SKRIPSI AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS ...repository.uinjkt.ac.id/dspace/bitstream/123456789...iv LEMBAR PENGESAHAN UJIAN Skripsi yang berjudul Audit Keamanan Sistem Informasi

i

SKRIPSI

AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI

DAN INFORMATIKA KABUPATEN BOGOR MENGGUNAKAN

STANDAR ISO/IEC 27001:2013 DAN COBIT 5

Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Sistem Informasi

Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Disusun Oleh:

MOHAMAD MIRZA MAULANA

1113093000042

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2019 M / 1440 H

i

COVER

SKRIPSI







Disusun Oleh:


1113093000042




JAKARTA

2019 M / 1440 H

ii

LEMBAR JUDUL

SKRIPSI







Disusun Oleh:


1113093000042




JAKARTA

2019 M / 1440 H

iii

LEMBAR PERSETUJUAN




Skripsi




Oleh:


1113093000042

Menyetujui,

Pembimbing I Pembimbing II

Fitroh, M.Kom Elvi Fetrina, MIT

NIP. 19790923 200912 2 006 NIP. 19740625 200901 2 005

Mengetahui,

Ketua Program Studi Sistem Informasi Fakultas Sains dan Teknologi


Nia Kumaladewi, MMSI

NIP. 19750412 200710 2 002

iv

LEMBAR PENGESAHAN UJIAN

Skripsi yang berjudul Audit Keamanan Sistem Informasi Pada Dinas

Komunikasi dan Informatika Kabupaten Bogor Menggunakan Standar

ISO/IEC 27001:2013 dan COBIT 5 yang ditulis oleh Mohamad Mirza Maulana,

NIM 1113093000042 telah diuji dan dinyatakan LULUS dalam sidang Munaqosah

Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta

pada hari Kamis, 17 Januari 2019. Skripsi ini telah diterima sebagai salah satu

syarat memperoleh gelar Sarjana Satu (S1) Program Studi Sistem Informasi.

Menyetujui,

Penguji I

Dr. Syopiansyah Jaya Putra, M.Sis

NIP. 19680117 200112 1 001

Penguji II

Evy Nurmiati, MMSI

NIP. 19780215 201411 2 003

Pembimbing I

Fitroh, M.Kom

NIP. 19790923 200912 2 006

Pembimbing II

Elvi Fetrina, MIT

NIP. 19740625 200901 2 005

Mengetahui,

Dekan


Prof. Dr. Lily Surayya Eka Putri, M.Env.Stud

NIP. 19690404 200501 2 005

Ketua

Program Studi Sistem Informasi

Nia Kumaladewi, MMSI

NIP. 19750412 200710 2 002

v

LEMBAR PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-

BENAR HASIL KARYA SENDIRI DAN BELUM PERNAH DIAJUKAN

SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN

TINGGI ATAU LEMBAGA MANAPUN.

Jakarta, 11 Januari 2019


1113093000042

vi

ABSTRAK

MOHAMAD MIRZA MAULANA – 1113093000042. Audit Keamanan Sistem

Informasi Pada Dinas Komunikasi dan Informatika Kabupaten Bogor

Menggunakan Standar ISO/IEC 27001:2013 dan COBIT 5 di bawah bimbingan

FITROH dan ELVI FETRINA.

Perkembangan teknologi yang semakin pesat membuat ancaman terhadap

keamanan sistem informasi semakin tinggi. Kinerja tata kelola TI akan terganggu

jika informasi sebagai salah satu objek utama mengalami masalah keamanan

informasi. Bidang Penyelenggaraan E-Government merupakan bagian dari Dinas

Komunikasi dan Informatika (DISKOMINFO) Kabupaten Bogor yang bertugas

untuk mengelola server yang berisi data aplikasi milik dinas-dinas di wilayah

Kabupaten Bogor. Bidang ini pernah mengalami insiden keamanan informasi

berupa kerusakan server dan insiden hacking yang menyebabkan hilangnya data

aplikasi yang ada pada server DISKOMINFO Kab. Bogor. Untuk mengukur sejauh

mana kemampuan DISKOMINFO Kab. Bogor dalam hal tata kelola keamanan SI

maka perlu dilakukan audit keamanan sistem informasi. Tujuan penelitian ini

mengetahui tingkat kematangan (maturity level), serta memberikan rekomendasi

pada Bidang Penyelenggaraan E-Government. Penelitian ini menggunakan siklus

Plan-Do-Check-Act (PDCA) ISO/IEC 27001:2013 dan tahapan Initiation yang ada

pada Assessment Process Activities COBIT 5. Perhitungan maturity level

menggunakan 7 klausul yang ada pada ISO/IEC 27001:2013 dan menggunakan

skala Systems Security Engineering Capability Maturity Model (SSE-CMM). Hasil

rata-rata nilai maturity level keseluruhan klausul sebesar 1.42 dan berada dalam

kategori Performed Informally yang berarti sebagian besar kegiatan belum

sepenuhnya direncanakan, kinerja yang dilakukan masih bergantung pada

pengetahuan pribadi pegawai serta organisasi. Hasil penelitian ini

merekomendasikan pembuatan peraturan dalam hal penilaian terhadap utilitas

pendukung, pemeliharaan peralatan, backup informasi. Selain itu peneliti

merekomendasikan prosedur untuk melaporkan adanya insiden atau kelemahan

terkait keamanan informasi, respon terhadap insiden dan evaluasi terhadap insiden

untuk mencegah terjadinya insiden serupa yang pernah terjadi. Hasil penelitian ini

dapat bermanfaat sebagai bahan pertimbangan untuk memperbaiki gap yang ada

sesuai dengan standar ISO/IEC 27001:2013.

Kata Kunci: Audit, COBIT 5, ISO/IEC 27001:2013, Keamanan Sistem Informasi.

Bab I-V + 244 Halaman + xx + 53 Gambar + 118 Tabel + Daftar Pustaka +

Lampiran

Pustaka Acuan (56, 2003 - 2018)

vii

KATA PENGANTAR

Assalamu’alaikum Wr. Wb.

Puji dan syukur kehadirat Allah SWT, karena atas berkah, rahmat, dan

hidayah-Nya yang sungguh melimpah, sehingga penulis dapat menyelesaikan

skripsi yang berjudul “Audit Keamanan Sistem Informasi Pada Dinas

Komunikasi dan Informatika Kabupaten Bogor Menggunakan Standar

ISO/IEC 27001:2013 dan COBIT 5” dengan baik. Shalawat serta salam semoga

senantiasa tercurah kepada Nabi Besar Muhammad SAW beserta keluarga, sahabat

serta para pengikutnya hinga akhir zaman.

Penulis menyadari bahwa dalam menyelesaikan skripsi ini tidak terlepas dari

bantuan berbagai pihak. Oleh karena itu, perkenankanlah penulis untuk dapat

mengucapkan terima kasih yang sebesar-besarnya kepada:

1. Ibu Prof. Dr. Lily Surayya Eka Putri, M.Env.Stud selaku Dekan Fakultas

Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah.

2. Ibu Nia Kumaladewi, MMSI selaku Ketua Program Studi Sistem Informasi

Fakultas Sains dan Teknologi dan Ibu Meinarini Catur Utami, MT selaku

Sekretaris Program Studi Sistem Informasi Fakultas Sains dan Teknologi.

3. Ibu Fitroh, M.Kom sebagai Dosen Pembimbing I yang telah memberikan

bimbingan, dan arahan kepada penulis selama proses penyelesaian skripsi

ini. Terima kasih banyak untuk seluruh waktu, tenaga, kesediaan menjawab

setiap pertanyaan penulis dan senantiasa memberikan motivasi serta

membagikan banyak pengetahuan agar penulis bisa menyelesaikan skripsi

ini dengan baik.

viii

4. Ibu Elvi Fetrina, MIT sebagai Dosen Pembimbing II yang selalu sabar

dalam membimbing penulis, selalu memberi masukkan yang positif, serta

memberikan arahan dalam memperkuat argumen sehingga penulis bisa

menyelesaikan skripsi ini dengan baik.

5. Bapak Dr. Syopiansyah Jaya Putra, M.Sis dan Ibu Evy Nurmiati, MMSI

sebagai Dosen Penguji yang telah memberikan masukkan dalam revisi

sidang saya.

6. Seluruh Dosen Program Studi Sistem Informasi yang telah membagikan

ilmunya kepada penulis selama proses perkuliahan.

7. Seluruh karyawan Fakultas Sains dan Teknologi yang telah banyak

membantu penulis dalam perkuliahan, terutama dalam menyelesaikan

administrasi yang berkaitan dengan skripsi.

8. Bapak Dendi Wahyudin, S.Ip selaku Kepala Seksi Pengembangan Aplikasi

dan Data Dinas Komunikasi dan Informatika Kabupaten Bogor yang telah

menjadi narasumber bagi penulis dalam melakukan penelitian ini, dan

seluruh kepala serta staf Bidang Penyelenggaraan E-Government Dinas

Komunikasi dan Informatika Kabupaten Bogor yang tidak dapat disebutkan

satu per satu oleh penulis yang telah membantu penulis dalam memperoleh

data-data terkait dalam penyusunan skripsi ini

9. Kedua orang tua penulis, Bapak Mohamad Zikro dan Ibu Maya Fauziah.

Terima kasih untuk bapak dan mama yang telah membesarkan dan

mendidik penulis dari lahir hingga saat ini, terima kasih untuk seluruh cinta

ix

dan kasih yang selalu diberikan untukku. Terima kasih untuk doa-doa yang

selalu mengiri langkahku disegala cuaca, saat senang maupun sedih.

10. Yulia Sukma Asri, yang rela membantu penulis dalam menyelesaikan

skripsi ini serta kehadirannya menjadi bagian penting dalam hidup penulis,

semoga selalu dalam keadaan sehat dan berbahagia.

11. Teman-teman Sistem Informasi 2013 terutama Reza Hamzah dan Gilang

Wisnu yang membantu penulis memahami konsep ISO/IEC 27001:2013,

serta Purusotama dan Octo Wihardi yang selalu siap sedia ketika penulis

membutuhkan bantuan.

12. Seluruh teman-teman Sistem Informasi 2013, terima kasih untuk segala

kenangannya serta semangat yang diberikan sehingga penulis bisa

menyelesaikan skripsi ini.

Penulis memohon kepada Allah SWT agar seluruh dukungan, bantuan, dan

bimbingan dari semua pihak dibalas pahala yang berlipat ganda. Selain itu, penulis

menyadari dalam penyusunan skripsi ini masih terdapat kekurangan dan jauh dari

kata sempurna sehingga saran dan kritik yang membangun sangat penulis harapkan

dan dapat disampaikan melalui [email protected]. Akhir kata,

semoga penelitian ini dapat memberikan manfaat dan sekaligus menambah ilmu

bagi kita semua. Aaamiin Ya Rabbal ‘Alamin.

Jakarta, 18 Maret 2019


1113093000042

x

DAFTAR ISI

COVER ................................................................................................................... i

LEMBAR JUDUL ................................................................................................. ii

LEMBAR PERSETUJUAN ................................................................................ iii

LEMBAR PENGESAHAN UJIAN .................................................................... iv

LEMBAR PERNYATAAN .................................................................................. v

ABSTRAK ............................................................................................................ vi

KATA PENGANTAR ......................................................................................... vii

DAFTAR ISI .......................................................................................................... x

DAFTAR GAMBAR .......................................................................................... xiv

DAFTAR TABEL............................................................................................... xvi

BAB I PENDAHULUAN ...................................................................................... 1

1.1 Latar Belakang ............................................................................................ 1

1.2 Identifikasi Masalah .................................................................................... 8

1.3 Batasan Masalah .......................................................................................... 8

1.4 Tujuan Penelitian ......................................................................................... 9

1.5 Manfaat Penelitian ..................................................................................... 10

1.6 Metode Penelitian ...................................................................................... 11

1.6.1 Metode Pengumpulan Data .............................................................. 11

1.6.2 Metode Analisis Data ....................................................................... 12

1.7 Sistematika Penulisan ................................................................................ 14

BAB II LANDASAN TEORI ............................................................................. 17

2.1 Konsep Sistem Informasi .......................................................................... 17

2.1.1 Pengertian Sistem ............................................................................ 17

2.1.2 Pengertian Data dan Informasi ........................................................ 17

2.1.3 Pengertian Sistem Informasi ............................................................ 18

2.2 E-Government ........................................................................................... 19

2.3 Audit Sistem Informasi ............................................................................. 20

2.3.1 Pengertian Audit Sistem Informasi .................................................. 20

2.3.2 Tujuan Audit .................................................................................... 21

2.4 Keamanan Informasi ................................................................................. 22

xi

2.4.1 Definisi Keamanan Informasi .......................................................... 22

2.4.2 Tujuan Keamanan Informasi ........................................................... 23

2.4.3 Aspek Keamanan Informasi ............................................................. 25

2.5 Framework Keamanan Tata Kelola TI ...................................................... 27

2.6 COBIT 5 .................................................................................................... 38

2.6.1 Definisi Proses COBIT 5 ................................................................. 40

2.6.2 Pemetaan COBIT 5 .......................................................................... 44

2.6.3 COBIT Process Assesment Model (PAM) ....................................... 46

2.6.5.1 Assessment Process Activities ................................................ 47

2.6.4 Fokus Area Usulan Tata Kelola TI .................................................. 49

2.6.6.1 APO13 – Manage Security ..................................................... 50

2.6.6.2 RACI Chart APO13 ............................................................... 51

2.7 ISO/IEC 27001 .......................................................................................... 54

2.7.1 Definisi ISO/IEC 27001 ................................................................... 54

2.7.2 Seri ISO/IEC 27000 ......................................................................... 56

2.7.3 ISO 27001:2013 ............................................................................... 58

2.7.4 Klausul ISO/IEC 27001:2013 .......................................................... 59

2.8 Model PDCA (Plan-Do-Check-Act) ......................................................... 60

2.9 Penilaian Risiko (Risk Assessment) ........................................................... 63

2.9.1 Identifikasi Aset dan Menghitung Nilai Aset .................................. 63

2.9.2 Identifikasi Ancaman (Threat) dan Kelemahan (Vulnerability) dari

Aset .................................................................................................. 66

2.9.3 Analisis dan Evaluasi Risiko ........................................................... 68

2.10 Systems Security Engineering Capability Maturity Model (SSE-CMM) . 71

2.11 Pemetaan COBIT 5 dengan ISO 27001:2013 .......................................... 73

2.12 Metode Pengumpulan Data ...................................................................... 77

2.13 Kajian Penelitian Sebelumnya.................................................................. 79

BAB III METODOLOGI PENELITIAN ......................................................... 82

3.1 Metode Pengumpulan Data ....................................................................... 82

3.1.1 Studi Pustaka .................................................................................... 82

3.1.2 Studi Lapangan ................................................................................ 87

3.2 Metode Analisis Data ................................................................................ 90

xii

3.2.1 Assessment Process Activities .......................................................... 90

3.2.1.1 Initiation ................................................................................. 90

3.2.2 Metode Perencanaan Sistem Manajemen Keamanan Informasi ...... 93

3.2.2.1 Tahapan Plan .......................................................................... 94

3.2.2.2 Tahapan Do ............................................................................ 95

3.2.2.3 Tahapan Check ....................................................................... 97

3.2.2.4 Tahapan Act ............................................................................ 99

3.3 Interpretasi Hasil dan Pembahasan.......................................................... 100

3.4 Kerangka Penelitian ................................................................................ 101

BAB IV HASIL AUDIT DAN INTERPRETASI HASIL .............................. 102

4.1 Gambaran Umum Organisasi .................................................................. 102

4.1.1 Profil Dinas Komunikasi dan Informatika Kab. Bogor ................. 102

4.1.2 Visi, Misi, Strategi, dan Kebijakan DISKOMINFO Kabupaten

Bogor ............................................................................................. 104

4.1.3 Tugas Pokok dan Fungsi DISKOMINFO Kab. Bogor .................. 106

4.1.4 Logo Dinas Komunikasi dan Informatika Kab. Bogor .................. 118

4.1.5 Struktur Organisasi Dinas Komunikasi dan Informatika Kab. Bogor

....................................................................................................... 118

4.2 Assessment Process Activities COBIT 5 ................................................. 119

4.2.1 Initiation ......................................................................................... 119

4.2.1.1 Fokus Area COBIT 5 ........................................................... 120

4.3 Metode Perencanaan Sistem Manajemen Keamanan Informasi ............. 128

4.3.1 Tahapan Plan ................................................................................. 128

4.3.1.1 Menentukan Ruang Lingkup Sistem Manajemen Keamanan

Informasi .............................................................................. 128

4.3.1.2 Menentukan Kebijakan Sistem Manajemen Keamanan

Informasi .............................................................................. 129

4.3.2 Tahapan Do .................................................................................... 132

4.3.2.1 Melakukan Identifikasi Risiko ............................................. 132

4.3.2.1.1 Mengidentifikasi Aset dan Menghitung Nilai Aset Dalam

SMKI .................................................................................. 133

4.3.2.1.2 Mengidentifikasi Kelemahan, Ancaman, dan Menilai terhadap

Aset .................................................................................... 138

xiii

4.3.2.2 Menganalisis dan Mengevaluasi Risiko ............................... 160

4.3.2.2.1 Menganalisis Dampak Bisnis ............................................. 161

4.3.2.2.2 Mengidentifikasi Level Risiko Bidang Penyelenggaraan E-

Government ........................................................................ 163

4.3.2.2.3 Menilai Resiko Bidang Penyelenggaraan E-Government

DISKOMINFO Kab. Bogor ............................................... 165

4.3.3 Tahapan Check ............................................................................... 176

4.3.3.1 Pemilihan Objektif Kontrol dan Kontrol Keamanan

Berdasarkan ISO 27001:2013 .............................................. 176

4.3.3.2 Penilaian Maturity Level Menggunakan SSE-CMM (System

Security Engineering Capability Maturity Level) ................ 178

4.3.4 Tahapan Act ................................................................................... 197

4.3.4.1 Penelusuran Bukti................................................................. 199

4.3.4.2 Rekomendasi ........................................................................ 216

4.4. Interpretasi Hasil dan Pembahasan.......................................................... 221

4.4.1 Interpretasi Hasil dan Pembahasan Assessment Process Activities

COBIT 5 ........................................................................................ 221

4.4.2 Interpretasi Hasil dan Pembahasan Metode Perencanaan SMKI ... 222

4.4.3 Rekomendasi, Usulan, Implikasi dan Keterbatasan Studi ............. 229

BAB V PENUTUP ............................................................................................. 243

5.1 Kesimpulan .............................................................................................. 243

5.2 Saran ........................................................................................................ 244

DAFTAR PUSTAKA ........................................................................................ 245

LAMPIRAN ....................................................................................................... 250

xiv

DAFTAR GAMBAR

Gambar 1. 1 Jumlah Cyber Attack Per Tahun (Ponemon, 2017) ........................ 2

Gambar 1. 2 Peningkatan Varian Malware (Symantec, 2018) ............................ 2 Gambar 2. 1 Elemen Sistem (McLeod & Schell, 2008) .................................... 17

Gambar 2. 2 Elemen Sistem Informasi (Stair & Reynolds, 2016) .................... 19

Gambar 2. 3 Pilar Keamanan Informasi (Arnason dan Willett, 2008) .............. 26

Gambar 2. 4 Sejarah COBIT Framework (ISACA, 2016) ................................ 32

Gambar 2. 5 ISO/IEC 27001 (ECC International) ............................................ 33

Gambar 2. 6 Lima Buku Inti (core) ITIL V3 (Simplilearn Solutions) .............. 35

Gambar 2. 7 Architecture Development Method (The Open Group, 2009) ...... 38

Gambar 2. 8 Cakupan COBIT 5 dengan framework lain (ISACA, 2012)......... 39

Gambar 2. 9 Model Referensi Proses COBIT 5 (ISACA, 2012) ...................... 40

Gambar 2. 10 Pemetaan Enterprise Goals (ISACA, 2012) ................................. 44

Gambar 2. 11 Pemetaan Proses COBIT 5 (ISACA, 2012) .................................. 45

Gambar 2. 12 Assessment Process Activities (ISACA, 2012) ............................. 47

Gambar 2. 13 RACI Chart APO13 (ISACA, 2012) ............................................ 52

Gambar 2. 14 Domain Persyaratan & Domain Kontrol Keamanan ISO/IEC 27001

(Park & Lee, 2014) ........................................................................ 56

Gambar 2. 15 Siklus PDCA (Arnason & Willet, 2008) ...................................... 60 Gambar 3. 1 Kerangka Penelitian .................................................................... 101 Gambar 4. 1 Logo Dinas Komunikasi dan Informatika Kab. Bogor ............... 118

Gambar 4. 2 Struktur Organisasi DISKOMINFO Kab. Bogor ....................... 118

Gambar 4. 3 Struktrur Seksi Pengembangan Aplikasi dan Data ..................... 119

Gambar 4. 4 Struktur Seksi Infrastruktur dan Teknologi ................................ 119

Gambar 4. 5 Pemetaan IT-Related Goals ........................................................ 123

Gambar 4. 6 COBIT 5 Process ........................................................................ 125

Gambar 4. 7 COBIT 5 Process ........................................................................ 126

Gambar 4. 8 Grafik Representasi Maturity Level Klausul 7 ........................... 181


xv


Gambar 4. 11 Grafik Representasi Maturity Level Klausul 11 ......................... 189




Gambar 4. 15 Grafik Representasi Maturity Level Seluruh Klausul ................. 198

Gambar 4. 16 DISKOMINFO Kab Bogor......................................................... 213

Gambar 4. 17 Meja Resepsionis ........................................................................ 213

Gambar 4. 18 Aplikasi Visitor Management System ......................................... 213

Gambar 4. 19 Desain DISKOMINFO Kab Bogor ............................................ 213

Gambar 4. 20 Meja Penerima Tamu Ruang Server ........................................... 213

Gambar 4. 21 Form Pengunjung Ruang Server ................................................. 213

Gambar 4. 22 Tampak Depan Ruang Server ..................................................... 213

Gambar 4. 23 Ruang Petugas NOC ................................................................... 213

Gambar 4. 24 Fingerprint di Pintu Masuk Ruang Server ................................. 214

Gambar 4. 25 Ruang Server .............................................................................. 214

Gambar 4. 26 Rak-Rak Server ........................................................................... 214

Gambar 4. 27 Kamera CCTV Di Dalam Ruang Server .................................... 214

Gambar 4. 28 Form Pengunjung Data Center ................................................... 214

Gambar 4. 29 SOP Data Center ........................................................................ 215

Gambar 4. 30 Usulan Prosedur Pelaporan Insiden Keamanan Informasi ......... 233

Gambar 4. 31 Usulan Prosedur Pelaporan Kelemahan Keamanan Informasi ... 234

Gambar 4. 32 Usulan Form Pelaporan Insiden & Kelemahan Keamanan Informasi

..................................................................................................... 235

Gambar 4. 33 Usulan Prosedur Pengumpulan Bukti Insiden Keamanan Informasi

..................................................................................................... 236

Gambar 4. 34 Usulan Evaluasi Insiden serta Kelemahan dari Keamanan Informasi

..................................................................................................... 237

Gambar 4. 35 Usulan Notulen Hasil Evaluasi Insiden dan Kelemahan ............ 239

xvi

DAFTAR TABEL

Tabel 2. 1 Perbandingan 5 Standar Keamanan Informasi (Susanto et al., 2011) 30

Tabel 2. 2 Klausul ISO/IEC 27001:2013 (ISO, 2013) ....................................... 59

Tabel 2. 3 Penilaian Aset Berdasarkan Confidentiality (Sarno & Iffano. 2009) 65

Tabel 2. 4 Penilaian Aset Berdasarkan Integrity (Sarno & Iffano. 2009) .......... 65

Tabel 2. 5 Penilaian Aset Berdasarkan Availability (Sarno & Iffano. 2009) ..... 65

Tabel 2. 6 Jenis dan Contoh Ancaman (ISO, 2008) ........................................... 66

Tabel 2. 7 Contoh Daftar Kelemahan (Sarno & Iffano, 2009) & (ISO, 2008) ... 67

Tabel 2. 8 Nilai Rerata Probabilitas (Sarno & Iffano, 2009).............................. 68

Tabel 2. 9 Skala Business Impact Analysis (BIA) (Sarno & Iffano, 2009) ....... 69

Tabel 2. 10 Matriks Level Risiko (Sarno & Iffano, 2009) ................................... 70

Tabel 2. 11 Capability Level SSE-CMM (CMU, 2013) ....................................... 73

Tabel 2. 12 Pemetaan COBIT 5 dengan ISO 27001:2013 (NIST, 2014) ............. 74

Tabel 2. 13 Klausul ISO/IEC 27001:2013 Yang Digunakan ............................... 75

Tabel 2. 14 Pemetaan Domain APO13 dengan Kontrol ISO/IEC 27001:2013 ... 76 Tabel 3. 1 Referensi Literatur Sejenis ................................................................ 83

Tabel 3. 2 Pelaksanaan Wawancara ................................................................... 88

Tabel 3. 3 Responden Proses APO13.01 ............................................................ 91



Tabel 3. 6 Rekapitulasi RACI Chart APO13...................................................... 92

Tabel 3. 7 Pemetaan Responden dengan Kontrol Keamanan ISO/IEC 27001:2013

............................................................................................................ 92

Tabel 3. 8 Level Kemampuan SSE-CMM (CMU, 2013) ................................... 99 Tabel 4. 1 Aset Utama Bidang Penyelenggaraan E-Government..................... 133

Tabel 4. 2 Aset Pendukung Bidang Penyelenggaraan E-Government ............. 134

Tabel 4. 3 Nilai Aset Utama ............................................................................. 136

Tabel 4. 4 Nilai Aset Pendukung ...................................................................... 137

Tabel 4. 5 Daftar Ancaman dan Kelemahan Database SIMKAS .................... 139

Tabel 4. 6 Daftar Ancaman dan Kelemahan Database SIMPEG .................... 139

xvii

Tabel 4. 7 Daftar Ancaman dan Kelemahan Database SIAP Online............... 139

Tabel 4. 8 Daftar Ancaman dan Kelemahan Database RKPD Online............. 140

Tabel 4. 9 Daftar Ancaman dan Kelemahan Database SIVANERJA ............. 140

Tabel 4. 10 Daftar Ancaman dan Kelemahan Database SI Pengendalian Menara

.......................................................................................................... 140

Tabel 4. 11 Daftar Ancaman dan Kelemahan Desktop ...................................... 141

Tabel 4. 12 Daftar Ancaman dan Kelemahan Server WEB ............................... 141

Tabel 4. 13 Daftar Ancaman dan Kelemahan Mail Server ................................ 141

Tabel 4. 14 Daftar Ancaman dan Kelemahan WHM ......................................... 142

Tabel 4. 15 Daftar Ancaman dan Kelemahan CentOS ....................................... 142

Tabel 4. 16 Daftar Ancaman dan Kelemahan Ubuntu ....................................... 142

Tabel 4. 17 Daftar Ancaman dan Kelemahan Windows XP ............................... 142

Tabel 4. 18 Daftar Ancaman dan Kelemahan Windows 7 .................................. 142

Tabel 4. 19 Daftar Ancaman dan Kelemahan Windows 8 .................................. 143

Tabel 4. 20 Daftar Ancaman dan Kelemahan Windows 10 ................................ 143

Tabel 4. 21 Daftar Ancaman dan Kelemahan Kaspersky ................................... 143

Tabel 4. 22 Daftar Ancaman dan Kelemahan Microsoft Office 2013 ................ 143

Tabel 4. 23 Daftar Ancaman dan Kelemahan Air Conditioner .......................... 143

Tabel 4. 24 Daftar Ancaman dan Kelemahan CCTV ......................................... 144

Tabel 4. 25 Daftar Ancaman dan Kelemahan Access Door ............................... 144

Tabel 4. 26 Daftar Ancaman dan Kelemahan Printer ........................................ 144

Tabel 4. 27 Daftar Ancaman dan Kelemahan Infocus ........................................ 144

Tabel 4. 28 Daftar Ancaman dan Kelemahan UPS ............................................ 144

Tabel 4. 29 Daftar Ancaman dan Kelemahan Fiber Optic ................................. 145

Tabel 4. 30 Daftar Ancaman dan Kelemahan Switch ......................................... 145

Tabel 4. 31 Daftar Ancaman dan Kelemahan Wi-Fi .......................................... 145

Tabel 4. 32 Daftar Ancaman dan Kelemahan Router......................................... 145

Tabel 4. 33 Daftar Ancaman dan Kelemahan Visitor Management System....... 146

Tabel 4. 34 Daftar Ancaman dan Kelemahan Aplikasi Monitoring Jaringan .... 146

Tabel 4. 35 Daftar Ancaman dan Kelemahan Aplikasi Monitoring Bandwidth

Internet ............................................................................................. 146

xviii

Tabel 4. 36 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIMKAS 147

Tabel 4. 37 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIMPEG . 148

Tabel 4. 38 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIAP Online

.......................................................................................................... 148

Tabel 4. 39 Hasil Rerata Probabilitas dan Nilai Ancaman Database RKPD Online

.......................................................................................................... 149

Tabel 4. 40 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIVANERJA

.......................................................................................................... 149

Tabel 4. 41 Hasil Rerata Probabilitas dan Nilai Ancaman Database SI Pengendalian

Menara .............................................................................................. 150

Tabel 4. 42 Hasil Rerata Probabilitas dan Nilai Ancaman Desktop................... 150

Tabel 4. 43 Hasil Rerata Probabilitas dan Nilai Ancaman Server WEB Physical

.......................................................................................................... 151

Tabel 4. 44 Hasil Rerata Probabilitas dan Nilai Ancaman Mail Server ............. 151

Tabel 4. 45 Hasil Rerata Probabilitas dan Nilai Ancaman WHM ...................... 152

Tabel 4. 46 Hasil Rerata Probabilitas dan Nilai Ancaman CentOS ................... 152

Tabel 4. 47 Hasil Rerata Probabilitas dan Nilai Ancaman Ubuntu .................... 152

Tabel 4. 48 Hasil Rerata Probabilitas dan Nilai Ancaman Windows XP ........... 153

Tabel 4. 49 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 7 .............. 153

Tabel 4. 50 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 8 .............. 154

Tabel 4. 51 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 10 ............ 154

Tabel 4. 52 Hasil Rerata Probabilitas dan Nilai Ancaman Kaspersky ............... 154

Tabel 4. 53 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft Office 2013

....................................................................................................... 155

Tabel 4. 54 Hasil Rerata Probabilitas dan Nilai Ancaman Air Conditioner ...... 155

Tabel 4. 55 Hasil Rerata Probabilitas dan Nilai Ancaman CCTV ..................... 156

Tabel 4. 56 Hasil Rerata Probabilitas dan Nilai Ancaman Access Door............ 156

Tabel 4. 57 Hasil Rerata Probabilitas dan Nilai Ancaman Printer .................... 156

Tabel 4. 58 Hasil Rerata Probabilitas dan Nilai Ancaman Infocus .................... 157

Tabel 4. 59 Hasil Rerata Probabilitas dan Nilai Ancaman UPS......................... 157

Tabel 4. 60 Hasil Rerata Probabilitas dan Nilai Ancaman Fiber Optic ............. 157

xix

Tabel 4. 61 Hasil Rerata Probabilitas dan Nilai Ancaman Switch ..................... 158

Tabel 4. 62 Hasil Rerata Probabilitas dan Nilai Ancaman Wi-Fi....................... 158

Tabel 4. 63 Hasil Rerata Probabilitas dan Nilai Ancaman Router ..................... 159

Tabel 4. 64 Hasil Rerata Probabilitas dan Nilai Ancaman Visitor Management

System ............................................................................................... 159

Tabel 4. 65 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi Monitoring

Jaringan ............................................................................................ 160

Tabel 4. 66 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi Monitoring

Bandwith Internet ............................................................................. 160

Tabel 4. 67 Skala Business Impact Analysis (BIA) (Sarno & Iffano, 2009) ...... 161

Tabel 4. 68 Hasil Nilai BIA Aset Utama ............................................................ 161

Tabel 4. 69 Hasil Nilai BIA Aset Pendukung .................................................... 162

Tabel 4. 70 Hasil Nilai Dampak Bisnis Pada Aset Utama ................................. 164

Tabel 4. 71 Hasil Nilai Dampak Bisnis Pada Aset Pendukung .......................... 164

Tabel 4. 72 Hasil Nilai Resiko dan Level Resiko pada Aset Utama .................. 166

Tabel 4. 73 Hasil Nilai Resiko dan Level Resiko pada Aset Pendukung........... 166

Tabel 4. 74 Analisis Risiko Keamanan Informasi Aset Utama .......................... 168

Tabel 4. 75 Analisis Risiko Keamanan Informasi Aset Pendukung .................. 169

Tabel 4. 76 Objektif Kontrol dan Kontrol Keamanan ISO 27001:2013 ............ 177

Tabel 4. 77 Kerangka Kerja Perhitungan Maturity Level Klausul 7 .................. 179

Tabel 4. 78 Hasil Maturity Level Klausul 7 ....................................................... 181





Tabel 4. 83 Kerangka Kerja Perhitungan Maturity Level Klausul 11 ................ 186

Tabel 4. 84 Hasil Maturity Level Klausul 11 ..................................................... 188





xx



Tabel 4. 91 Nilai Maturity Level Seluruh Klausul ............................................. 198

Tabel 4. 92 Hasil Temuan Seluruh Kontrol Keamanan ..................................... 199

Tabel 4. 93 Rekomendasi Perbaikan .................................................................. 216

Tabel 4. 94 Rekapitulasi Level Resiko Aset Utama ........................................... 223

Tabel 4. 95 Rekapitulasi Level Resiko Aset Pendukung ................................... 223

Tabel 4. 96 Hasil Penelusuran Bukti .................................................................. 227

1

BAB I

PENDAHULUAN

1.1 Latar Belakang

Dalam era globalisasi seperti saat ini membuat operasi bisnis diaktifkan oleh

teknologi. TI telah mengilhami rekayasa ulang proses bisnis tradisional untuk

mempromosikan operasi yang lebih efisien dan untuk meningkatkan komunikasi di

dalam perusahaan serta komunikasi antara perusahaan dengan pelanggan dan

pemasoknya (Hall, 2011). Semakin berkembangnya teknologi membuat aspek

keamanan informasi merupakan hal penting yang penting diperhatikan dan menjadi

tanggung jawab semua karyawan, terutama manajer. Keamanan informasi

merupakan perlindungan informasi termasuk sistem dan perangkat keras yang

digunakan untuk menyimpan serta mentransmisikan informasi melalui penerapan

suatu kebijakan serta program pelatihan dan penyadaran (Whitman & Mattord,

2014).

