1 / 19

AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27001 PADA PT. BPR JATIM

AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27001 PADA PT. BPR JATIM. Fine Ermana 07.41010.0235. Latar Belakang.

shaeleigh-cross
Download Presentation

AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27001 PADA PT. BPR JATIM

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27001 PADA PT. BPR JATIM Fine Ermana 07.41010.0235

  2. Latar Belakang Manajemenkeamananinformasisangatlahpentingbagikantorpusat PT. BPR JATIM, karenaseluruhlaporan yang berasaldarikantorcabang di seluruhJawaTimurakandikirimkankepusatsetiapharidankeamananjaringandalamtransmisi data memungkinkanresikokehilangan data rahasiaperusahaan. Transmisi data daninformasitersebutmenggunakanjasasalahsatuInternet Service Provider (ISP) lewatjaringanVirtual Private Network (VPN). SistemperbankanatauCore Banking System (CBS) pada PT. BPR JATIM menggunakanproduksalahsatu vendor TeknologiInformasi (TI) yaituSaranaTransaksiKeuangan (SATU) yang beroperasisecara online namunmasihmenggunakan server yang adapada vendor. Meskipundemikian, kantorpusattetapmendapatkanlaporanrutinbulanan yang berasaldaricabangsehinggatetapharusmemiliki server data untukbackupdanrecovery yang berjalandenganbaik.

  3. Latar Belakang Mengingatpentingnyainformasi, makakebijakantentangpengamananinformasiharusmencakupsekurang-kurangnyaterdapatprosedurpengelolaanaset, prosedurpengelolaansumberdayamanusia, prosedurpengamananfisikdanlingkungan, prosedurpengamananlogical security, prosedurpengamananoperasionalteknologiinformasidanprosedurpenangananinsidendalampengamananinformasi (DirektoratPenelitiandanPengaturanPerbankan, 2007: 52). Untukitudiperlukan audit keamanansisteminformasipada PT. BPR JATIM untukmemastikankeamananinformasiditerapkansesuaidenganprosedur. Standar yang digunakanyaitu ISO 27001. Beberapahalpenting yang patutdijadikanpertimbanganmengapastandar ISO 27001 dipilihkarenadenganstandarinisangatfleksibeldikembangkankarenasangattergantungdarikebutuhanorganisasi, tujuanorganisasi, persyaratankeamanan, proses bisnisdanjumlahpegawaidanukuranstrukturorganisasiserta ISO 27001 menyediakansertifikatimplementasiSistemManajemenKeamananInformasi SMKI yang diakuisecarainternasional yang disebut Information Security Management System (ISMS) certification (SarnodanIffano, 2009: 59).

  4. Perumusan Masalah • Bagaimana membuat perencanaan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001. • Bagaimana melaksanakan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001. • Bagaimana menyusun hasil audit keamanan sistem informasi pada PT. BRP JATIM berdasarkan standar ISO 27001.

  5. Batasan Masalah • Klausul ISO 27001 yang digunakan adalah: • Klausul 7: Manajemen Aset • Klausul 8: Manajemen SDM • Klausul 9: Keamanan Fisik dan Lingkungan • Klausul 10: Manajemen Komunikasi dan Operasi • Klausul 11: Kontrol Akses • Klausul 12: Akuisisi Sistem Informasi Pembangunan dan Pemeliharaan • Klausul 13: Manajemen Kejadian Keamanan Informasi • Sistem Informasi yang di audit adalah Core Banking System (CBS) PT.BPR JATIM. • Audit hanya dilakukan pada kantor pusat PT. BPR JATIM yang terletak di Jl. Musi 4 Surabaya

  6. Tujuan • Menghasilkan perancanaan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001 yang terdiri dari menentukan ruang lingkup, mengumpulkan data dan menentukan langkah-langkah pelaksanaan audit. • Melaksanakan audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001 dengan menganalisa hasil wawancara berupa bukti dan temuan-temuan audit sehingga dapat mengukur maturity level. • Menyusun hasil audit keamanan sistem informasi pada PT. BPR JATIM berdasarkan standar ISO 27001 dengan melakukan analisa dan evaluasi dari bukti dan temuan yang ada sehingga didapat laporan hasil audit yang berupa temuan dan rekomendasi.

  7. Landasan Teori • AUDIT Audit didefinisikan sebagai proses atau aktivitas yang sistematik, independen dan terdokementasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan. Tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi (ICASA dalam Sarno, 2009: 3).

  8. Landasan Teori • AUDIT SISTEM INFORMASI Weber dalam Sarno (2009: 28) mendefinisikan Audit Sistem Informasi sebagai proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif.

  9. Landasan Teori • KEAMANAN INFORMASI Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (ISO 27001 dalam Sarno dan Iffano, 2009: 27).

