210 likes | 626 Views
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27001 PADA PT. BPR JATIM. Fine Ermana 07.41010.0235. Latar Belakang.
E N D
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27001 PADA PT. BPR JATIM Fine Ermana 07.41010.0235
Latar Belakang Manajemenkeamananinformasisangatlahpentingbagikantorpusat PT. BPR JATIM, karenaseluruhlaporan yang berasaldarikantorcabang di seluruhJawaTimurakandikirimkankepusatsetiapharidankeamananjaringandalamtransmisi data memungkinkanresikokehilangan data rahasiaperusahaan. Transmisi data daninformasitersebutmenggunakanjasasalahsatuInternet Service Provider (ISP) lewatjaringanVirtual Private Network (VPN). SistemperbankanatauCore Banking System (CBS) pada PT. BPR JATIM menggunakanproduksalahsatu vendor TeknologiInformasi (TI) yaituSaranaTransaksiKeuangan (SATU) yang beroperasisecara online namunmasihmenggunakan server yang adapada vendor. Meskipundemikian, kantorpusattetapmendapatkanlaporanrutinbulanan yang berasaldaricabangsehinggatetapharusmemiliki server data untukbackupdanrecovery yang berjalandenganbaik.
Latar Belakang Mengingatpentingnyainformasi, makakebijakantentangpengamananinformasiharusmencakupsekurang-kurangnyaterdapatprosedurpengelolaanaset, prosedurpengelolaansumberdayamanusia, prosedurpengamananfisikdanlingkungan, prosedurpengamananlogical security, prosedurpengamananoperasionalteknologiinformasidanprosedurpenangananinsidendalampengamananinformasi (DirektoratPenelitiandanPengaturanPerbankan, 2007: 52). Untukitudiperlukan audit keamanansisteminformasipada PT. BPR JATIM untukmemastikankeamananinformasiditerapkansesuaidenganprosedur. Standar yang digunakanyaitu ISO 27001. Beberapahalpenting yang patutdijadikanpertimbanganmengapastandar ISO 27001 dipilihkarenadenganstandarinisangatfleksibeldikembangkankarenasangattergantungdarikebutuhanorganisasi, tujuanorganisasi, persyaratankeamanan, proses bisnisdanjumlahpegawaidanukuranstrukturorganisasiserta ISO 27001 menyediakansertifikatimplementasiSistemManajemenKeamananInformasi SMKI yang diakuisecarainternasional yang disebut Information Security Management System (ISMS) certification (SarnodanIffano, 2009: 59).
Perumusan Masalah • Bagaimana membuat perencanaan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001. • Bagaimana melaksanakan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001. • Bagaimana menyusun hasil audit keamanan sistem informasi pada PT. BRP JATIM berdasarkan standar ISO 27001.
Batasan Masalah • Klausul ISO 27001 yang digunakan adalah: • Klausul 7: Manajemen Aset • Klausul 8: Manajemen SDM • Klausul 9: Keamanan Fisik dan Lingkungan • Klausul 10: Manajemen Komunikasi dan Operasi • Klausul 11: Kontrol Akses • Klausul 12: Akuisisi Sistem Informasi Pembangunan dan Pemeliharaan • Klausul 13: Manajemen Kejadian Keamanan Informasi • Sistem Informasi yang di audit adalah Core Banking System (CBS) PT.BPR JATIM. • Audit hanya dilakukan pada kantor pusat PT. BPR JATIM yang terletak di Jl. Musi 4 Surabaya
Tujuan • Menghasilkan perancanaan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001 yang terdiri dari menentukan ruang lingkup, mengumpulkan data dan menentukan langkah-langkah pelaksanaan audit. • Melaksanakan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001 dengan menganalisa hasil wawancara berupa bukti dan temuan-temuan audit sehingga dapat mengukur maturity level. • Menyusun hasil audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001 dengan melakukan analisa dan evaluasi dari bukti dan temuan yang ada sehingga didapat laporan hasil audit yang berupa temuan dan rekomendasi.
Landasan Teori • AUDIT Audit didefinisikan sebagai proses atau aktivitas yang sistematik, independen dan terdokementasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan. Tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi (ICASA dalam Sarno, 2009: 3).
Landasan Teori • AUDIT SISTEM INFORMASI Weber dalam Sarno (2009: 28) mendefinisikan Audit Sistem Informasi sebagai proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif.
Landasan Teori • KEAMANAN INFORMASI Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (ISO 27001 dalam Sarno dan Iffano, 2009: 27).