Perlindungan informasi dilakukan dari berbagai ancaman baik yang

disebabkan oleh alam, maupun kasus kejahatan komputer seperti pencurian data,

aktivitas spionase, hacking, penyebaran virus dan vandalism (Sarno & Iffano,

2009). Menurut Ponemon (2017) hasil studi yang dilakukan terhadap 254

perusahaan di 7 negara menunjukkan terjadinya 635 serangan terhadap keamanan

informasi dengan rata-rata serangan tiap perusahaan sebanyak 2,5 serangan per

minggu pada tahun 2017. Selain itu Symantec (2018) melaporkan bahwa pada

tahun 2017 terjadi peningkatan jumlah varian malware yang signifikan serta cara

2

penyebaran malware yang semakin beragam yaitu cenderung menggunakan email

dengan target utama sektor administrasi publik atau pemerintahan.

Gambar 1. 1 Jumlah Cyber Attack Per Tahun (Ponemon, 2017)

Gambar 1. 2 Peningkatan Varian Malware (Symantec, 2018)

Ancaman keamanan informasi dapat merugikan organisasi/perusahaan

karena dapat menghambat kinerja operasional. Para stakeholder maupun pengelola

sistem informasi diharapkan lebih memperhatikan masalah keamanan informasi

untuk meminimalisir kerugian yang dapat terjadi. Salah satu cara yang dapat

dilakukan adalah dengan melakukan tata kelola terhadap teknologi informasi. Tata

kelola diperlukan bagi sebuah organisasi karena dalam proses transformasi bisnis

organisasi TI merupakan pendorong utama dan dapat memberikan imbas penting

dalam pencapaian visi, misi serta tujuan strategis suatu organisasi (Jogiyanto &

Abdillah, 2011). Dengan tata kelola yang baik, sistem informasi diharapkan dapat

3

membantu organisasi/perusahaan untuk meminimalkan kemungkinan terjadinya

risiko yang mengganggu kelangsungan bisnis dengan melakukan proses

pengukuran kinerja melalui audit tata kelola teknologi informasi. Hasil audit

menjadi baik apabila standar-standar diimplementasikan dengan baik. Perusahaan

dapat memilih jenis audit untuk mencapai tujuan, sasaran dan hasil yang diharapkan

(Gantz, 2014).

Audit sistem informasi adalah mekanisme yang digunakan oleh untuk

memeriksa serta melakukan evaluasi terhadap implementasi sistem tata kelola TI di

sebuah organisasi (Jogiyanto & Abdillah, 2011). Kegiatan audit memberikan

informasi yang membantu organisasi mengelola risiko dan mengkonfirmasi alokasi

sumber daya terkait TI yang efisien dalam mencapai tujuan TI dan tujuan bisnis

(Gantz, 2014). Dengan demikian kegiatan audit sangatlah penting untuk mencapai

tata kelola teknologi informasi yang baik.

Dinas Komunikasi dan Informatika (DISKOMINFO) Kabupaten Bogor

merupakan Dinas yang menyelenggarakan kewenangan urusan Pemerintahan di

bidang Komunikasi dan Informatika. Berdiri dengan dasar hukum Peraturan Bupati

Bogor Nomor 57 Tahun 2016 tentang kedudukan, susunan organisasi, tugas dan

fungsi serta tata kerja Dinas Komunikasi dan Informatika. Saat ini pemerintah

Kabupaten Bogor telah menerapkan konsep e-government yang dikembangkan oleh

DISKOMINFO Kabupaten Bogor. Kebijakan penyelenggaraan e-government

terdapat dalam peraturan Bupati Bogor Nomor 11 Tahun 2015 tentang Pelaksanaan

dan Pengembangan E-Government Di Lingkungan Pemerintah Kabupaten Bogor.

4

Dalam peraturan Bupati Bogor Nomor 11 Tahun 2015, tercantum bahwa

DISKOMINFO memiliki tugas sebagai wali data untuk mengelola data dinas

lainnya kemudian disimpan ke dalam server DISKOMINFO Kabupaten Bogor.

Menurut “Daftar Inventarisasi Aplikasi OPD Kabupaten Bogor Tanggal 8 Maret

2018” saat ini ada sekitar 57 aplikasi yang digunakan oleh dinas-dinas di wilayah

Kabupaten Bogor dan data 6 aplikasi diantaranya disimpan di dalam server

DISKOMINFO Kab. Bogor. Selain itu, DISKOMINFO Kabupaten Bogor juga

memiliki tugas menyediakan infrastruktur jaringan internet bagi dinas-dinas lain

yang berada di wilayah Kabupaten Bogor, tepatnya di sekitar wilayah Jl. Tegar

Beriman, Cibinong. Bidang yang mempunyai tugas mengelola ini adalah Bidang

Penyelenggaraan E-Government yang membawahi tiga Seksi yaitu Seksi

Infrastruktur dan Teknologi, Seksi Pengembangan Aplikasi dan Data, serta Seksi

Persandian dan Keamanan Informasi.

Berdasarkan hasil observasi dan wawancara, diketahui bahwa Bidang

Penyelenggara E-Government DISKOMINFO Kabupaten Bogor pernah

mengalami insiden keamanan sistem informasi yaitu kerusakan server dikarenakan

usia server yang sudah tua dan mengakibatkan data-data di server DISKOMINFO

Kabupaten Bogor hilang serta menghambat kegiatan operasional dinas yang terkait.

Insiden lainnya adalah hacking terhadap sub domain website Kabupaten Bogor

yang mengakibatkan berubahnya layout domain dan sub domain website maupun

sub domain website Kabupaten Bogor. Dari insiden tersebut membuat

DISKOMINFO Kabupaten Bogor lebih waspada dalam mengawasi akses yang

mencurigakan terhadap domain maupun sub domain website Kabupaten Bogor.

5

Ancaman lainnya bagi DISKOMINFO Kabupaten Bogor yaitu aplikasi milik dinas-

dinas di wilayah Kabupaten Bogor dibuat oleh pihak ketiga yang berbeda sehingga

tiap aplikasi berbeda bahasa pemrograman dan celah keamanan. Hal-hal tersebut

sangat penting untuk diperhatikan karena dapat mengancam data-data yang ada di

server DISKOMINFO Kab. Bogor.

Sebagai tindakan preventif, Kepala Seksi Pengembangan Aplikasi dan Data

berencana melakukan evaluasi terhadap keamanan sistem informasi karena Bidang

Penyelenggaraan E-Government belum pernah melakukan audit keamanan sistem

informasi sehingga Bidang Penyelenggaraan E-Government DISKOMINFO

Kabupaten Bogor belum mengetahui apakah ada kekurangan dari pengamanan

sistem informasi saat ini. Pelaksaan evaluasi juga telah disosialisasi oleh

Kementrian Komunikasi dan Informatika (KOMINFO) sejak tahun 2008. Menteri

KOMINFO mengeluarkan peraturan nomor 4 tahun 2016 tentang Sistem

Manajemen Pengamanan Informasi (SMPI), maka hal tersebut menjadi sebuah

keharusan untuk menerapkan SMKI bagi pelayanan publik khususnya yang

berkategori “Tinggi” dan “Strategis” (Direktorat Keamanan Informasi, 2017).

Dengan dasar tersebut saat ini DISKOMINFO Kabupaten Bogor memiliki rencana

yang belum terlaksana untuk melakukan sertifikasi ISO 27001:2013 yang terdapat

dalam dokumen Rencana Strategis Dinas Komunikasi dan Informatika Kabupaten

Bogor Tahun 2013-2018.

Tata kelola keamanan teknologi informasi memiliki banyak standar dalam

melakukan evaluasi dan pengukuran, contoh yang paling sering digunakan adalah

COBIT dan ISO 27001. COBIT memiliki kelebihan sebagai framework tatakelola

6

karena dapat mengintegrasikan sistem keamanan informasi ke dalam tatakelola TI

yang lebih luas. Namun, keterbatasannya yaitu tidak memberi petunjuk rinci bagi

organisasi bagaimana melakukan sesuatu secara nyata dan lebih mengarahkan pada

apa yang harus dilakukan (Jogiyanto & Abdillah, 2011). Sedangkan ISO 27001

merupakan salah satu standar yang telah berlaku secara internasional sebagai

standar untuk membangun Sistem Manajemen Keamanan Informasi (SMKI).

Standar ini bersifat indipenden terhadap produk teknologi informasi, mensyaratkan

penggunaan pendekatan manajemen berbasis risiko, serta dirancang untuk

menjamin kontrol keamanan yang dipilih perusahaan dapat melindingi aset

informasi dari berbagai risiko serta memberi keyakinan tingkat keamanan bagi

pihak yang berkepentingan (Direktorat Keamanan Informasi, 2017).

Terdapat beberapa penelitian yang menggunakan framework COBIT,

menggunakan standar ISO 27001 atau menggunakan keduanya secara bersama.

Penggunaan framework COBIT 5 sudah banyak digunakan pada penelitian

sebelumnya untuk melakukan evaluasi tata kelola TI (Suminar et al., 2014; Fitroh,

et al., 2018; Putra, 2018). Sedangkan penelitian yang menggunakan standar ISO

27001 umumnya membahas tentang keamanan informasi (Bless et al., 2014;

Nurbojatmiko et al., 2016; Ritzkal, et al., 2016).

Selain penelitian menggunakan COBIT atau menggunakan ISO 27001,

terdapat penelitian lain yang melakukan perbandingan antara beberapa standar

untuk mengukur keamanan informasi, keuntungan masing-masing standar, serta

keuntungan apabila digunakan secara bersama-sama (von Solms, 2005; Sahibudin,

et al., 2008; Mataracioglu & Ozkan, 2011; Susanto et al., 2011; Sheikhpour &

7

Modiri, 2012; Susanto, 2013; Haufe, et al., 2016). Namun penelitian tersebut hanya

berfokus kepada mencari hubungan antara COBIT dengan ISO 27001 secara teori.

Dari hasil penelitian tersebut didapatkan hasil bahwa jika COBIT dikombinasikan

dengan ISO 27001 dapat memberikan keuntungan lebih bagi perusahaan terutama

dalam mengelola keamanan informasi.

Terdapat satu penelitian yang dilakukan Bless et al (2014) yang

menggunakan COBIT dan ISO 27002. COBIT 4.1 digunakan untuk memetakan

kebutuhan perusahaan berdasarkan enterprise goals dan IT-related goals dan dari

hasil pemetaan didapat beberapa area tata kelola TI menurut COBIT 4.1. Dan dari

hasil pemetaan tersebut dicocokan dengan kontrol keamanan yang ada pada ISO

27002:2005. Dari hasil penggunaan 2 framework tersebut didapat penjabaran

lengkap mulai dari kebutuhan perusahaan, nilai aset perusahaan, nilai maturity level

dari keamanan informasi, serta usulan untuk meningkatkan keamanan informasi

perusahaan berdasarkan ISO 27002.

Berdasarkan latar belakang yang telah diuraikan di atas, maka peneliti ingin

melakukan penelitian yang berjudul “Audit Keamanan Sistem Informasi Pada

Dinas Komunikasi dan Informatika Kabupaten Bogor Menggunakan Standar

ISO/IEC 27001:2013 dan COBIT 5”.

8

1.2 Identifikasi Masalah

Adapun identifikasi masalah berdasarkan latar belakang yang telah

diuraikan di atas adalah:

a. DISKOMINFO Kab. Bogor pernah mengalami insiden terkait

keamanan sistem informasi yaitu kerusakan server yang menyebabkan

hilangnya data pada server serta insiden serangan hacker terhadap sub

domain website Kabupaten Bogor.

b. Belum pernah dilaksanakan audit untuk tata kelola keamanan sistem

informasi sehingga Bidang Penyelenggaraan E-Government

DISKOMINFO Kabupaten Bogor belum mengetahui bagaimana tingkat

kematangan dalam tata kelola keamanan sistem informasi saat ini.

Berdasarkan identifikasi masalah di atas, maka dapat diperoleh rumusan

masalah yaitu “Bagaimana Melakukan Audit Keamanan Sistem Informasi

Pada Dinas Komunikasi dan Informatika Kabupaten Bogor Menggunakan

Standar ISO/IEC 27001:2013 dan COBIT 5?”

1.3 Batasan Masalah

Peneliti akan melakukan pembatasan pada:

1. Audit keamanan sistem informasi ini dilakukan pada Bidang

Penyelenggaraan E-Government Dinas Komunikasi dan Informatika

Kabupaten Bogor yang beralamat di Jl. Tegar Beriman No. 1, Cibinong.

2. Identifikasi serta penilaian terhadap aset dimulai dari aset utama

(Contoh: database sistem informasi) serta aset pendukung (Contoh:

9

desktop, server, cctv, dan wi-fi) yang dimiliki Bidang Penyelenggaraan

E-Government Dinas Komunikasi dan Informatika Kabupaten Bogor.

3. Framework yang digunakan adalah COBIT 5 dan ISO /IEC 27001:2013.

4. Domain COBIT 5 yang digunakan adalah APO13 (Manage Security).

5. Klausul ISO/IEC 27001:2013 yang digunakan antara lain klausul A.7

(Keamanan Sumber Daya Manusia), klausul A.8 (Manajemen Aset),

klausul A.9 (Kontrol Akses), klausul A.11 (Keamanan Fisik dan

Lingkungan), klausul A.12 (Keamanan Operasi), klausul A.13

(Keamanan Komunikasi), dan klausul A.16 (Pengelolaan Insiden

Keamanan Informasi).

6. Langkah-langkah untuk melakukan audit dalam penelitian ini

menggunakan Assessment Process Activities COBIT 5 yaitu tahapan

Initiation lalu dilanjutkan dengan siklus Plan-Do-Check-Act (PDCA)

ISO/IEC 27001:2013.

7. Skala pengukuran tingkat kematangan (maturity level) menggunakan

SSE-CMM (System Security Engineering Capability Maturity Model)

dengan 5 tingkat kemampuan.

1.4 Tujuan Penelitian

Tujuan yang ingin dicapai dalam penelitian ini adalah:

1. Mengetahui tingkat kematangan (maturity level) keamanan sistem

informasi pada Bidang Penyelenggaraan E-Government Dinas

Komunikasi dan Informatika Kabupaten Bogor.

10

2. Menganalisis hasil temuan dan gap dari tingkat kematangan (maturity

level) keamanan sistem informasi saat ini.

3. Memberikan rekomendasi kepada Bidang Penyelenggaraan E-

Government Dinas Komunikasi dan Informatika Kabupaten Bogor

untuk mencegah terjadinya insiden serupa yang pernah terjadi

sebelumnya serta untuk merencanakan sistem manajemen keamanan

informasi yang sesuai dengan standar ISO/IEC 27001:2013.

1.5 Manfaat Penelitian

Adapun manfaat yang dapat diambil dari hasil penelitian ini adalah sebagai

berikut:

1. Penelitian ini diharapkan dapat digunakan sebagai gambaran untuk

mengetahui tingkat kematangan (maturity level) dari tata kelola

keamanan sistem informasi yang ada saat ini. Selain itu hasil penelitian

ini juga diharapkan dapat menjadi bahan referensi bagi Bidang

Penyelenggaraan E-Government DISKOMINFO Kab. Bogor dalam

upaya merancang SMKI sesuai standar ISO/IEC 27001:2013.

2. Penelitian ini diharapkan dapat menjadi referensi bagi penelitian-

penelitian selanjutnya di Program Studi Sistem Informasi UIN Syarif

Hidayatullah Jakarta yang berkaitan dengan audit keamanan sistem

informasi terutama dengan menggunakan framework COBIT 5 dan

standar ISO/IEC 27001:2013.

11

1.6 Metode Penelitian

Dalam penulisan ini, peneliti menggunakan beberapa metode yang

bertujuan untuk mempermudah peneliti dalam melakukan analisis dan audit

terhadap sistem informasi ini, yaitu:

1.6.1 Metode Pengumpulan Data

1. Studi Pustaka

Studi ini dilakukan dengan mempelajari berbagai pustaka yang

menyangkut konsep sistem informasi, tata kelola teknologi

informasi, audit sistem informasi menggunakan COBIT 5, dan

standardisasi Sistem Manajemen Keamanan Informasi dengan

ISO 27001:2013 melalui buku, jurnal, artikel dan penelitian

sejenis yang berhubungan dengan permasalahan.

2. Observasi

Peneliti melakukan studi lapangan secara langsung dengan

melakukan pengamatan pada proses pengelolaan keamanan

sistem informasi informasi pada Bidang Penyelenggaraan E-

Government Dinas Komunikasi dan Informatika Kabupaten

Bogor di Jl. Tegar Beriman No. 1, Cibinong.

3. Wawancara

Peneliti melakukan wawancara untuk mengetahui proses

pengelolaan keamanan sistem informasi secara umum serta

untuk mengetahui insiden yang pernah terjadi terkait keamanan

sistem informasi.

12

4. Kuisioner

Peneliti menggunakan kuisioner untuk mengumpulkan data

yang diperlukan dalam melakukan pengukuran tingkat

kematangan manajemen keamanan informasi. Pernyataan pada

kuisioner menggunakan dokumen panduan implementasi

ISO/IEC 27002:2013.

1.6.2 Metode Analisis Data

Dalam penelitian ini penulis menggunakan metode analisis data

berdasarkan Assessment Process Activities COBIT 5 yaitu tahap Initiation.

Setelah itu peneliti menggunakan Metode Perencanaan SMKI berdasarkan

ISO/IEC 27001:2013 dengan siklus Plan-Do-Check-Act (PDCA). Di bawah

ini merupakan penjelasan dari masing-masing metode yang peneliti

gunakan untuk menganalisis data:

1.6.2.1 Assessment Process Activities (COBIT 5)

1. Initiation

Tahap ini bagian dari Assessment Process Activities pada

COBIT 5 yang bertujuan untuk memetakan enterprise

goals DISKOMINFO Kab. Bogor terhadap IT-related

goals serta IT-related goals terhadap proses COBIT 5.

Hasil dari tahapan ini adalah Domain APO13 (Manage

Security) sesuai dengan kondisi Bidang Penyelenggaraan

E-Government Dinas Komunikasi dan Informatika

Kabupaten Bogor.

13

1.6.2.2 Metode Perencanaan SMKI (ISO/IEC 27001:2013)

1. Plan

Tahap ini adalah tahap untuk menentukan ruang lingkup

SMKI dan membuat kebijakan SMKI. Ruang lingkup

SMKI dalam penelitian ini adalah pada Bidang

Penyelenggaraan E-Government DISKOMINFO

Kabupaten Bogor dan kebijakan SMKI dibuat untuk

menetukan tujuan serta kebijakan terkait SMKI pada

Bidang Penyelenggaraan E-Government DISKOMINFO

Kabupaten Bogor.

2. Do

Tahap ini adalah tahap untuk melakukan identifikasi dan

menghitung nilai aset utama dan aset pendukung,

mengidentifikasi serta menghitung ancaman dan

kelemahan, dan menentukan level risiko. Langkah serta

skala untuk menghitung nilai aset, menghitung ancaman

dan kelemahan serta menentukan level risiko akan

dibahas pada pada Bab II.

3. Check

Tahap ini adalah tahap untuk melakukan pengukuran

tingkat kematangan SMKI dengan menggunakan skala

pengukuran SSE-CMM (System Security Engineering

14

Capability Maturity Model) dari hasil kuisioner yang

peneliti kumpulkan.

4. Act

Tahap ini adalah tahap untuk melakukan peneluran bukti

serta pemberian rekomendasi perbaikan SMKI yang

sesuai dengan standar ISO/IEC 27001:2013 bagi Bidang

Penyelenggaraan E-Government Dinas Komunikasi dan

Informatika Kab. Bogor

1.6.2.3 Interpretasi Hasil dan Pembahasan

Pada tahap ini peneliti melakukan pembahasan dari hasil

yang telah didapatkan pada tahap-tahap sebelumnya. Dimulai dari

interpretasi hasil tahap initiation, interpretasi hasil dari tahap plan-do-

check-act, rekomendasi dan usulan bagi Bidang Penyelenggaraan E-

Government DISKOMINFO Kab. Bogor, implikasi penelitian, serta

keterbatasan studi yang ada pada penelitian ini.

1.7 Sistematika Penulisan

Secara garis besar, penulisan ini dibagi menjadi 5 (lima) bab. Adapun isi

dari masing-masing bab adalah sebagai berikut:

BAB I PENDAHULUAN

Pada bab ini peneliti menguraikan latar belakang masalah, identifikasi

masalah, rumusan masalah, batasan masalah, tujuan penelitian,

manfaat penelitian, metode penelitian, dan sistematika penulisan.

15

BAB II LANDASAN TEORI

Pada bab ini peneliti menguraikan konsep dan teori dasar yang terkait

dengan audit keamanan sistem informasi menggunakan standar

ISO/IEC 27001:2013 dan framework COBIT 5 yang meliputi teori

konsep sistem informasi, definisi e-government, pengertian audit

keamanan sistem informasi, teori keamanan informasi, macam-

macam framework tata kelola keamanan informasi, teori tentang

COBIT 5 dan ISO/IEC 27001:2013, model PDCA (Plan-Do-Check-

Act), cara melakukan penilaian risiko, teori tentang SSE-CMM,

pemetaan COBIT 5 dengan ISO/IEC 27001:2013 dan kajian

penelitian sebelumnya. Dengan fokus domain COBIT 5 pada domain

APO13 (Manage Security) serta fokus klausul ISO/IEC 27001:2013

pada klausul A.7 (Keamanan Sumber Daya Manusia), klausul A.8

(Manajemen Aset), klausul A.9 (Kontrol Akses), klausul A.11

(Keamanan Fisik dan Lingkungan), klausul A.12 (Keamanan

Operasi), klausul A.13 (Keamanan Komunikasi), dan klausul A.16

(Pengelolaan Insiden Keamanan Informasi).

BAB III METODOLOGI PENELITIAN

Pada bab ini peneliti menguraikan tentang metode penelitian yang

mencakup metode pengumpulan data yang terdiri dari studi pustaka

dan studi lapangan (observasi, wawancara dan kuisioner), lalu metode

analisis data serta kerangka penelitian.

16

BAB IV HASIL AUDIT DAN INTERPRETASI HASIL

Pada bab ini peneliti menguraikan secara singkat tentang profil Dinas

Komunikasi dan Informatika Kabupaten Bogor mulai dari visi, misi,

tujuan, logo, serta struktur organisasi. Pada bab ini juga menjelaskan

hasil dari tahap-tahap pelaksanaan audit keamanan sistem informasi

dengan menggunakan tahap Initiation pada framework COBIT 5 dan

siklus PDCA sesuai standar ISO 27001:2013. Pada bab ini juga

menyajikan interpretasi hasil dari audit yang telah dilakukan serta

rekomendasi kepada Bidang Penyelenggaraan E-Government Dinas


BAB V PENUTUP

Bab ini merupakan penutup yang berisi kesimpulan dari uraian yang

telah dibahas pada bab-bab sebelumnya serta saran bagi peneliti

selanjutnya dan saran perbaikan bagi pihak Dinas Komunikasi dan

Informatika Kabupaten Bogor untuk kemajuan kedepannya.

DAFTAR PUSTAKA

17

BAB II

LANDASAN TEORI

2.1 Konsep Sistem Informasi

Sistem informasi merupakan suatu istilah yang sering digunakan dalam

dunia TI. Berikut ini adalah pengertian sistem, informasi dan sistem informasi.

2.1.1 Pengertian Sistem

Sistem menurut McLeod & Schell (2008) merupakan sekelompok elemen-

elemen yang saling terintegrasi dengan maksud yang sama untuk mencapai satu

tujuan. Definisi lain dari sistem adalah sejumlah hal terkait yang bekerja sama

untuk mencapai tujuan secara keseluruhan (Hanna & Rance, 2011). Di bawah ini

merupakan gambaran elemen dari sebuah sistem

Gambar 2. 1 Elemen Sistem (McLeod & Schell, 2008)

2.1.2 Pengertian Data dan Informasi

Data merupakan fakta-fakta dan angka-angka yang relatif tidak berarti bagi

pemakainya (Mcleod & Schell, 2008). Definisi lain dari data yaitu Data

merupakan fakta tentang peristiwa atau kenyataan lain yang mendukung suatu

18

pengetahuan untuk dijadikan dasar guna penyusunan keterangan, pembuatan

kesimpulan atau penetapan keputusan (Gondodiyoto dan Hendarti, 2007). Dari

dua definisi tersebut dapat disimpulkan bahwa data merupakan hasil pengamatan

dalam bentuk fakta-fakta atau angka-angka yang relatif tidak berarti bagi

pemakainya namun dapat diolah melalui proses tertentu untuk menjadi

pengetahuan yang lebih bermanfaat bagi pemakainya.

Sedangkan informasi merupakan adalah data yang telah diproses, atau data

yang memiliki arti (McLeod & Schell, 2008). Definisi lain menyatakan bahwa

informasi merupakan hasil pengolahan data sehingga bertambah kegunaannya dan

dapat dipakai untuk suatu tujuan tertentu atau untuk analisis dan pengambilan

keputusan (Gondodiyoto dan Hendarti, 2007). Dari dua definisi informasi tersebut

dapat disimpulkan bahwa informasi merupakan hasil dari pemrosesan data berupa

fakta-fakta atau angka-angka yang bermanfaat bagi penggunanya dalam

melakukan analisis dan dasar pengambilan keputusan.

2.1.3 Pengertian Sistem Informasi

Menurut Stair dan Reynolds (2016) sistem informasi merupakan kumpulan

komponen-komponen yang saling terkait dalam mengumpulkan, memanipulasi,

serta menyebarluaskan data dan informasi serta menyediakan feedback (umpan

balik) yang membantu organisasi dalam mencapai tujuannya seperti

meningkatkan laba perusahaan atau meningkatkan layanan kepada pelanggan.

Dalam sistem informasi ada 4 elemen inti yaitu input-process-output-feedback.

Input (masukkan) merupakan proses mengumpulkan data mentah dalam bentuk

fakta-fakta atau angka-angka untuk selanjutnya dimasukkan ke dalam sistem.

19

Setelah itu adalah process (proses) yang merupakan tahap untuk

mentransformasikan data dalam bentuk fakta atau angka menjadi output yang

bermanfaat. Setelah process selesai, dihasilkanlah output (keluaran) berupa

sebuah informasi yang bermanfaat dalam bentuk laporan atau dokumen. Dan

terakhir adalah feedback (umpan balik) yang merupakan informasi dari sistem

yang digunakan untuk membuat perubahan pada tahap input atau pada tahap

pemrosesan data apabila terjadi kesalahan pada tahap input atau gangguan pada

saat pemrosesan data. Di bawah ini merupakan gambaran elemen sistem informasi

Gambar 2. 2 Elemen Sistem Informasi (Stair & Reynolds, 2016)

2.2 E-Government

E-Government merupakan kependekan dari Electronic Government. Pada

penelitian ini aspek yang dibahas adalah pengertian E-Government, konsep E-

Government, dan pengembangan E-Government.

Terdapat beberapa pengertian mengenai E-Government, diantara lain

menurut Indrajit (2016), E-Government merupakan suatu mekanisme interaksi

baru (modern) antara pemerintah dengan masyarakat dan kalangan lain yang

berkepentingan (stakeholder) yang melibatkan penggunaan teknologi informasi

terutama internet untuk tujuan perbaikan kualitas pelayanan publik. Sedangkan

pengertian lain menyebutkan bahwa E-government mengacu pada penggunaan

20

internet dan perangkat digital lainnya untuk layanan pengiriman informasi yang

dilakukan oleh instansi publik/pemerintahan (Shin & Kim, 2008).

Dari beberapa penjelasan diatas dapat disimpulkan bahwa E-Government

adalah salah satu bentuk atau model sistem pemerintahan yang berlandaskan pada

penggunaan internet dan perangkat digital lainnya sebagai layanan pengiriman

informasi oleh instansi publik dengan tujuan memperbaiki kualitas pelayanan

publik ke masyarakat.

2.3 Audit Sistem Informasi

Audit identik dengan proses evaluasi atau penilaian sesuatu. Di bawah ini

terdapat penjelasan mengenai audit lebih rinci serta audit sistem informasi.

2.3.1 Pengertian Audit Sistem Informasi

Audit dalam aspek administratif menurut Gondodiyoto dan Hendarti (2007)

memiliki arti pemeriksaan terhadap perencanaan organisasi, penerapan sistem dan

prosedur kerja apakah efektif dan efisien suatu organisasi serta kehandalan sistem

sehubungan dengan kebijakan organisasi. Kemudian dalam konteks tatakelola TI

audit merupakan pemeriksaan terhadap manajemen sumber daya informasi atau

terhadap kehandalan sistem informasi berbasis teknologi informasi mengenai

aspek efektifitas, efisiensi, data integritas, saveguarding asset, reliability,

confidentiality, availability, dan security. Sedangkan audit sistem informasi

merupakan mekanisme yang digunakan untuk memeriksa serta mengevaluasi

implementasi sistem tata kelola TI di sebuah organisasi. Proses penilaian serta

pengukuran ini dilakukan oleh pemeriksa (auditor) dengan menggunakan metode

tertentu seperti metode Balanced Scorecard (BSC) (Jogiyanto & Abdillah, 2011).

21

Dari hasil penjabaran di atas dapat disimpulkan bahwa audit sistem

informasi merupakan sebuah mekanisme untuk memeriksa dan mengevaluasi

perencanaan, penerapan serta prosedur kerja sistem tata kelola TI di sebuah

organisasi yang disesuaikan dengan ketetapan, standar serta regulasi dan hukum

yang berlaku.

2.3.2 Tujuan Audit

Audit TI memberikan informasi yang membantu organisasi mengelola

risiko, selain itu Audit TI juga mengkonfirmasi alokasi sumber daya terkait TI

yang efisien, serta mencapai tujuan TI dan bisnis lainnya. Adapun alasan lainnya

melakukan audit (Gantz, 2014) di antara lain adalah:

a. Mengevaluasi efektivitas kontrol yang diterapkan

b. Mengkonfirmasikan kepatuhan terhadap kebijakan, proses, dan prosedur

internal

c. Memeriksa kesesuaian dengan tata kelola TI atau kerangka kerja kontrol dan

standar

d. Menganalisis kerentanan dan pengaturan konfigurasi untuk mendukung

pemantauan berkelanjutan

e. Mengidentifikasi kelemahan dan defisiensi sebagai bagian dari manajemen

risiko awal atau berkelanjutan

f. Mengukur kinerja terhadap tolok ukur kualitas atau perjanjian tingkat layanan

g. Memverifikasi dan memvalidasi rekayasa sistem atau praktik manajemen

proyek TI

22

h. Menilai sendiri organisasi terhadap standar atau kriteria yang akan digunakan

dalam audit eksternal yang diakan direncanakan.

2.4 Keamanan Informasi

Keamanan informasi merupakan aspek penting dalam usaha melindungi

aset informasi dalam sebuah organisasi. Berikut ini dijelaskan mengenai definisi

keamanan informasi, tujuan keamanan informasi dan aspek-aspek dalam keamanan

informasi.

2.4.1 Definisi Keamanan Informasi

Keamanan informasi merupakan perlindungan terhadap informasi dari 3

aspek yaitu confidentiality (kerahasiaan), integrity (integritas), dan availability

(ketersediaan), dan juga perlindungan terhadap sistem serta perangkat keras yang

digunakan untuk menyimpan atau mentransmisikan informasi tersebut melalui

penerapan kebijakan, program pelatihan dan penyadaran serta teknologi

(Whitman & Mattord, 2014). Sedangkan definisi keamanan informasi menurut

Arnason & Willett (2008) adalah perlindungan aset organisasi (mis., Informasi)

dari pengungkapan yang tidak sah dan modifikasi yang tidak sah dan tidak

disengaja, dan memastikan informasi tersebut siap digunakan saat diperlukan.

Peraturan perundang-undangan dan persyaratan kepatuhan lainnya membahas

privasi dan pelaporan keuangan yang akurat, dan umumnya mencakup kebutuhan

akan kontrol keamanan yang baik seputar informasi.

Adapun jenis keamanan informasi dapat dibagi menjadi beberapa bagian

berikut (Whitman & Mattord, 2014):

23

1. Physical Security (Keamanan Fisik)

Keamanan yang berfokus untuk memberikan perlindungan terhadap

karyawan atau staff organisasi, aset fisik, maupun tempat kerja apabila

terjadi ancaman seperti insiden kebakaran kebakaran, adanya akses

tanpa otorisasi/tidak sah, dan bencana alam.

2. Operational Security


adanya gangguan yang mungkin akan mengganggu kemampuan

organisasi dalam melaksanakan kegiatan operasional.

