Pembuatan Perangkat Audit Internal TI Berbasis Resiko menggunakan ISO/IEC 27002:2007 pada
Proses Pengelolaan Data Studi Kasus Digital Library Institut Teknologi Sepuluh Nopember Surabaya
Seminar Tugas Akhir
Dipresentasikan oleh :Mochammad Arief Ramadhana 5207100002
Dosen Pembimbing : Ir. Aris Tjahyanto, M.Kom & Bekti Cahyo Hidayanto, S.Si, M.Kom
Abstrak
Banyaknya akses ke Digital library Institut Teknologi Sepuluh Nopember Surabaya (ITS)menunjukkan bahwa Digital library ITS sebagai institutional repository yang relatifsangat sibuk dan faktor keamanan merupakan faktor yang krusial. Memperhatikanpentingnya peranan Fungsi Audit Internal TI, khususnya dalam pelaksanaanmanajemen resiko maka sudah seharusnya audit dilakukan sedangkan pihakperpustakaan ITS belum pernah melakukan audit pada Digital library.•Pada Tahap awal, proses penilaian resiko (risk-assessment) akan dilakukanberdasarkan dari domain yang dipilih dari ISO/IEC 27002:2007 lalu prioritas dari hasilassessment akan dibuat sebuah perangkat audit.•Hasil tugas akhir berupa sebuah perangkat audit yang dapat digunakan untukmelakukan audit TI yang bertujuan memperbaiki setiap permasalahan yangberhubungan dengan proses pengelolaan data pada Digital library ITS
Kata kunci: Resiko, Perangkat audit, Pengelolaan data, ISO/IEC 27002:2007.
Pendekatan dalam audit berbasis risikoNo Audit konvensional Audit berbasis risiko
1 Perhatian auditor dititikberatkan pada risiko manajemendalam kaitannya dengan pencapaian tujuan audit. Auditorakan melakukan analisis atas risiko manajemen yangmempengaruhi tujuan auditnya. Semakin memadaipengendalian intern maka pengujian dan pembuktianaudit (besarnya sample pengujian) yang harus dilakukanakan berkurang.
Perhatian auditor lebih jauh lagi dititikberatkan pada penaksiranatas risiko (risk assessment). Auditor melakukan penaksiranrisiko bukan hanya semata-mata untuk audit namun lebihdifokuskan pada risiko atas kelangsungan dan perkembanganaktivitas dalam rangka pencapaian tujuan manajemen.
2 Auditor berfokus pada kejadian dan kondisi masa laluyang berdampak pada tujuan audit yang telah ditetapkandengan tujuan untuk menilai tingkat kewajarannya.
Auditor mencoba membuat skenario risiko di masa kini dan dimasa depan yang akan berdampak pada pencapaian tujuanorganisasi. Sehingga dalam memberikan rekomendasi audit, lebihdititikberatkan pada pengelolaan risiko (risk management) selainpengelolaan pengendalian (management control).
3 Laporan audit merupakan informasi yang disampaikankepada pihak-pihak yang berkepentingan dan penggunalaporan sesuai tujuan audit yang sudah ditetapkan,terutama mengenai berfungsi atau tidaknyapengendalian.
Dalam laporan audit, auditor lebih menitikberatkan padapengungkapan proses yang memiliki risiko dibandingkanpengungkapan berfungsi atau tidaknya suatu pengendalian.
4 Pendekatan proses auditnya berbasis sistem (systembased audit). Audit berbasis sistem dilaksanakan atasdasar keberadaan suatu sistem yang sesungguhnya adadan pengendalian yang dijalankan terkait dengan sistemtersebut. Oleh karena itu dengan sistem yang ada,dianggap akan mampu mengatasi semua risiko. Biasanyapengujian dilakukan dengan ”kuesioner internal kontrol”,yaitu dokumen standar yang digunakan dalam setiappenugasan audit.
Pendekatan proses auditnya berbasis risiko (risk based audit).Audit berbasis risiko dilaksanakan atas dasar risiko-risiko danmelaporkan kepada pihak manajemen apakah risiko-risikotersebut telah dapat dikelola dengan baik atau sebaliknya. Dalamhal ini proses ABR dilaksanakan untuk mengelompokkan sejumlahrisiko-risiko, dan proses menggambarkan ”sesuatu yang logis” danbukan kondisi aktual. Jika terdapat suatu risiko tetapi tidaktermasuk di dalam proses yang dipetakan maka harus dipecahkanmelalui proses yang baru.