Landasan Teori • SISTEM INFORMASI Sistem Informasi (SI) adalah suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan (Leitch dan Davis dalam Jogiyanto 2005: 11).
Landasan Teori • SISTEM INFORMASI Sistem Informasi (SI) adalah suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan (Leitch dan Davis dalam Jogiyanto 2005: 11).
Landasan Teori • ISO 27001 ISO/IEC 27001 merupakan dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management Systems (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi di perusahaan. Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan ISO/IEC 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls)
Landasan Teori • SSE-CMM SSE-CMM adalah Capability Maturity Model (CMM) untuk System Security Engineering (SSE). CMM adalah kerangka untuk mengembangkan proses, seperti proses teknis baik informal maupun formal. SSE-CMM terdiri dari dua bagian yaitu: 1. Modeluntukteknikkeamananproses, proyekdanorganisasi. 2. Metodapenilaianuntukmengetahuikematanganproses.
Landasan Teori • PEMBOBOTAN Penilaian pada tiap pernyataan kontrol-kontrol yang telah ditentukan perlu diberikan bobot yang sesuai dengan panduan implementasi SMKI. Pembobotan yang digunakan mengadopsi dari penilaian resiko. Menurut Sarno dan Iffano (2009: 89) dalam hubungannya dengan SMKI, resiko adalah dampak yang ditimbulkan atas terjadinya sesuatu yang mengancam keamanan informasi di organisasi, yang dimaksud adalah ancaman terhadap aspek keamanan informasi yaitu CIA (Confidentiality, Integrity, Availability).
Implemantasi dan Hasil • PenyusunanTemuan • Terdapataturanmengenaitanggungjawabkeamananinformasipadakontrakkerjapegawai. • Terdapat perimeter keamananuntukmelindungiruang yang berisikanfasilitaspemrosesaninformasi. • Terdapatdokumentasiterhadapproseduroperasi. • Terdapatdokumentasipenetapanpersyaratanbisnisuntukkontrolakses. • Terdapatpersyaratankebutuhankeamanansisteminformasipadasistembaru.
Implemantasi dan Hasil • PenyusunanRekomendasi • Mengiidentifikasidenganjelasdanmenginventarisasiseluruhaset yang dimilikiolehorganisasi. • MengklarifikasikandanmembuatpanduanklasifikasiInformasi agar dapatdilakukanpengamanan yang memadaisesuaidenganklasifikasinya. • Membuatprosedurpenandaanklasifikasimisalnyainformasi ”rahasia” (misalnya data simpanannasabah, data pribadinasabah), ”internal” (misalnyaperaturantentanggajipegawai Bank) dan ”biasa” (misalnyainformasitentangprodukperbankan yang ditawarkankemasyarakat).
Kesimpulan • Perencanaan audit keamanansisteminformasipada PT. BPR JATIM menghasilkanidentifikasiruanglingkuppadapedoman Bank Indonesia dalammenerapkanmanajemenresikopada TI. Pengumpulan data dilakukandenganwawancarauntukmenentukandokumen-dokumen yang diperlukan. Langkahpelaksanaan audit keamanansisteminformasidilakukandenganpembuatanpernyataan, penentuannilaibobot, pembuatanpertanyaandanpenentuannilaikematangan. • Pelaksanaan audit keamanansisteminformasidenganpengumpulan data memperolehdokumenhasilwawancara. • Hasil maturity level didapatdariseluruhkontrolkeamananmendapatkannilaisebesar 2,90 yang berartibahwakontrolkeamananmasihberadapada level 2 planned and tracked (direncanakandandilacak) namuntelahmendekati level 3 well defined (didefinisikandenganbaik) yang merupakan level yang diharapkanolehperusahaan, sehinggadiperlukanpeningkatankontrolkeamanan yang telahdirekomendasikan.
Saran • Audit keamanansisteminformasibelummenerapkanseluruhkontrolkeamanan yang sesuaidenganpedoman BI, karenaperusahaanbarusajamengalamiperubahansistemsehinggamasihdalamtahappengembangan. Untukitudiharapkansetelahseluruhsistemperusahaantelahberjalansesuaidengan proses bisnis yang adaataubahkantelahmembuatprosedursistemmanajemenkeamananinformasimakaperludilakukan audit keamanansisteminformasikembali. • Audit keamanansisteminformasiinimenggunakanstandar ISO 27001 danpenilaian maturity level menggunakan SSE-CMM, dikarenakan ISO memangbelummemilikimetodepenilaianmakadariituuntukpengembanganpenelitianselanjutnyadapatmenggunakanmaturity model lain untukbahanperbandingan.