3. Communications Security


kemampuan perusahaan dalam menggunakan media komunikasi,

teknologi komunikasi, serta konten yang ada di dalamnya untuk

mencapai tujuan sebuah organisasi.

4. Network Security


kemampuan perusahaan dalam menggunakan jaringan yang terdiri dari

perangkat jaringan, koneksi serta konten yang ada pada jaringan untuk

mencapai fungsi komunikasi data organisasi tersebut.

2.4.2 Tujuan Keamanan Informasi

Setiap organisasi atau perusahaan menerapkan sistem informasi berbasis

komputer untuk mencapai tujuan tertentu. Oleh karena itu, perusahaan dituntut

untuk menciptakan sistem keamanan untuk mengamankan aset yang dimiliki

24

berupa hardware dan software dari sistem informasi tersebut. Tujuannya adalah

untuk meyakinkan kerahasisaan, ketersediaan, dan integritas dari pengolahan

data. Tentu biaya yang dikeluarkan perusahaan untuk pengamanan terhadap

sistem komputer harus wajar apabila ingin meminimalkan risiko serta memelihara

keamanan sistem komputerisasi pada suatu tingkatan atau level yang dapat

diterima. Karena reputasi organisasi akan dinilai masyarakat dari tiga aspek di atas

yaitu integritas, kerahasiaan, dan ketersediaan informasi (IBISA, 2011).

Penekanan dalam manajemen keamanan informasi ada pada pemantauan

terus menerus, lalu penilaian ancaman dan kerentanan, serta evaluasi terhadap

implementasi dan efektivitas kontrol keamanan. Kontrol keamanan baik itu

keamanan administrasi, teknis, dan fisik, merupakan fokus utama manajemen

keamanan informasi dan kegiatan audit yang dilakukan berguna untuk

mendukung program keamanan informasi. Manajemen keamanan informasi

memerlukan pemilihan, implementasi, konfigurasi, operasi, dan pemantauan

kontrol keamanan yang cukup untuk melindungi kerahasiaan, integritas, dan

ketersediaan sistem informasi dan data di dalamnya (Gantz, 2014).

Keamanan informasi yang baik dapat diperoleh dari pengimplementasian

upaya operasional dan didukung oleh prosedur dan kebijakan yang sesuai. Proses

ini diawali dengan identifikasi kontrol yang akan dipakai dalam organisasi dimana

kontrol tersebut harus berdasarkan analisis kebutuhan aspek keamanan informasi

organisasi. Setelah prosedur, kebijakan dan panduan operasional tentang kontrol

yang diimplementasikan dalam organisasi dibuat, selanjutnya disosialisasikan ke

25

seluruh bagian organisasi untuk mendapatkan dukungan dan komitmen dari

seluruh bagian organisasi (Sarno dan Iffano, 2009).

2.4.3 Aspek Keamanan Informasi

Aspek keamanan informasi harus dikontrol, diperhatikan serta diterapkan.

Perlindungan pada informasi dilakukan bertujuan untuk memenuhi semua aspek

keamanan informasi. Beberapa aspek yang terkait user dengan keamanan

informasi ialah sebagai berikut (Sarno & Iffano, 2009):

a. Privacy

Informasi yang ada pada organisasi hanya dipergunakan untuk tujuan

tertentu khusus bagi pemilik data. Aspek privacy menjamin keamanan

data dari pihak lain yang tidak berkepentingan.

b. Identification

Aspek identification menjamin informasi memiliki karakteristik

identifikasi jika bisa mengenali pemiliknya. Aspek ini adalah langkah

awal dalam memperoleh hak akses ke dalam informasi yang diamankan.

c. Authentication

Autentikasi terjadi pada saat sistem membuktikan bahwa pemakai

informasi memang benar pemilik yang memiliki identitas yang sesuai

dengan yang di klaim.

d. Authorization

Authorization adalah aspek yang ada setelah identitas pengguna

diauntentikasi kemudian terjadi proses autorisasi yang menyediakan

jaminan pemakai (manusia ataupun komputer). Apabila sudah

26

mendapatkan autorisasi dapat mengakses, mengubah, atau menghapus

isi informasi.

e. Accountability

Accountability terpenuhi jika sebuah sistem menampilkan data kegiatan

terhadap informasi yang dilakukan dan siapa saja yang melakukan

kegiatan tersebut.

Keamanan informasi meliputi tiga pilar keamanan informasi, yaitu

kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability).

Kerahasiaan, integritas, dan ketersediaan juga merupakan tujuan keamanan

informasi. Tiga pilar tersebut pun dikenal juga dengan CIA keamanan informasi.

Gambar 2. 3 Pilar Keamanan Informasi (Arnason dan Willett, 2008)

Gambar 2.3 menggambarkan tiga pilar keamanan informasi. Penjelasan tiga

pilar keamanan informasi menurut Michael E. Whitman & Herbert J. Mattord

(2014) sebagai berikut:

a. Pilar Kerahasiaan (confidentiality) adalah karakteristik informasi dimana

hanya mereka yang memiliki hak istimewa yang cukup dan kebutuhan yang

ditunjukkan yang dapat mengaksesnya. Kerahasiaan memastikan bahwa hanya

27

personil yang berwenang yang dapat mengakses informasi, pihak lain tidak

dapat mengaksesnya.

b. Pilar Integritas (Integrity) adalah kualitas atau keadaan menjadi utuh, lengkap,

dan tidak rusak. Integritas informasi terancam ketika terpapar korupsi,

kerusakan, kehancuran, atau gangguan lain dari negara asalnya. Pilar integritas

menjadikan informasi tetap dalam format pencipta informasi yang dimaksud.

Karena informasi menjadi bernilai sedikit atau tidak bernilai jika integritasnya

tidak dapat diverifikasi. Integritas informasi adalah landasan keamanan

informasi.

c. Pilar Ketersediaan (availability) informasi terjadi ketika pengguna memiliki

akses ke format yang dapat digunakan, tanpa gangguan atau hambatan.

Ketersediaan tidak menyiratkan bahwa informasi tersebut dapat diakses oleh

pengguna mana pun; akan tetapi dapat diakses oleh pengguna yang berwenang.

Pilar ini memastikan informasi siap digunakan. Hilangnya ketersediaan adalah

gangguan akses atau penggunaan informasi atau teknologi informasi.

2.5 Framework Keamanan Tata Kelola TI

Alfantookh (2009) dalam Susanto (2011) mendefinisikan bahwa terdapat 11

kontrol penting tata kelola keamanan teknologi informasi yang harus

diimplementasikan oleh organisasi dalam melakukan pengukuran atau evaluasi.

Adapun 11 kontrol penting tersebut adalah:

1. Information Security Policy

Bagaimana sebuah organisasi melaksanakan keamanan informasi, dengan

cara menyatakan niatnya mengamankan informasi, memberikan arahan

28

kepada manajemen, staf maupun pemangku saham mengenai pentingnya

keamanan informasi.

2. Communication & Operations Management

Bagaimana sebuah organisasi menentukan kebijakan keamanan dalam

mengurangi risiko keamanan dan memastikan perhitungan yang benar dalam

hal prosedur operasional, kontrol, dan tanggung jawab yang ditetapkan

dengan baik.

3. Access Control

Adalah sistem yang memungkinkan otoritas dalam organisasi untuk

mengontrol akses ke area dan sumber daya dalam fasilitas fisik tertentu atau

sistem informasi berbasis komputer.

4. Information System Acquisition, Development and Maintenance

Sebuah proses terintegrasi yang menunjukan batas dan sistem informasi

teknis, dimulai dengan akuisisi, pengembangan serta pemeliharaan sistem

informasi.

5. Organization of Information Security

Adalah struktur yang dimiliki organisasi dalam menerapkan keamanan

informasi yang terdiri atas komitmen manajemen terhadap keamanan

informasi, koordinasi keamanan informasi, proses otorisasi untuk fasilitas

pemrosesan informasi.

29

6. Asset Management

Bagaimana sebuah organisasi mengamankan asetnya dengan cara

mengidentifikasi, melacak, mengklasifikasikan, dan menetapkan

kepemilikan untuk aset yang paling penting.

7. Information Security Incident Management

Adalah sebuah kegiatan untuk mengantisipasi insiden yang mungkin terjadi.

Melibatkan identifikasi sumber daya yang diperlukan untuk penanganan

insiden. Manajemen insiden yang baik juga akan membantu dengan

pencegahan insiden di masa depan.

8. Business Continuity Incident Management

Bagaimana sebuah organisasi memastikan kelangsungan operasional dalam

kondisi abnormal. Memastikan kesiapan organisasi untuk pemulihan apabila

menghadapi peristiwa yang merugikan, meminimalkan dampak yang dapat

ditimbulkan, dan menyediakan sarana saat keadaan darurat.

9. Human Resources Security

Untuk memastikan bahwa semua karyawan memenuhi syarat serta

memahami peran dan tanggung jawab pekerjaan mereka, dan akses dihapus

saat pekerjaan diputus.

10. Physical and Environment Security

Langkah-langkah yang diambil untuk melindungi sistem, bangunan, dan

infrastruktur pendukung terkait terhadap ancaman yang terkait dengan

lingkungan fisik, bangunan termasuk ruangan yang menampung sistem

informasi dan teknologi informasi.

30

11. Compliance

Terbagi menjadi dua, yaitu area pertama melibatkan kepatuhan terhadap

undang-undang, peraturan, dan persyaratan kontrak. Sedangkan area kedua

adalah kepatuhan terhadap kebijakan, standar, dan proses keamanan

informasi.

Di bawah ini merupakan tabel perbandingan dari 5 standar keamanan

informasi yang ada saat ini:

Tabel 2. 1 Perbandingan 5 Standar Keamanan Informasi (Susanto et al., 2011)

. ISO

27001 COBIT PCIDSS

BS

7799 ITIL

1 Information security policy

2 Communications and

operations management

3 Access control

4

Information systems

acquisition, Develpoment.

And Maintenance

5 Organization of

information security

6 Asset management

7 Information security

incident management

8 Business continuity

management

9 Human resources security

10 Physical and enviromental

security

11 Compliance

Penjelasan singkat mengenai masing-masing standar yang ada pada tabel

2.1 dapat dilihat di bawah ini:

2.5.1 COBIT

Control Objectives for Information and related Technology atau yang

disingkat COBIT merupakan seperangkat pedoman umum (best practice) untuk

31

manajemen TI yang dibuat oleh Information System Audit and Control

Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1996.

COBIT memberikan serangkaian langkah yang dapat diterima secara umum,

indikator, proses dan praktik terbaik untuk membantu manajer, auditor serta

pengguna TI dalam memaksimalkan manfaat yang dapat diperoleh dari

penggunaan TI serta pengembangan tata kelola TI yang sesuai serta

pengendaliannya di dalam perusahaan.

Keunggulan COBIT sebagai framework tatakelola adalah sistem keamanan

informasi terintegrasi ke dalam framework tatakelola TI yang lebih luas dan besar.

Tidak hanya itu, COBIT juga menyediakan framework pengambilan keputusan.

Dengan demikian COBIT selain sebagai sistem penjamin keamanan informasi

juga menjadi framework sistem tatakelola TI yang terintergrasi dengan sistem

organisasi lain. Namun, COBIT memiliki keterbatasan sebagai sistem tata kelola

keamanan informasi karena COBIT tidak memberi petunjuk rinci bagi organisasi

dalam hal “bagaimana” melakukan sesuatu secara nyata. COBIT lebih

mengarahkan pada “apa” yang seharusnya dilakukan oleh organisasi. Padahal

dalam konteks tertentu organisasi membutuhkan secara rinci “bagaimana” sesuatu

diselesaikan (Jogiyanto & Abdillah, 2011).

Saat ini versi terbaru COBIT adalah COBIT 5. Penggunaan COBIT 5 dalam

melakukan evaluasi tata kelola TI di organisasi dapat menggunakan COBIT

Assessment Process Activities. Assessment Process Activities merupakan tahapan-

tahapan aktivitas dalam melakukan proses penilaian capability level untuk

perusahaan (ISACA, 2012). Tahapan-tahapannya antara lain: Initiation, Planning

32

the Assessment, Briefing, Data Collection, Data Validation, Process Attribute

Rating, dan Reporting the Result (Putra, 2018).

Gambar 2. 4 Sejarah COBIT Framework (ISACA, 2016)

2.5.2 ISO/IEC 27001

ISO 27001 merupakan salah satu seri yang diterbitkan oleh The

International Organization for Standarization yang didalamnya berisi spesifikasi

atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen

Keamanan Informasi (SMKI). Standar ini bersifat indipenden terhadap produk

teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis

risiko, serta dirancang untuk menjamin kontrol keamanan yang dipilih perusahaan

dapat melindingi aset informasi dari berbagai risiko serta memberi keyakinan

33

tingkat keamanan bagi pihak yang berkepentingan (Direktorat Keamanan

Informasi, 2017).

ISO/IEC 27001 ini cocok digunakan bagi organisasi yang ingin menerapkan

sistem manajemen keamanan informasi (SMKI) karena fokus ISO/IEC 27001

lebih kepada aspek keamanan informasi. Kelemahan ISO/IEC 27001 adalah tidak

dapat digunakan sebagai pedoman umum dalam sistem tata kelola TI di organisasi

(Jogiyanto & Abdillah, 2011).

Dalam pengimplementasiannya, ISO/IEC 27001 menggunakan model plan-

do-check-act (PDCA). Model PDCA merupakan model yang digunakan untuk

mengimplementasikan sistem manajemen keamanan informasi dan sering disebut

juga sebagai siklus SMKI. Model ini dirancang untuk mendorong perbaikan yang

berkelanjutan. Untuk menerapkan SMKI sebagaimana ditentukan dalam ISO

27001, tiap-tiap organisasi dapat menggunakan model PDCA sesuai dengan

karakter organisasinya (Arnason & Willet, 2008)

Gambar 2. 5 ISO/IEC 27001 (ECC International)

Diakses dari: http://www.eccinternational.com/consulting/it-process-excellence/iso-27001-

information-security-management-system

http://www.eccinternational.com/consulting/it-process-excellence/iso-27001-information-security-management-system


34

2.5.3 ITIL

ITIL atau Information Technology Infrastructure Library merupakan

rangkaian konsep serta teknik pengelolaan infrastruktur, pengembangan, dan

pengoperasian teknologi informasi (TI). ITIL memberikan panduan tentang

penyediaan layanan TI berkualitas serta proses, fungsi dan kemampuan lain yang

diperlukan untuk mendukung manajemen layanan TI organisasi (Hanna & Rance,

2011). Pada dasarnya kerangka kerja ITIL bertujuan secara berkelanjutan

meningkatkan efesiensi operasional TI dan kualitas layanan pelanggan. ITIL

memiliki kelebihan dalam hal memberikan arahan bagi organisasi untuk

menggunakan IT secara lebih efektif dan efisien. Sedangkan kekurangan dari ITIL

yaitu ITIL lebih fokus kepada IT service kepada pengguna, walaupun terdapat

tahap incident management, namun pendekatan ITIL tidak spesifik dibandingkan

COBIT atau ISO 27001 (Wibowo, et al., 2016).

Saat ini versi ITIL terbaru adalah V3 yang diterbitkan pada tahun 2007 dan

terdiri atas lima buku inti (core) yang membahas tentang service lifecycle yang

terdiri dari service strategy, service design, service transition, service operation,

dan continual service improvement. Di bawah ini merupakan 5 core pada ITIL V3

35

Gambar 2. 6 Lima Buku Inti (core) ITIL V3 (Simplilearn Solutions)

Diakses dari: https://www.simplilearn.com/itil-key-concepts-and-summary-article

Salah satu kerangka metodologi untuk penilaian proses menggunakan ITIL

adalah dengan menggunakan Tudor IT Process Assessment (TIPA). TIPA

menawarkan pendekatan terstruktur untuk menentukan tingkat kematangan proses

TI yang sesuai dengan best practice TI yang diakui. TIPA juga mendukung

perbaikan proses dengan memberikan analisis kesenjangan dan mengusulkan

rekomendasi perbaikan. Menurut website resmi TIPA, pendekatan penilaian yang

digunakan di TIPA mendefinisikan sebuah proyek penilaian dengan enam fase

(www.tipaonline.org), yaitu

a. Definition Phase: tujuan utamanya adalah untuk menentukan ruang lingkup

assessment, untuk mengidentifikasi pelaku utama, menyetujui penawaran

layanan dan menyetujui kesepakatan lingkup penilaian.

b. Preparation Phase: tujuannya adalah untuk menemukan konteks organisasi, dan

kemudian melakukan perencanaan penilaian dan menentukan organisasi.

https://www.simplilearn.com/itil-key-concepts-and-summary-article

36

c. Assessment Phase: Fase ini adalah kunci dari penilaian proses, selama

wawancara selesai dan dokumen ditinjau untuk memungkinkan penilaian proses

dan tingkat kemampuan proses.

d. Analysis Phase: Setelah tahap penilaian, informasi yang terkumpul dianalisis dan

analisis dilakukan untuk membuat rekomendasi perbaikan.

e. Result Presentation Phase: Hasilnya dipresentasikan kepada pemangku

kepentingan terkait, dan laporan penilaian rinci diberikan.

f. Assessment Closure Phase: Proyek penilaian kemudian bisa ditutup.

2.5.4 TOGAF

The Open Group Architecture Framework (TOGAF) merupakan kerangka

kerja yang menyediakan metode serta seperangkat alat pendukung untuk

mengembangkan enterprise architecture (arsitektur entreprise). TOGAF

membantu dalam penerimaan, pembuatan, penggunaan serta pemeliharaan

arsitektur enterprise dengan berdasarkan pada proses yang berulang dan di dukung

oleh seperangkat arsitektur yang dapat digunakan kembali. TOGAF memiliki

kekurangan karena ruang lingkupnya hanya pada bagaimana memperinci metode

dan tools pendukung dalam pengembangan suatu enterprise architecture

(arsitektur entreprise) dan tidak ada fase yang fokus terhadap keamanan informasi

(The Open Group, 2009). TOGAF pertama kali diluncurkan tahun 1995 dan versi

TOGAF terbaru adalah TOGAF 9.2. TOGAF menyediakan proses yang berulang

untuk mengembangkan arsitektur enterprise yang disebut dengan Archictecture

Development Method (ADM). Fase dalam ADM TOGAF adalah sebagai berikut

(The Open Group, 2009):

37

1. Tahap persiapan (Preliminary Phase): Merupakan tahap persiapan aktivitas

apa saja yang dibutuhkan untuk memenuhi arahan bisnis untuk arsitektur

enterprise yang baru.

2. Phase A: Architecture Vision. Tahap untuk menentukan ruang lingkup ADM,

mengidentifikasi stakeholder serta mendapatkan persetujuan dari

stakeholder.

3. Phase B: Business Architecture. Membuat arsitektur bisnis untuk mendukung

arsitektur visi yang sudah disetujui.

4. Phase C: Information System Architecture. Membuat arsitektur sistem

informasi yang di dalamnya juga termasuk membuat arsitektur data dan

aplikasi yang diperlukan.

5. Phase D: Technology Architecture. Membuat arsitektur teknologi yang

diperlukan dalam proyek.

6. Phase E: Opportunities and Solutions. Melakukan perencanaan implementasi

awal dan identifikasi cara pengiriman untuk arsitektur yang ditentukan dalam

fase sebelumnya.

7. Phase F: Migration Planning. Membuat perencanaan secara detail tentang

urutan transisi arsitektur yang baru.

8. Phase G: Implementation Governance. Membuat persiapan untuk

implementasi dan pengawasaannya.

9. Phase H: Architecture Change Management. Membuat prosedur untuk

mengelola perubahan ke arsitektur yang baru

38

10. Requirements Management. Memeriksa proses pengelolaan persyaratan

arsitektur di seluruh ADM.

Gambar 2. 7 Architecture Development Method (The Open Group, 2009)

2.6 COBIT 5

COBIT 5 merupakan versi paling baru dari COBIT yang dibuat oleh

Information System Audit and Control Association (ISACA) pada tahun 2012.

COBIT 5 menyediakan kerangka kerja komprehensif yang dapat membatu

perusahaan untuk mencapai tujuan dalam hal tata kelola serta pengelolaan TI

perusahaan. COBIT 5 juga dapat membantu perusahaan untuk menciptakan nilai

optimal dari TI yang digunakan dengan mengoptimalkan tingkat risiko dengan

penggunaan sumber daya yang dimiliki perusahaan (ISACA, 2012).

COBIT 5 hanya menyediakan kerangka kerja bagi perusahaan untuk

mengukur serta memantau kinerja TI. Namun dalam penerapannya setiap

perusahaan harus mendefinisikan sendiri bidang proses yang sesuai dengan

39

kebutuhan perusahaan dengan mempertimbangkan situasi tertentu di dalam

perusahaan terkait. Gambar di bawah ini menggambarkan cakupan COBIT 5

dengan framework lain.

Gambar 2. 8 Cakupan antara COBIT 5 dengan framework lain (ISACA, 2012)

Gambar 2.8 menunjukkan bahwa COBIT memiliki cakupan dengan

framework atau best practice lain yang ada saat ini. Apabila pengimplementasian

COBIT dikombinasikan dengan framework atau best practice lain akan

menunjukkan bagaimana tata kelola teknologi informasi serta penerapannya dalam

pengendalian proses. COBIT 5 menyediakan kerangka kerja untuk memastikan

bahwa teknologi informasi yang digunakan oleh perusahaan selaras dengan

kebutuhan bisnis, selain itu untuk memastikan tanggung jawab penggunaan sumber

daya teknologi informasi serta memastikan resiko teknologi informasi dikelola

dengan tepat, supaya teknologi informasi dapat mendukung bisnis dengan baik dan

mampu memaksimalkan manfaat yang diberikan.

40

2.6.1 Definisi Proses COBIT 5

Pada COBIT 5 terdapat 37 proses tata kelola dan manajemen yang bertujuan

untuk menghasilkan tujuan yang optimal. Dalam area tata kelola terdapat satu

domain yaitu domain Evaluate, Direct, and Monitor (EDM), sedangkan pada area

manajemen terdapat empat domain yaitu Align, Plan, and Organise (APO), Build

Acquire, and Implement (BAI), Deliver, Service, and Support, dan Monitor,

Evaluate, and Assess (MEA)

Gambar 2. 9 Model Referensi Proses COBIT 5 (ISACA, 2012)

Gambar 2.9 menunjukkan domain-domain yang ada pada COBIT 5.

Penjelasan masing-masing domain dapat dilihat di bawah ini:

1. Evaluate, Direct and Monitor (EDM)

Proses tata kelola ini sesuai bagi pemangku kepentingan perusahaan untuk

melakukan penilaian, optimasi risiko dan sumber daya, yang mencakup

praktek serta kegiatan dengan tujuan untuk mengevaluasi pilihan strategis dan

41

memberikan arahan kepada TI dan melakukan pemantauan hasil dari TI.

Berikut domain proses EDM:

a) EDM01 Memastikan Pengaturan dan Pemeliharaan Kerangka Kerja

Tata Kelola

b) EDM02 Memastikan Keluaran yang Bermanfaat

c) EDM03 Memastikan Pengoptimalan Risiko

d) EDM04 Memastikan Pengoptimalan Sumber Daya

e) EDM05 Memastikan Transparansi Pemangku Kepentingan

2. Align, Plan and Organise (APO)

Ini termasuk dalam proses manajemen yang mencakup strategi dan taktik, dan

mengidentifikasi kekhawatiran cara terbaik untuk mengoptimalkan TI agar

dapat berkontribusi pada pencapaian tujuan bisnis yang ingin dicapai oleh

stakeholder perusahaan. Di bawah ini merupakan domain proses APO:

a) APO01 Mengelola Kerangka Manajemen TI

b) APO02 Mengelola Strategi

c) APO03 Mengelola Arsitektur Bisnis

d) APO04 Mengelola Inovasi

e) APO05 Mengelola Dokumen

f) APO06 Mengelola Anggaran dan Biaya

g) APO07 Mengelola Sumber Daya Manusia

h) APO08 Mengelola Relasi

i) APO09 Mengelola Perjanjian Layanan

j) APO10 Mengelola Pemasok

42

k) APO11 Mengelola Kualitas

l) APO12 Mengelola Resiko

m) APO13 Mengelola Keamanan

3. Build, Acquire and Implementation (BAI)

Termasuk dalam proses manajemen yang bertujuan memberikan solusi dan

melewatinya sehingga akan berubah menjadi layanan. Dalam mewujudkan

strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta

diimplementasikan dan diintegrasikan ke dalam proses bisnis. Untuk

memastikan bahwa solusi terus memenuhi tujuan bisnis maka domain ini juga

mencakup aspek perubahan serta pemeliharaan sistem yang ada di dalam

perusahaan. Di bawah ini merupakan domain proses BAI:

a) BAI01 Mengelola Program dan Proyek

b) BAI02 Mengelola Definisi Persyaratan

c) BAI03 Mengelola Identifikasi Solusi dan Pembangunan

d) BAI04 Mengelola Ketersediaan dan Kapasitas

e) BAI05 Mengelola Pemberdayaan Perubahan Organisasi

f) BAI06 Mengelola Perubahan

g) BAI07 Mengelola Penerimaan Perubahan dan Transisi

h) BAI08 Mengelola Pengetahuan

i) BAI09 Mengelola Aset

j) BAI10 Mengelola Susunan

43

4. Deliver, Service and Support (DSS)

DSS merupakan proses manajemen yang menerima solusi dan dapat

digunakan bagi pengguna akhir. Domain ini berkaitan dengan pengiriman

aktual dan dukungan layanan yang dibutuhkan, yang meliputi pelayanan,

pengelolaan keamanan dan kelangsungan, dukungan layanan bagi pengguna,

dan manajemen data dan fasilitas operasional. Di bawah ini merupakan

domain proses DSS:

a) DSS01 Mengelola Operasi

b) DSS02 Mengelola Layanan Permohonan dan Kecelakaan

c) DSS03 Mengelola Masalah

d) DSS04 Mengelola Keberlangsungan

e) DSS05 Mengelola Jasa Keamanan

f) DSS06 Mengelola Kontrol Proses Bisnis

5. Monitor, Evaluate and Assess (MEA)

Merupakan proses manajemen untuk memonitor semua proses TI yang ada

serta memastikan bahwa proses mengikuti arah yang telah disediakan. Untuk

memastikan kepatuhan serta kualitas, proses TI perlu dilakukan penilaian

secara teratur dalam jangka waktu tertentu. Di bawah ini merupakan domain

proses dari MEA:

a) MEA01 Memantau, Evaluasi dan Menilai Kinerja dan Penyesuaian

b) MEA02 Memantau, Evaluasi dan Menilai Sistem Pengendalian Internal

c) MEA03 Memantau, Evaluasi dan Menilai Kepatuhan dengan

Persyaratan Eksternal

44

2.6.2 Pemetaan COBIT 5

Pada tahap ini terdapat 2 tahap yang dilakukan. Tahap pertama adalah

mengartikan enterprise goals organisasi ke dalam IT-related goals COBIT 5, dan

tahap kedua adalah mengartikan IT-related goals ke dalam proses COBIT 5.

Masing-masing tahapan akan dijelaskan di bawah ini:

2.6.4.1 Pemetaan Enterprise Goals terhadap IT- related Goals COBIT 5

Tahap ini bertujuan untuk menunjukkan bagaimana enterprise goals

organisasi diartikan atau diterjemahkan ke dalam IT-related goals. Di bawah ini

contoh matriks enterprise goals terhadap IT-related goals COBIT 5:

Gambar 2. 10 Pemetaan Enterprise Goals (ISACA, 2012)

P = Primary

S = Secondary

Gambar 2.10 merupakan contoh matriks yang digunakan dalam

menghubungkan enterprise goal dengan IT-related goals. Secara keseluruhan

COBIT 5 memiliki 17 IT-related goals.

45

2.6.4.2 Pemetaan IT-related Goals terhadap Proses COBIT 5

Selain pemetaan enterprise goals terhadap IT-related goals, COBIT 5

juga memberi gambaran melakukan pemetaan IT-related goals dengan proses

COBIT 5. Berikut ini adalah gambar pemetaan IT-related goals terhadap proses

COBIT 5

Gambar 2. 11 Pemetaan Proses COBIT 5 (ISACA, 2012)

Gambar 2.11 merupakan contoh matriks yang digunakan dalam

menghubungkan IT-related goals dengan COBIT 5 process. Secara keseluruhan

terdapat 37 proses COBIT. Dari gambar 2.12 dan 2.13 dapat dilihat bahwa

terdapat hubungan primary (P) maupun secondary (S) antara proses-proses

COBIT yang ada. Di bawah ini merupakan penjelasan mengenai hubungan

primary maupun secondary:

a) Primary pada gambar 2.10 menandakan bahwa enterprise goals memiliki

hubungan penting dengan IT-related goals. Sedangkan pada gambar 2.11

menandakan bahwa IT-related goals memiliki hubungan penting dengan

46

proses COBIT 5 dan merupakan dukungan utama untuk mencapai tujuan

yang berkaitan dengan TI.

b) Secondary pada gambar 2.10 menandakan bahwa enterprise goals memiliki

hubungan yang kuat dengan IT-related goals namun kurang penting. Hal

tesebut juga serupa terhadap gambar 2.11 yang menandakan bahwa IT-

related goals masih memiliki hubungan yang kuat dengan proses COBIT 5

namun kurang penting dan hanya merupakan dukungan sekunder dalam

mencapai tujuan yang berkaitan dengan TI.

2.6.3 COBIT Process Assesment Model (PAM)

Menurut ISACA (2012) model ini merupakan dasar dalam melakukan

penilaian kemampuan proses TI yang ada pada perusahaan terhadap COBIT 5

serta program pelatihan dan sertifikasi bagi para penilai. Proses penilaian

menggunakan bukti-bukti nyata yang ditemukan di lapangan untuk menghasilkan

penilaian yang handal, konsisten dan berulang di bidang tata kelola dan

manajemen TI. Model penilaian ini memungkinkan perusahaan melakukan

penilaian sebagai upaya untuk mendukung perbaikan proses. Panduan ini

diberikan agar perusahaan dapat memilih proses mana yang akan dinilai sesuai

dengan kebutuhan perusahaan, termasuk penggunaan pemetaan COBIT yang

diterbitkan ISACA untuk menentukan proses mana yang akan dinilai. Pemetaan

ini meliputi:

a. Menghubungkan tujuan perusahaan dengan tujuan terkait TI perusahaan

b. Menghubungkan tujuan terkait TI perusahaan dengan tujuan proses TI

c. Sebuah Framework untuk memilih area yang akan dilakukan penilaian

47

COBIT 5 PAM memberikan indikator sebagai panduan dalam melakukan

interpretasi dari tujuan serta hasil proses yang sudah didefiniskan dalam COBIT

5 untuk mendukung penilaian yang akan dilakukan. COBIT 5 PAM terdiri dari

satu set indikator kinerja proses dan kemampuan proses. Indikator ini digunakan

sebagai dasar untuk mengumpulkan bukti objektif yang memungkinkan penilai

untuk menetapkan peringkat (ISACA, 2012).

2.6.5.1 Assessment Process Activities

Assessment Process Activities merupakan tahapan-tahapan aktivitas

dalam melakukan proses penilaian capability level untuk perusahaan (ISACA,

2012). Gambar 2.12 merupakan gambaran dari Assessment Process Activities.

Gambar 2. 12 Assessment Process Activities (ISACA, 2012)

1) Initiation

Initiation merupakan tahapan pertama dalam Assessment Process Activities

yang ada pada Process Assessment Model COBIT 5. Bertujuan untuk

menjelaskan hasil identifikasi dari beberapa informasi yang dapat

48

dikumpulkan. Dalam penelitian ini penulis mengumpulkan informasi

berupa visi, misi serta tujuan Dinas Komunikasi dan Informatika Kabupaten

Bogor yang berguna untuk melakukan pemetaan Enterprise Goals serta IT-

related goals seperti yang telah dijelaskan sebelumnya.

2) Planning the Assessment

Tahap kedua adalah melakukan perencanaan penilaian untuk mendapatkan

hasil evaluasi penilaian capability level. Dengan memetakan RACI chart

yang ada di COBIT dengan struktur organisasi terkait agar selaras dengan

kebutuhan aktifitas penelitian yang akan dinilai.

3) Briefing

Tahap ketiga adalah memberikan pengarahan kepada responden penelitian

sehingga responden memahami tiap tahapan yang dilakukan dalam

melakukan penilaian.

4) Data Collection

Tahap keempat adalah melakukan pengumpulan data dari hasil temuan yang

terdapat pada organisasi terkait yang bertujuan untuk mendapatkan bukti-

bukti penilaian evaluasi pada aktifitas proses yang telah dilakukan.

5) Data Validation

Tahap kelima adalah melakukan validasi data yang bertujuan untuk

memastikan data yang dikumpulkan sudah tepat dan untuk mengetahui hasil

perhitungan kuisioner agar mendapatkan evaluasi penilaian capability level.

49

6) Process Attribute Level

Tahap keenam yang dilakukan adalah proses memberi level pada atribut

yang ada di setiap indikator, yang bertujuan untuk menunjukkan hasil

capability level dari hasil perhitungan kuisioner pada tahap-tahap

sebelumnya dan melakukan analisis GAP pada tahapan berikutnya.

7) Reporting the Result

Tahap terakhir adalah dilakukan melaporkan hasil evaluasi yang bertujuan

memberikan rekomendasi untuk organisasi terkait dengan COBIT 5.

Dari hasil penjabaran di atas, dapat diketahui tahap-tahap yang dilakukan

untuk melakukan penilaian capability level yang sesuai dengan COBIT 5. Dalam

penelitian ini penulis menggunakan tahap Initiation untuk mengetahui enterprise

goals serta IT-related goals Dinas Komunikasi dan Informatika Kabupaten Bogor.