Proses implementasi ISO/IEC 27002
Memperoleh Dukungan Manajemen Tingkat Atas
Definisikan Batasan Keamanan
Membuat Kebijakan Keamanan Informasi
Membuat Sistem Manajemen Keamanan
Keamanan Informasi
Melakukan Penilaian Risiko
Pilih dan Implementasi
Kontrol
Laporan Dokumen
AkuntabilitasAudit
Survey pada Studi Kasus
Data penelitian: Tugas Akhir, Tesis, Disertasi dan referensi buku yang ada di perpustakaan ITS.Persiapan
Studi literatur dan survey pada studi kasus
----------------------------------------------------------------------------------Observasi Wawancara
Proses bisnis yang dikelola
Pengumpulan Data
----------------------------------------------------------------------------------Penilaian terhadap
risikoMembuat dokumen statement of applicability
Risiko teridentifikasi
Analisainformasiteridentifikasi
-------------------------------------------------------------------------------klausul kontrol teridentifikasi
Identifikasi komponen penyusun perangkat audit
Menyusun perangkat audit
Uji coba RevisiPembuatan Perangkat Audit
Perangkat/Pedoman Audit
-------------------------------------------------------------------------------
Penyusunan buku tugas akhir
Kelemahan sistem yang dapat menimbulkan ancaman di Digilib ITS
Pihak terlibat:Sub-koordinator bidang TI dan tim Digital Library ITS
Output:Hasil penilaian risiko
Output:Pedoman Audit
Struktur Organisasi
Kepala UPT Perpustakaan
Koordinator IT, Kerjasama dan
Pelatihan
Koordinator Jasa teknis
Koordinator jasa pengguna
Kasubag tata usahaSub koordinator, kepegawaian, kerumahtanggaan dan umum
Sub Koordinator IT dan Digital
Library
Sub koordinator kerjasama dan
pelatihan
Sub koordinator penambahan
koleksiSub koordinator klasifikasi dan
katagolisasi
Sub koordinator pasca klasifikasi, katagolisasi dan
pemelihaan pustaka
Sub koordinator jasa pengguna I
(Lantai 3)
Sub koordinator jasa pengguna II
(Lantai 4)
Sub koordinator jasa pengguna III
(Lantai 5)
Proses bisnis Sub koordinator bidang TI dan Digital Library
Sub koordinator IT dan Digital Library mempunyai rincian tugas sebagai berikut:• Mengkoordinasi, melaksanakan, membangun, mengembangkan dan melakukan
pengawasan semua pekerjaan yang berhubungan dengan automasi Perpustakaan,termasuk jaringan, digital library dan lainnya.
• Membatu melaksanakan pekerjaan-pekerjaan yang menjadi tanggung jawabkoordinator bagian IT, pemasaran dan pelatihan, termasuk perbaikan danperawatannya.
• Melakukan bimbingan dan pelatihan peserta magang di perpustakaan.• Melaksankan tugas Perpustakaan lainnya bila diperlukan.• Bersenergi, mengamalkan, dan membagi ilmunya kepada siapa saja yang
membutuhkan dan yang dikehendaki.• Mengatur dan melaksanakan tata ruang, tata letak ruang bagiannya sehingga
nampak nyaman.• Memberi layanan sesuai dengan motto ITS-CAK kepada semua pemustaka dan
pustakawan lainnya.• Melaksanakan tugas lain yang diberikan oleh atasan.
Proses bisnis Sub koordinator bidang TI dan Digital Library
Staf IT dan Digital Library mempunyai rincian tugas sebagai berikut:• Melaksanakan pemeliharaan hardware dan jaringan komputer.• Melakukan alihmedia koleksi cetak karya ilmiah ITS menjadi bentuk digital.• Mengolah koleksi ilmiah digital, yang meliputi proses pemecahan, pemberian
password dan watermark.• Mengupload dan mempublikasi karya ilmiah civitas ITS ke system digital library.• Melakukan aplikasi calon pemustaka yang mendaftar melalui Online.• Melayani pemustaka online yang berkunjung ke situs Perpustakaan dan Digital
Library.• Melakukan pekerjaan yang berhubungan dengan aktifitas Jasa Pemasaran dan
Pelatihan.• Melakukan jaga kontrol sesuai jadwal yang ditentukan.• Membantu urusan bidang pelayanan yang berhubungan dengan kegiatan ruang
komputer seperti Layanan Mandiri dan Upload Mandiri.• Membantu pembuatan sarana promosi dan kerjasama perpustakaan.
