JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print) 1 Abstrak— Kebutuhan informasi yang akurat, cepat, serta reliable mengharuskan perusahaan menjaga keamanan informasi agar tidak mengganggu dan mempengaruhi peforma organisasi atau perusahaan. Dengan adanya kebutuhan tersebut, keamanan informasi harus dapat dikelola dengan baik. Pengelolaan keamanan informasi akan memperkecil munculnya risiko yang berkaitan dengan aspek keamanan informasi seperti kerusakan perangkat TI, kehilangan data karena pencurian dan risiko lainnya. Data kerugian yang diakibatkan oleh risiko keamanan informasi pun telah mencapai 1 miliar dollar US [1]. Untuk itu diperlukan tata kelola keamanan informasi yang melingkupi seluruh aspek keamanan informasi. Namun dengan padatnya aktivitas bisnis, organisasi atau perusahaan cenderung kesulitan untuk menyiapkan alat kerja dalam melakukan tata kelola keamanan informasi. Oleh karena itu jika melihat permasalahan tersebut maka diperlukan template dokumen yang diharapkan menjadi solusi dalam mempersiapkan tata kelola keamanan informasi dalam organisasi atau perusahaan. Pembuatan template tata kelola keamanan informasi akan berfokus dengan area pengamanan yang diambil dari standar COBIT 5 dan ISO/IEC 27001:2005, serta standar lain yang terkait. Kata Kunci— Tata Kelola, Keamanan Informasi, Framework, Standar, COBIT, ISO/IEC 27001, Template I. PENDAHULUAN ewasa ini, perkembangan teknologi informasi telah memberikan dampak yang cukup signifikan terhadap perubahan pada berbagai organisasi dan perusahaan. Seiring berjalannya waktu organisasi dan perusahaan semakin bergantung kepada teknologi informasi (TI) guna mencapai tujuan bisnisnya. TI menjadi salah satu elemen dalam mencapai tujuan bisnis, sehingga diarahkan untuk mendukung proses bisnis, mulai dari aktivitas operasional sampai pada tingkat strategik. Disisi lain penyediaan sarana atau investasi TI belum cukup untuk dapat memaksimalkan kontribusi fungsi TI kedalam proses bisnis. Penerapan TI memerlukan biaya yang relatif tinggi dengan resiko keamanan informasi yang cukup besar. Berdasarkan survey yang dilakukan Future Workspace, belanja TI perusahaan di Indonesia cukup tinggi, namun hanya 10% dari total belanja TI di investasikan untuk keamanan informasi [2]. Selain itu data kerugian global akibat adanya lubang pada keamanan informasi mencapai 1 miliar dollar Amerika. Kultur pendokumentasian tata kelola keamanan informasi pun yang masih rendah menyebabkan perusahaan kurang memperhatikan pembuatan dokumentasi dari tata kelola tersebut. Untuk itu, diperlukan sebuah tata kelola keamanaan informasi yang dapat terdokumentasi secara baik sebagai salah satu cara dalam mengatur pelaksanaan penggunaan seluruh elemen TI dalam organisasi dan perusahaan serta mekanisme dalam mengelola keamanan informasi. Untuk menjamin proses dan dokumentasi pengelolaan keamanan informasi yang baik, diperlukan best practice atau framework sebagai acuan pembuatan tata kelola keamanan informasi. Salah satu best practice yang memiliki standar proses pengelolaan keamanan informasi adalah ISO/IEC 27001:2005 [3]. Pada standar ini terdapat langkah-langkah dalam melakukan pengelolaan keamanan informasi. Selain itu untuk memaksimalkan pengelolaan keamanan informasi diperlukan standar framework yang menyediakan kerangka kerja pengelolaan keamanan informasi. Salah satunya adalah COBIT 5. Dalam COBIT 5 terdapat domain dalam ruang lingkup Align, Plan, Organize (APO) yang mengatur tentang keamanan TI (Manage Security) [4]. Penggabungan best practice dan framework ini diharapkan dapat memberi gambaran mengenai bagaimana melakukan tata kelola keamanan informasi dapat dilakukan dan terdokumenasikan dengan baik. II. METODOLOGI PENELITIAN Proses pengerjaan penelitian ini dilakukan melalui beberapa tahapan. Tahapan – tahapan tersebut meliputi analisis kebutuhan tata kelola keamanan informasi, referensi tata kelola keamanan informasi serta standar-standar terkait yang akan digunakan yang dibagi menjadi beberapa tahap. Gambar 1 : Metodologi PENYUSUNAN TEMPLATE TATA KELOLA KEAMANAN INFORMASI BERBASIS ISO/IEC 27001:2005 DAN PATUH TERHADAP COBIT 5 MANAGEMENT PROCESSES APO13 MANAGE SECURITY Faridl Mughoffar, Ir. Ahmad Holil Noor Ali, M.Kom, dan Anisah Herdiyanti, S.Kom, M.Sc Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia e-mail: [email protected], [email protected], [email protected]D
6
Embed
PENYUSUNAN TEMPLATE TATA KELOLA KEAMANAN … · beberapa tahapan. Tahapan – tahapan tersebut meliputi analisis kebutuhan tata kelola keamanan informasi, referensi tata kelola keamanan
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
ISMS Statement √ Procedures supporting the ISMS √ Risk Assessment Methods √ Risk Assessment Report √ Risk Treatment Plan √ International Standard Records √ ISMS Operational Records √ Statement of Applicability √ Document Control Systems √ Management √ Prevention & Correction √ Company ISMS Audits √
F.2. Evaluasi Template dan Panduan Penggunaan terhadap
Referensi Tata Kelola Keamanan Inforamsi.