  10. Landasan Teori • SISTEM INFORMASI Sistem Informasi (SI) adalah suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan (Leitch dan Davis dalam Jogiyanto 2005: 11).

  11. Landasan Teori • SISTEM INFORMASI Sistem Informasi (SI) adalah suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan (Leitch dan Davis dalam Jogiyanto 2005: 11).

  12. Landasan Teori • ISO 27001 ISO/IEC 27001 merupakan dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management Systems (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi di perusahaan. Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan ISO/IEC 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls)

  13. Landasan Teori • SSE-CMM SSE-CMM adalah Capability Maturity Model (CMM) untuk System Security Engineering (SSE). CMM adalah kerangka untuk mengembangkan proses, seperti proses teknis baik informal maupun formal. SSE-CMM terdiri dari dua bagian yaitu: 1. Modeluntukteknikkeamananproses, proyekdanorganisasi. 2. Metodapenilaianuntukmengetahuikematanganproses.

  14. Landasan Teori • PEMBOBOTAN Penilaian pada tiap pernyataan kontrol-kontrol yang telah ditentukan perlu diberikan bobot yang sesuai dengan panduan implementasi SMKI. Pembobotan yang digunakan mengadopsi dari penilaian resiko. Menurut Sarno dan Iffano (2009: 89) dalam hubungannya dengan SMKI, resiko adalah dampak yang ditimbulkan atas terjadinya sesuatu yang mengancam keamanan informasi di organisasi, yang dimaksud adalah ancaman terhadap aspek keamanan informasi yaitu CIA (Confidentiality, Integrity, Availability).

  15. Metodologi Penelitian

  16. Implemantasi dan Hasil • PenyusunanTemuan • Terdapataturanmengenaitanggungjawabkeamananinformasipadakontrakkerjapegawai. • Terdapat perimeter keamananuntukmelindungiruang yang berisikanfasilitaspemrosesaninformasi. • Terdapatdokumentasiterhadapproseduroperasi. • Terdapatdokumentasipenetapanpersyaratanbisnisuntukkontrolakses. • Terdapatpersyaratankebutuhankeamanansisteminformasipadasistembaru.

  17. Implemantasi dan Hasil • PenyusunanRekomendasi • Mengiidentifikasidenganjelasdanmenginventarisasiseluruhaset yang dimilikiolehorganisasi. • MengklarifikasikandanmembuatpanduanklasifikasiInformasi agar dapatdilakukanpengamanan yang memadaisesuaidenganklasifikasinya. • Membuatprosedurpenandaanklasifikasimisalnyainformasi ”rahasia” (misalnya data simpanannasabah, data pribadinasabah), ”internal” (misalnyaperaturantentanggajipegawai Bank) dan ”biasa” (misalnyainformasitentangprodukperbankan yang ditawarkankemasyarakat).

  18. Kesimpulan • Perencanaan audit keamanansisteminformasipada PT. BPR JATIM menghasilkanidentifikasiruanglingkuppadapedoman Bank Indonesia dalammenerapkanmanajemenresikopada TI. Pengumpulan data dilakukandenganwawancarauntukmenentukandokumen-dokumen yang diperlukan. Langkahpelaksanaan audit keamanansisteminformasidilakukandenganpembuatanpernyataan, penentuannilaibobot, pembuatanpertanyaandanpenentuannilaikematangan. • Pelaksanaan audit keamanansisteminformasidenganpengumpulan data memperolehdokumenhasilwawancara. • Hasil maturity level didapatdariseluruhkontrolkeamananmendapatkannilaisebesar 2,90 yang berartibahwakontrolkeamananmasihberadapada level 2 planned and tracked (direncanakandandilacak) namuntelahmendekati level 3 well defined (didefinisikandenganbaik) yang merupakan level yang diharapkanolehperusahaan, sehinggadiperlukanpeningkatankontrolkeamanan yang telahdirekomendasikan.

  19. Saran • Audit keamanansisteminformasibelummenerapkanseluruhkontrolkeamanan yang sesuaidenganpedoman BI, karenaperusahaanbarusajamengalamiperubahansistemsehinggamasihdalamtahappengembangan. Untukitudiharapkansetelahseluruhsistemperusahaantelahberjalansesuaidengan proses bisnis yang adaataubahkantelahmembuatprosedursistemmanajemenkeamananinformasimakaperludilakukan audit keamanansisteminformasikembali. • Audit keamanansisteminformasiinimenggunakanstandar ISO 27001 danpenilaian maturity level menggunakan SSE-CMM, dikarenakan ISO memangbelummemilikimetodepenilaianmakadariituuntukpengembanganpenelitianselanjutnyadapatmenggunakanmaturity model lain untukbahanperbandingan.

More Related