Proses bisnis Sub koordinator bidang TI danDigital LibraryUntuk memperlancar dalam menjalankan tugasnya sehari-hari maka bidangTI dan Digital Library membagi dirinya menjadi beberapa bagian atau tim,bagian-bagian tersebut yaitu:
Bagian TI, yang terdiri dari:• Hardware dan jaringan.• Software.• Implementasi dan support IT.
Digital Library, yang terdiri dari:• Support pengguna.• Pengolahan Data.
Proses bisnis Sub koordinator bidang TI danDigital Library
Sedangkan Aset informasi yang dikelola oleh bidang ini yaitu:• SPITS (Sistem informasi perpustakaan), adalah program sistem
perpustakaan ITS yang berbasis komputer. Program ini terdiri dari modul-modul yang mempresentasikan proses bisnis perpustakaan ITS sepertimeminjam buku dan mengembalikan buku.
• OPAC, adalah katalog online perpustakaan. Dapat digunakan untukmencari koleksi buku secara cepat di perpustakaan ITS.
• Digital Library ITS, adalah Digital Library atau perpustakaan digitalmerupakan etalase karya ilmiah sivitas akademika ITS dan dapat diaksespemustaka melalui dunia maya/internet dari seluruh penjuru dunia.
Value chain Proses bisnis bidang TI yang berhubungan dengan Digital library
Mapping Proses bisnis dan Klausul dalam ISO 27002
Proses bisnis
Penyediaan informasi, layanan dan bimbingan yang efektif
Implementasi digital library
Pengembangan perangkat lunak upload mandiri
Pengembangan software watermark di digilib dan cantuman digilib yang corrupt
Pelatihan karyawan penyedia layanan TI
Pengawasan kinerja di tiap tiap entitas di bidang TI
Meningkatkan implentasi digital library
Klausul dalam
ISO 27002
Clause 1 security policy
Clause 7 access control
Clause 3 asset management
Clause 3 asset management
Clause 4 human resource security
Clause 6 communication and operation management
Clause 7 access control
Clause 2 organization of information system
Clause 3 asset management
Clause 5 physical and environmental security
Clause 5 physical and environmental security
Clause 6 communication and operation management
Clause 9 information security incident management
Clause 3 asset management
Clause 10 business continuity management
Clause 9 information security incident management
Clause 8 information system acquisition, development and maintenance
Clause 8 information system acquisition, development and maintenance
Clause 11 compliance
Clause 10 business continuity management
Mapping Proses bisnis dan Klausul dalam ISO 27002
- Klausul yang dipilih -
Proses bisnis
Penyediaan informasi, layanan dan bimbingan yang efektif
Implementasi digital library
Pengembangan perangkat lunak upload mandiri
Pengembangan software watermark di digilib dan cantuman digilib yang corrupt
Pelatihan karyawan penyedia layanan TI
Pengawasan kinerja di tiap tiap entitas di bidang TI
Meningkatkan implentasi digital library
Klausul dalam
ISO 27002
Clause 3 asset management
Clause 3 asset management
Clause 3 asset management
Clause 3 asset management
Perkembangan Digital Library- Karya yang diupload ke Digital Library -
No Jenis koleksi 2007 2008 2009 2010 Jumlah judul saat ini
1 Tugas Akhir (S1) 904 2562 5005 84712 Tesis (S2) 1500 121 493 861 29753 Disertasi (S3) 5 30 354 Non Degree 765 7655 Clipping6 Discussion materials7 Book8 Image9 Proceedings 2 11 1 14
10 Research Report 245 149 39411 Scientific Oration 4 1 512 Scientific journal articles 62 102 164
13 Course material14 Distance learning15 Journal 12 11 2316 Multimedia17 Publication18 Software19 Inaguration Speech 16 14 3020 ITS heritage 1 121 Student paper and