Selanjutnya penulis akan melakukan penelitian dengan menggunakan siklus Plan-

Do-Check-Act (PDCA) yang ada pada ISO/IEC 27001:2013. Penjelasan tentang

siklus PDCA dapat dilihat pada sub bab 2.8.

2.6.4 Fokus Area Usulan Tata Kelola TI

Domain proses yang digunakan untuk evaluasi tata kelola TI dipilih

berdasarkan kebutuhan perusahaan dan didukung oleh kerangka COBIT 5 tentang

pemetaan IT Goals terhadap proses-proses COBIT (Gambar 2.15 dan 2.16).

Penulis mengajukan izin untuk meneliti tentang sistem keamanan informasi dan

Kepala Seksi Data dan Aplikasi Dinas Komunikasi dan Informatika Kabupaten

Bogor menyetujui untuk menilai sistem keamanan yang ada di Dinas Komunikasi

dan Informatika Kabupaten Bogor sehingga peneliti memilih IT Goal nomor 10

50

yaitu Security of Information, processing infrastructure and application. Proses-

proses COBIT yang primer dalam IT Goals tersebut EDM03 (Ensure Risk

Optimisation), APO12 (Manage Risk), APO13 (Manage Security), BAI06

(Manage Changes), DSS05 (Manage Security Services).

Setelah melakukan wawancara kembali dengan Seksi Data dan Aplikasi

DISKOMINFO Kab. Bogor, pihak DISKOMINFO Kab. Bogor ingin melakukan

sertifikasi ISO 27001:2013. ISO 27001:2013 merupakan salah satu standar untuk

membuat Sistem Manajemen Keamanan Informasi (SMKI), jadi proses domain

yang sesuai dengan kondisi dan keinginan perusahaan yang sekarang adalah

APO13 – Manage Security karena di dalamnya terdapat pembahasan tentang

Sistem Manajemen Keamanan Informasi (SMKI).

2.6.6.1 APO13 – Manage Security

Deskripsi dari proses APO13 adalah mendefinisikan,

mengoperasikan dan mengawasi sistem untuk manajemen keamanan

informasi. Tujuan dari proses tersebut adalah menjaga agar dampak dan

kejadian dari insiden keamanan informasi masih berada pada level risiko yang

dapat diterima perusahaan (ISACA, 2012). Praktek kunci manajemen pada

APO13 antara lain:

1. APO13.01- Establish and maintan an information security

management system (ISMS), yaitu menyediakan standar yang

berkelanjutan untuk manajemen keamanan informasi, teknologi

yang aman dan bisnis proses yang sesuai dengan kebutuhan

bisnis dan manajemen keamanan organisasi.

51

2. APO13.02 – Define and manage an information security risk

treatment plan, yaitu bertujuan untuk mempertahankan sebuah

rencana keamanan informasi yang menggambarkan bagaimana

informasi resiko keamanan selaras dengan strategi dan arsitektur

organisasi.

3. APO13.03 – Monitor and review the ISMS, bertujuan untuk

mengumpulkan dan menganalisis data tentang ISMS dan

meningkatkan efektifitas dari ISMS.

2.6.6.2 RACI Chart APO13

COBIT menyediakan sebuah panduan RACI Chart yang berupa

matrik dari semua aktivitas atau wewenang dalam pengambilan keputusan

yang dilakukan dalam sebuah organisasi terhadap semua orang atau peran

untuk setiap proses, penjelasannya sebagai berikut (ISACA, 2012):

1. Responsible: Orang yang aktif dalam melakukan kegiatan atau

melakukan pekerjaan.

2. Accountable: Orang yang pada akhirnya bertanggung jawab dan memliki

hak veto, ya atau tidak.

3. Consulted: Orang yang ikut berkontribusi terhadap kegiatan karena

dibutuhkan untuk memberikan feedback (umpan balik) atau saran kepada

kegiatan.

4. Informed: Orang yang dibutuhkan untuk mengetahui keputusan atau

tindakan yang akan dilaksanakan.

52

Berikut ini merupakan diagram RACI berdasarkan framework COBIT

untuk APO13 (Manage Security):

Gambar 2. 13 RACI Chart APO13 (ISACA, 2012)

Gambar 2.13 menunjukkan RACI Chart APO13. RACI Chart tersebut akan

penulis jadikan acuan dalam menentukan responden untuk kuesioner yang

menggunakan standar ISO 27001:2013 yang mengacu kepada kontrol keamanan

yang ada pada ISO 27002:2013.

Pada tabel RACI diatas menggambarkan aktivitas atau proses yang

dilakukan tiap individu yang terlibat. Key Management Practice (KMP)

merupakan praktik manajemen yang berisi aktivitas-aktivitas pada setiap domain

pada COBIT 5. RACI Chart diatas menggambarkan aktivitas yang dilakukan serta

individu yang terlibat. Dan penulis hanya memilih individu dengan kategori

Responsible (R) sebagai responden dalam kuisioner penelitian. Berikut ini

penjelasan mengenai struktur organisasi berdasarkan RACI Chart COBIT 5

APO13 (ISACA, 2012):

53

1. Chief Information Officer (CIO) adalah pejabat paling senior dari perusahaan

yang bertanggung jawab untuk menyelaraskan TI dan strategi bisnis dan

bertanggung jawab untuk merencanakan, menyediakan sumber daya dan

mengelola pengiriman layanan dan solusi TI untuk mendukung tujuan

perusahaan.

2. Business Process Owner adalah individu yang bertanggung jawab terhadap

kinerja suatu proses bisnis perusahaan dalam upaya mewujudkan tujuannya,

mendorong peningkatan proses dan menyetujui perubahan proses.

3. Head of Architecture adalah seorang individu senior yang bertanggung jawab

untuk merancang arsitektur enterprise.

4. Head of Development adalah seorang individu senior yang bertanggung

jawab terhadap solusi pembangunan yang berkaitan dengan TI.

5. Head of IT Operations adalah senior individu yang bertanggung jawab untuk

lingkungan operasional dan infrastruktur TI perusahaan.

6. Head of IT Administration adalah individu senior yang bertanggung jawab

terhadap dokumen administrasi yang berkaitan dengan TI.

7. Programme and Project Management Office (PMO) adalah fungsi yang

bertanggung jawab untuk mendukung program dan proyek yang

direncanakan manajer, serta mengumpulkan, menilai dan melaporkan

informasi tentang pelaksanaan program yang sedang atau akan dilaksanakan.

8. Service Manager adalah seorang individu yang mengelola implementasi,

pengembangan, evaluasi dan manajemen dari layanan yang sedang berjalan.

54

9. Information Security Manager adalah seorang individu yang mengelola,

mengawasi dan menilai tingkat keamanan informasi suatu perusahaan.

10. Business Continuity Manager adalah seorang individu yang mengelola,

mengawasi dan menilai kemampuan kelangsungan bisnis suatu perusahaan.

11. Privacy Officer adalah orang yang bertanggung jawab untuk memantau

resiko dan dampak bisnis undang-undang privasi dan untuk membimbing dan

mengkoordinasikan pelaksanaan kebijakan dan kegiatan yang akan

memastikan arahan privasi terpenuhi, disebut juga petugas proteksi data.

2.7 ISO/IEC 27001

The International Organization for Standarization atau yang sering disebut

ISO, yaitu badan penetap standar internasional di bidang industrial dan komersial

dunia yang bertujuan untuk meningkatkan perdagangan antar negara di dunia. ISO

sendiri terdapat beberapa jenis standar yang dikeluarkan, salah satunya adalah ISO

27001. Berikut ini adalah penjelasan mengenai ISO 27001, yang mencakup definisi,

seri, dan klausul.

2.7.1 Definisi ISO/IEC 27001

ISO 27001 merupakan salah satu seri yang diterbitkan oleh The

International Organization for Standarization yang didalamnya berisi spesifikasi

atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen

Keamanan Informasi (SMKI). Standar ini bersifat indipenden terhadap produk

teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis

risiko, serta dirancang untuk menjamin kontrol keamanan yang dipilih perusahaan

dapat melindingi aset informasi dari berbagai risiko serta memberi keyakinan

55

tingkat keamanan bagi pihak yang berkepentingan (Direktorat Keamanan

Informasi, 2017).

Menurut Arnason & Willet (2008) selain menyediakan panduan untuk

menerapkan Sistem Manajemen Keamanan Informasi (SMKI), ISO 27001 juga

dapat digunakan oleh perusahaan untuk memperoleh sertifikat internasional pihak

ketiga untuk membuktikan bahwa kontrol keamanan yang beroperasi di

perusahaan sesuai dengan persyaratan standar yang ada. ISO 27001

menggambarkan Sistem Manajemen Keamanan Informasi menggunakan

pendekatan risiko bisnis untuk menetapkan, menerapkan, mengoperasikan,

memantau serta memelihara SMKI. Dalam hal ini SMKI harus membahas semua

aspek yang ada di perusahaan atau organisasi seperti struktur organisasi,

kebijakan, kegiatan perencanaan, tanggung jawab, praktik, prosedur, proses serta

sumber daya.

ISO 27001 memberikan arahan tentang bagaimana membangun sistem

manajemen yang menempatkan disiplin pada cara memilih kontrol dan cara

menetapkan praktik yang baik untuk menerapkan kontrol keamanan. Prosedur

untuk menerapkan kontrol keamanan juga disesuaikan pada kondisi organisasi

baik dari segi lingkungan fisik maupun dari segi teknis. Tujuannya adalah untuk

membangun kesadaran keamanan, membangun infrastruktur organisasi, serta

merencanakan, mengimplementasikan dan memelihara kontrol keamanan

(Arnason & Willet, 2008).

56

Gambar 2. 14 Domain Persyaratan dan Domain Kontrol Keamanan ISO/IEC 27001 (Park & Lee,

2014)

2.7.2 Seri ISO/IEC 27000

The International Organization for Standarization sejak tahun 2005 telah

mengembangkan sejumlah standar tentang Sistem Manajemen Keamanan

Informasi (SMKI) dalam bentuk persyaratan maupun dalam bentuk panduan yang

dikelompokkan ke dalam seri ISO 27000. Adapun seri dalam ISO/IEC 27000

adalah sebagai berikut (Direktorat Keamanan Informasi, 2017):

a. ISO 27000 merupakan standar yang memuat prinsip-prinsip dasar dari

Sistem Manajemen Keamanan Informasi, definisi sejumlah istilah penting

tentang SMKI serta hubungan antar standar dalam keluarga SMKI, baik

yang sudah diterbitkan maupun yang sedang dalam tahap pengembangan.

57

b. ISO 27001 berisi spesifikasi atau persyaratan yang harus dipenuhi

apabila ingin membangun Sistem Manajemen Keamanan Informasi di

perusahaan. Standar ini bersifat indipenden terhadap produk teknologi

informasi, menggunakan pendekatan manajemen berbasis risiko sebagai

persyaratan dan dirancang untuk menjamin kontrol keamanan yang

digunakan dapat melindungi aset informasi dari berbagai risiko agar

pihak yang berkepentingan di dalam perusahaan merasa yakin terhadap

tingkat keamanan yang ada.

c. ISO 27002 berisi panduan yang menjelaskan contoh penerapan

keamanan informasi denggan menggunakan bentuk kontrol tertentu

untuk mencapai sasaran kontrol yang ditetapkan. ISO 27002

menyerahkan kepada pengguna untuk memilih serta menetapkan kontrol

yang sesuai dengan kebutuhannya dengan mengacu kepada hasil kajian

risiko yang telah dilakukan sebelumnya.

d. ISO 27003 memberikan panduan bagi perancangan serta penerapan

SMKI agar memenuhi persyaratan ISO 27001 yang meliputi proses

pembangunan SMKI dari mulai persiapan, perancangan serta

penyusunan atau pengembangan SMKI yang digambarkan sebagai suatu

kegiatan proyek.

e. ISO 27004 menyediakan panduan penyusunan dan penggunaan teknik

pengukuran untuk mempelajari efektivitas dari penerapan SMKI. ISO

27004 juga membantu organisasi dalam mengukur ketercapaian sasaran

keamanan yang ditetapkan.

58

f. ISO 27005 menyediakan panduan bagi kegiatan manajemen risiko

keamanan informasi di suatu organisasi dalam rangka mendukung

persyaratan SMKI yang telah didefinisikan oleh ISO 27001.

g. ISO 27006 menetapkan persyaratan serta berisi panduan bagi organisasi

yang memiliki kewenangan untuk melakukan audit serta sertfikasi sistem

manajemen keamanan informasi (SMKI). Standar ini dibuat untuk

mendukung proses akreditasi Badan Sertifikasi ISO 27001 oleh Komite

Akreditasi negara masing-masing.

2.7.3 ISO 27001:2013

ISO 27001:2013 merupakan versi paling baru dari ISO seri 27001 yang

diterbitkan oleh The International Organization for Standarization pada tahun

2013. Standar ini menyediakan persyaratan yang dapat digunakan untuk

menetapkan, menerapkan, memelihara serta terus meningkatkan sistem

manajemen keamanan informasi (SMKI) di suatu organisasi. Pengadopsian sistem

manajemen keamanan informasi ini merupakan keputusan strategis bagi

organisasi yang tentu didasarkan oleh kebutuhan dan tujuan organisasi,

persyaratan keamanan, serta struktur organisasi yang tentu akan berubah seiring

waktu. Sistem manajemen keamanan informasi menjaga 3 aspek yaitu

confidentiality (kerahasiaan), integrity (integritas), dan availability (ketersediaan)

dari informasi dengan menerapkan proses manajemen risiko guna memberikan

kepercayaan bagi para stakeholder perusahaan bahwa risiko dikelola secara baik

dan benar. Standar Internasional ini dapat digunakan oleh pihak internal maupun

59

eksternal perusahaan untuk melakukan penilaian terhadap kemampuan organisasi

dalam memenuhi persyaratan keamanan informasi organisasi sendiri (ISO, 2013).

2.7.4 Klausul ISO/IEC 27001:2013

Pada versi ISO/IEC 27001:2013 terdapat 14 klausul, 35 objektif kontrol dan

144 kontrol Keamanan. Tabel 2.2 merupakan penjabaran dari klausul, objektif

kontrol dan kontrol keamanan yang terdapat dalam ISO/IEC 27001:2013:

Tabel 2. 2 Klausul ISO/IEC 27001:2013 (ISO, 2013)

Klausul Objektif Kontrol

5. Kebijakan Keamanan

Informasi

5.1 Arahan Manajemen Untuk Keamanan Informasi

6. Organisasi Keamanan

Informasi

6.1 Organisasi Internal

6.2 Perangkat Seluler Dan Teleworking

7. Keamanan Sumber Daya

Manusia

7.1 Sebelum Bekerja

7.2 Selama Bekerja

7.3 Pemutusan Hubungan Kerja Dan Perubahan

Pekerjaan

8. Manajemen Aset

8.1 Tanggung Jawab Untuk Aset

8.2 Klasifikasi Informasi 8.3 Penanganan Media

9. Kontrol Akses

9.1 Persyaratan Bisnis Terhadap Kontrol Akses

9.2 Manajemen Akses User

9.3 Tanggung Jawab Pengguna

9.4 Kontrol Akses Sistem Dan Aplikasi

10. Kriptografi 10.1 Kontrol Kriptografi

11. Keamanan Fisik Dan

Lingkungan

11.1 Area Aman

11.2 Peralatan

12. Keamanan Operasi

12.1 Prosedur Dan Tanggung Jawab Operasional

12.2 Perlindungan Dari Malware

12.3 Backup

12.4 Pencatatan Dan Pemantauan

12.5 Kontrol Perangkat Lunak Operasional

12.6 Pengelolaan Kerentanan Teknis

12.7 Pertimbangan Audit Sistem Informasi

13. Keamanan Komunikasi 13.1 Manajemen Keamanan Jaringan

13.2 Transfer Informasi

14. Akuisisi Sistem,

Pengembangan, Dan

Pemeliharaan

14.1 Persyaratan Keamanan Sistem Informasi

14.2 Keamanan Dalam Proses Pengembangan Dan

Dukungan

14.3 Uji Data

15. Hubungan Pemasok 15.1 Keamanan Informasi Dalam Hubungan Pemasok

15.2 Manajemen Pengiriman Layanan Pemasok

16. Manajemen Insiden Keamanan

Informasi

16.1 Manajemen Insiden Keamanan Informasi Dan

Perbaikan

60

17. Aspek Keamanan Informasi

Manajemen Kesinambungan

Bisnis

17.1 Kelangsungan Keamanan Informasi

17.2 Redundansi

18. Pemenuhan

18.1 Kepatuhan Dengan Persyaratan Hukum Dan

Kontrak

18.2 Tinjauan Keamanan Informasi

2.8 Model PDCA (Plan-Do-Check-Act)

Model PDCA merupakan model yang digunakan untuk

mengimplementasikan sistem manajemen keamanan informasi dan sering disebut

juga sebagai siklus SMKI. Model ini dirancang untuk mendorong perbaikan yang

berkelanjutan. Untuk menerapkan SMKI sebagaimana ditentukan dalam ISO 27001,

tiap-tiap organisasi dapat menggunakan model PDCA (Arnason & Willet, 2008).

Di bawah ini merupakan gambaran siklus PDCA:

Gambar 2. 15 Siklus PDCA (Arnason & Willet, 2008)

Gambar 2.15 menunjukkan model PDCA. Dalam proses PDCA, organisasi

akan menentukan ruang lingkup SMKI, mengumpulkan rincian tentang aset dalam

ruang lingkup SMKI, melakukan penilaian risiko pada fungsi bisnis dan aset dalam

ruang lingkup SMKI, serta melakukan penilaian terhadap kontrol keamanan dari

ISO 27002. (Arnason & Willet, 2008).

61

Penjelasan model PDCA yang diaplikasikan pada proses SMKI akan

dipaparkan sebagai berikut (Sarno & Iffano, 2009):

1. Plan

Tahapan ini merupakan tahap yang dilakukan untuk merencanakan serta

merancang sistem manajemen keamanan informasi (SMKI) di

perusahaan. Agar implementasi SMKI sesuai dengan keinginan atau

kebutuhan perusahaan ada beberapa tahap yang harus dilakukan yaitu:

membangun komitmen, kebijakan, kontrol, prosedur, serta instruksi

kerja. Dalam tahap ini komitmen manajemen diperlukan untuk

merencanakan sistem manajemen sistem manajemen keamanan

informasi yang sesuai dengan keinginan. Manajemen juga harus terlibat

aktif dalam memberikan masukan, serta dalam peninjauan dan

persetujuan semua dokumen kebijakan (Williams, 2013).

2. Do

Tahap ini berisi kegiatan untuk melakukan implementasi dan operasi

dari kebijakan, kontrol, proses serta prosedur sistem manajemen

keamanan informasi (SMKI) yang telah direncanakan pada tahap plan.

Dalam langkah Do terdapat beberapa langkah, yaitu identifikasi resiko

serta Analisis dan evaluasi resiko.

3. Check

Tahap ini merupakan tahap untuk melakukan pemantauan pelaksanaaan

SMKI melalui kegiatan audit atau evaluasi terhadap SMKI. Tahap ini

dilakukan untuk mengetahui apakah SMKI yang telah diterapkan sesuai

62

dengan keinginan perusahaan serta untuk mencari solusi perbaikan

apabila kinerja SMKI yang ada saat ini kurang sesuai dengan keinginan

perusahaan.

4. Act

Tahap ini merupakan kegiatan yang dilakukan untuk perbaikan serta

pengembangan dari SMKI berdasarkan hasil audit atau evaluasi yang

ada pada tahap check. Hal ini juga diistilahkan sebagai perbaikan terus-

menerus yang seharusnya dilakukan terhadap SMKI guna

menyesuaikan dengan standarisasi prosedur yang baru.

Dalam penelitian ini, penulis mengacu kepada siklus Plan-Check-Do-Act.

Pada siklus Plan, penulis akan mendefinisikan ruang lingkup SMKI dan

perencanaan kebijakan SMKI. Siklus plan ini dilakukan setelah melakukan tahap

Initiation COBIT 5 yang membahas tentang enterprise goals dan IT-related goals

Dinas Komunikasi dan Informatika Kabupaten Bogor.

Pada siklus Do, penulis akan mengimplementasikan tahapan Plan dengan

terlebih dahulu melakukan identifikasi dan penilaian aset yang dimiliki oleh Dinas

Komunikasi dan Informatika (DISKOMINFO) Kabupaten Bogor, melakukan

identifikasi serta penilaian ancaman dan kelemahan terhadap aset organisasi,

melakukan identifikasi dampak bisnis dan melakukan penilaian dari dampak bisnis,

menentukan nilai risiko, serta memilih objektif kontrol dan kontrol keamanan yang

sesuai dengan DISKOMINFO Kabupaten Bogor.

Pada siklus Check, penulis akan melakukan penilaian tingkat kematangan

(maturity level) sistem manajemen keamanan informasi menggunakan System

63

Security Engineering Capability Maturity Model (SSE-CMM) dan disajikan dalam

bentuk diagram jaring laba-laba.

Siklus terakhir adalah siklus Act, penulis memberikan rekomendasi terhadap

objektif kontrol dan kontrol keamanan setelah mengetahui tingkat kematangan dari

sistem manajemen keamanan informasi yang dinilai pada tahap Check.

2.9 Penilaian Risiko (Risk Assessment)

Risiko merupakan kombinasi dari dampak yang akan mengikuti dari

terjadinya peristiwa tang tidak diinginkan dan kemungkinan terjadinya peristiwa

tersebut. Penilaian risiko mengukur atau menggambarkan secara kualitatif suatu

risiko agar manajer dapat memprioritaskan risiko sesuai dengan kriteria yang telah

ditetapkan. Tujuannya adalah untuk menentukan hal apa yang bisa terjadi untuk

menyebabkan potensi kerugian bagi perusahaan serta untuk mendapatkan

gambaran tentang bagaimana, di mana, serta mengapa kerugian dapat mungkin

terjadi (ISO, 2008). Sedangkan menurut Sarno & Iffano (2009) penilaian risiko

(risk assessment) merupakan langkah awal untuk mengetahui ancaman (threat) dari

luar yang berpotensi mengganggu keamanan informasi organisasi dan potensial

kelemahan (vulnerability) yang mungkin dimiliki oleh organisasi. Ada beberapa

langkah yang ada di dalam tahap penilaian resiko, yaitu identifikasi dan

inventarisasi aset, identifikasi ancaman dan kelemahan dari aset, serta analisis dan

evaluasi risiko.

2.9.1 Identifikasi Aset dan Menghitung Nilai Aset

Langkah pertama adalah identifikasi dan inventarisasi aset yang terkait

dengan informasi. Menurut ISO 27005:2008 aset adalah sesuatu yang bernilai

64

bagi organisasi dan yang karenanya membutuhkan perlindungan. Untuk

identifikasi aset itu harus diingat bahwa sistem informasi terdiri dari lebih dari

hardware dan software. Identifikasi adalah pengelompokkan aset ke dalam

beberapa kategori atau golongan. Dalam tahap ini akan dihasilkan daftar

inventarisasi aset yang dimiliki oleh organisasi (Sarno & Iffano, 2009).

Dalam ISO 27005:2008 disebutkan bahwa terdapat dua jenis aset yang

dibedakan menjadi aset utama dan aset pendukung. Aset utama merupakan proses

dan informasi inti dari kegiatan dalam lingkup organisasi dan terdiri dari dua jenis

yaitu proses bisnis (sub-proses) dan kegiatan, serta informasi. Sedangkan aset

pendukung adalah dimana unsur-unsur utama dari ruang lingkup bergantung.

Ruang lingkup terdiri dari aset yang harus diidentifikasi dan dijelaskan. Aset ini

mempunyai kerentanan yang dapat dieksploitasi oleh ancaman yang bertujuan

untuk merusak aset utama. Aset pendukung ini terdiri dari perangkat keras,

perangkat lunak, sistem operasi, jaringan, personil, dan tempat atau lokasi.

Menghitung nilai aset adalah menghitung nilai informasi yang dimiliki oleh

organisasi. Aset yang di hitung hanya informasi yang termasuk di dalam ruang

lingkup SMKI yang telah didefinisikan. Menghitung nilai aset dilakukan dengan

berdasarkan tiga aspek keamanan informasi yaitu: Kerahasiaan (Confidentiality),

Keutuhan (Intergrity), dan Ketersediaan (Availibility) (Sarno & Iffano, 2009).

65

Pada tabel 2.3 berikut memberikan contoh penilaian aset berdasarkan

kriteria kerahasiaan (Confidentiality).

Tabel 2. 3 Penilaian Aset Berdasarkan Confidentiality (Sarno & Iffano. 2009)

Kriteria Confidentiality Nilai Confidentiality (NC)

Public 0

Internal use only 1

Private 2

Confidentiality 3

Secret 4

Tabel 2.4 berikut memberikan contoh penilaian aset berdasarkan kriteria

keutuhan (Integrity).

Tabel 2. 4 Penilaian Aset Berdasarkan Integrity (Sarno & Iffano. 2009)

Kriteria Integrity Nilai Integrity (NI)

No impact 0

Minor incident 1

General disturbance 2

Mayor disturbance 3

Unacceptable damage 4

Tabel 2.5 berikut memberikan contoh penilaian aset berdasarkan kriteria

ketersediaan (Availability).

Tabel 2. 5 Penilaian Aset Berdasarkan Availability (Sarno & Iffano. 2009)

Kriteria Availability Nilai Availability (NA)

Low / No availability 0

Office hours Availibility 1

Strong Availibility 2

High Availibility 3

Very high Availibility 4

Setelah menentukan kriteria nilai aset berdasarkan 3 aspek tersebut yang ada

di tabel 2.4, tabel 2.5, dan tabel 2.6, selanjutnya aset dapat dihitung nilainya

dengan menggunakan persamaan matematis berikut (Sarno & Iffano, 2009):

66

Nilai Aset = NC + NI + NV

Dimana:

NC = Nilai Confidentiality yang dipilih sesuai dengan tabel

NI = Nilai Integrity yang dipilih sesuai dengan tabel

NV = Nilai Availability yang dipilih sesuai dengan tabel

2.9.2 Identifikasi Ancaman (Threat) dan Kelemahan (Vulnerability) dari Aset

Ancaman adalah kejadian yang bisa membuat suatu perusahaan mengalami

kerugian yang dapat berupa uang, tenaga, upaya, reputasi nama baik, dan yang

paling parah dapat membuat organisasi pailit (IBISA, 2011). Ancaman memiliki

potensi untuk membahayakan aset seperti informasi, proses dan sistem dan oleh

karena itu organisasi. Ancaman harus diidentifikasi secara umum dan menurut

jenis (misalnya tindakan yang tidak sah, kerusakan fisik, kegagalan teknis) dan

kemudian di mana ancaman individu yang sesuai dalam kelas generik

diidentifikasi (ISO 27005:2008). Contoh ancaman yang dapat terjadi dapat dilihat

pada tabel 2.6 di bawah ini:

Tabel 2. 6 Jenis dan Contoh Ancaman (ISO, 2008)

No Jenis Ancaman Contoh Ancaman

1 Kerusakan fisik Kebakaran, kerusakan karena air, polusi,

perusakan pada peralatan atau media, debu,

korosi dan pembekuan

2 Peristiwa Alam Fenomena iklim, fenomena gempa bumi,

gunung meletus, hujan petir, angin puyuh,

angina puting beliung, banjir

3 Kehilangan layanan yang penting Kegagalan AC atau sistem pasokan air,

hilangnya pasokan listrik, kegagalan peralatan

telekomunikasi

4 Sumber ancaman dari manusia

Hacker, Cracker Hacking kegiatan memasuki sistem untuk

mencari bugs pada sistem yang akan dimasuki

Crackers kegiatan penyusupan ke dalam sistem

dengan tujuan mengambil bahkan merusak

informasi penting di dalam sistem

Computer criminal Penyusupan ke sistem komputer, akses ilegal

67

Terrorist Black mail, penyerangan ke sistem, sistem

penetrasi, virus

Karyawan Kesalahan atau kelalaian pada saat entri data

atau kesalahan pemrograman

Sedangkan kelemahan adalah kekurangan dari prosedur keamanan

informasi, perencanaan, implementasi atau kontrol internal di dalam organisasi

terhadap penjagaan informasi yang dapat menimbulkan ancaman di dalamnya.

Tujuannya penilaian adalah untuk memahami kelemahan yang dimiliki dalam

sistem manajemen keamanan informasi di suatu organisasi (Sarno & Iffano, 2009).

Tabel 2.7 merupakan contoh daftar kelemahan aset:

Tabel 2. 7 Contoh Daftar Kelemahan (Sarno & Iffano, 2009) & (ISO, 2008)

Daftar Kelemahan Contoh Kelemahan

Power failure (gangguan sumber daya) a. Kerentanan terhadap voltase yang

bervariasi

b. Jaringan listrik yang tidak stabil

Hardware failure (gangguan perangkat keras) a. Kurangnya pemeliharaan/kesalahan

instalasi media penyimpanan

b. Kurangnya skema pergantian berkala

c. Kerentanan terhadap kelembaban, debu

dan kotoran

d. Kurangnya kontrol perubahan konfigurasi

yang efisien

e. Kerentanan terhadap suhu yang bervariasi

f. Penyimpanan yang tidak dilindungi

g. Kurangnya perawatan di pembuangan

h. Penyalinan yang tidak terkendali

Perangkat Lunak a. Tidak ada atau tidak cukup pengujian

perangkat lunak

b. Kekurangan yang telah diketahui pada

perangkat lunak

c. Perangkat lunak yang didistribusikan

secara luas

d. Antar muka yang rumit

e. Kesalahan tanggal

f. Perangkat lunak baru atau belum matang

Data corruption (kerusakan data) a. Menerapkan program aplikasi untuk data

yang salah dalam hal waktu

b. Perangkat lunak yang didistribusikan

secara luas

Lack of user awareness (kurangnya kesadaran

pengguna)

a. Tidak logout ketika meninggalkan

komputer

b. Prosedur rekrutmen yang tidak cukup

c. Pelatihan keamanan yang tidak cukup

d. Kurangnya kesadaran akan keamanan

68

Jaringan a. Jalur komunikasi yang tidak dilindungi

b. Lalu lintas sensitif yang tidak dilindungi

c. Sambungan kabel yang buruk

d. Kurangnya identifikasi dan otentikasi pada

pengirim dan penerima

e. Arsitektur jaringan yang tidak aman

f. Koneksi jaringan publik yang tidak

dilindungi

Nilai rerata probabilitas atau kemungkinan terjadinya ancaman dan

kelemahan dihasilkan dari klasifikasi kemungkinan kejadian dengan rentang nilai

yang dapat didefinisikan sebagai berikut:

Tabel 2. 8 Nilai Rerata Probabilitas (Sarno & Iffano, 2009)

Nilai Kemungkinan Kejadian

LOW 0.1 – 0.3

MEDIUM 0.4 – 0.6

HIGH 0.7 – 1.0

Setelah mengidentifikasi ancaman dan kelemahan apa yang mungkin dapat

terjadi, selanjutnya ancaman tersebut dapat dicari nilainya dengan menggunakan

persamaan matematis. Rumus untuk menghitung ancaman dan kelemahan

terhadap informasi adalah sebagai berikut (Sarno dan Iffano, 2009)

𝐍𝐢𝐥𝐚𝐢 𝐀𝐧𝐜𝐚𝐦𝐚𝐧 (𝐍𝐓) = ∑ 𝐏𝐎 / ∑ 𝐀𝐧𝐜𝐚𝐦𝐚𝐧

Dimana:

∑ 𝑃𝑂 = Jumlah Probability of Occurrence

∑ 𝐴𝑛𝑐𝑎𝑚𝑎𝑛 = Jumlah ancaman terhadap Informasi

2.9.3 Analisis dan Evaluasi Risiko

Merupakan tahapan melakukan analisis dan evaluasi risiko berdasarkan

hasil yang sudah diidentifikasi pada tahap sebelumnya untuk mengetahui dan

memahami sejauh mana level risiko yang bisa terjadi dan menganalisis apakah

69

risiko tersebut bisa langsung diterima atau masih perlu dilakukan pengelolaan

supaya dampak risiko yang diterima masih bisa ditoleransi atau tidak (Sarno &

Iffano, 2009). Dalam analisis dan evaluasi risiko ini terdapat beberapa tahapan,

yaitu:

a. Melakukan analisis dampak bisnis (Business Impact Analysis / BIA)

Merupakan analisa dampak yang ditujukan seberapa besar dampak atau

pengaruh suatu risiko terhadap proses bisnis organisasi. Analisis dampak

bisnis dilakukan dengan menentukan skala BIA seperti pada tabel 2.9 di

bawah ini

Tabel 2. 9 Skala Business Impact Analysis (BIA) (Sarno & Iffano, 2009)

Batas Toleransi

Gangguan Keterangan Nilai Skala

< dari 1 minggu Not critical 0 – 20

1 hari s/d 2 hari Minor critical 21 – 40

< 1 hari Mayor critical 41 – 60

< 12 jam High critical 61 – 80

< 1 jam Very high critical 81 – 100

b. Melakukan identifikasi level resiko (risk level)

Tahap ini dilakukan setelah tahap analisis dampak bisnis. Level risiko

adalah tingkat risiko yang timbul jika dihubungkan dengan dampak dan

probabilitas ancaman yang mungkin timbul (Sarno & Iffano, 2009).

