRuangLingkupdanTujuan Audit SistemInformasi • Penentuan ruang lingkup dilakukan dengan cara melakukan observasi, wawancara dan kuesioner pada bagiansisteminformasiakademik. Hasil penentuan ruang lingkup didapat dari wawancara dengan pihak pimpinansisteminformasiakademik(PerguruanTinggi) didapatkan hasil dimana masih kurangnya keamanan pada akses aplikasi. Hasil ruang lingkup yaitu audit keamanan sistem informasi dengan standar yang digunakan adalah ISO 27002 dan klausul yang digunakan untuk audit keamanan sistem informasi dapat dilihat pada • Tabel 1.

10. Pernyataan • Membuatpernyataanberdasarkankontrolkeamanan yang terdapatpadasetiapklausul yang telahditetapkanberdasarkanstandar ISO 27002.

11. Pembobotan • Setelahmembuatpernyataan, makalangkahselanjutnyaadalahmelakukanpengukuranpembobotanpadasetiappernyataandimananilaipembobotantelahdisepakatiolehpihakPerguruanTinggi.

12. Wawancara • Padaprosesinilangkah yang dilakukanadalahmelakukanwawancaraberdasarkanpertanyaan yang telahdibuat.

13. Pemeriksaan Data danBukti • Pemeriksaan data dilakukandengancaramelakukanobservasidanmelakukanwawancarakepadaauditeesesuaidenganruanglingkupsertaklausul yang telahdisepakatiolehkepalabagiansisteminformasiakademik.

14. UjiKematangan • Setelahseluruhpenentuannilaitelahditetapkan, makadapatlangkahberikutnyayaitumelakukanperhitunganmarturity level.

16. Kesimpulan Uji Kematangan • Hasildariprosesperhitunganmaturity level padaseluruhklausuladalah 1,75 yaituInitial. Hasiltersebutmunjukkanbahwasebagianbesarproseskeamanansisteminformasi yang adapadabagiansisteminformasiakademik (PerguruanTinggi)belumdilakukansecararutindanbelumsesuaidenganstandarprosedur yang ada.

17. Contoh: Temuan dan Rekomendasi

18. Daftar Pustaka • DepKes RI. (1992). Keputusan Menteri Kesehatan RI No. 983/MenKes/SK/XI/1992. Pedoman Organisasi Rumah Sakit Umum. • Ermana, Fine. 2011. Audit KeamananSistemInformasiBerdasarkanStandar ISO 20071 Pada PT. BPR JATIM : STIKOM Surabaya. LaporanTugasAkhir STIKOM Surabaya. • Hermawan, Budi. 2011. Dasar-Dasar Audit danPengendalian TI. http://www.auditti.com/stikom. Diaksespadatanggal 1 Desember 2011. • ISACA. 2010. Guide to the Audit of IT Application. Switzerland : Felice Lutz. • ISO 27000 Dictionary. 2008. The Information Portal for ISO27002.http://www.27000.org/iso-27002.htm. Diaksestanggal 7 April 2012 pukul 08.00.

19. Selesai