presentation22 Brochure and Documentation
Jumlah per tahun 1500 1272 3165 6940 12877
Perkembangan Digital Library- indikator kinerja -
Bulan per tahun 2007 2008 2009 2010
Januari 27.078 217.124 612.519 2.789.198
Februari 19.457 240.051 594.997 6.063.566
Maret 20.513 199.523 401.372 3.367.713
April 25.956 300.569 465.761 1.583.274
Mei 44.710 279.677 1.386.996 1.470.106
Juni 48.279 270.382 1.273.530 1.571.512
Juli 38.514 203.026 1.914.463 2.241.224
Agustus 37.769 266.187 1.313.195 1.319.922
September 33.774 436.981 2.609.129 2.641.809
Oktober 44.285 387.653 1.328.202 2.837.263
Nopember 118.078 471.832 2.404.897 2.753.115
Desember 122.869 505.185 2.751.527 3.742.287
Total 592.282 3.778.190 17.056.588 32.380.989
Observasi
Kontrol Administrasi
Prosedur Definisi Ruang lingkup Penanggung jawab status
Koordinasi bidangkomputerisasi(administrasi websiteDigital Library)
Prosedur yangdigunakan sebagaiacuan perpustakaanuntuk mengelolaadministrasi websitedigital library
Front-end DigitalLibrary
Administrator dijalankan
Koordinasi layanankoleksi tugas akhir dankarya ITS
Prosedur yangdigunakan sebagaiacuan perpustakaanuntuk melayanipengadaan danpeminjaman koleksi
Koleksi karya ITS Petugas layanan Ada dan dijalankan
Kontrol Teknis dan OperasiProsedur Definisi Ruang lingkup Penanggung jawab status
Koordinasi bidangklasifikasi & katalogisasiJasa Teknis
Prosedur yang digunakansebagai acuanperpustakaan untukmelakukan klasifikasi dankatagolisasi buku
Bidang klasifikasi dankatalogisasi
Petugas layanan Ada dan dijalankan
Koordinasi bidangkomputerisasi (klasifikasi& katalogisasi)
Prosedur yang digunakansebagai acuanperpustakaan untukmelakukan klasifikasi dankatagolisasi buku. khususbuku yang akan diupload keDigilib
Digital Library Koordinator dan Subkoordinator TI
dijalankan
Koordinasi bidangpascaklasifikasi &katalogisasi (termasukperawatan danpenjilidan)
Prosedur yang digunakansebagai acuanperpustakaan untukmerawat koleksi
Bidang klasifikasi dankatalogisasi
Petugas layanan Ada dan dijalankan
Koordinasi bidangpengembangankoleksi/pengadaan
Prosedur yang digunakansebagai acuanperpustakaan untukmelakukan pengadaankoleksi
Bidang pengolahan danpengembangan koleksi
Koordinator dankasubag perpustakaanITS
Ada dan dijalankan
Koordinasi bidangkomputerisasi (entridata)
Prosedur yang digunakansebagai acuanperpustakaan untukmelakukan entri data danupload ke digital library
Digital library Koordinator dan subkoordinator IT
dijalankan
Kontrol FisikProsedur Definisi Ruang lingkup Penanggung jawab status
Koordinasi bidangkomputerisasi (jaringandan perawatan)
Prosedur yangdigunakan sebagaiacuan perpustakaanuntuk mengelolajaringan
Digital Library Koordinator dan subkoordinator IT
dijalankan
Koordinasi bidangkomputerisasi (server)
Prosedur yangdigunakan sebagaiacuan perpustakaanuntuk mengelola serverDigital Library
Digital Library Koordinator dan subkoordinator IT
dijalankan
Identifikasi risiko
Identifikasi risiko
Berkaitan dengan hasil wawancara yangdilakukan oleh penulis, maka selanjutnya dapatdilakukan analisis identifikasi risiko sesuai dengantahapan awal proses penilaian risiko yang terjadidan ditemukan di Digital library Perpustakaan ITSdengan langkah sebagai berikut:• Melakukan identifikasi ancaman (threat)
terhadap Digital Library sebagai aset instansidan dampak bisnis terkait dengan ancamantersebut.
• Melakukan identifikasi terhadap kelemahan(vulnerability) yang dapat memicu terjadinyaancaman (threat).