Tahapan ini memiliki ketentuan yang diterima organisasi berdasarkan

hubungan probabilitas ancaman yang mungkin terjadi dan dampak yang

mungkin ada. Dalam mengidentifikasi level risiko dapat menggunakan

tabel 2.10 sebagai acuan:

70

Tabel 2. 10 Matriks Level Risiko (Sarno & Iffano, 2009)

Probabilitas

Ancaman

Dampak Bisnis (Impact)

Not Critical

(20)

Low Critical

(40)

Medium

Critical

(60)

High

Critical

(80)

Very High

Critical

(100)

Low

(0.1)

Low

20 x 0.1 = 2

Low

40 x 0.1 = 4

Low

60 x 0.1 = 6

Low

80 x 0.1 = 8

Low

100 x 0.1 =

10

Medium

(0.5)

Low

20 x 0.5 = 10

Medium

40 x 0.5 = 20

Medium

60 x 0.5 = 30

Medium

80 x 0.5 = 40

Medium

100 x 0.5 =

50

High

(1.0)

Medium

20 x 1.0 = 20

Medium

40 x 1.0 = 40

High

60 x 1.0 = 60

High

80 x 1.0 = 80

High

100 x 1.0 =

100

c. Penilaian Risiko

Setelah melakukan identifikasi level risiko, langkah selanjutnya adalah

menentukan apakah resiko yang timbul langsung diterima atau dikelola.

Nilai risiko adalah gambaran dari seberapa besar akibat yang akan diterima

organisasi jika ancaman yang menyebabkan kegagalan keamanan

informasi terjadi (Sarno & Iffano, 2009). Dalam melakukan penilaian risiko

dapat dihitung dengan menggunakan metode matematis yaitu:

Nilai Resiko = NA x BIA x NT

Dimana:

NA = Nilai aset

BIA = Analisa dampak bisnis

NT = Nilai ancaman

Setelah melakukan penilaian risiko dengan menggunakan rumus matematis

diatas, selanjutnya nilai tersebut dihubungkan dengan matriks risiko yang

ada pada tahap sebelumnya untuk menentukan apakah risiko mungkin akan

71

terjadi akan langsung dapat diterima atau memerlukan penanganan terlebih

dahulu.

2.10 Systems Security Engineering Capability Maturity Model (SSE-CMM)

SSE-CMM adalah model referensi proses yang berfokus pada

persyaratan untuk menerapkan keamanan dalam serangkaian sistem terkait

yang merupakan domain keamanan teknologi informasi. SSE-CMM adalah

suatu model untuk meningkatkan dan menilai kemampuan rekayasa

keamanan yang tidak dipraktikkan secara terpisah dari ilmu teknik lainnya.

SSE-CMM mempromosikan integrasi tersebut, mengambil pandangan

bahwa keamanan tersebar di semua ilmu teknik. Model ini pertama kali

dikembangkan oleh Carnegie Mellon University pada tahun 1995. Saat ini

versi SSE-CMM terbaru adalah Versi 3 yang dirilis pada tahun 2003 (CMU,

2003). Tujuan dari proyek SSE-CMM ini adalah untuk memajukan rekayasa

keamanan yang terdefinisi, matang, dan terukur. SSE-CMM dikembangkan

untuk memajukan praktik-praktik keamanan dengan tujuan meningkatkan

kualitas dan ketersediaan dan mengurangi biaya pengiriman sistem yang

aman, produk tepercaya, dan layanan rekayasa keamanan.

Level capability SSE-CMM (System Security Enginering Capability

Maturity Model) dan terdapat 5 tingkat dalam SSE-CMM yaitu (CMU,

2013):

1) Level 1 “Performed Informally”

Level 1 yaitu praktek dasar yang umumnya harus dilakukan. Kinerja

praktek dasar ini belum sepenuhnya direncanakan dan dilacak. Kinerja

72

tergantung pada pengetahuan individu dan organisasi. Hasil kerja dari

level ini memberi hasil untuk kinerja organisasi. Hasil dari kinerja

diidentifikasi untuk proses selanjutnya.

2) Level 2 “Planned and Tracked”

Pada tingkat 2, kinerja sesuai prosedur yang sudah diverifikasi. Pada

level ini berfokus pada definisi, perencanaan, dan masalah kinerja

tingkat proyek. Hasil kerja sesuai dengan standar yang ditetapkan dan

sesuai dengan persyaratan. Perbedaannya dengan kinerja level 1 adalah

bahwa pada kinerja level 2 proses kinerja telah direncanakan dan

dikelola.

3) Level 3 “Well Defined”

Kinerja pada level ini berfokus pada penyesuaian disiplin dari proses

yang ditetapkan di tingkat organisasi. Level ini menggunakan

persetujuan, sesuai dengan standar yang telah ada, dan proses telah

didokumentasikan. Perbedaan utama kinerja level 3 dengan kinerja level

2 adalah bahwa proses kinerja ini direncanakan dan dikelola dengan

menggunakan proses standar organisasi.

4) Level 4 “Quantitatively Controlled”

Pada level ini berfokus pada pengukuran yang dikaitkan dengan tujuan

bisnis organisasi. Meskipun penting untuk mulai mengumpulkan dan

menggunakan langkah-langkah proyek dasar sejak dini, pengukuran dan

penggunaan data tidak diharapkan secara luas sampai tingkat yang lebih

tinggi telah dicapai. Langkah-langkah detail pada proses kinerja

73

dikumpulkan dan dianalisis. Perbedaan dengan kinerja level 3 adalah,

bahwa proses kinerja level 4 didefinisikan, dipahami dan dikendalikan

secara kuantitatif.

5) Level 5 “Continously Improving”

Level 5 memperoleh pengungkitan dari semua peningkatan praktik

manajemen yang terlihat di tingkat sebelumnya, lalu menekankan

perubahan budaya yang akan mempertahankan hasil yang dibuat. Proses

perbaikan secara berkesinambungan ada karena umpan balik kuantitatif

dari melakukan proses yang telah didefinisikan. Perbedaan utama dari

kinerja proses level 4 adalah bahwa proses didefinisikan dan proses

yang telah sesuai standar menjalani perbaikan terus-menerus dan

dilakukan peningkatan, didasarkan pada pemahaman kuantitatif dari

dampak perubahan proses.

Tabel 2. 11 Capability Level SSE-CMM (CMU, 2013)

Keterangan Level

Performed Informally 1

Planned and Tracked 2

Well Defined 3

Quantitatively Controlled 4

Continously Improving 5

2.11 Pemetaan COBIT 5 dengan ISO 27001:2013

Pada tahun 2014 National Institute of Standards and Technology U.S

Department of Commerce membuat dokumen “Framework for Improving Critical

Infrastructure Cybersecurity Core” yang berisi persamaan proses atau klausul dari

beberapa framework keamanan informasi seperti COBIT 5, ISO/IEC 27001:2013,

NIST SP 800-53, CCS CSC, ISA 62443-2-1:2009, dan ISA 62443-3-3:2013.

74

Tabel 2.12 di bawah ini adalah persamaan dari COBIT 5 Process dengan

Klausul Kontrol ISO 27001:2013. Namun COBIT 5 Process yang dipakai hanya

pada APO13 (Manage Security).

Tabel 2. 12 Pemetaan COBIT 5 dengan ISO 27001:2013 (NIST, 2014)

COBIT 5 Process ISO 27001:2013 Control Objective

APO13 Mengelola Keamanan

APO13.01 Establish and maintain an ISMS

(Menetapkan dan

Mempertahankan Sistem

Manajemen Keamanan Informasi)

A.6.1.5 Keamanan Informasi dalam

Manajemen Proyek

A.6.2.2 Teleworking

A.8.2.2 Pemberian Label Informasi

A.8.2.3 Penanganan aset

A.8.3.1 Pengelolaan media yang dapat

dilepas

A.8.3.3 Transfer media fisik

A.11.2.9 Hapus meja dan kebijakan layar

jernih

A.12.3.1 Backup Informasi

A.13.1.1 Kontrol Jaringan

A.13.2.1 Kebijakan dan prosedur

pengalihan informasi

A.14.1.1 Analisis dan spesifikasi

kebutuhan keamanan informasi

A.14.2.1 Kebijakan pengembangan yang

aman

A.14.2.5 Prinsip rekayasa sistem yang

aman

A.17.1.2 Menerapkan kontinuitas

keamanan informasi

A.17.1.3 Verifikasi, tinjau, dan evaluasi

keberlanjutan keamanan informasi

A.18.1.3 Perlindungan catatan

APO13.02 Define and manage on information

security risk treatment plan

(Menetapkan dan mengelola

rencana perawatan risiko

keamanan informasi)

A.6.1.1 Peran dan Tanggung Jawab

Keamanan Informasi

A.7.2.1 Tanggung Jawab Manajemen

A.14.2.8 Pengujian keamanan sistem

APO13.03 Monitor and review the ISMS

(Pantau dan Tinjau Sistem


Tabel 2.12 merupakan pemetaan proses COBIT 5 APO13 dengan klausul-

klausul yang ada pada ISO 27001:2013 menurut dokumen yang dibuat oleh

National Institute of Standards and Technology U.S Department of Commerce pada

tahun 2014. Penelitian yang dilakukan oleh Razieh Sheikhpor dan Nasser Modiri

75

(2012) juga melakukan pemetaan proses COBIT terhadap kontrol manajemen

keamanan informasi pada ISO/IEC 27001. Versi COBIT yang digunakan adalah

COBIT 4.1 dan ISO/IEC 27001:2009.

Dari tabel di atas dapat dilihat bahwa pada beberapa klausul ISO/IEC

27001:2013 terdapat persamaan dengan aktivitas yang ada pada domain APO13.

Setelah melakukan tahap wawancara dan diskusi dengan pihak Bidang

Penyelenggaraan E-Government Dinas Komunikasi dan Informatika Kabupaten

Bogor, terdapat beberapa kontrol keamanan ISO/IEC 27001:2013 yang tidak sesuai

dengan kondisi Bidang Penyelenggaraan E-Government DISKOMINFO

Kabupaten Bogor. Oleh karena itu penulis memilih beberapa kontrol yang sesuai

dengan kondisi dan keinginan pihak Bidang Penyelenggaraan E-Government

DISKOMINFO Kabupaten Bogor yang penulis lakukan bersama dengan Kepala

Seksi Pengembangan Aplikasi dan Data. Tabel 2.13 merupakan klausul yang

penulis gunakan dalam penelitian ini:

Tabel 2. 13 Klausul ISO/IEC 27001:2013 Yang Digunakan

Klausul Objektif Kontrol Kontrol Keamanan


Manusia

7.1 Sebelum Bekerja 7.1.1 Penyaringan

7.2 Selama Bekerja 7.2.1 Tanggung Jawab

Manajemen

7.2.2 Kesadaran keamanan

informasi, pendidikan dan

pelatihan

8. Manajemen Aset A.8.1 Tanggung Jawab Untuk

Aset

8.1.1 Inventarisasi Aset

8.1.2 Kepemilikan Aset

8.2 Klasifikasi Informasi 8.2.1 Klasifikasi Informasi

9. Kontrol Akses 9.1 Kebutuhan Bisnis

terhadap Kontrol Akses

9.1.1 Kebijakan Kontrol Akses

9.1.2 Akses ke jaringan dan

layanan jaringan

11. Keamanan Fisik dan

Lingkungan

11.1 Area Aman 11.1.2 Kontrol masuk fisik

11.1.3 Mengamankan kantor,

ruangan, dan fasilitas

11.1.4 Pengamanan terhadap

ancaman eksternal dan

lingkungan

76

11.2 Peralatan 11.2.2 Utilitas Pendukung

11.2.3 Keamanan Kabel

11.2.4 Pemeliharaan Peralatan

12 Keamanan Operasi 12.2 Perlindungan dari

Malware

12.2.1 Kontrol terhadap

Malware

12.3 Backup 12.3.1 Backup Informasi

13 Keamanan Komunikasi 13.1 Manajemen Keamanan

Jaringan

13.1.1 Kontrol Jaringan

16. Pengelolaan Insiden

Keamanan Informasi

16.1 Manajemen Insiden

Keamanan Informasi dan

Pebaikan

16.1.2 Pelaporan Peristiwa

keamanan informasi

16.1.3 Pelaporan kelemahan

keamanan informasi

16.1.4 Penilaian dan keputusan

tentang kejadian keamanan

informasi

16.1.5 Respon terhadap

insiden keamanan informasi

16.1.6 Belajar dari Insiden

Keamanan Informasi

Berdasarkan pemilihan kontrol keamanan pada tabel 2.13 yang sesuai

dengan kondisi dan keinginan dari Bidang Penyelenggaraan E-Government

DISKOMINFO Kabupaten Bogor, maka apabila dipetakan menurut Domain

APO13 Manage Security akan menjadi seperti Tabel 2.14:

Tabel 2. 14 Pemetaan Domain APO13 dengan Kontrol ISO/IEC 27001:2013

COBIT 5 Process ISO 27001:2013 Control Objective

APO13 Mengelola Keamanan

APO13.01 Establish and maintain an ISMS

(Menetapkan dan

Mempertahankan Sistem




8.2.1 Klasifikasi Informasi


12.3.1 Backup Informasi

16.1.5 Respon Terhadap Insiden Keamanan

Informasi

16.1.6 Belajar dari Insiden Keamanan

Informasi

APO13.02 Define and manage on information

security risk treatment plan

(Menetapkan dan mengelola

rencana perawatan risiko

keamanan informasi)

7.1.1 Penyaringan

7.2.1 Tanggung Jawab Manajemen

7.2.2 Kesadaran Keamanan Informasi,

Pendidikan, dan Pelatihan

12.2.1 Kontrol Terhadap Malware

16.1.4 Penilaian dan Keputusan tentang

Kejadian Keamanan Informasi

APO13.03 Monitor and review the ISMS

(Pantau dan Tinjau Sistem


9.1.2 Akses ke Jaringan dan Layanan

Jaringan

11.1.2 Kontrol Entri Fisik

11.1.3 Mengamankan Kantor, Ruangan,

dan Fasilitas

77

11.1.4 Melindungi Terhadap Ancaman

Eksternal dan Lingkungan

11.2.2 Utilitas Pendukung




16.1.2 Pelaporan Peristiwa Keamanan

Informasi

16.1.3 Pelaporan Kelemahan Keamanan

Informasi

Tabel 2.14 merupakan pemetaan Domain APO13-Manage Security dengan

kontrol keamanan ISO/IEC 27001:2013 yang penulis sesuaikan dengan kondisi

serta keinginan dari Bidang Penyelenggaraan E-Government Kabupaten Bogor.

Hasil pemetaan tersebut akan menjadi acuan penulis untuk menentukan responden

dalam pengisian kuisioner.

2.12 Metode Pengumpulan Data

2.12.1 Studi Pustaka

Studi Pustaka merupakan proses kegiatan menelaah dan membaca bahan-

bahan pustaka seperti buku – buku atau dokumen-dokumen, mempelajari dan

menilai prosedur dan hasil penelitian sejenis yang pernah dilakukan orang lain,

serta mempelajari laporan – laporan hasil observasi dan hasil survei tentang

masalah terkait dengan topik yang akan diteliti (Sanjaya, 2013).

2.12.2 Studi Lapangan

Studi lapangan merupakan studi yang dilakukan secara langsung ke

tempat penelitian dilakukan. Studi lapangan terdiri dari:

a. Observasi

Observasi atau pengamatan lebih dari sekadar mengamati lingkungan sekitar

untuk mendapatkan ide untuk penelitian, namun observasi adalah proses

melakukan pengukuran yang cermat dan akurat, yang merupakan fitur yang

78

membedakan penyelidikan ilmiah yang dilakukan dengan baik. Ketika

melakukan pengukuran dalam konteks penelitian, para ilmuwan biasanya

mengambil tindakan pencegahan besar untuk menghindari melakukan

pengamatan yang bias (Marczyk, 2005). Data yang dikumpulkan peneliti

diambil dari hasil pengamatan secara langsung terhadap objek yang menjadi

bahan penelitian.

b. Wawancara

Wawancara merupakan teknik pengumpulan data dimana pewawancara dalam

mengumpulkan data mengajukan pertanyaan kepada yang diwawancarai

(Sugiyono, 2014). Wawancara termasuk ke dalam metode pengumpulan data

kualitatif. Pengumpulan data kualitatif ini disebut metode artistic karena dalam

prosesnya bersifat kurang terpola dan disebut juga metode interpretive karena

data penelitian cenderung merupakan hasil interpretasi terhadap data yang

ditemukan di lapangan (Sugiyono, 2013).

c. Kuisioner

Kuesioner merupakan teknik pengumpulan data yang dilakukan dengan cara

memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden

untuk dijawabnya (Sugiyono, 2014). Dalam penelitian ini kuisioner termasuk

ke dalam metode pengumpulan data kualitatif. Pengumpulan data kualitatif ini

digunakan untuk meneliti populasi atau sampel tertentu yang memiliki

karakteristik tertentu yang ditetapkan oleh peneliti untuk dipelajari dan ditarik

kesimpulannya (Sugiyono, 2013).

79

2.13 Kajian Penelitian Sebelumnya

Terdapat beberapa penelitian yang menggunakan framework COBIT,

menggunakan standar ISO 27001 atau menggunakan keduanya secara bersama.

Penggunaan framework COBIT 5 sudah banyak digunakan pada penelitian

sebelumnya untuk melakukan evaluasi tata kelola TI (Suminar et al., 2014; Fitroh,

et al., 2018; Putra, 2018). Sedangkan penelitian yang menggunakan standar ISO

27001 umumnya membahas tentang keamanan informasi (Bless et al., 2014;

Nurbojatmiko et al., 2016; Ritzkal, et al., 2016).

Pada penelitian yang dilakukan oleh Suminar et al. (2014) dilakukan dengan

menggunakan domain COBIT 5 yang fokusnya terhadap keamanan informasi yaitu

domain APO13 (Manage Security) dan domain DSS05 (Manage Security Service).

Sedangkan pada penelitian Fitroh et al. (2018) dan Putra (2018) terdapat kesamaan

yaitu menggunakan domain APO07 (Manage Human Resource) namun pada

penelitian Putra (2018) ditambahkan 4 domain lain yaitu EDM04 (Ensure Resource

Optimization), BAI09 (Manage Asset), DSS01 (Manage Operation), dan MEA01

(Monitor, Evaluate and Assess Performance and Conformance). Persamaan ketiga

penelitian tersebut adalah sama-sama menggunakan Process Assessment Model

(PAM) COBIT 5 yang terdiri dari tahap Initiation - Planning the Assessment –

Briefing - Data Collection - Data Validation - Process Attribute Level - Result &

Recommendation.

Pada penelitian yang dilakukan Bless et al. (2014), Nurbojatmiko (2015),

dan Ritzkal et al. (2016) memiliki fokus terhadap keamanan informasi, namun versi

ISO seri 27000 yang digunakan pada ketiga penelitian tersebut berbeda. Pada

80

penelitian Bless et al. (2014) menggunakan ISO 27002 namun pada

implementasinya ditambah dengan menggunakan tahap initiation pada COBIT 4.1

untuk mencari hubungan antara domain COBIT dengan klausul ISO 27002 yang

digunakan. Klausul yang digunakan pada penelitian ini antara lain klausul 5

(kebijakan keamanan), klausul 6 (organisasi keamanan informasi), klausul 10

(manajemen komunikasi dan operasi), klausul 11 (kontrol akses), klausul 12

(akuisisi sistem informasi), klausul 13 (manajemen insiden keamanan informasi).

Persamaan dari penelitian yang dilakukan oleh Nurbojatmiko et al. (2015) dan

Ritzkal et al. (2016) adalah sama-sama menggunakan tahap plan-do-check-act

(PDCA). Perbedaan yang terdapat pada dua penelitian tersebut adalah, pada

penelitian yang dilakukan oleh Nurbojatmiko et al. (2015) menggunakan standar

ISO/IEC 27001:2013 dengan menggunakan 6 klausul antara lain klausul 7

(keamanan sumber daya manusia), klausul 8 (manajemen aset), klausul 9 (kontrol

akses), klausul 11 (keamanan fisik & lingkungan), klausul 12 (keamanan operasi),

klausul 16 (pengelolaan insiden). Sedangkan penelitian Ritzkal et al. (2016)

menggunakan standar ISO 27001:2005 dengan fokus klausul yang digunakan

adalah klausul 11 (kontrol akses).

Selain penelitian menggunakan COBIT atau menggunakan ISO 27001,

terdapat penelitian lain yang melakukan perbandingan antara beberapa standar

untuk mengukur keamanan informasi, keuntungan masing-masing standar, serta

keuntungan apabila digunakan secara bersama-sama (von Solms, 2005; Sahibudin,

et al., 2008; Mataracioglu & Ozkan, 2011; Susanto et al., 2011; Sheikhpour &

Modiri, 2012; Susanto, 2013; Haufe, et al., 2016). Dari hasil penelitian tersebut

81

didapatkan hasil bahwa jika COBIT dikombinasikan dengan ISO 27001 dapat

memberikan keuntungan lebih bagi perusahaan terutama dalam mengelola

keamanan informasi.

82

BAB III

METODOLOGI PENELITIAN

3.1 Metode Pengumpulan Data

Dalam penyusunan skripsi ini, peneliti membutuhkan data serta informasi

yang lengkap sebagai bahan untuk mendukung teori-teori yang telah dijelaskan

pada Bab sebelumnya, metode pengumpulan data yang digunakan mencakup studi

pustaka, studi lapangan yang terdiri dari observasi, wawancara, dan kuisioner, serta

studi literatur sejenis. Di bawah ini adalah penjelasan dari masing-masing tahapan

pengumpulan data yang ada pada penelitian ini

3.1.1 Studi Pustaka

Studi pustaka yang dilakukan penulis untuk mengumpulkan dan

mempelajari berbagai pustaka berupa buku, e-book, hasil penelitian terdahulu

dalam bentuk jurnal, dan situs di internet yang mencakup konsep tata kelola

teknologi informasi, konsep audit, tata kelola teknologi informasi berdasarkan

COBIT 5, audit keamanan berdasarkan ISO/IEC 27001:2013 serta referensi lain

terkait dengan COBIT 5 dan ISO/IEC 27001:2013. Peneliti melakukan studi

pustaka untuk memberikan gambaran bagaimana tahapan-tahapan yang ada pada

COBIT 5, tahapan pada ISO/IEC 27001:2013 serta untuk memberikan gambaran

apabila COBIT 5 dan ISO/IEC 27001:2013 digunakan bersama. Tabel 3.1

merupakan beberapa penelitian terdahulu yang terkait dengan audit keamanan

informasi:

83

Tabel 3. 1 Referensi Literatur Sejenis

No Peneliti

(Tahun)

Judul Framework Tujuan Variabel Hasil

1. Bekti Maryuni

Susanto (2013)

Mengukur Keamanan

Informasi: Studi

Komparasi ISO 27002 Dan

NIST 800-55

ISO 27002

& NIST

800-55

Menyajikan perbandingan

dua standar untuk

mengukur keamanan

informasi yaitu ISO 27002

dan NIST 800-55.

Setiap standar atau framework memiliki

kelebihan dan kekurangannya masing-masing.

Standar yang akan digunakan harus sesuai

dengan kondisi tiap-tiap organisasi.

2. Ritzkal, Arief

Goeritno, A.

Hendri

Hendrawan

(2016)

Implementasi ISO/IEC

27001:2013 Untuk Sistem

Manajemen Keamanan

Informasi (SMKI) Pada

Fakultas Teknik UIKA-

Bogor

ISO/IEC

27001:2005

Memperoleh tingkat

keamanan pada jaringan

hotspot Fakultas Teknik

UIKA-Bogor

Klausul 11 (Kontrol Akses) Jaringan hotspot pada fakultas teknik UIKA

Bogor masuk kategori tidak aman sehingga perlu

dibuat prosedur pengelolaan jaringan hotspot.

3. Yulius C. N.

Bless, Gusti

Made Arya

Sasmita, A.A.

Kt. Agung

Cahyawan

(2014)

Audit Keamanan SIMAK

Berdasarkan ISO 27002

(Studi Kasus: FE UNUD)

ISO 27002 Menjamin agar SIMAK

dapat terus berjalan sesuai

dengan kebutuhan dan

kegunaannya.

Klausul 5 (Kebijakan Keamanan)

Klausul 6 (Organisasi Keamanan

Informasi)

Klausul 10 (Manajemen

Komunikasi dan Operasi)

Klausul 11 (Kontrol Akses)

Klausul 12 (Akuisisi Sistem

Informasi)

Klausul 13 (Manajemen Insiden

Keamanan Informasi)

Manajemen keamanan SIMAK pada Fakultas

Ekonomi Universitas Udayana berada pada

tingkat kematangan 3 yang berarti sudah terdapat

prosedur yang standar dan telah didefinisikan

secara baik..

4. Nurbojatmiko,

Aries Susanto,

Euis Shobariah

(2016)

Assessment of ISMS Based

On Standard ISO/IEC

27001:2013 at

DISKOMINFO Depok City

ISO/IEC

27001:2013

Merencanakan SMKI

berdasarkan standar

ISO/IEC 27001:2013 di

DISKOMINFO Kota

Depok

Klausul 7 (Keamanan Sumber

Daya Manusia)

Klausul 8 (Manajemen Aset)

Klausul 9 (Kontrol Akses)

Klausul 11 (Keamanan Fisik &

Lingkungan)

Klausul 12 (Keamanan Operasi)

Klausul 16 (Pengelolaan Insiden)

Hasil maturity level klausul 7 sebesar 1.25,

klausul 8 sebesar 1.58, klausul 9 sebesar 1.53,

klausul 11 sebesar 1.30, klausul 12 sebesar 1.26,

dan klausul 16 sebesar 1.20.

84

5. Tolga

Mataracioglu &

Sevgi Ozkan

(2011)

Governing Information

Security in Conjunction

With COBIT and ISO

27001

COBIT &

ISO 27001

Untuk menghubungkan

dan memetakan antara

framework COBIT dan

ISO 27001 ketika

mengelola keamanan TI

suatu perusahaan.

Kedua framework tersebut memiliki kekurangan

ketika digunakan sendirian. Oleh karena itu

penggunaan COBIT dan dikombinasikan dengan

ISO 27001 diharapkan akan memberikan

keuntungan lebih bagi perusahaan terutama

dalam mengelola keamanan informasi.

6. Shamsul

Sahibudin,

Mohammad

Sharifi &

Masarat Ayat

(2008)

Combining ITIL, COBIT

and ISO/IEC 27002 in

Order to Design a

Comprehensive IT

Framework in

Organizations

ITIL,

COBIT &

ISO 27002

Mengusulkan kerangka

kerja yang komprehensif

dengan mengintegrasikan

tiga kerangka kerja umum

dan standar ke dalam

kerangka kerja TI yang

dapat digunakan di setiap

perusahaan.

Kombinasi ITIL, COBIT dan ISO / IEC 27002

dapat berharga untuk mencapai target organisasi.

Stakeholder dapat mempertimbangkan

penggunaan ITIL untuk mendefinisikan strategi,

rencana dan proses, menggunakan COBIT untuk

metrik, tolok ukur dan audit dan menggunakan

ISO / IEC 27002 untuk mengatasi masalah

keamanan untuk mengurangi risiko

7. Knut Haufe,

Ricardo

Colomo-

Palacios

Srdan

Dzombeta,

Knud Brandis

& Vladimir

Stantchev

(2016)

Security Management

Standards: A Mapping

ITIL,

COBIT &

ISO 27000

Untuk memetakan

mengenai proses SMKI

dengan standar

internasional yang diterima

secara luas untuk

Manajemen Keamanan

Informasi

Dengan menggunakan tiga standar tersebut

secara bersama dapat membantu para praktisi

untuk mengelola keamanan informasi secara

lebih efisien dan efektif.

8. Basie von

Solms (2005)

Information Security

governance: COBIT or

ISO 17799 or both?

COBIT &

ISO 17799

Untuk mengetahui

penggunaan COBIT dan

ISO 17799 yang saling

melengkapi sebagai

kerangka acuan untuk tata

kelola Keamanan

Informasi.

Komponen tata kelola Keamanan Informasi

COBIT memberikan panduan yang baik tentang

'apa' yang harus dilakukan untuk tata kelola

keamanan informasi, tetapi tidak terlalu detail

sejauh menyangkut 'bagaimana' melakukan tata

kelola keamanan informasi Sisi positif dari ISO

17799, di sisi lain adalah bahwa itu jauh lebih

rinci, memberikan panduan yang jauh lebih

langsung tentang 'bagaimana'.

85

9. Razieh

Sheikhpour &

Nasser Modiri

(2012)

An Approach to Map

COBIT Processes to

ISO/IEC 27001


Management Controls

COBIT &

ISO 27001

Menjelaskan pemetaan

antara proses COBIT ke

kontrol ISO / IEC 27001

untuk menyelidiki

penggunaan COBIT dan

ISO / IEC 27001 untuk

manajemen keamanan

informasi.

COBIT dan ISO/IEC 27001 dapat digunakan

bersama sebagai dasar untuk pengembangan

proses keamanan informasi yang baik. Pemetaan

ISO / IEC 27001 ke dalam proses COBIT

memungkinkan organisasi untuk

mempertahankan tingkat keamanan yang dapat

diterima, mengelola risiko secara efektif dan

mengurangi tingkat risiko secara keseluruhan.

10. Heru Susanto,

Muhammad

Nabil

Almunawar &

Yong Chee

Tuan (2011)


Management System

Standards:

A Comparative Study of the

Big Five

ISO27001,

BS 7799,

PCIDSS,

ITIL &

COBIT

Menggambarkan dan

membandingkan kelima

standar manajemen

keamanan sistem

informasi.

Profil Standar, penginisiasi, kapan

mulai diperkenalkan, standar an

komponen, nama sertifikat, scope,

kegunaan

Setiap standar memiliki peran dan posisi masing-

masing dalam implementasikan manajemen

keamanan sistem informasi. ISO 27001 dan BS

7799 fokus pada keamanan sistem informasi

manajemen sebagai domain utama. PCIDSS

fokus pada keamanan informasi yang berkaitan

dengan transaksi bisnis. ITIL dan COBIT fokus

pada keamanan informasi dan hubungan dengan

manajemen proyek serta IT Governance.

11. Syopiansyah

Jaya Putra

(2018)

The process capability

model for governance of

the Election Organizer

Ethics Court system

COBIT 5 Menilai kondisi tingkat

kemampuan saat ini dan

yang diharapkan, analisis

kesenjangan dan

rekomendasi untuk tata

kelola SIPEPP yang baik.

EDM04 Ensure Resource

Optimization

APO07 Manage Human

Resource

BAI09 Manage Asset

DSS01 Manage Operation

MEA01 Monitor, Evaluate and

Assess Performance and

Conformance

Penelitian ini menunjukkan tingkat optimalisasi

sumber daya dan proses pemantauan kinerja

adalah level 2 (Managed Process) yang berarti

bahwa proses tersebut telah dicatat, diukur dan

sesuai dengan tujuan. Proses pengelolaan sumber

daya manusia, aset, dan operasi berada pada level

1 (Performed Process), yang berarti bahwa

kedua proses telah diterapkan pada tata kelola

SIPEPP.

12. Fitroh, Arbaiti

Damanik &

Asep Fajar

Firmansyah

(2018)

Strategies to Improve

Human Resource

Management using COBIT

5 For Data and

Information Centre of

Ministry of Agriculture of

Indonesia of Republic

COBIT 5 Melakukan evaluasi untuk

menemukan kondisi saat

ini mengenai SDM dan

memberikan rekomendasi

sebagai masukan bagi

Pusdatin untuk

menentukan rencana

Domain APO 07 (Manajemen SDM) Manajemen sumber daya manusia Pusdatin telah

bekerja pada level 3 yang berarti standarisasi

pengelolaan SDM telah diterapkan di Pusdatin.

Rekomendasinya adalah Pusdatin harus

membahas kompetensi karyawan sesuai dengan

persyaratan organisasi dan meningkatkan

keterampilan mereka dengan pelatihan yang

86

strategis untuk

mengembangkan sumber

daya manusia.

tepat; serta mengelola beban kerja masing-

masing karyawan.

13. Suryo Suminar,

Fitroh & Suci

Ratnawati

(2014)

Evaluation of Information

Technology Governance

using COBIT 5 Framework

Focus APO13 and DSS05

in PPIKSN-BATAN

COBIT 5,

DSS05

Mengevaluasi keamanan

informasi unit TI BATAN APO13 (Manage Security)

DSS05 (Manage Security

Services)

Hasil dari penelitian ini adalah PJKKD pada

PPIKSN untuk nilai APO13 bernilai 1,96 dan

senilai 1,71. DSS05 dan APO13 pada tingkat

kemampuan 2. Artinya, proses DSS05 telah

dilakukan APO13 dan dikelola dengan cara yang

dapat dikelola. Adapun APO13 bernilai 2,96 dan

2,71 DSS05 bernilai atau keduanya pada level 3

kemampuan, dengan kata lain pada APO13 dan

DSS05 PPIKSN memiliki celah yaitu 1.

87

Dari beberapa penelitian pada tabel 3.1 mayoritas hanya melakukan

penelitian tentang hubungan antara framework COBIT dan ISO/IEC 27001 secara

teori dan tidak disertai dengan contoh apabila diimplementasikan secara bersama.

Oleh karena itu dalam penelitian ini peneliti melakukan audit dengan

menggunakan framework COBIT 5 yaitu tahap Initiation yang ada pada

Assessment Process Activities untuk memetakan apakah Dinas Komunikasi dan

Informatika (DISKOMINFO) Kabupaten Bogor memiliki tujuan terkait

keamanan informasi. Setelah melakukan tahap initiation kemudian dilanjutkan

dengan menggunakan tahap plan-do-check-act (PDCA) yang sesuai dengan

standar ISO/IEC 27001:2013 karena standar ini fokus terhadap sistem manajemen

keamanan informasi.