Evaluasi kedua merupakan checklist template terhadap
dokumen tata kelola keamanan informasi pada kontrol fisik
dan lingkungan pada KPPN II Surabaya. Dari hasil
penyesuaian organisasi keamanan informasi dan pembuatan
dokumen tata kelola berdasarkan template berikut ini checklist
pengakomodasian template terhadap dokumen :
Table 2 Checklist Pengakomodasian Template Tingkat
Dokumen Dokumen Tata Kelola Status
Tingkat 1 Kebijakan Umum Sistem Manajemen
Keamanan Informasi
Terakomodasi
Tingkat 1 SMKI-01 Kontrol Keamanan Fisik Dan
Lingkungan
Terakomodasi
Tingkat 2 Perimeter Keamanan Fisik Terakomodasi
Tingkat 2 Pengendalian Akses Masuk Terakomodasi
Tingkat 2 Mengamankan Kantor, Ruangan, Dan
Fasilitas
Terakomodasi
Tingkat 2 Perlindungan Terhadap Ancaman Ekternal Terakomodasi
Tingkat 2 Bekerja Di Area Yang Aman Terakomodasi
Tingkat 2 Area Akses Publik Dan Bongkar Muat Terakomodasi
Tingkat 2 Penempatan Dan Perlindungan Peralatan Terakomodasi
Tingkat 2 Sarana Pendukung Terakomodasi
Tingkat 2 Keamanan Kabel Terakomodasi
Tingkat 2 Pemeliharaan Peralatan Terakomodasi
Tingkat 2 Keamanan Peralatan Di Luar Lokasi Terakomodasi
Tingkat 2 Pembuangan Atau Penggunaan Kembali
Peralatan Secara Aman
Terakomodasi
Tingkat 2 Pemindahan Barang Terakomodasi
Tingkat 3 FM-01 – Buku Tamu Ruang Server Terakomodasi
Tingkat 3 FM-02 – Izin Akses Ruang Server Terakomodasi
Tingkat 3 FM-03 – Pemeliharaan Peralatan Terakomodasi
Tingkat 3 FM-04 – Catatan Back up Data Terakomodasi
Tingkat 3 FM-05 – Catatan Restore Data Terakomodasi
Tingkat 3 FM-06 – Berita Acara Pemindahan Barang Terakomodasi
IV. KESIMPULAN/RINGKASAN
Dari hasil proses pembuatan template dokumen ini dapat
diambil kesimpulan sebagai berikut.
1. Standar best practice ISO/IEC 27001:2005 hanya
berfokus pada proses implementasi SMKI
sedangkan COBIT 5 APO13 Manage Security
berorientasi pada proses bisnis dan tata kelola TI.
Untuk membuat dokumen tata kelola keamanan
informasi diperlukan proses pengelolaan yang
berorientasi proses bisnis serta berfokus pada
implementasi SMKI. Untuk itu, diperlukan
pemetaan antara ISO 27001:2005 dan COBIT 5
APO13 Manage Security. Hasil dari pemetaan
ISO/IEC 27001:2005 terhadap COBIT 5 APO13
Manage Security menunjukkan bahwa pemetaan ini
mampu melingkupi seluruh aktivitas proses
keamanan dan praktek kunci keamanan informasi,
tidak hanya pada aktivitas implementasi SMKI.
2. Dari menghasilkan proses pembuatan template
dokumen ini 2 produk yaitu template dokumen tata
kelola keamanan informasi dan buku panduan
penggunaan template.
3. Hasil checklist mandatory documents pada dua
standar yang digunakan yaitu COBIT 5 APO13
Manage Security dan ISO/IEC 27001:2005 dan
memenuhi output standar minimal dokumentasi
sesuai yang diisyaratkan pada kedua standart.
UCAPAN TERIMA KASIH
Penulis F.M mengucapkan terima kasih kepada Direktorat
Pendidikan Tinggi, Departemen Pendidikan dan Kebudayaan
Republik Indonesia yang telah memberikan dukungan finansial
melalui Beasiswa Bidik Misi tahun 2010-2014.
DAFTAR PUSTAKA
[1] ISACA, "isaca.org," COBIT 5 Information Security, [Online].