Identifikasi aset yang berkaitan
kategori Sumberdaya
Jaringan Jaringan intranet, jaringan internet, teknologiwireless
Perangkat lunak Digital Library
Perangkat keras Komputer server dan client, printer, scanner,keyboard, mouse, switch, router, kabel LAN
Manusia Koordinator dan sub koordinator bidang TItermasuk didalamnya kepala, staff,administrator sistem, petugas teknis yangsetiap hari mengecek dan merawat digitallibrary
Data Data koleksi tugas akhir, tesis, disertasi,proceding, jurnal, makalah, paper, buku
Risiko kesalahan
Tipe Risiko Risiko Kesalahan
No.01
Risiko Kesalahan klasifikasi data Aset Manusia, Data
PenyebabKesalahan klasifkasi dalam melakukan proses pengolahan data terjadi dikarenakan adanyakesalahan atas individu yang melakukan pekerjaan itu sendiri (human error)
Dampakjika data tidak berada pada cluster yang benar maka tidak menjamin data tersebut akan mendapatkan proteksi yang sesuaiKelemahanKetidaktelitian pegawai dalam melakukan proses pengolahan data
No.02
Risiko Kesalahan entri dan metadata Aset Manusia, Data
PenyebabKesalahan entri dalam melakukan proses pengolahan data terjadi dikarenakan adanya kesalahanatas individu yang melakukan pekerjaan itu sendiri (human error)
Dampak-Data menjadi available untuk di download- Integritas data tergangguKelemahanKetidaktelitian pegawai dalam melakukan proses pengolahan data
Risiko Pengembangan
Tipe Risiko Risiko Pengembangan
No.03
Risiko SQL injection Aset Software, Data
PenyebabTidak ada mekanisme validasi data masukanpengguna.Tidak ada batasan hak akses (priveleges) setiap pengguna.Tidak ada mekanisme peringatan ketika terjadi kegagalan pada sistem.
DampakKehilangan data, Perubahan data, Penghapusan data, Kegagalan sistem sementara, Prosesbisnis terganggu.KelemahanMekanisme validasi data masukan oleh sistem.Mekanismepembatasan privelege pengguna.Mekanisme pembatasan input karakter untuk login form.
No.04
Risiko Virus atau malware Aset Software, jaringan, data
PenyebabTidak ada software keamanan yang dipasang dan tidak diupdate untuk melindungi database.
DampakKerusakan data, kehilangan data, data tidak dapat diaksesKelemahanSoftware keamanan meliputi: firewall, IDS, antivirus, anti malware
Risiko Pengungkapan Informasi
Tipe Risiko Pengungkapan Informasi
No.05
Risiko Hacking Aset Software, jaringan,data
PenyebabHacking terjadi diakrenakan adanya celah keamanan yang bisa dimanfaatkan para hacker untukmencuri data, merusak data dan memindah data ke tempat lain.
Dampakkehilangan data, data berubah, proses bisnis terganggu
KelemahanSistem perlindungan server, source code, port yang terbuka
No.06
Risiko Social engineering Aset Software, data
PenyebabMekanisme otentikasi login tidak dienkripsi atau diberi perlindungan.Tidak ada pembatasan waktu kepada pengguna yang telah masuk ke sistem.
DampakPencurian data oleh orang lain, Hilangnya hak akses karyawan ke dalam sistem, Hilangnyainformasi penting ke orang lain.KelemahanMekanisme enkripsi pada login sistem, user session
Penilaian risiko
Penetapan tipe risiko
Untuk setiap tipe risiko, ancaman, kelemahansistem, dampak diberi skor/skala tinggi, cukup,
rendah, atau tidak ada
Hitung skor risiko: (Menggunakan metode dari ISO 27002)
Urutkan risiko berdasarkan skor
Kaji ulang dan penyesuaian jika diperlukan
Buat rencana audit dengan prioritas risiko
Kaji ulang rencana dan penyesuaiannya
Laksanakan Audit
Peny
egar
an P
erio
dik
Informasidari luar
Informasidari organisasi
risiko terurut
hubungan denganmanajemen
Rencana auditprioritas
hubungan denganmanajemen
Aku
mul
asi b
asis
peng
etah
uan
audi
tor
Alur penilaian risiko
Metode penilaian probabilitas risikoISO/IEC 27002
Probabilitaskejadian
Frekuensi Nilai
Tidak pernah terjadi Tidak pernah 0Sangat rendah 2-3 kali setiap 5
tahun1
Rendah <= 1 kali per tahun 2Sedang <= 1 kali setiap 6
bulan3
Tinggi <= 1 kali setiapbulan
4
Sangat tinggi >=1 kali setiapbulan
5
Ekstrim >= 1 kali setiap hari 6
Metode penilaian dampak risiko ISO/IEC27002Dampak kejadian Derajat dampak NilaiTidak berpengaruh Tidak mempunyai
dampak.0
Minor Tidak perlu usahalebih untuk memperbaiki.
1
Signifikan Dampak dapatdiukur, perlu usaha lebih untukmemperbaiki.
2
Merusak Merusak reputasidan keyakinan perusahaan.Memerlukan sumber daya lebihuntuk memperbaiki
3
Serius Kehilangankonektivitas. Kehilangan banyak data atau layanan.