3.1.2 Studi Lapangan

Studi lapangan dilakukan secara langsung di DISKOMINFO Kabupaten

Bogor di Jl. Tegar Beriman, Cibinong. Studi lapangan ini melingkupi:

a. Observasi

Observasi dilakukan pada Bidang Penyelenggaraan E-Goverment

DISKOMINFO Kabupaten Bogor yang bertempat di Jl. Tegar Beriman,

Cibinong. Peneliti melaksanakan observasi selama 8 bulan yaitu dimulai pada

18 April 2018 sampai dengan 7 November 2018. Pengumpulan data melalui

observasi dilakukan dengan melihat langsung bagaimana proses manajemen

keamanan informasi yang ada di DISKOMINFO Kab. Bogor. Kegiatan ini

dilakukan di bawah bimbingan Bapak Dendi selaku Kepala Seksi

Pengembangan Aplikasi dan Data pada Bidang Penyelenggaraan E-

88

Government. Dari hasil observasi ini peneliti juga mendapatkan data berupa

visi, misi, tujuan organisasi, serta struktur organisasi yang berguna untuk

tahap Initiation dan tahap Plan-Do-Check-Act.

b. Wawancara

Wawancara dilakukan dengan cara tanya jawab langsung terkait

penelitian di Dinas Komunikasi dan Informatika Kab. Bogor. Wawancara ini

dilakukan pada:

Tabel 3. 2 Pelaksanaan Wawancara

No Tanggal Nama Jabatan

1. 25 April 2018 Bapak Dendi

Wahyudin, S.Ip

Kepala Seksi Pengembangan Aplikasi

dan Data

2. 16 Mei 2018 Bapak Dendi

Wahyudin, S.Ip

Kepala Seksi Pengembangan Aplikasi

dan Data

Hasil lengkap wawancara dapat dilihat pada Lampiran 1, namun secara

garis besar hasil yang diperoleh dari wawancara adalah gambaran umum dari

DISKOMINFO Kab. Bogor dan tugas dari Bidang Penyelenggaraan E-

Government. Selain itu dari hasil wawancara juga diketahui bagaimana

penerapan manajemen keamanan informasi di sana, serta insiden apa saja

yang pernah terjadi. Diketahui bahwa Bidang Penyelenggara E-Government

DISKOMINFO Kabupaten Bogor pernah mengalami insiden keamanan

sistem informasi yaitu kerusakan server dikarenakan usia server yang sudah

tua dan mengakibatkan data-data di server DISKOMINFO Kabupaten Bogor

hilang. Serta insiden lainnya adalah adanya hacking terhadap domain dan sub

domain website Kabupaten Bogor yang mengakibatkan berubahnya layout

domain dan sub domain website Kabupaten Bogor. Dari insiden tersebut,

Bapak Dendi menyarankan untuk melakukan audit keamanan sistem

89

informasi pada DISKOMINFO Kab. Bogor karena sampai saat ini

DISKOMINFO Kab. Bogor belum pernah melakukan audit keamanan

informasi. Dari hasil wawancara tersebut dapat dipetakan juga kebutuhan

organisasi yang sesuai dengan proses yang ada pada COBIT 5 dan klausul

ISO 27001:2013.

c. Kuisioner

Kuisioner ini dilakukan setelah peneliti melakukan melakukan tahapan

Initiation yang ada pada sub bab 3.2.1.1, peneliti mendapatkan hasil domain

COBIT 5 yang sesuai dengan enterprise goals dan IT-Related Goals yaitu

APO13 (Manage Security). Domain APO13 ini berisi tentang Sistem

Manajemen Keamanan Informasi yang berhubungan dengan ISO/IEC

27001:2013. Namun karena DISKOMINFO Kabupaten Bogor ingin

melakukan sertifikasi ISO/IEC 27001:2013, maka peneliti menggunakan

tahapan Initiation yang ada Assessment Process Activities COBIT 5 dan

selanjutnya menggunakan tahap Plan-Do-Check-Act ISO/IEC 27001:2013.

Pelaksanan kuisioner ini berada pada tahap Check dan berdasarkan

standar yang terdapat pada ISO/IEC 27001: 2013 mengenai implementasi

pada keamanan aset dan pendekatan pada penekanan manajemen resiko dan

ISO/IEC 27002: 2013 mengenai petunjuk pelaksanaan sistem manajemen

keamanan informasi dan klausul dipilih berdasarkan nilai dari risiko

keamanan informasi Bidang Penyelenggaraan E-Government DISKOMINFO

Kabupaten Bogor.

90

3.2 Metode Analisis Data

Sub bab ini akan menjelaskan tentang metode yang peneliti gunakan untuk

menganalisis data yang didapatkan dari tahap pengumpulan data di atas. Tahap

pertama yang dilakukan adalah melakukan tahap Initiation dan dilanjutkan dengan

Metode Perencanaan SMKI berdasarkan ISO/IEC 27001:2013. Penjelasan masing-

masing tahapan akan dijelaskan di bawah ini

3.2.1 Assessment Process Activities

Peneliti menggunakan assessment process activites pada COBIT 5 yaitu

tahap initiation. Penjelasan tahap initiation dapat dilihat di bawah ini:

3.2.1.1 Initiation

Tahap ini merupakan bagian dari Assessment Process Activities yang

ada pada Process Assessment Model COBIT 5. Pada tahapan ini dilakukan

pengumpulan data primer berupa gambaran umum organisasi, visi, misi dan

tujuan organisasi. Dari data primer tersebut selanjutnya dilakukan analisis

terhadap hubungan enterprise goals dengan IT-related goals dan analisis IT-

related goals dengan domain COBIT 5. Hasil akhir dari tahapan ini adalah

terpilihnya domain COBIT 5 yang sesuai dengan kondisi organisasi yang di

dapat dari enterprise goals dan IT-related goals DISKOMINFO Kab. Bogor

adalah APO13 (Manage Security).

Pada APO13 terdapat RACI Chart yang peneliti gunakan untuk

menentukan responden untuk kuesioner. Di bawah ini adalah pemetaan

responden dengan RACI Chart APO13 yang sesuai dengan struktur

organisasi DISKOMINFO Kabupaten Bogor.

91

Identifikasi RACI Chart APO13.01 (Menetapkan SMKI)

Tabel 3. 3 Responden Proses APO13.01

No Fungsional Struktur COBIT

Terkait

Jabatan

COBIT

Fungsional PPIKSN TI/

non TI

1 Chief Information Officer CIO Kabid Penyelenggaraan

E-Goverment TI

2 Head IT Administration HITA Kepala Seksi

Pengembangan Aplikasi

dan Data

TI

3 Information Security Manager ISM Kepala Seksi Persandian

dan Keamanan Informasi TI

Identifikasi RACI Chart APO13.02 (Penanganan Risiko Keamanan)



Terkait

Jabatan

COBIT


non TI


E-Goverment TI



dan Data

TI



Identifikasi RACI Chart APO13.03 (Meninjau SMKI)



Terkait

Jabatan

COBIT


non TI

1 Business Process Owner BPO Kabid Penyelenggaraan

E-Goverment

TI

2 Project Management Office PMO Kabid Penyelenggaraan

E-Goverment

TI


E-Goverment

TI

4 Head Architec HA Kepala Seksi Infrastruktur

dan Teknologi TI

5 Head Development HD Kepala Seksi


dan Data

TI

6 Head IT Operations HITO Kepala Seksi Infrastruktur

dan Teknologi TI



dan Data

TI

8 Service Manager SM Kepala Seksi Infrastruktur

dan Teknologi TI

92



10 Business Continuity Manager BCM Kabid Penyelenggaraan

E-Goverment TI

11 Privacy Officer PO Kepala Seksi Persandian


Berikut ini adalah daftar responden yang disesuaikan dengan RACI Chart

di atas:

Tabel 3. 6 Rekapitulasi RACI Chart APO13

No Responden Jumlah

1 Kabid Penyelenggaraan E-Goverment 1

2 Kepala Seksi Pengembangan Aplikasi dan Data 1

3 Kepala Seksi Persandian dan Keamanan Informasi 1

4 Kepala Seksi Infrastruktur dan Teknologi 1

Total 4

Tabel 3.6 menjadi acuan peneliti dalam menentukan responden

untuk menjawab pernyataan pada kuisioner yang dibuat berdasarkan panduan

implementasi ISO/IEC 27002:2013. Dalam membuat pernyataan kuisioner,

peneliti terlebih dahulu memilih objektif kontrol dan kontrol keamanan

informasi yang akan diterapkan di Bidang Penyelenggaraan E-Goverment

DISKOMINFO Kabupaten Bogor. Penjelasan mengenai pemilihan objektif

kontrol dan kontrol keamanan informasi terdapat pada sub bab 3.2.2.3.1. Dari

hasil pemilihan kontrol keamanan, peneliti kemudian memetakan kontrol

keamanan tersebut sesuai dengan rekapitulasi RACI Chart pada tabel 3.6.

Hasil pemetaan tersebut terdapat pada tabel 3.7 di bawah ini:

Tabel 3. 7 Pemetaan Responden dengan Kontrol Keamanan ISO/IEC 27001:2013

No Responden Kontrol Keamanan ISO

1. Kepala Bidang Penyelenggaraan

E-Government

7.1.1 Penyaringan


7.2.2 Kesadaran Keamanan Informasi,

Pendidikan, dan Pelatihan

2. Kepala Seksi Pengembangan

Aplikasi dan Data



93




3. Kepala Seksi Infrastruktur dan

Teknologi

9.1.2 Akses ke Jaringan dan Layanan Jaringan


11.1.3 Mengamankan Kantor, Ruangan, dan

Fasilitas

11.1.4 Melindungi Terhadap Ancaman Eksternal

dan Lingkungan





4. Kepala Seksi Persandian dan

Keamanan Informasi


16.1.2 Pelaporan Peristiwa Keamanan Informasi

16.1.3 Pelaporan Kelemahan Keamanan Informasi

16.1.4 Penilaian dan Keputusan tentang Kejadian

Keamanan Informasi

16.1.5 Respon Terhadap Insiden Keamanan

Informasi

16.1.6 Belajar dari Insiden Keamanan Informasi

Tabel 3.7 menjadi acuan peneliti dalam mengumpulkan data melalui

kuisioner. Peneliti menyesuaikan pembagian kuisioner sesuai dengan bidang

keahlian yang dimiliki oleh responden agar hasil yang didapatkan sesuai

dengan kondisi yang ada pada Bidang Penyelenggaraan E-Government Dinas


3.2.2 Metode Perencanaan Sistem Manajemen Keamanan Informasi

Setelah menemukan domain COBIT 5 yang sesuai dengan kondisi Dinas

Komunikasi dan Informatika Kab. Bogor, peneliti melanjutkan penelitian

menggunakan standar ISO/IEC 27001:2013 dikarenakan pihak DISKOMINFO

Kab. Bogor telah memiliki rencana melakukan sertifikasi ISO 27001:2013 dalam

Dokumen Rencana Strategis Tahun 2013-2018. Standar ISO/IEC 27001:2013

menggunakan model ini dalam membangun, mengimplementasi, memonitor,

mengkaji ulang, memelihara, serta melakukan pengembangan. Di dalam ISO

94

27001:2013 terdapat tahap PDCA yang digunakan di dalam penelitian ini.

Penjelasan tentang masing-masing tahapan akan dijelaskan di bawah ini:

3.2.2.1 Tahapan Plan

3.2.2.1.1 Menentukan Ruang Lingkup SMKI

Pada tahapan ini, peneliti melakukan diskusi dengan Kepala

Seksi Pengembangan Aplikasi dan Data untuk membicarakan tentang

ruang lingkup SMKI yang akan dibangun. Pada tahapan ini keterlibatan

antara peneliti dan Kepala Seksi Pengembangan Aplikasi dan Data di

prioritaskan untuk membicarakan hal-hal yang dibutuhkan selama

penelitian dilaksanakan. Hal yang dibutuhkan dalam pengumpulan data

untuk menentukan ruang lingkup SMKI adalah sebagai berikut:

1. Mempelajari karakteristik DISKOMINFO Kabupaten Bogor mulai dari

profil, visi, misi serta tujuan yang ingin dicapai DISKOMINFO

Kabupaten Bogor.

2. Lokasi DISKOMINFO Kabupaten Bogor serta seberapa besar Bidang


Kabupaten Bogor. Selain itu peneliti juga mempelajari tugas pokok

serta struktur Bidang Penyelenggaraan E-Government.

3. Mengumpulkan informasi tentang aset-aset serta teknologi apa saja

yang dimiliki oleh Bidang Penyelenggaraan E-Government

DISKOMINFO Kabupaten Bogor yang berupa aset informasi berupa

database dan aset infrastruktur yang dapat berupa Wi-Fi, CCTV, UPS,

server, fiber optic, switch, router. Ini berguna untuk mengumpulkan

95

informasi yang dapat peneliti gunakan ketika melakukan penilaian

terhadap aset.

3.2.2.1.2 Membuat Kebijakan SMKI

Setelah menentukan ruang lingkup, selanjutnya adalah

membuat kebijakan keamanan informasi. Kebijakan keamanan informasi

ditulis untuk melindungi data organisasi dan menentukan strategi

manajemen untuk mengamankan data sensitif. Dalam membuat

kebijakan Sistem Keamanan Informasi, harus berisi pernyataan sebagai

berikut:

1. Definisi dari keamanan informasi, tinjauan serta prinsip-prinsip

keamanan informasi yang dapat digunakan untuk memandu semua

kegiatan yang akan diterapkan pada Bidang Penyelenggaraan E-

Goverment DISKOMINFO Kabupaten Bogor yang berkaitan dengan

keamanan informasi.

2. Kebijakan sistem manajemen keamanan informasi harus

mendefinisikan tanggung jawab, tugas umum dan khusus manajemen

keamanan informasi sehingga kebijakan tersebut dapat dipahami dan

dapat dijalankan pada Bidang Penyelenggaraan E-Goverment

DISKOMINFO Kabupaten Bogor.

3.2.2.2 Tahapan Do

Setelah tahapan plan dilakukan selanjutnya adalah melakukan

tahapan do yang merupakan upaya untuk mengimplementasikan hasil dari

tahap plan. Ada beberapa hal yang harus diperhatikan pada tahap do salah

96

satunya adalah menanyakan kepada pihak Bidang Penyelenggaraan E-

Goverment DISKOMINFO Kabupaten Bogor apakah terdapat ancaman

terhadap aset serta melihat keadaan pengamanan terhadap aset secara

langsung. Untuk lebih jelasnya tentang apa saja yang ada pada tahapan do

dapat dilihat di bawah ini:

3.2.2.2.1 Melakukan identifikasi risiko

Langkah pertama yang dilakukan adalah melakukan

identifikasi risiko yang mungkin akan terjadi di Bidang Penyelenggaraan

E-Government DISKOMINFO Kabupaten Bogor, langkah untuk

melakukan identifikasi risiko adalah sebagai berikut:

a) Melakukan identifikasi aset yang telah dikumpulkan pada tahap plan

lalu aset tersebut kemudian dinilai berdasarkan tiga aspek keamanan

informasi yaitu: kerahasiaan (confidentiality), keutuhan (integrity),

dan ketersediaan (availability).

b) Tahap selanjutnya adalah melakukan identifikasi terhadap ancaman

dan kelemahan aset serta menghitung nilai dari ancaman dan

kelemahan tersebut terhadap aset yang dimiliki Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor

yang dapat mengganggu proses bisnis.

3.2.2.2.2 Analisis dan Evaluasi Risiko

Selanjutnya adalah melakukan analisis dan evaluasi risiko

berdasarkan hasil identifikasi dan penilaian aset serta identifikasi dan

penilaian ancaman dan kelemahan terhadap aset yang sudah dilakukan

97

pada tahap sebelumnya. Analisis dan evaluasi risiko digunakan untuk

menentukan apakah risiko yang terjadi terhadap aset Bidang


langsung diterima atau masih dilakukan pengelolaan (treatment) agar

risiko dapat diterima dengan dampak yang bisa ditoleransi. Terdapat

langkah-langkah untuk menganalisis dan mengevaluasi risiko antara lain:

a) Melakukan analisis terhadap dampak bisnis (Business Impact

Analysis) yang dapat ditimbulkan, analisis dampak bisnis dilakukan

dengan menentukan skala nilai BIA.

b) Melakukan identifikasi level risiko (Risk Level) yang bertujuan

untuk menilai tingkat risiko yang terjadi jika dihubungkan dengan

dampak bisnis dan probabilitas ancaman yang mungkin terjadi.

Untuk mengidentifikasi level risiko dapat mengacu pada matriks

level risiko.

c) Terakhir adalah menentukan risiko diterima atau perlu pengelolaan

risiko oleh Bidang Penyelenggaraan E-Government DISKOMINFO

Kab. Bogor, tahapan ini mengacu pada hasil identifikasi level risiko

sebelumnya. Namun pada tahap ini level risiko dihubungkan dengan

nilai aset yang sudah dihitung sebelumnya dengan menggunakan

aspek CIA.

3.2.2.3 Tahapan Check

Setelah mendapatkan hasil pengukuran risiko dan dampak bisnis

pada tahapan Do, tahap selanjutnya adalah tahapan Check, yaitu memilih

98

objektif kontrol dan kontrol keamanan informasi yang akan diterapkan di

Bidang Penyelenggara E-Goverment DISKOMINFO Kabupaten Bogor.

3.2.2.3.1 Memilih Objektif Kontrol Keamanan Informasi

Pemilihan objektif kontrol dan kontrol keamanan harus

berdasarkan hasil penilaian terhadap risiko terhadap aset utama maupun

aset pendukung dan dampaknya terhadap organisasi yang sudah

dilakukan penilaian pada tahap sebelumnya.

3.2.2.3.2 Penilaian Maturity Level Menggunakan SSE-CMM

Dalam penilaian maturity level, peneliti menggunakan

System Security Engineering Capability Maturity Model (SSE-CMM)

Langkah-langkah yang dilakukan sebelum dalam melakukan penilaian

maturity level adalah sebagai berikut:

1. Pembuatan pernyataan

Setelah menentukan objektif kontrol dan kontrol keamanan

informasi apa saja yang akan diimplementasikan dari hasil

pengukuran risiko, selanjutnya peneliti membuat pernyataan

berdasarkan kontrol keamanan dari setiap objektif kontrol yang

dipilih untuk diterapkan di Bidang Penyelenggaraan E-Government

DISKOMINFO Kabupaten Bogor. Pernyataan ini dibuat dan

disesuaikan berdasarkan standar ISO/IEC 27002:2013 yang berisi

panduan implementasi dari tiap kontrol keamanan yang dipilih.

99

2. Penentuan nilai tingkat kemampuan

Untuk menilai level kemampuan keamanan pada tiap pernyataan

digunakan System Security Engineering Capability Maturity Level

(SSE-CMM).

Tabel 3. 8 Level Kemampuan SSE-CMM (CMU, 2013)

Tingkat

Kemampuan Deskripsi

1 Performed Informally (Dilakukan Informal)

2 Planned and Tracked (Direncanakan dan Dilacak)

3 Well Defined (Didefinisikan dengan Baik)

4 Quantitatively Controlled (Dikendalikan secara

kuantitatif)

5 Continously Improving (Ditingkatkan terus-

menerus)

3. Perhitungan Maturity Level

Nilai maturity level didapatkan dari rata-rata seluruh kontrol

keamanan yang telah dihitung level kemampuannya. Setiap klausul

memiliki beberapa objektif kontrol, dan setiap objektif kontrol

memiliki beberapa kontrol keamanan informasi dan rata-rata yang dari

kontrol keamanan itulah yang diambil untuk menghasilkan nilai

maturity level setiap objektif kontrol. Sedangkan nilai maturity level

tiap klausul diambil berdasarkan rata-rata objektif kontrol yang

digunakan yang pada klausul tersebut.

3.2.2.4 Tahapan Act

Tahap terakhir adalah tahapan Act, yang terdiri dari tahap

penelusuran bukti dan tahap pemberian rekomendasi.

100

3.2.2.4.1 Penelusuran Bukti

Pada tahap ini dilakukan penelusuran bukti berdasarkan hasil

penilaian maturity level yang dilakukan pada tahap check. Ini bertujuan

untuk menyelaraskan hasil perhitungan maturity level agar sesuai dengan

kondisi sebenarnya dari keamanan informasi pada Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor. Serta

untuk mengetahui apakah ada gap antara kondisi saat ini dengan panduan

implementasi kontrol keamanan yang ada pada ISO/IEC 27002:2013.

3.2.2.4.2 Pemberian Rekomendasi

Tahap ini bertujuan untuk memberikan usulan perbaikan

serta pengembangan terhadap sistem manajemen keamanan informasi di

Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten

Bogor dengan memberikan rekomendasi sesuai dengan gap yang

ditemukan pada tahap penelusuran bukti. Rekomendasi yang diberikan

mengacu pada ISO/IEC 27002: 2013 yang berisi panduan implementasi

tiap kontrol keamanan yang ada pada ISO/IEC 27001: 2013.

3.3 Interpretasi Hasil dan Pembahasan

Pada tahap ini peneliti melakukan pembahasan dari hasil tahap-tahap yang

sudah dilakukan sebelumnya. Mulai dari pembahasan mengenai pemilihan domain

COBIT 5, perhitungan nilai risiko terhadap aset, penentuan klausul ISO/IEC

27001:2013, hasil perhitungan maturity level, rekomendasi dan usulan bagi Bidang

Penyelenggaraan E-Government DISKOMINFO Kab. Bogor, implikasi penelitian

serta keterbatasan studi.

101

3.4 Kerangka Penelitian

Gambar 3. 1 Kerangka Penelitian

102

BAB IV

HASIL AUDIT DAN INTERPRETASI HASIL

4.1 Gambaran Umum Organisasi

Sub bab ini akan menjelaskan gambaran umum dari Dinas Komunikasi dan

Informatika Kabupaten Bogor yang mencakup profil, visi dan misi, tugas pokok

serta struktur organisasi.

4.1.1 Profil Dinas Komunikasi dan Informatika Kab. Bogor

Dinas Komunikasi dan Informatika merupakan Dinas di Kabupaten Bogor

yang menyelenggarakan kewenangan urusan Pemerintahan di

bidang Komunikasi dan Informatika, sesuai undang-undang No.23 tahun 2014

tentang Pemerintahan Daerah. Berdasarkan Undang-undang tersebut pada Pasal

12 ayat (2) menyebutkan urusan komunikasi dan informatika merupakan Urusan

Pemerintahan Wajib yang tidak berkaitan dengan Pelayanan Dasar.

Untuk melaksanakan ketentuan Pasal 232 ayat (1) Undang Undang Nomor

23 Tahun 2014 tentang Pemerintahan Daerah, perlu menetapkan Peraturan

Pemerintah tentang Perangkat Daerah dan akhirnya pada tahun 2016 terbitlah

Peraturan Pemerintah Republik Indonesia Nomor 18 Tahun 2016

Tentang Perangkat daerah, dalam Peraturan Pemerintah ini setiap daerah

Kabupaten/Kota harus melakukan pemetaan intensitas urusan pemerintahan dan

penentuan beban kerja perangkat daerah berdasarkan indikator/kelas interval

sesuai urusan bidangnya masing.

103

Setelah dilaksanakannya penilaian beban kerja perangkat daerah,

diskominfo Kabupaten Bogor mendapatkan skor 942 atau Dinas Tipe A dan

tertuang dalam Peraturan Menteri Komunikasi dan Informatika Republik

Indonesia Nomor 13 tahun 2016 tentang hasil pemetaan urusan pemerintahan

daerah di bidang komunikasi dan informatika. Selepas selesainya pemetaan

urusan perangkat daerah di Kabupaten Bogor, pada tanggal 23 Oktober 2016

terbitlah Peraturan Daerah Kabupaten Bogor Nomor 12 Tahun 2016 tentang

Pembentukan dan Susunan Perangkat Daerah dimana terdapat 36 Perangkat

Daerah dan 40 Kecamatan untuk menjalankan urusan/kewenangan yang di

berikan kepada daerah.

Setelah Perda tersebut disahkan maka setiap dinas harus menyusun SOTK

(Susunan Organisasi dan Tata Kerja) masing-masing Dinas. Pada tanggal 14

Desember 2016 ditetapkanlah SOTK tersebut dalam Peraturan Bupati Bogor

Nomor 57 Tahun 2016 tentang Kedudukan, Susunan Organisasi, Tugas dan

Fungsi serta Tata Kerja Dinas Komunikasi dan Informatika Dalam Perbup

tersebut Dinas Komunikasi dan Informatika melaksanakan urusan pemerintahan

di Bidang Komunikasi dan Informatika dan ditambah urusan Bidang Persandian.

Diskominfo Kabupaten Bogor terdiri dari 1 sekretariat (3 Subag) dan 3 Bidang

dimana masing-masing Bidangnya membawahi 3 Seksi dan UPT radio dan

televisi masih tetap berada di bawah naungan Dinas Komunikasi dan Informatika

Kabupaten Bogor.

104

4.1.2 Visi, Misi, Strategi, dan Kebijakan DISKOMINFO Kabupaten Bogor

A. Visi

Sehubungan dengan Visi dan Misi yang dimiliki oleh Kabupaten

Bogor yaitu “Kabupaten Bogor Menjadi Kabupaten Termaju di

Indonesia” maka Visi dan Misi Dinas Komunikasi dan Informatika

Kabupaten Bogor mengacu pada Visi dan Misi Kabupaten Bogor.

B. Misi

Sedangkan Misi dari Kabupaten Bogor antara lain:

1. Meningkatkan kesalehan sosial dan kesejahteraan masyarakat

2. Meningkatkan daya saing perekonomian masyarakat dan

pengembangan usaha berbasis sumber daya alam dan pariwisata

3. Meningkatkan integrasi, koneksitas, kualitas dan kuantitas

infrastruktur wilayah dan pengelolaan lingkungan hidup yang

berkelanjutan

4. Meningkatkan aksesibilitas dan kualitas penyelenggaraan

pendidikan dan pelayanan kesehatan

5. Meningkatkan kinerja penyelenggaraan pemerintahan dan

kerjasama antar daerah dalam kerangka tata kelola pemerintahan

yang baik.

C. Tujuan

Dinas Komunikasi dan Informatika Kabupaten Bogor memiliki

tujuan yang diselaraskan dengan Visi dan Misi Kabupaten Bogor.

Tujuan Dinas Komunikasi dan Informatika Kabupaten Bogor adalah

105

“Meningkatkan Penyelenggaraan Informasi dan Komunikasi

Publik, Aplikasi, dan Informatika dan Persandian yang

Transparant, Akuntabel, Efisien dan Efektif.”

D. Sasaran

Sasaran yang ditetapkan oleh Dinas Komunikasi dan Informatika

Kabupaten Bogor juga diselaraskan dengan Visi dan Misi Kabupaten

Bogor. Sasaran yang ingin dicapai oleh DISKOMINFO Kab. Bogor

adalah “Meningkatnya Tata Pemerintahan Daerah di semua bidang

Komunikasi dan Informatika yang Trasparant, Akuntabel, Efisien dan

Efektif.”

E. Kebijakan Dinas Komunikasi dan Informatika

Kebijakan yang dilakukan oleh Dinas Komunikasi dan

Informatika dalam menyikapi isu-isu strategis adalah sebagai berikut:

Kebijakan 1:

a. Mewujudkan sumber Daya aparatur yang profesioal dengan

menerapkan prinsip-prinsip Good Governance.

b. Mewujudkan kinerja dinas yang akutabel dalam pelayanan publik

dibidang komunikasi dan informatika dan bidang persandian.

Kebijakan 2:

a. Pembangunan Prasarana jaringan intranet dan internet yang

mendukung koneksitas dan integritas data di Kabupaten Bogor.

106

Kebijakan 3:

a. Pembangunan dan Penggunaan Teknologi Informasi untuk

penyediaan dan Pelayanan Informasi kepada masyarakat luas.

b. Pembangunan Jaringan Informasi untuk mendukung Komunikasi

dan pertukaran informasi online dan mewujudkan basis informasi

yang terintegrasi.

Kebijakan 4:

a. Peningkatan hubungan yang harmonis antara Pemerintah Daerah,

Media Massa dan Masyarakat.

b. Peningkatan peran hubungan masyarakat seluruh lembaga

Komunikasi dan Informatika dalam menciptakan image positif

Pemerintah Daerah.

4.1.3 Tugas Pokok dan Fungsi DISKOMINFO Kab. Bogor

Berikut adalah penjelasan tugas pokok dan fungsi yang ada pada Dinas

Komunikasi dan Informatika Kabupaten Bogor

1. Kepala Dinas

Sebagai kepala dinas yang ditunjuk langsung oleh Bupati Bogor,

maka Kepala Dinas Komunikasi dan Informatika Kabupaten Bogor

memiliki tugas sebagai berikut:

a. Membantu Bupati dalam melaksanakan urusan pemerintahan di

bidang komunikasi dan informatika dan bidang persandian, serta

tugas pembantuan;

107

b. Perumusan kebijakan di bidang komunikasi dan informatika dan

bidang persandian;

c. Pelaksanaan kebijakan di bidang komunikasi dan informatika

dan bidang persandian;

d. Pelaksanaan monitoring, evaluasi dan pelaporan di bidang

komunikasi dan informatika dan bidang persandian;

e. Pelaksanaan administrasi Dinas;

f. Pelaksanaan fungsi lain yang diberikan oleh Bupati sesuai

dengan bidang tugasnya.

2. Sekretariat

Sekretariat mempunyai tugas membantu dan bertanggung jawab

kepada Kepala Dinas dalam melaksanakan pengelolaan kesekretariatan

Dinas. Lalu fungsi dari sekretariat antara lain:

a. Pengoordinasian penyusunan program, monitoring, evaluasi

dan pelaporan Dinas

b. Pengelolaan rumah tangga, tata usaha dan kepegawaian Dinas;

c. Pengoordinasian penyusunan rancangan produk hukum;

d. Penyusunan kebijakan penataan organisasi Dinas;

e. Pengelolaan keuangan Dinas;

f. Pengelolaan situs web Dinas;

g. Pelaksanaan fungsi lain yang diberikan oleh pimpinan sesuai


108

Dalam pelaksanaan tugas pokok dan fungsinya, secretariat dipimpin

oleh Sekretaris dan membawahi 3 Sub Bagian sebagai berikut:

1) Sub Bagian Program dan Pelaporan;

2) Sub Bagian Umum dan Kepegawaian;

3) Sub Bagian Keuangan.

3. Sub Bagian Program dan Pelaporan

Sub Bagian Program dan Pelaporan memiliki tugas membantu

sekretaris dalam melaksanakan pengelolaan dan penyusunan program

dan pelaporan Dinas. Sedangkan untuk fungsi Sub Bagian Program dan

Pelaporan antara lain:

a. Penyiapan bahan pengoordinasian penyusunan program,

monitoring, evaluasi dan pelaporan Dinas;

b. Pelaksanaan pengelolaan hubungan masyarakat;

c. Pengelolaan penyusunan anggaran Dinas;

d. Pengelolaan situs web Dinas;

e. Pelaksanaan fungsi lain yang diberikan pimpinan sesuai dengan

bidang tugasnya.

4. Sub Bagian Umum dan Kepegawaian

Sub Bagian Umum dan Kepegawaian memiliki tugas membantu

sekretaris dalam melaksanakan pengelolaan rumah tangga, tata usaha

dan administrasi kepegawaian Dinas. Sedangkan fungsi dari Sub Bagian

Umum dan Kepegawaian antara lain:

a. Pengelolaan rumah tangga dan tata usaha Dinas;

109

b. Pengelolaan barang/jasa Dinas;

c. Penyiapan bahan penyusunan rancangan produk hukum;

d. Penyiapan bahan penyusunan kebijakan penataan organisasi

Dinas;

e. Pengelolaan layanan administrasi kepegawaian Dinas;

f. Pelaksanaan fungsi lain yang diberikan oleh pimpinan sesuai


5. Sub Bagian Keuangan

Sub Bagian Keuangan memiliki tugas membantu sekretaris dalam

melaksanakan pengelolaan keuangan Dinas. Sedangkan fungsi dari Sub

Bagian Keuangan antara lain:

a. Penatausahaan keuangan Dinas;

b. Penyusunan pelaporan keuangan Dinas;

c. Pelaksanaan fungsi lain yang diberikan oleh pimpinan sesuai


6. Bidang Pengelolaan Informasi dan Komunikasi Publik

Bidang Pengelolaan Informasi dan Komunikasi Publik mempunyai

tugas membantu Kepala Dinas dalam penyusunan dan pelaksanaan

kebijakan, penyusunan norma, standar prosedur dan kriteria, dan

pemberian bimbingan teknis dan supervisi, serta pemantauan,

evaluasi,dan pelaporan penyediaan konten lintas sektoral, pengelolaan

media komunikasi publik, pengelolaan informasi untuk mendukung

kebijakan nasional dan pemerintah daerah, pengelolaan opini dan

110

aspirasi publik di lingkup pemerintah daerah serta pelayanan informasi

publik di daerah.

Untuk menyelenggarakan tugas sebagaimana dimaksud, Bidang

Pengelolaan Informasi dan Komunikasi Publik mempunyai fungsi:

a. Penyusunan kebijakan penyediaan konten lintas sektoral,

pengelolaan media komunikasi publik, pengelolaan informasi

untuk mendukung kebijakan nasional dan pemerintah daerah,

Pengelolaan opini dan aspirasi publik serta pelayanan informasi

publik di daerah;

b. Pelaksanaan kebijakan penyediaan konten lintas sektoral,



pengelolaan opini dan aspirasi publik serta pelayanan informasi

publik di daerah;

c. Penyusunan norma, standar, prosedur, dan kriteria

penyelenggaraan penyediaan konten lintas sektoral,



pengelolaan opini dan aspirasi publik serta pelayanan informasi

publik di daerah;

d. Pemberian bimbingan teknis dan supervisi penyediaan konten

lintas sektoral, pengelolaan media komunikasi publik,

pengelolaan informasi untuk mendukung kebijakan nasional

111

dan pemerintah daerah, pengelolaan opini dan aspirasi publik di

lingkup pemerintah daerah serta pelayanan informasi publik di

daerah;

e. Pemantauan, evaluasi, dan pelaporan penyediaan konten lintas

sektoral, pengelolaan media komunikasi publik, pengelolaan

informasi untuk mendukung kebijakan nasional dan pemerintah

daerah, pengelolaan opini dan aspirasi publik di lingkup

pemerintah daerah serta pelayanan informasi publik di daerah;

f. Pelaksanaan monitoring, evaluasi dan penyusunan pelaporan

Bidang Pengelolaan Informasi dan Komunikasi Publik; dan

g. Pelaksanaan fungsi lain yang diberikan oleh pimpinan sesuai


Dalam melaksanakan tugas pokok dan fungsinya, Bidang

Pengelolaan Informasi dan Komunikasi Publik dipimpin oleh seorang

Kepala Bidang dan membawahi 3 Kepala Seksi sebagai berikut:

1) Seksi Media Publik

2) Seksi Pengelolaan Informasi

3) Seksi Layanan Informasi Publik

7. Bidang Penyelenggaraan E-Government

Bidang Penyelenggaraan E-Government mempunyai tugas

membantu Kepala Dinas dalam penyusunan dan pelaksanaan kebijakan,

penyusunan norma, standar, prosedur dan kriteria, dan pemberian

bimbingan teknis dan supervisi, serta pemantauan, evaluasi, dan

112

pelaporan layanan infrastruktur dasar data center, disaster recovery

center dan Teknologi, Informasi dan Komunikasi (TIK) pemerintah

daerah, layanan pengembangan intranet dan penggunaan akses internet,

layanan pengembangan dan pengelolaan aplikasi generik, spesifik dan

suplemen yang terintegrasi, layanan manajemen data informasi e-

Government, Integrasi layanan publik dan kepemerintahan, persandian

dan layanan keamanan informasi e-Government dan layanan sistem

kornunikasi intra pemerintah daerah.


Penyelenggaraan E-Government mempunyai fungsi:

a. Penyusunan kebijakan layanan infrastruktur dasar data center,

disaster recovery center dan Teknologi, Informasi dan

Komunikas (TIK) pemerintah daerah, layanan pengernbangan

intranet dan penggunaan akses internet, layanan pengembangan

dan pengelolaan aplikasi generik, spesifik dan suplemen yang

terintegrasi, layanan manajemen data informasi e-Government,

Integrasi layanan publik dan kepemerintahan, persandian dan

layanan keamanan informasi e-Government, dan layanan sistem

komunikasi intra pemerintah daerah;

b. Pelaksanaan kebijakan layanan infrastruktur dasar data center,


Komunikasi (TIK) pemerintah daerah, layanan pengembangan


113







Penyelenggaraan layanan infrastruktur dasar data center,


Komunikasi (TIK) pemerintah daerah, layanan pengembangan







d. Pemberian bimbingan teknis dan supervisi layanan infrastruktur

dasar data center, disaster recovery center dan Teknologi,

Informasi dan Kornunikas (TIK) pemerintah daerah, layanan

pengernbangan intranet dan penggunaan akses internet, layanan

pengembangan dan pengelolaan aplikasi generik, spesifik dan

suplemen yang terintegrasi, layanan manajemen data informasi

e-Government, Integrasi layanan publik dan kepemerintahan,

114

persandian dan layanan keamanan informasi e-Government, dan

layanan sistem komunikasi intra pemerintah daerah;

e. Pemantauan, evaluasi, dan pelaporan layanan infrastruktur dasar

data center, disaster recovery center dan Teknologi, Informasi

dan Komunikasi (TIK) pemerintah daerah, layanan

pengembangan intranet dan penggunaan akses internet, layanan

pengembangan dan pengelolaan aplikasi generik, spesifik dan

suplemen yang terintegrasi, layanan manajemen data informasi

e-Government, Integrasi layanan publik dan kepemerintahan,

persandian dan layanan keamanan informasi e-Government, dan

layanan sistem komunikasi intra pemerintah daerah;


Bidang Penyelenggaraan e-Government.

Dalam melaksanakan tugas pokok dan fungsinya Bidang

Penyelenggaraan E-Government dipimpin oleh seorang Kepala Bidang

dan membawahi 3 Kepala Seksi sebagai berikut:

1) Seksi Infrastruktur dan Teknologi;

2) Seksi Pengembangan Aplikasi dan Data;

3) Seksi Persandian dan Keamanan Informasi.

8. Bidang Layanan Komunikasi dan Informatika

Bidang Layanan Komunikasi dan Informatika mempunyai tugas

membantu Kepala Dinas dalam penyusunan dan pelaksanaan kebijakan,

penyusunan norma, standar, prosedur dan kriteria, dan pembenan

115

bimbingan teknis dan supervisi, serta pemantauan, evaluasi, dan

pelaporan layanan hubungan media, penguatan kapasitas sumber daya

komunikasi publik dan penyediaan akses informasi, pengembangan

sumber daya Teknologi, Informasi dan Komunikasi (TIK) pemerintah

dan masyarakat di daerah, penyelenggaraan Government Chief

Information Officer (GCIO) pemerintah daerah, penyelenggaraan

ekosistem TIK smart city di daerah, layanan nama domain dan sub

domain bagi lembaga, serta pelayanan publik dan kegiatan daerah.


Layanan Komunikasi dan Informatika mempunyai fungsi:

a. Penyusunan kebijakan layanan hubungan media, penguatan

kapasitas sumber daya komunikasi publik dan penyediaan akses

informasi, pengembangan sumber daya Teknologi, Informasi

dan Komunikasi (TIK) pemerintah dan masyarakat di daerah,

penyelenggaraan Government Chief Information Officer

(GCIO) pemerintah daerah, penyelenggaraan ekosistem TIK

smart city di daerah, layanan nama domain dan sub domain bagi

lembaga, serta pelayanan publik dan kegiatan daerah;

b. Pelaksanaan kebijakan layanan hubungan media, penguatan

kapasitas sumber daya komunikasi publik dan penyediaan akses




116





penyelenggaraan layanan hubungan media, penguatan kapasitas

sumber daya komunikasi publik dan penyediaan akses







d. Pemberian bimbingan teknis dan supervisi layanan hubungan

media, penguatan kapasitas sumber daya komunikasi publik dan

penyediaan akses informasi, pengembangan sumber daya

Teknologi, Informasi dan Komunikasi (TIK) pemerintah dan

masyarakat di daerah, penyelenggaraan Government Chief

Information Officer (GCIO) pemerintah daerah,

penyelenggaraan ekosistem TIK smart city di daerah, layanan

nama domain dan sub domain bagi lembaga, serta pelayanan

publik dan kegiatan daerah;

e. Pemantauan, evaluasi, dan pelaporan layanan hubungan media,

penguatan kapasitas sumber daya komunikasi publik dan

117

penyediaan akses informasi, pengembangan sumber daya

Teknologi, Informasi dan Komunikasi (TIK) pemerintah dan

masyarakat di daerah, penyelenggaraan Government Chief

Information Officer (OCIO) pemerintah daerah,

penyelenggaraan ekosistem TIK smart city di daerah, layanan

nama domain dan sub domain bagi lemoaga, serta pelayanan

publik dan kegiatan daerah; dan


Bidang Layanan Komunikasi dan Informatika.

Dalam melaksanakan tugas pokok dan fungsinya Bidang Layanan

Komunikasi dan Informatika dipimpin oleh seorang Kepala Bidang dan

membawahi 3 Kepala Seksi sebagai berikut:

1) Seksi Hubungan Masyarakat dan Media Massa

2) Seksi Pengelolaan Sumber Daya dan Layanan Publik

3) Seksi Layanan Tata Kelola E-Government

9. Jabatan Fungsional Arsiparis

Arsiparis mempunyai tugas pokok menata, menyusun dan

mengamankan arsip Dinas Komunikasi dan Informatika Daerah

Kabupaten Bogor.

118

4.1.4 Logo Dinas Komunikasi dan Informatika Kab. Bogor

Gambar 4.1 merupakan logo Dinas Komunikasi dan Informatika Kabupaten

Bogor:

Gambar 4. 1 Logo Dinas Komunikasi dan Informatika Kab. Bogor

4.1.5 Struktur Organisasi Dinas Komunikasi dan Informatika Kab. Bogor

Gambar 4.2 merupakan struktur organisasi Dinas Komunikasi dan

Informatika Kabupaten Bogor:

Gambar 4. 2 Struktur Organisasi DISKOMINFO Kab. Bogor

Selain struktur Dinas Komunikasi dan Informatika Kabupaten Bogor secara

keseluruhan, penulis juga memetakkan struktur organisasi yang ada di Bidang

119

Penyelenggaraan E-Government yang terdiri dari 3 Seksi yaitu Seksi Infrastruktur

dan Teknologi, Seksi Pengembangan Aplikasi dan Data serta Seksi Persandian

dan Keamanan Informasi. Gambar 4.3 merupakan struktur dari Seksi

Pengembangan Aplikasi dan Data dan gambar 4.4 merupakan struktur dari Seksi

Infrastruktur dan Teknologi

Gambar 4. 3 Struktrur Seksi Pengembangan Aplikasi dan Data

Gambar 4. 4 Struktur Seksi Infrastruktur dan Teknologi

4.2 Assessment Process Activities COBIT 5

Dalam penelitian ini penulis menggunakan Initiation yang ada pada

Assessment Process Activities COBIT 5. Hasil serta pembahasan dari Initiation

dapat dilihat di bawah ini

4.2.1 Initiation

Di bawah ini merupakan pembahasan dari tahap Initiation yang hanya terdiri

dari satu tahap yaitu menjabarkan fokus area menurut COBIT 5.

120

4.2.1.1 Fokus Area COBIT 5

Pada tahap ini dilakukan penetapan lingkup audit yang akan

dilakukan di Bidang Penyelenggaraan E-Government Dinas Komunikasi

dan Informatika Kabupaten Bogor berdasarkan identifikasi masalah yang

ada agar dapat dipetakan sehingga diperoleh domain proses COBIT 5 yang

akan diaudit. Berdasarkan tujuan jangka menengah Dinas Komunikasi dan

Informatika Kab. Bogor yaitu “Meningkatkan Penyelenggaraan

Informasi dan Komunikasi Publik, Aplikasi, dan Informatika dan

Persandian yang Transparant, Akuntabel, Efisien dan Efektif” terdapat

beberapa enterprise goals COBIT 5 yang sesuai dengan tujuan Dinas

Komunikasi dan Informatika, yaitu:

1) Compliance with external laws and regulations (Mematuhi hukum

dan peraturan eksternal)

Untuk mencapai tujuan penyelenggaraan yang transparan,

akuntabel, efisien, dan efektif maka perlu adanya kepatuhan terhadap

peraturan eksternal organisasi seperti peraturan pemerintah. Terlebih

lagi Dinas Komunikasi dan Informatika Kab. Bogor bertanggung

jawab terhadap Bupati Bogor sehingga harus mematuhi peraturan

bupati yang telah ditetapkan dalam melakukan kegiatan

operasionalnya.

2) Financial transparency (Transparansi keuangan)

Transparansi keuangan juga dibutuhkan dalam mencapai tujuan

tersebut. Dengan transparansi keuangan dapat membuat kepercayaan

121

publik terhadap lembaga pemerintahan menjadi meningkat karena

masyarakat dapat mengetahui berapakah anggaran yang disediakan

dan digunakan dalam bidang komunikasi dan informatika di

Kabupaten Bogor. Sehingga apabila terdapat kelebihan atau

kekurangan anggaran, maka masyarakat dapat turut serta

memberikan masukkan kepada Pemerintah Kabupaten Bogor.

3) Optimisation of service delivery costs (Optimalisasi biaya

pengiriman layanan)

Dengan berkembangannya teknologi dan media sosial maka

dapat mengurangi biaya dalam melakukan sosialisai terhadap

layanan yang dimiliki oleh instansi ke masyarakat. Contohnya pada

Dinas Komunikasi dan Informatika Kab. Bogor memiliki sebuah

website yang di dalamnya berisi profil, dokumen renstra, info kontak

dan layanan lain yang dimiliki oleh Dinas Komunikasi dan

Informatika Kab. Bogor sebagai informasi kepada masyarakat yang

ingin mengakses informasi tentang Dinas Komunikasi dan

Informatika Kab. Bogor.

4) Optimisation of business process costs (Optimalisasi biaya proses

bisnis)

Optimalisasi biaya proses bisnis juga diperlukan karena seperti

yang kita ketahui bahwa saat ini birokrasi di instansi-instansi

pemerintahan cenderung rumit dan memakan waktu yang lama. Hal

122

tersebut tanpa disadari menimbulkan kerugian bagi pihak instansi

maupun masyarakat.

Berdasarkan penjabaran hasil identifikasi beberapa enterprise goals

yang berkaitan dengan tujuan organisasi di atas, maka enterprise goals yang

sesuai adalah Compliance with external laws and regulations karena tugas,

fungsi, dan tata kerja yang dilakukan oleh DISKOMINFO Kabupaten Bogor

sudah diatur di dalam Peraturan Bupati Bogor Nomor 57 Tahun 2016 dan

ditambah dengan Peraturan Bupati Bogor Nomor 11 Tahun 2015 yang

mengatur salah satu tugas inti dari DISKOMINFO Kabupaten Bogor untuk

melaksanakan dan mengembangkan e-government di lingkungan

pemerintah Kabupaten Bogor. Sehingga dalam pelaksanaannya

DISKOMINFO Kabupaten Bogor harus mematuhi peraturan tersebut.

Dari penjelasan di atas kemudian penulis melakukan pemetaan

enterprise goals yang terpilih dengan IT-related goals COBIT 5. Di bawah

ini adalah pemetaan IT-related goals yang termasuk dalam Compliance with

external laws and regulations:

123

Gambar 4. 5 Pemetaan IT-Related Goals

Dari hasil pemetaan di atas dapat diketahui bahwa IT-related goals

yang terpilih sesuai dengan primary yang direkomendasikan oleh COBIT 5

dengan enterprise goals “Compliance with external laws and regulations”

yaitu sebagai berikut:

124

1) IT compliance and support for business compliance with

external laws and regulations (Kepatuhan dan dukungan TI

untuk kepatuhan bisnis dengan undang-undang dan peraturan

eksternal)

2) Security of information, processing infrastructure and

applications (Keamanan informasi, infrastruktur pemrosesan

dan aplikasi)

Berdasarkan penjabaran hasil pemetaan IT-related goals di atas,

kemudian penulis melakukan penyelarasan dengan IT-related goals pada

Bidang Penyelenggaraan E-Government dengan mengidentifikasi tugas

Bidang Penyelengaraan E-Government yang mendukung enterprise goal

namun dalam hal keamanan informasi. Berdasarkan tujuan Dinas

Komunikasi dan Informatika Kab. Bogor yaitu “Meningkatkan

Penyelenggaraan Informasi dan Komunikasi Publik, Aplikasi, dan

Informatika dan Persandian yang Transparant, Akuntabel, Efisien dan

Efektif” maka Bidang Penyelenggaraan E-Government memiliki tugas

yaitu “Melaksanakan kebijakan layanan infrastruktur dasar data

center, layanan pengembangan dan pengelolaan aplikasi, layanan

manajemen data informasi e-Government, layanan keamanan

informasi e-Government, dan layanan sistem komunikasi intra

pemerintah daerah.” Sehingga IT-related goals COBIT 5 yang sesuai

dengan keadaan dan IT-related goals Bidang Penyelenggaraan E-

125

Government adalah Security of information, processing infrastructure and

applications.

Dari penjelasan di atas kemudian penulis melakukan pemetaan IT-

related goals yang terpilih dengan COBIT 5 process. Di bawah ini

merupakan pemetaan COBIT 5 process yang termasuk dalam Security of

information, processing infrastructure and applications:

Gambar 4. 6 COBIT 5 Process

126

Gambar 4. 7 COBIT 5 Process

Dari hasil pemetaan pada gambar dan gambar di atas dapat diketahui

bahwa IT-related goals Security of information, processing infrastructure

and applications menghasilkan 5 proses COBIT yang primary atau

memiliki hubungan penting, yaitu EDM03 Ensure Risk Optimisation,

127

APO12 Manage Risk, APO13 Manage Security, BAI06 Manage Changes,

dan DSS05 Manage Security Services.

Hasil pemetaan tersebut kemudian disesuaikan lagi dengan Rencana

Strategis dari Dinas Komunikasi dan Informatika Tahun 2013-2018 yang di

dalamnya berisi rencana melakukan sertifikasi ISO/IEC 27001:2013. ISO

27001:2013 ini memfokuskan diri pada keamanan sistem informasi suatu

organisasi dan merupakan standar dalam Information Security Management

System (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) yang

menyediakan apa-apa saja yang harus dilakukan dalam upaya menerapkan

konsep keamanan informasi di organisasi atau perusahaan.

Dari 5 proses COBIT yang terpilih di atas, proses APO13 Manage

Security di dalamnya berisi tentang Information Security Management

System (ISMS) atau Sistem Manajemen Keamanan Informasi. Pada Bab II

terdapat penjabaran dari sub-process yang terdapat dari masing-masing

COBIT 5 process dan sub-process pada APO13 itu antara lain:

1) APO13.01 Establish and maintain an ISMS (Menetapkan dan

Mempertahankan Sistem Manajemen Keamanan Informasi)

2) APO13.02 Define and manage on information security risk

treatment plan (Menetapkan dan mengelola rencana perawatan

risiko keamanan informasi)

3) APO13.03 Monitor and review the ISMS (Pantau dan tinjau

Sistem Manajemen Keamanan Informasi)

128

Oleh karena itu penulis membatasi penelitian ini pada proses COBIT

5 APO13 Manage Security untuk melihat langkah seperti apa yang sudah

dilakukan oleh Bidang Penyelenggaraan E-Government Dinas Komunikasi

dan Informatika Kabupaten Bogor dalam melaksanakan Sistem Manajemen

Keamanan Informasi. Untuk pembahasan Sistem Manajemen Keamanan

Informasi akan menggunakan Standar ISO/IEC 27001:2013 karena sesuai

dengan kebutuhan Dinas Komunikasi dan Informatika Kabupaten Bogor.

4.3 Metode Perencanaan Sistem Manajemen Keamanan Informasi

Metode perencanaan Sistem Manajemen Keamanan Informasi terdiri dari

empat tahap yaitu tahap plan, tahap do, tahap check, dan tahap act (PDCA). Di

bawah ini merupakan penjelasan dari tahap-tahap tersebut.

4.3.1 Tahapan Plan

Tahapan plan ini berisi penulis mengumpulkan informasi tentang aset apa

saja yang dimiliki oleh Bidang Penyelenggaraan E-Government Dinas

Komunikasi dan Informatika Kabupaten Bogor untuk selanjutnya dapat dilakukan

penilaian aset yang terdapat pada tahap Do. Selain itu tahap ini juga berisi

penjelasan untuk menentukan ruang lingkup sistem manajemen keamanan

informasi serta menentukan kebijakan sistem manajemen keamanan informasi.

Selain Penjelasan masing-masing dapat dilihat di bawah ini

4.3.1.1 Menentukan Ruang Lingkup Sistem Manajemen Keamanan

Informasi

Penulis membatasi ruang lingkup penelitian ini pada Bidang


Kabupaten Bogor. Pembatasan ruang lingkup penelitian ini dikarenakan

129

Bidang Penyelenggaraan E-Government ini merupakan bidang yang

bertanggung jawab sebagai wali data untuk menjaga data dan informasi milik

dinas-dinas lain di wilayah Kabupaten Bogor serta pada bidang ini juga

mengelola infrastruktur-infrastruktur seperti ruang server, UPS, serta jaringan

internet sehingga bidang ini harus diberikan perlindungan semaksimal

mungkin. Hasil akhir dari penelitian ini adalah memberikan rekomendasi

perbaikan Sistem Manajemen Keamanan Informasi bagi Bidang


Kabupaten Bogor yang sesuai dengan standar ISO/IEC 27001:2013.

4.3.1.2 Menentukan Kebijakan Sistem Manajemen Keamanan

Informasi

Ketika suatu organisasi merencanakan Sistem Manajemen

Keamanan Informasi berdasarkan Standar ISO 27001:2013, terdapat beberapa

rangkaian proses untuk mengoperasikan pengamanan teknologi informasi dan

dituangkan dalam kebijakan yang menjadi dasar dalam menerapkan SMKI di

organisasi.

Demi kesuksesan bisnis, Bidang Penyelenggaraan E-Government

DISKOMINFO Kab. Bogor memerlukan perlindungan terhadap aset

organisasi yang vital. Oleh karena itu dibutuhkan Sistem Manajemen

Keamanan Informasi (SMKI) yang akan diimplementasikan di Bidang

Penyelenggaraan E-Government DISKOMINFO Kab. Bogor. Bidang

Penyelenggaraan E-Government DISKOMINFO Kab. Bogor juga harus

mampu memelihara serta mengembangkan SMKI sesuai dengan kebutuhan

130

untuk perkembangan bisnis Bidang Penyelenggaraan E-Government

DISKOMINFO Kab. Bogor.

Terdapat beberapa arahan serta tujuan penerapan SMKI yang sesuai

dengan kebijakan keamanan informasi, beberapa arahan tersebut antara lain:

1. Tujuan

Seluruh pegawai DISKOMINFO Kab. Bogor, khususnya

pegawai Bidang Penyelenggaraan E-Government wajib untuk

mengikuti kebijakan keamanan informasi karena hal tersebut

merupakan salah satu bagian dari SMKI. Tujuan pegawai

diwajibkan mengikuti kebijakan keamanan informasi adalah untuk

ikut serta melindungi keamanan informasi dari 3 aspek kerahasiaan

(informasi hanya bisa diakses oleh mereka yang punya hak akses),

integritas (informasi yang ada dalam keadaan utuh dan tidak ada

yang hilang), dan ketersediaan (informasi selalu ada ketika

dibutuhkan oleh pengguna). Terlebih lagi data yang dimiliki oleh

Bidang Penyelenggaraan E-Government bukan hanya data milik

DISKOMINFO Kab. Bogor saja, namun juga data milik OPD lain

yang ada di wilayah Kabupaten Bogor dan apabila data-data tersebut

hilang karena sebuah insiden maka citra Dinas Komunikasi dan

Informatika Kabupaten Bogor akan menjadi buruk di masyarakat.

2. Kebijakan

Bidang Penyelenggaraan E-Government Dinas Komunikasi

dan Informatika Kabupaten Bogor harus melindungi aset informasi

131

secara tepat, terlepas dari nilai, ancaman, serta kerentanan yang

dapat terjadi. Oleh karena itu Kepala Bidang Penyelenggaraan E-


harus memastikan komitmen pihak manajemen untuk memberikan

anggaran yang cukup, serta sumber daya manusia yang memiliki

kompetensi dalam bidang keamanan informasi untuk ditempatkan

dalam tugas tersebut. Selain itu Kepala Bidang Penyelenggara E-

Government harus menyediakan prosedur-prosedur yang akan

digunakan sebagai acuan dalam berbagai kegiatan yang ada, karena

kegiatan yang ada pada Bidang Penyelenggaraan E-Government

hanya mengacu kepada Peraturan Bupati Bogor Nomor 57 Tahun

2016 dan ditambah dengan Peraturan Bupati Bogor Nomor 11

Tahun 2015 namun tidak diterjemahkan ke dalam prosedur-prosedur

dalam melakukan kegiatan tersebut.

Tujuan dari pernyataan kebijakan ini untuk membangun

Sistem Manajemen Keamanan SMKI di Bidang Penyelenggaraan E-


yang sesuai dengan standar ISO/IEC 27001:2013 yang bertujuan

untuk menghambat akses yang tidak tepat, transfer dan perubahan

data yang tidak sah, kerusakan aset informasi serta pencurian

terhadap aset informasi. Para pegawai yang ada di Bidang


Kabupaten Bogor juga harus diberikan arahan untuk mengikuti

132

kebijakan, kontrol serta pedoman ini dengan cara memberikan

pelatihan keamanan informasi secara berkala agar setiap staf

memiliki pengetahuan pentingnya keamanan informasi itu. Serta

staf juga harus diberikan hukuman tertentu apabila tidak

menjalankan kebijakan keamanan informasi ini.

Kepala Bidang Penyelenggaraan E-Government Dinas

Komunikasi dan Informatika Kabupaten Bogor memiliki tanggung

jawab untuk melaksanakan proses SMKI di bidangnya. Bidang


Kabupaten Bogor juga dapat melakukan penilaian risiko secara

berkala untuk mengetahui risiko apa saja yang mungkin terjadi

terhadap aset yang dimiliki agar dapat menentukan tindakan apa

yang dapat dilakukan untuk mencegah atau mengatasi risiko

tersebut.

4.3.2 Tahapan Do

Tahap Do berisi dua kegiatan yaitu Melakukan Identifikasi Risiko serta

Melakukan Analisis dan Evaluasi Risiko. Penjelasan masing-masing kegiatan

dapat dilihat di bawah ini

4.3.2.1 Melakukan Identifikasi Risiko

Dalam melakukan identifikasi risiko terdapat beberapa langkah yang

harus dilakukan antara lain melakukan identifikasi dan penilaian aset serta

melakukan identifikasi ancaman, kelemahan, dan menghitung nilai aset.

Penjelasan masing-masing dapat dilihat di bawah ini

133

4.3.2.1.1 Mengidentifikasi Aset dan Menghitung Nilai Aset Dalam

SMKI

Langkah pertama dalam mengidentifikasi risiko adalah

melakukan identifikasi aset yang terkait dengan informasi pada Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor. Dua

jenis aset dapat dibedakan sebagai berikut:

1. Aset Utama

Tabel 4.1 merupakan aset utama yang diidentifikasi

oleh penulis di Bidang Penyelenggaraan E-Government

Dinas Komunikasi dan Informatika Kabupaten Bogor:

Tabel 4. 1 Aset Utama Bidang Penyelenggaraan E-Government

No Nama Aset Jenis Penjelasan Lokasi

1 Database SIMKAS

(Rencana Kerja Anggaran

Sekolah)

Informasi Database berisi data aplikasi

SIMKAS

DISKOMINFO

Kab. Bogor

2 Database SIMPEG

(Sistem Informasi

Manajemen Kepegawaian)


SIMPEG

DISKOMINFO

Kab. Bogor

3 Database SIAP Online

(Sistem Informasi Absensi

Pegawai)


SIAP Online

DISKOMINFO

Kab. Bogor

4 Database RKPD Online Informasi Database berisi data aplikasi

RKPD

DISKOMINFO

Kab. Bogor

5 Database SIVANERJA

(Sistem Evaluasi Kinerja)


SIVANERJA

DISKOMINFO

Kab. Bogor

6 Database Sistem

Informasi Pengendalian

Menara

Informasi Database berisi data Sistem

Informasi Pengendalian

Menara

DISKOMINFO

Kab. Bogor

2. Aset Pendukung

Tabel 4.2 merupakan aset pendukung yang

diidentifikasi penulis pada Bidang Penyelenggaraan E-

Government Dinas Komunikasi dan Informatika Kabupaten

Bogor:

134

Tabel 4. 2 Aset Pendukung Bidang Penyelenggaraan E-Goverment

No Nama Aset Jenis Penjelasan Lokasi

1 Desktop (Personal

Computer) Hardware

Komputer yang dipakai

oleh karyawan

DISKOMINFO

DISKOMINFO

Kab. Bogor

2 Server WEB Physical Hardware

Digunakan pada Web

DISKOMINFO untuk

mengakses Web data

DISKOMINFO Merk:

IBM

DISKOMINFO

Kab. Bogor

3 Mail Server Hardware Digunakan untuk server

email Kab. Bogor

DISKOMINFO

Kab. Bogor

4 WHM (Web Host

Manager) Software

Tools yang digunakan

untuk mengelola akun

cPanel

DISKOMINFO

Kab. Bogor

5 CentOS Software

Operating system yang

digunakan pada komputer

Server

DISKOMINFO

Kab. Bogor

6 Ubuntu Software



Server

DISKOMINFO

Kab. Bogor

7 Windows XP Software



karyawan

DISKOMINFO

Kab. Bogor

8 Windows 7 Software



karyawan

DISKOMINFO

Kab. Bogor




karyawan

DISKOMINFO

Kab. Bogor




karyawan

DISKOMINFO

Kab. Bogor

11 Kaspersky Software Antivirus yang digunakan

pada komputer karyawan

DISKOMINFO

Kab. Bogor

12 Microsoft Office 2013 Software

Pengolah data yang


karyawan

DISKOMINFO

Kab. Bogor

13 Air Conditioner (AC) Fasilitas

Pendukung

Perangkat Pendingin

Ruangan

DISKOMINFO

Kab. Bogor

14 CCTV Fasilitas

Pendukung

Alat perekam kamera

pengintai yang dapat

merekam gambar dan

suara.

DISKOMINFO

Kab. Bogor

15 Access Door Fasilitas

Pendukung

Akses masuk untuk

mengatur atau mengontrol

siapa saja yang berhak

masuk ke dalam suatu

ruangan

Ruang Server

DISKOMINFO

Kab. Bogor

16 Printer Fasilitas

Pendukung

Hardware output yang

memiliki fungsi sebagai

alat pencetak yang ada di

layar monitor menjadi

tampil di lembar kertas

DISKOMINFO

Kab. Bogor

135

17 Infocus Fasilitas

Pendukung

Hardware output yang

memiliki fungsi sebagai

alat pencetak yang ada di

layar monitor menjadi

tampil di papan tulis

DISKOMINFO

Kab. Bogor

18 UPS Jaringan

Sebagai alat backup listrik

jika kehilangan energi dari

sumber utamanya

DISKOMINFO

Kab. Bogor

19 Fiber Optic Jaringan

Kabel jaringan yang dapat

mentransmisi data melalui

media cahaya

DISKOMINFO

Kab. Bogor

serta di

beberapa Kantor

OPD di Wilayah

Jl. Tegar

Beriman,

Cibinong

20 Router Jaringan

Perangkat yang berfungsi

menghubungkan beberapa

jaringan yang sama atau

berbeda

DISKOMINFO

Kab. Bogor

21 Switch Jaringan

Perangkat yang berfungsi

sebagai alat penghubung

antar komputer

DISKOMINFO

Kab. Bogor

22 Wi-Fi Jaringan

Berfungsi untuk

komunikasi atau transfer

program dan data

DISKOMINFO

Kab. Bogor

23 Visitor Management

System Aplikasi

Aplikasi yang digunakan

untuk mendata

pengunjung

DISKOMINFO Kab

Bogor

DISKOMINFO

Kab. Bogor

24

Aplikasi Monitoring

Jaringan

(DUDE)

Aplikasi Aplikasi yang digunakan

untuk memonitor jaringan

DISKOMINFO

Kab. Bogor

25

Aplikasi Monitoring

Trafik pemakaian

bandwidth internet

(Aplikasi MRTG)

Aplikasi

Aplikasi yang digunakan

untuk memonitor trafik

bandwidth internet

DISKOMINFO

Kab. Bogor

Setelah semua aset Bidang Penyelenggaraan E-Government

DISKOMINFO Kabupaten Bogor teridentifikasi, tahap selanjutnya adalah

melakukan perhitungan nilai dari masing-masing aset yang dimiliki oleh

Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor

dengan menggunakan tiga aspek keamanan informasi yaitu kerahasiaan

(confidentiality), keutuhan (integrity), dan ketersediaan (availability).

136

Tabel 4.3 merupakan hasil peniliaian aset utama dan tabel 4.4

merupakan hasil penilaian aset pendukung yang dimiliki oleh Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor dengan

menggunakan aspek keamanan informasi CIA. Penilaian aset ini dilakukan

oleh Kepala Seksi Pengembangan Aplikasi dan Data dengan rumus

Nilai Aset = NC + NI + NA

1. Aset Utama

Tabel 4. 3 Nilai Aset Utama

No Nama Aset Nilai

Confidentiality

(NC)

Nilai

Integrity

(NI)

Nilai

Availability

(NA)

Nilai

Aset

1 Database SIMKAS

(Rencana Kerja

Anggaran Sekolah)

2 1 3 6

2 Database SIMPEG

(Sistem Informasi

Manajemen

Kepegawaian)

2 2 3 7

3 Database SIAP Online

(Sistem Informasi

Absensi Pegawai)

2 2 3 7

4 Database RKPD

Online 2 3 2 7

5 Database

SIVANERJA (Sistem

Evaluasi Kinerja)

2 3 2 7

6 Database Sistem

Informasi

Pengendalian Menara

3 2 4 9

137

2. Aset Pendukung

Tabel 4. 4 Nilai Aset Pendukung

No Nama Aset Nilai

Confidentiality

(NC)

Nilai

Integrity

(NI)

Nilai

Availability

(NA)

Nilai Aset

1 Desktop (PC) 1 3 1 5

2 Server WEB 2 2 3 7

3 Mail Server 3 2 3 8

4 WHM (Web Host

Manager) 3 2 3 8

5 CentOS 2 3 3 8

6 Ubuntu 3 2 3 8

7 Windows XP 1 3 1 5

8 Windows 7 1 3 1 5

9 Windows 8 1 3 1 5

10 Windows 10 1 3 1 5

11 Kaspersky 1 3 1 5

12 Microsoft Office

2013 1 3 1 5

13 Air Conditioner

(AC) 2 4 3 9

14 CCTV 2 3 3 8

15 Access Door 2 4 3 9

16 Printer 2 4 1 7

17 Infocus 2 4 1 7

18 UPS 2 4 3 9

19 Fiber Optic 3 4 3 10

20 Switch 3 4 3 10

21 Wi-Fi 2 3 1 6

22 Router 3 4 3 10

23 Visitor

Management

System

2 2 1 5

24 Aplikasi

Monitoring

Jaringan

2 2 1 5

25 Aplikasi

Monitoring Trafik

pemakaian

bandwidth internet

2 2 1 5

Setelah melakukan perhitungan terhadap aset utama serta aset

pendukung di Bidang Penyelenggaraan E-Government DISKOMINFO

Kabupaten Bogor, langkah selanjutnya adalah melakukan identifikasi

kelemahan, ancaman serta menilai probabilitas kelemahan serta ancaman

138

tersebut terhadap aset utama dan aset pendukung. Langkah tersebut

dijelaskan di bawah ini

4.3.2.1.2 Mengidentifikasi Kelemahan, Ancaman, dan Menilai

terhadap Aset

Ancaman adalah kejadian yang bisa membuat suatu perusahaan

mengalami kerugian yang dapat berupa uang, tenaga, upaya, reputasi nama

baik, dan yang paling parah dapat membuat organisasi pailit (IBISA, 2011).