4
Parah Kegagalan sistempermanen.
5
Estimasi risiko dengan cara scoring,ISO/IEC 27002
Perhitungan risiko(Probabilitas x Dampak)
Nilai
0 Tidakberpengaruh
1-3 Rendah
4-7 Sedang
8-14 Tinggi
15-19 Kritis
20-30 Ekstrim
Menilai risiko
Risiko Kesalahan klasifikasi data Probabilitas kejadian 3
Dampak kejadian 1
Nilai risiko 3
Kategori risiko: Rendah
Risiko Kesalahan entridan metadata
Probabilitas kejadian 4
Dampak kejadian 1
Nilai risiko 4
Kategori risiko: Sedang
Menilai risiko
Risiko SQL Injection Probabilitas kejadian 2
Dampak kejadian 3
Nilai risiko 6
Kategori risiko: Sedang
Risiko Virus ataumalware
Probabilitas kejadian 1
Dampak kejadian 2
Nilai risiko 2
Kategori risiko: Rendah
Menilai risiko
Risiko Hacking Probabilitas kejadian 2
Dampak kejadian 4
Nilai risiko 8
Kategori risiko: Tinggi
Risiko Socialengineering
Probabilitas kejadian 1
Dampak kejadian 4
Nilai risiko 4
Kategori risiko: Sedang
Penilaian risiko - Kesimpulan -
Setelah dilakukan penilian terhadap risiko-risiko yang ada di Digital Library Perpustakaan ITS makakesimpulan yang didapat dari hasil penilaian risiko diatas adalah sebagai berikut:
• Risiko tersebut ada karena terdapat kelemahan di dalam prosedur keamanan sistem, rancangansistem, implementasi, pengendalian internal, dan sebagainya, yang bisa dieksploitasi untukmelanggar kebijakan keamanan system. Sebagai bukti, tidak adanya kontrol keamanan tertulisatau SOP yang dibuat untuk menangani hal ini. Upaya untuk mengatasi masalah spontandilakukan jika tiba-tiba terjadi sesuatu berkaitan dengan risiko tersebut.
• Banyak terdapat risiko dengan kategori sedang bahkan tinggi yang dapat memberikan dampaknegatif bagi institusi.
• Risiko dengan kategori tinggi mengindikasikan bahwa Sistem sangat lemah karena tidakmenerapkan semua teknik pengendalian. Risiko dengan kategori sedang juga dapatmenimbulkan ancaman serius jika tidak ditangani segera atau dibiarkan. Dibutuhkan penangananlebih untuk mengatasi risiko tersebut. Maka dari itu risiko dengan kategori sedang hinggaekstrim dalam hal ini akan menjadi prioritas pemeriksaan untuk dilaksanakan pada tahapselanjutnya.
• Semakin tinggi risiko akan semakin menjadi fokus audit dan dengan kedalaman pengujian yanglebih.
Dokumen Statement of Applicability
Dokumen SOA
Dokumen SOA dibuat bertujuan untuk mengendalikan dan mengontrolkeamanan yang akan diimplementasikan dalam sebuah organisasi. SOA bisamenjadi bagian dari dokumen penilaian risiko (risk assesment), tetapibiasanya ini merupakan dokumen yang berdiri sendiri. Elemen yangterdapat dalam SOA dapat dilihat pada tabel 4.16 berikut ini:• Nama dan nomor kontrol keamanan ISO/IEC 27002.• Deskripsi kontrol keamanan ISO/IEC 27002.• Adopsi dari klausul kontrol ISO/IEC 27002 ke organisasi• Justifikasi dalam implementasi kontrol keamanan yang ada.• Referensi yang digunakan dalam dokumen SOA.
Kontrol Deskripsi persetujuan justifikasi Prosedur atauPedoman
3.1 Responsibility for Assets
3.1.1 Inventory of assets tidak Proses inventarisasi dilakukan dengan caramelakukan upload ke Digital Librarynamun tidak ada prosedur terdokumentasipada Bidang TI dalam melakukaninventarisasi terhadap aset dengan caratersebut.
Tidak ada
3.1.2 Ownership of assets tidak Bidang TI memang melakukan tugasnyanamun tidak ada prosedurtertulis/terdokumentasi yang menjelaskanmengenai tata cara melakukan haltersebut, aktifitas tersebut dilakukansebatas rutinitas sehari-hari. Misalnyaseperti backup dan maintenance.
Tidak ada
3.1.3 Acceptable use of assets ya Terdapat panduan mengenai caramelakukan upload secara mandiri untukmahasiswa yang akan mengupload tugasakhir/tesisnya ke Digital library. Panduantersebut terdapat pada Website DigitalLibrary Digilib.its.ac.id.
Panduan upload mandiri tugas akhir/tesis/disertasi
3.2 Information classification
3.2.1 Classification guidelines ya Bidang TI dan bidang pengolahan databerkoordinasi untuk melakukankatagolisasi atau pengklasifikasianterhadap semua aset yang berhubunganproses bisnis Digital Library. Keduanyamelakukan klasifikasi terhadap aset yangdikelolanya.
SOP jasa teknis, koordinasibidang klasifikasi dankatagolisasi
3.2.2 Information labeling and handling tidak Pelabelan terhadap aset dilakukan sebagaibagian dari proses klasifikasi. Pelabelandilakukan untuk tujuan kelengkapanpustaka. Pelabelan yang dilakukan padabidang TI dilakukan dengan memberikanmetadata dan watermark namun tidakprosedur tertulis mengenai hal tersebut.Aktifitas tersebut dilakukan sebatasrutinitas mereka sehari hari
Tidak ada
Menyusun perangkat / pedoman audit
Komponen perangkat auditElemen Kriteria unjuk kerja
1. Klausul kontrol ISO 27002 1. Klausul kontrol yang ditetapkan adalah parameter dalam melakukan prosesaudit
2. Klausul kontrol dipetakan dengan proses bisnis utama untuk mengetahuiproses yang paling kritis (butuh perhatian lebih)
3. Klausul terpilih relevan terhadap masalah
2. Mengidentifikasi dan menilai risikoterkait
1. Risiko diidentifikasi untuk merefleksikan ruang lingkup risiko2. Risiko potensial dinilai dan menjadi prioritas
3. Dokumen SOA 1. Dokumen kerja dibutuhkan untuk membuat perangkat audit dikembangkansesuai dengan kebutuhan dan keinginan organisasi
2. Dokumentasi yang ada diperiksa untuk memastikan keamanan beradadalam pengendalian yang seharusnya
4. Standart Operational Procedure perpustakaan ITS
1. Legislasi yang relevan dari level pemerintah yang memperngaruhi aktivitasoperasional bisnis, khusunya yang berhubungan dengan masalahperpustakaan
2. Kode praktik yang relevan
Syarat membuat perangkat auditDalam menyusun sebuah perangkat audit terdapat beberapa persyaratandidalamnya yang harus dipenuhi. Perangkat audit yang dibuat harus memilikiinformasi yang meliputi:• Alur Proses kerja yang akan ditelusuri.• Persyaratan yang akan diteliti pemenuhannya.• Hal – hal yang akan diverifikasi.• Penanggung jawab kerja yang akan diwawancara.• Catatan yang akan dicari sebagai bukti pendukung pelaksanaan
operasional kerja.
Pembuatan perangkat audit (1)
Namun Jika kasusnya adalah di mana sebuah organisasi memilih untuk tidakmengoperasikan atau tidak mempunyai prosedur terdokumentasi, langkahpertama yang harus dilakukan adalah menetapkan metode apa yang adapada organisasi yang digunakan untuk mengontrol proses. Dari sana,auditor dapat mengevaluasi efektivitas proses dengan melakukan pengujianuntuk memastikan itu dilakukan secara konsisten dan denganmembandingkannya dengan pasal-pasal yang sesuai pada ISO.
Pembuatan perangkat audit (2)Cara membuat perangkat audit berbentuk checklist:• Pilih klausul kontrol yang spesifik pada ISO untuk proses yang diaudit ditambah
yang lebih umum lalu verifikasi kedua efektivitas proses tersebut dan jugakepatuhannya terhadap standar.
• Membuat daftar pertanyaan (checklist) dari klausul kontrol. Bentuk dari daftarpertanyaan dapat meliputi 5W (what, who, why, where dan when) dan 1H (how)atau Diagram alir proses yang dilengkapi dengan checkpoint.
• Cara membuat pertanyaan dapat dilakukan dengan merubah kalimat positifdalam prosedur menjadi kalimat pertanyaan, misalnya dalam prosedur tertulis“Masukan dalam rapat tinjauan adalah: 1. Status hasil rapat tinjauan manajementerdahulu, 2. Dan seterusnya”. Maka pertanyaan yang bisa dibuat adalah sepertiini: “Apakah agenda mencakup status dari apa yang sudah diputuskan dalamlaporan tinjauan manajemen terdahulu?”.
Pembuatan perangkat audit (3)
• Membuat instruksi kerja sebagai bagian dari aktifitas audit, instruksiyang harus dibuat spesifik mungkin untuk tiap pertanyaan (satupertanyaan memuat satu instruksi yang spesifik). Misal jika pertanyaanyang diajukan adalah adalah “Apakah agenda mencakup status dari apayang sudah diputuskan dalam laporan tinjauan manajemen terdahulu?”.Maka instruksi yang dapat dibuat adalah sebagai berikut: “check agendarapat tinjauan manajemen terakhir. Bandingkan dengan laporan tinjauanterdahulu”. Dengan instruksi seperti ini, pada proses audit, auditor akanlangsung meminta auditee menunjukkan agenda rapat tinjauan terakhirdan laporan rapat tinjauan terdahulu lalu membandingkan keduanya.
Contoh perangkat audit yang dibuatReferensi Ruang lingkup, tujuan dan pertanyaan audit HasilStandart Poin pertanyaan Pertanyaan Contoh jawaban instruksi3.1 Responsibility for assets
Apakah tiap asetyang diidentifikasitelah ditempatkan dilokasi yang benar?
Cek secaradetail SOP jasateknis yangterkaitpenempatanaset yangdilakukan olehorganisasi,pastikanpenempatanyang dilakukanmelindungiaset
Uji coba perangkat audit
Klausul kontrol ISO 27002
Mengidentifikasi dan menilai resiko terkait
Dokumen SOA
SOP perpustakaan ITS
Uji coba perangkat audit
Revisi Perangkat audit
Revisi terhadap hasil uji coba perangkat auditdilakukan setelah pelaksanaan uji coba perangkataudit. Revisi dilakukan karena: Auditee susah memahami pertanyaan. jawaban kurang sesuai (termasuk penggunaan
kata yang kurang tepat). instruksi kurang spesifik
Contoh pertanyaan yang susah dipahami
Contoh pemilihan kata yang tidak sesuai
Contoh instruksi yang kurang spesifik
Kesimpulan
Simpulan yang dapat diambil dari pengerjaan tugas akhir ini adalah sebagai berikut:• Penilaian resiko dilakukan pada area dimana resiko teridentifikasi. Area yang
dimaksud adalah aset-aset yang berkaitan dengan sistem secara langsung, terutama data karena proses yang dipilih adalah proses pengelolaan data. Dengan dilakukan penilaian resiko berdasarkan derajat pengukuran tertentu maka didapatkan resiko yang direpresentasikan dalam kategori yang telah ditentukan.
• Perangkat audit dibuat berbentuk checklist dengan beberapa acuan seperti hasilpemetaan klausul kontrol pada ISO/IEC 27002, yang didalamnya sudah terdapat standar pengelolaan keamanan terutama untuk manajemen aset serta metode dalam melakukan pendekatan berbasis resiko.
• Berdasarkan hasil uji coba yang telah dilakukan, beberapa revisi diperlukanterkait perbaikan dari beberapa pertanyaan dan instruksi yang telah dibuat, yaitumeliputi mudah atau tidaknya pengelola menjawab pertanyaan yang dibuat serta efektifitas dalam melakukan proses audit.
SaranBeberapa saran yang diharapkan dapat dilakukan perbaikan dalam pengembanganpenelitian ini antara lain:• Perlu adanya prosedur kontrol terdokumentasi yang nantinya dapat membantu
menjadi acuan dalam menangani setiap masalah yang terkait dengan DigitalLibrary, sehingga mempermudah dalam mencari solusi jika terlibatpermasalahan, dan mempermudah pelaksanaan proses audit dan pemantauanterhadap aktivitas pengelolaan data.
• Perangkat audit ini hanya mencakup proses pengelolaan data Digital library saja,untuk itu kedepannya pengembangan dapat dilakukan hingga end user pointpada Digital Library dan dimungkinkan pada sistem informasi lainnya yang ada diperpustakaan ITS.
• Pertanyaan dibuat lebih banyak dan detail untuk setiap kalimat yang ada padaklausul dalam pedoman yang digunakan sehingga jawaban yang diperolehsemakin rinci.
• Perangkat audit ini dibuat berdasarkan ISO/IEC 27002. Untuk kedepannyaperangkat audit yang dibuat dapat dipetakan dengan pedoman lain sesuaidengan kelebihan yang dimilikinya.
Top Related