Sedangkan kelemahan adalah kekurangan dari prosedur keamanan

informasi, perencanaan, implementasi atau kontrol internal di dalam

organisasi terhadap penjagaan informasi yang dapat menimbulkan ancaman

di dalamnya. Tujuannya adalah untuk memahami kelemahan yang dimiliki

dalam sistem manajemen keamanan informasi di suatu organisasi (Sarno &

Iffano, 2009).

Tujuan dari tahapan ini adalah untuk mengetahui ancaman yang

mungkin terjadi yang dapat membahayakan sistem dalam Bidang data dan

informasi. Hasil dari tahap ini adalah daftar kelemahan dan ancaman yang

mungkin dapat membahayakan Bidang Penyelenggaraan E-Goverment.

Berikut tabel identifikasi kelemahan dan ancaman pada aset Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor:

139

A. Aset Utama

1. Database SIMKAS (Rencana Kerja Anggaran Sekolah)

Tabel 4. 5 Daftar Ancaman dan Kelemahan Database SIMKAS

No Kelemahan (Vulnerable)

1. Jaringan listrik tidak stabil

2. Hardware Failure (Gangguan Perangkat Keras)

3. Data Corruption (Kerusakan Data)

4. Software Bug

No Ancaman (Threats)

1. Kesalahan input data/Kesalahan Pemrograman

2. Spionase (pencurian informasi)

3. Hackers

4. Cracker

2. Database SIMPEG (Sistem Informasi Manajemen Kepegawaian)

Tabel 4. 6 Daftar Ancaman dan Kelemahan Database SIMPEG





4. Software Bug




3. Hackers

4. Cracker

3. Database SIAP Online (Sistem Informasi Absensi Pegawai)

Tabel 4. 7 Daftar Ancaman dan Kelemahan Database SIAP Online





4. Software Bug




3. Hackers

4. Cracker

140

4. Database RKPD Online

Tabel 4. 8 Daftar Ancaman dan Kelemahan Database RKPD Online





4. Software Bug




3. Hackers

4. Cracker

5. Database SIVANERJA (Sistem Evaluasi Kinerja)

Tabel 4. 9 Daftar Ancaman dan Kelemahan Database SIVANERJA





4. Software Bug




3. Hackers

4. Cracker

6. Database Sistem Informasi (SI) Pengendalian Menara

Tabel 4. 10 Daftar Ancaman dan Kelemahan Database SI Pengendalian Menara





4. Software Bug




3. Hackers

4. Cracker

141

B. Aset Pendukung

1. Desktop (Personal Computer)

Tabel 4. 11 Daftar Ancaman dan Kelemahan Desktop


1. Listrik tidak stabil



4. Software Bug


1. Hilangnya pasokan listrik

2. Server WEB Physical

Tabel 4. 12 Daftar Ancaman dan Kelemahan Server WEB





4. Software Bug



2. Pencurian perangkat

3. Hackers

4. Cracker

5. Pegawai Internal

6. Spammers

7. Virus Attack

8. Virus Author


10. Kerusakan Jaringan Komunikasi dari Vendor

3. Mail Server

Tabel 4. 13 Daftar Ancaman dan Kelemahan Mail Server



2. Kurang Kesadaran Pengguna

3. Software Bug


1. Virus Attack

142

4. WHM (Web Host Manager)

Tabel 4. 14 Daftar Ancaman dan Kelemahan WHM




3. Software Bug


1. Virus Attack

5. CentOS

Tabel 4. 15 Daftar Ancaman dan Kelemahan CentOS




3. Software Bug


1. Virus Attack

6. Ubuntu

Tabel 4. 16 Daftar Ancaman dan Kelemahan Ubuntu




3. Software Bug


1. Virus Attack

7. Windows XP

Tabel 4. 17 Daftar Ancaman dan Kelemahan Windows XP




3. Software Bug


1. Virus Attack

8. Windows 7

Tabel 4. 18 Daftar Ancaman dan Kelemahan Windows 7




3. Software Bug


1. Virus Attack

143

9. Windows 8





3. Software Bug


1. Virus Attack

10. Windows 10





3. Software Bug


1. Virus Attack

11. Kaspersky

Tabel 4. 21 Daftar Ancaman dan Kelemahan Kaspersky




3. Software Bug


1. Virus Attack

12. Microsoft Office 2013

Tabel 4. 22 Daftar Ancaman dan Kelemahan Microsoft Office 2013




3. Software Bug


1. Virus Attack

13. Air Conditioner (AC)

Tabel 4. 23 Daftar Ancaman dan Kelemahan Air Conditioner





1. Hilagnya pasokan listrik

144

14. CCTV

Tabel 4. 24 Daftar Ancaman dan Kelemahan CCTV




3. Dara Corruption (Kerusakan Data)



2. Sambungan kabel yang buruk

15. Access Door

Tabel 4. 25 Daftar Ancaman dan Kelemahan Access Door




3. Software Bug

No Ancaman (Threat)


16. Printer

Tabel 4. 26 Daftar Ancaman dan Kelemahan Printer




3. Software Bug

No Ancaman (Threat)


17. Infocus

Tabel 4. 27 Daftar Ancaman dan Kelemahan Infocus




3. Software Bug

No Ancaman (Threat)


18. UPS

Tabel 4. 28 Daftar Ancaman dan Kelemahan UPS




145

19. Fiber Optic

Tabel 4. 29 Daftar Ancaman dan Kelemahan Fiber Optic



No Ancaman (Threat)

1. Environment (Lingkungan)

20. Switch

Tabel 4. 30 Daftar Ancaman dan Kelemahan Switch



No Ancaman (Threat)


21. Wi-Fi

Tabel 4. 31 Daftar Ancaman dan Kelemahan Wi-Fi




3. Software Bug



2. Bot-network Operation

3. Hacker

4. Pegawai Internal

5. Spammer

6. Virus Author

7. Kerusakan Jaringan Komunikasi dari Vendor


22. Router

Tabel 4. 32 Daftar Ancaman dan Kelemahan Router



2. Hardware Failure (gangguan perangkat keras)

3. Kurangnya kesadaran pengguna


1. Bot-network operation

2. Pegawai internal

3. Spammers

4. Virus attack

5. Virus author


146

23. Visitor Management System

Tabel 4. 33 Daftar Ancaman dan Kelemahan Visitor Management System


1 Hardware Failure (Gangguan Perangkat Keras)

2 Data Corruption (Kerusakan Data)

3 Kurang Kesadaran Pengguna

24. Aplikasi Monitoring Jaringan (DUDE)

Tabel 4. 34 Daftar Ancaman dan Kelemahan Aplikasi Monitoring Jaringan




25. Aplikasi Monitoring Trafik Pemakaian Bandwidth Internet

Tabel 4. 35 Daftar Ancaman dan Kelemahan Aplikasi Monitoring Bandwidth Internet




Langkah selanjutnya setelah melakukan identifikasi kelemahan

dan ancaman apa saja yang dapat terjadi pada suatu aset yang ada pada

Bidang Penyelenggaraan E-Government adalah melakukan penentuan

kemungkinan terjadinya ancaman dan kelemahan terhadap aset tersebut.

Penentuan kejadian ini penulis lakukan bersama dengan Kepala Seksi

Pengembangan Aplikasi dan Data.

Berikut ini merupakan hasil dari identifikasi Kepala Seksi

Pengembangan Aplikasi dan Data dalam menilai kelemahan dan ancaman

yang terjadi terhadap aset yang dimiliki oleh Bidang Penyelenggaraan E-

Government.

147

A. Aset Utama

1. Database SIMKAS (Rencana Kerja Anggaran Sekolah)

Tabel 4. 36 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIMKAS

No Kejadian Jenis Probabilitas Rerata

Probabilitas

1 Jaringan listrik tidak stabil

Vulnerable

Low 0.1

2 Hardware Failure (Gangguan

Perangkat Keras)

Medium 0.4

3 Data Corruption (Kerusakan Data) Medium 0.4

4 Software Bug Low 0.3

5 Kesalahan input data/Kesalahan

Pemrograman

Threat

Low 0.2

6 Spionase (pencurian informasi) Low 0.1

7 Hackers Low 0.3

8 Cracker Low 0.3

Jumlah Kejadian = 8 Jumlah Rerata Prob 2.1

Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.26

Dari hasil perhitungan nilai ancaman di atas didapat nilai

ancaman pada aset Database SIMKAS (Sistem Informasi Rencana

Anggaran Sekolah) sebesar 0.26 dan termasuk dalam kategori Low. Nilai

tersebut didapatkan dengan cara:

Menjumlahkan probabilitas dari tiap kelemahan dan ancaman

terhadap aset tesebut dengan total dari semua ancaman dan

kelemahan tersebut sebesar 2.1

Hasil seluruh probalititas dari tiap kelemahan dan ancaman

kemudian dibagi dengan jumlah kejadian yang ada. Pada tabel

4.36 terdapat jumlah kejadian sebanyak 8 kejadian. Jadi Nilai

Ancaman = 2.1 / 8 = 0.26.

Perhitungan ini berlaku juga untuk menghitung nilai ancaman

pada aset utama yang lain dan juga untuk menghitung nilai ancaman pada

aset pendukung.

148

2. Database SIMPEG (Sistem Informasi Manajemen

Kepegawaian)

Tabel 4. 37 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIMPEG


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.3




Pemrograman

Threat

Low 0.2


7 Hackers Low 0.3

8 Cracker Low 0.3

Jumlah Kejadian = 8 Jumlah Rerata Prob 2



ancaman pada aset Database SIMPEG (Sistem Informasi Manajemen

Kepegawaian) sebesar 0.25 dan termasuk dalam kategori Low.

3. Database SIAP Online (Sistem Informasi Absensi Pegawai)

Tabel 4. 38 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIAP Online


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.3




Pemrograman

Threat

Low 0.2


7 Hackers Low 0.3

8 Cracker Low 0.3




ancaman pada aset Database SIAP Online (Sistem Informasi Absensi

Pegawai) sebesar 0.25 dan termasuk dalam kategori Low.

149

4. Database RKPD Online

Tabel 4. 39 Hasil Rerata Probabilitas dan Nilai Ancaman Database RKPD Online


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.2


4 Software Bug Medium 0.6


Pemrograman

Threat

Low 0.3


7 Hackers Medium 0.4

8 Cracker Medium 0.4




ancaman pada aset Database RKPD Online sebesar 0.34 dan termasuk

dalam kategori Low.

5. Database SIVANERJA (Sistem Evaluasi Kinerja)

Tabel 4. 40 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIVANERJA


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.2




Pemrograman

Threat

Low 0.3



8 Cracker Medium 0.4




ancaman pada aset Database SIVANERJA (Sistem Informasi Evaluasi

Kinerja) sebesar 0.34 dan termasuk dalam kategori Low.

150

6. Database Sistem Informasi (SI) Pengendalian Menara

Tabel 4. 41 Hasil Rerata Probabilitas dan Nilai Ancaman Database SI Pengendalian Menara


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.1

3 Data Corruption (Kerusakan Data) Low 0.3



Pemrograman

Threat

Low 0.3


7 Hackers Low 0.3

8 Cracker Low 0.3




ancaman pada aset Database Sistem Informasi Pengendalian Menara

sebesar 0.25 dan termasuk dalam kategori Low.

B. Aset Pendukung

1. Desktop

Tabel 4. 42 Hasil Rerata Probabilitas dan Nilai Ancaman Desktop


Probabilitas

1 Listrik tidak stabil

Vulnerable

Low 0.2


Perangkat Keras)

Low 0.3



5 Hilangnya pasokan listrik Threat Low 0.1




ancaman pada aset Desktop sebesar 0.26 dan termasuk dalam kategori Low.

151

2. Server WEB Physical

Tabel 4. 43 Hasil Rerata Probabilitas dan Nilai Ancaman Server WEB Physical


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.2



5 Spionase (pencurian informasi)

Threat

Low 0.2

6 Pencurian perangkat Low 0.1


8 Cracker Low 0.3

9 Pegawai Internal Medium 0.4

10 Spammers Low 0.2

11 Virus Attack Low 0.3

12 Virus Author Low 0.3

13 Hilangnya pasokan listrik Low 0.1

14 Kerusakan Jaringan Komunikasi dari

Vendor

Low 0.3




ancaman pada aset Server WEB Physical sebesar 0.22 dan termasuk dalam

kategori Low.

3. Mail Server

Tabel 4. 44 Hasil Rerata Probabilitas dan Nilai Ancaman Mail Server


Probabilitas


Vulnerable

Low 0.1

2 Kurang Kesadaran Pengguna Low 0.2


4 Virus Attack Threat Medium 0.4




ancaman pada aset Mail Server sebesar 0.225 dan termasuk dalam kategori

Low.

152

4. WHM (Web Host Manager)

Tabel 4. 45 Hasil Rerata Probabilitas dan Nilai Ancaman WHM


Probabilitas


Vulnerable

Low 0.1

2 Kurang Kesadaran Pengguna Medium 0.5






ancaman pada aset WHM (Web Host Manager) sebesar 0.3 dan termasuk

dalam kategori Low.

5. CentOS

Tabel 4. 46 Hasil Rerata Probabilitas dan Nilai Ancaman CentOS


Probabilitas


Vulnerable

Low 0.3







ancaman pada aset CentOS sebesar 0.47 dan termasuk dalam kategori

Medium.

6. Ubuntu

Tabel 4. 47 Hasil Rerata Probabilitas dan Nilai Ancaman Ubuntu


Probabilitas


Vulnerable

Low 0.3






153


ancaman pada aset Ubuntu sebesar 0.32 dan termasuk dalam kategori Low.

7. Windows XP

Tabel 4. 48 Hasil Rerata Probabilitas dan Nilai Ancaman Windows XP


Probabilitas


Vulnerable

Low 0.1







ancaman pada aset Windows XP sebesar 0.4 dan termasuk dalam kategori

Medium.

8. Windows 7

Tabel 4. 49 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 7


Probabilitas


Vulnerable

Low 0.1







ancaman pada aset Windows 7 sebesar 0.375 dan termasuk dalam kategori

Medium.

154

9. Windows 8



Probabilitas


Vulnerable

Low 0.1








Medium.

10. Windows 10



Probabilitas


Vulnerable

Low 0.1



4 Virus Attack Threat Low 0.3





Low.

11. Kaspersky

Tabel 4. 52 Hasil Rerata Probabilitas dan Nilai Ancaman Kaspersky


Probabilitas


Vulnerable

Low 0.1

2 Kurang Kesadaran Pengguna Low 0.3





155


ancaman pada aset Kaspersky sebesar 0.175 dan termasuk dalam kategori

Low.

12. Microsoft Office 2013

Tabel 4. 53 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft Office 2013


Probabilitas


Vulnerable

Low 0.1

2 Kurang Kesadaran Pengguna High 0.7






ancaman pada aset Microsoft Office 2013 sebesar 0.375 dan termasuk dalam

kategori Medium.

13. Air Conditioner (AC)

Tabel 4. 54 Hasil Rerata Probabilitas dan Nilai Ancaman Air Conditioner


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.2





ancaman pada aset Air Conditioner (AC) sebesar 0.13 dan termasuk dalam

kategori Low.

156

14. CCTV

Tabel 4. 55 Hasil Rerata Probabilitas dan Nilai Ancaman CCTV


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.3

3 Dara Corruption (Kerusakan Data) Medium 0.5

4 Hilangnya pasokan listrik Threat

Low 0.1

5 Sambungan kabel yang buruk Low 0.3




ancaman pada aset CCTV sebesar 0.26 dan termasuk dalam kategori Low.

15. Access Door

Tabel 4. 56 Hasil Rerata Probabilitas dan Nilai Ancaman Access Door


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.3





Dari hasil perhitungan nilai ancaman di atas didapat nilai pada

aset Access Door sebesar 0.175 dan termasuk dalam kategori Low.

16. Printer

Tabel 4. 57 Hasil Rerata Probabilitas dan Nilai Ancaman Printer


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Medium 0.4


4 Pencurian perangkat Threat Low 0.2



157


ancaman pada aset Printer sebesar 0.2 dan termasuk dalam kategori Low.

17. Infocus

Tabel 4. 58 Hasil Rerata Probabilitas dan Nilai Ancaman Infocus


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.3


4 Pencurian perangkat Threat Low 0.2




ancaman pada aset Infocus sebesar 0.175 dan termasuk dalam kategori Low.

18. UPS

Tabel 4. 59 Hasil Rerata Probabilitas dan Nilai Ancaman UPS


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Low 0.3




ancaman pada aset UPS sebesar 0.2 dan termasuk dalam kategori Low.

19. Fiber Optic

Tabel 4. 60 Hasil Rerata Probabilitas dan Nilai Ancaman Fiber Optic


Probabilitas

1 Sambungan kabel yang buruk Vulnerable Low 0.1

2 Environment (Lingkungan) Threat Low 0.4



158


ancaman pada aset Fiber Optic sebesar 0.25 dan termasuk dalam kategori

Low.

20. Switch

Tabel 4. 61 Hasil Rerata Probabilitas dan Nilai Ancaman Switch


Probabilitas

1 Listrik tidak stabil Vulnerable Low 0.1





ancaman pada aset Switch sebesar 0.1 dan termasuk dalam kategori Low.

21. Wi-Fi

Tabel 4. 62 Hasil Rerata Probabilitas dan Nilai Ancaman Wi-Fi


Probabilitas


Vulnerable

Low 0.1


Perangkat Keras)

Medium 0.5


4 Hilangnya pasokan listrik

Threat

Low 0.1

5 Bot-network Operation Medium 0.4

6 Hacker Low 0.2

7 Pegawai Internal Medium 0.5

8 Spammer Low 0.2

9 Virus Author Low 0.2

10 Kerusakan Jaringan Komunikasi

dari Vendor

Low 0.3

11 Sambungan kabel yang buruk Low 0.3




ancaman pada aset Wi-Fi sebesar 0.28 dan termasuk dalam kategori Low.

159

22. Router

Tabel 4. 63 Hasil Rerata Probabilitas dan Nilai Ancaman Router


Probabilitas


Vulnerable

Low 0.1

2 Hardware Failure (gangguan

perangkat keras)

Low 0.3

3 Lack of user awareness (kurangnya

kesadaran pengguna

Medium 0.5

4 Bot-network operation

Threat

Medium 0.4

5 Pegawai internal Medium 0.4

6 Spammers Low 0.2

7 Virus attack Low 0.2

8 Virus author Low 0.2

9 Hilangnya pasokan listrik Low 0.1




ancaman pada aset Router sebesar 0.26 dan termasuk dalam kategori Low.

23. Visitor Management System

Tabel 4. 64 Hasil Rerata Probabilitas dan Nilai Ancaman Visitor Management System


Probabilitas


Perangkat Keras) Vulnerable

Low 0.1


3 Kurang Kesadaran Pengguna High 0.8




ancaman pada aset Visitor Management System sebesar 0.33 dan termasuk

dalam kategori Low.

160

24. Aplikasi Monitoring Jaringan (DUDE)

Tabel 4. 65 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi Monitoring Jaringan


Probabilitas



Low 0.2





ancaman pada aset Aplikasi Monitoring Jaringan sebesar 0.2 dan termasuk

dalam kategori Low.

25. Aplikasi Monitoring Trafik Pemakaian Bandwidth Internet

(MRTG)

Tabel 4. 66 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi Monitoring Bandwith Internet


Probabilitas



Low 0.2





ancaman pada aset Aplikasi Monitoring Trafik Pemakaian Bandwidth

Internet sebesar 0.2 dan termasuk dalam kategori Low.

4.3.2.2 Menganalisis dan Mengevaluasi Risiko

Setelah melakukan tahap identifikasi kemungkinan terjadinya

ancaman atau kelemahan terhadap aset Bidang Penyelenggaraan E-

Government Dinas Komunikasi dan Informatika Kabupaten Bogor, langkah

selanjutnya yang penulis lakukan adalah melakukan analisis serta evaluasi

risiko yang bertujuan untuk mengetahui dampak apa yang dirasakan oleh

161

Bidang Penyelenggaraan E-Government Dinas Komunikasi dan Informatika

Kabupaten Bogor apabila ancaman atau kelemahan tersebut terjadi. Di bawah

ini adalah tahapan dalam melakukan analisis dan evaluasi risiko

4.3.2.2.1 Menganalisis Dampak Bisnis

Analisis dampak bisnis merupakan proses menentukan seberapa

besar pengaruh atau dampak risiko yang disebabkan oleh adanya ancaman

atau kelemahan terhadap jalannya proses bisnis di organisasi. Nilai dampak

bisnis ini didapat dari skala yang telah ditentukan pada tabel di bawah ini:

Tabel 4. 67 Skala Business Impact Analysis (BIA) (Sarno & Iffano, 2009)

Batas Toleransi

Gangguan Keterangan Nilai Skala

< dari 1 minggu Not critical 0 – 20

1 hari s/d 2 hari Minor critical 21 – 40

< 1 hari Mayor critical 41 – 60

< 12 jam High critical 61 – 80

< 1 jam Very high critical 81 – 100

Dengan menggunakan skala tersebut, kemudian peneliti bersama

Kepala Seksi Pengembangan Aplikasi dan Data melakukan penentuan nilai

dampak bisnis tersebut. Di bawah ini merupakan hasil yang didapat penulis

terhadap nilai BIA pada aset yang dimiliki Bidang Penyelenggaraan E-

Government DISKOMINFO Kabupaten Bogor.

1. Aset Utama

Tabel 4. 68 Hasil Nilai BIA Aset Utama

No Nama Aset Nilai BIA Keterangan

1

Database SIMKAS (Rencana

Kerja Anggaran Sekolah) 80 High Critical

2

Database SIMPEG (Sistem

Informasi Manajemen

Kepegawaian)

80 High Critical

3 Database SIAP Online (Sistem

Informasi Absensi Pegawai) 85 Very High Critical

4 Database RKPD Online 70 High Critical

162

5 Database SIVANERJA (Sistem

Evaluasi Kinerja) 70 High Critical

6 Database Sistem Informasi

Pengendalian Menara 75 High Critical

Dari tabel 4.68 dapat dilihat nilai dampak bisnis (BIA) dari tiap-

tiap aset utama yang dimiliki Bidang Penyelenggaraan E-Government

DISKOMINFO Kabupaten Bogor. Sebagai contoh penjelasan dapat

dilihat nilai BIA dari Database SIMKAS dan Database SIMPEG sebesar

80 yang berarti ancaman atau kelemahan yang terjadi pada aset tersebut

memiliki batas toleransi < 12 jam, sehingga apabila terjadi ancaman atau

ada kelemahan pada aset tersebut maka harus segera diatasi dalam kurun

waktu < 12 jam. Jika tidak diatasi maka akan menimbulkan dampak

yang cukup tinggi bagi Bidang Penyelenggaraan E-Government. Contoh

dampak yang dapat dihadapi oleh Bidang Penyelenggaraan E-

Government adalah adanya teguran dari dinas yang memiliki Database

SIMKAS dan Database SIMPEG karena terganggunya kegiatan dalam

mengolah data anggaran sekolah dan data kepegawaian.

2. Aset Pendukung

Tabel 4. 69 Hasil Nilai BIA Aset Pendukung

No Nama Aset Nilai BIA Keterangan

1 Desktop 70 High Critical

2 Server WEB Physical 81 Very High Critical

3 Mail Server 85 Very High Critical

4 WHM (Web Host Manager) 90 Very High Critical

5 CentOS 85 Very High Critical

6 Ubuntu 85 Very High Critical

7 Windows XP 75 High Critical

8 Windows 7 75 High Critical



11 Kaspersky 70 High Critical

12 Microsoft Office 73 High Critical

13 Air Conditioner (AC) 85 Very High Critical

163

14 CCTV 75 High Critical

15 Access Door 60 Mayor Critical

16 Printer 70 High Critical

17 Infocus 70 High Critical

18 UPS 85 Very High Critical

19 Fiber Optic 80 High Critical

20 Switch 80 High Critical

21 Wi-fi 80 High Critical

22 Router 80 High Critical

23 Visitor Management System 73 High Critical

24 Aplikasi Monitoring Jaringan

(DUDE) 70 High Critical

25

Aplikasi Monitoring Trafik

pemakaian bandwidth internet

(Aplikasi MRTG)

70 High Critical

4.3.2.2.2 Mengidentifikasi Level Risiko Bidang Penyelenggaraan E-

Government

Setelah mendapatkan nilai BIA terhadap proses bisnis Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor, tahap

yang dilakukan selanjutnya adalah melakukan identifikasi level risiko.

Penulis menggunakan matriks level risiko dengan menggunakan nilai-nilai

probabilitas ancaman dan nilai BIA yang sudah diidentifikasi pada tahap

sebelumnya untuk mengidentifikasi level risiko Bidang Penyelenggaraan E-

Government DISKOMINFO Kabupaten Bogor. Tujuannya adalah untuk

memberikan gambaran seberapa besar risiko yang diterima Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor apabila

terjadi kegagalan keamanan informasi.

Untuk menghitung dampak bisnis ini penulis menggunakan nilai

BIA yang sudah diidentifikasi pada tahap sebelumnya dan menggunakan

nilai rerata probabilitas ancaman terhadap aset yang sudah diidentifikasi

pada sub bab 4.3.2.1.2 dan dengan menggunakan nilai tersebut, nilai

164

dampak bisnis terhadap aset pada Bidang Penyelenggaraan E-Government

dapat dihitung dengan rumus

Dampak Bisnis = Nilai BIA x Probabilitas Ancaman

Di bawah ini merupakan hasil perhitungan nilai dampak bisnis

terhadap aset pada Bidang Penyelenggaraan E-Government DISKOMINFO

Kabupaten Bogor yang didiskusikan penulis dengan Kepala Seksi

Pengembangan Aplikasi dan Data.

1. Aset Utama

Tabel 4. 70 Hasil Nilai Dampak Bisnis Pada Aset Utama

No Nama Aset Nilai BIA Probabilitas

Ancaman Dampak Bisnis

1

Database SIMKAS

(Rencana Kerja Anggaran

Sekolah)

80 0.26 20.8

2

Database SIMPEG (Sistem

Informasi Manajemen

Kepegawaian)

80 0.25 20

3

Database SIAP Online

(Sistem Informasi Absensi

Pegawai)

85 0.25 21.25

4 Database RKPD Online 70 0.34 23.8

5 Database SIVANERJA

(Sistem Evaluasi Kinerja) 70 0.34 23.8


Pengendalian Menara 75 0.25 18.75

2. Aset Pendukung

Tabel 4. 71 Hasil Nilai Dampak Bisnis Pada Aset Pendukung

No Nama Aset Nilai BIA Probabilitas

Ancaman

Dampak Bisnis

1 Desktop 70 0.26 18.2

2 Server WEB Physical 81 0.22 17.82

3 Mail Server 85 0.225 19.125

4 WHM (Web Host

Manager) 90 0.3 27

5 CentOS 85 0.47 39.95

6 Ubuntu 85 0.32 27.2

7 Windows XP 75 0.4 30

8 Windows 7 75 0.375 28.125

9 Windows 8 75 0.35 26.25

165

10 Windows 10 75 0.3 22.5

11 Kaspersky 70 0.175 12.25

12 Microsoft Office 2013 73 0.375 27.375

13 Air Conditioner (AC) 85 0.13 11.05

14 CCTV 75 0.26 19.5

15 Access Door 60 0.175 10.5

16 Printer 70 0.2 14

17 Infocus 70 0.175 12.25

18 UPS 85 0.2 17

19 Fiber Optic 80 0.25 20

20 Switch 80 0.1 8

21 Wi-Fi 80 0.28 22.4

22 Router 80 0.26 20.8

23 Visitor Management

System 73 0.33 24.09

24 Aplikasi Monitoring

Jaringan (DUDE) 70 0.2 14

25

Aplikasi Monitoring

Trafik pemakaian

bandwidth internet

(Aplikasi MRTG)

70 0.2 14

4.3.2.2.3 Menilai Resiko Bidang Penyelenggaraan E-Government

DISKOMINFO Kab. Bogor

Setelah melakukan tahap perhitungan nilai dampak bisnis pada

Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor,

penulis melakukan tahap penilaian risiko pada Bidang Penyelenggaraan E-

Government DISKOMINFO Kabupaten Bogor. Tujuan dari tahap ini adalah

untuk menentukan risiko yang terjadi langsung diterima oleh Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor atau

masih perlu pengelolaan risiko berdasarkan kriteria penerimaan risiko.

Untuk menentukan nilai risiko dilakukan dengan rumus:

Nilai Resiko = Nilai Aset x Nilai BIA x Nilai Ancaman

Berikut ini merupakan hasil nilai risiko terhadap aset utama dan

aset pendukung pada Bidang Penyelenggaraan E-Government

166

DISKOMINFO Kabupaten Bogor yang penulis diskusikan bersama Kepala

Seksi Pengembangan Aplikasi dan Data.

1. Aset Utama

Tabel 4. 72 Hasil Nilai Resiko dan Level Resiko pada Aset Utama

No Nama Aset Nilai

Aset

Nilai

BIA

Nilai

Ancaman

Nilai

Resiko Level Resiko

1

Database SIMKAS

(Rencana Kerja

Anggaran Sekolah)

6 80 0.26 124.8 High Risk

2

Database SIMPEG

(Sistem Informasi

Manajemen

Kepegawaian)

7 80 0.25 140 High Risk

3

Database SIAP

Online (Sistem

Informasi Absensi

Pegawai)

7 85 0.25 148.75 High Risk

4 Database RKPD

Online 7 70 0.34 166.6 High Risk

5

Database

SIVANERJA

(Sistem Evaluasi

Kinerja)

7 70 0.34 166.6 High Risk

6

Database Sistem

Informasi

Pengendalian

Menara

9 75 0.25 168.75 High Risk

2. Aset Pendukung

Tabel 4. 73 Hasil Nilai Resiko dan Level Resiko pada Aset Pendukung

No Nama Aset Nilai

Aset

Nilai

BIA

Nilai

Ancaman

Dampak

Bisnis Level Resiko

1 Desktop 5 70 0.26 91 High Risk

2 Server WEB

Physical 7 81 0.22 124.74 High Risk

3 Mail Server 8 85 0.225 153 High Risk

4 WHM (Web Host

Manager) 8 90 0.3 216 High Risk

5 CentOS 8 85 0.47 319.6 High Risk

6 Ubuntu 8 85 0.32 217.6 High Risk

7 Windows XP 5 75 0.4 150 High Risk

8 Windows 7 5 75 0.375 140.625 High Risk


167


11 Kaspersky 5 70 0.175 61.25 High Risk

12 Microsoft Office 5 73 0.375 136.875 High Risk

13 Air Conditioner

(AC) 9 85 0.13 99.45 High Risk

14 CCTV 8 75 0.26 156 High Risk

15 Access Door 9 60 0.175 94.5 High Risk

16 Printer 7 70 0.2 98 High Risk

17 Infocus 7 70 0.175 85.75 High Risk

18 UPS 9 85 0.2 153 High Risk

19 Fiber Optic 10 80 0.25 200 High Risk

20 Switch 10 80 0.1 80 High Risk

21 Wi-Fi 6 80 0.28 134.4 High Risk

22 Router 10 80 0.26 208 High Risk

23

Visitor

Management

System

5 73 0.33 120.45 High Risk

24

Aplikasi

Monitoring

Jaringan (DUDE)

5 70 0.2 70 High Risk

25

Aplikasi

Monitoring Trafik

pemakaian

bandwidth internet

(Aplikasi MRTG)

5 70 0.2 70 High Risk

Dalam melakukan identifikasi level resiko, penulis menentukan

level resiko menggunakan matriks level resiko untuk menilai level resiko

yang terjadi pada aset Bidang Penyelenggaraan E-Government

DISKOMINFO Kabupaten Bogor. Untuk mempermudah, penulis

merangkum semua tahapan dari mulai tahap penilaian aset sampai dengan

penentuan level resiko pada tabel 4.73. Pada tabel 4.73 dapat dilihat

seberapa besar risiko terhadap keamanan aset. Semakin tinggi nilai risiko

pada Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten

Bogor, maka semakin meningkat pula prioritas penanganan dan keamanan

aset. Berikut ini adalah rangkuman dari proses analisis resiko.

168

1. Aset Utama

Tabel 4. 74 Analisis Risiko Keamanan Informasi Aset Utama

No Nama Aset Nilai

Aset Vulnerability Threat

Nilai

Ancaman Dampak

Nilai

BIA

Nilai

Resiko

Level

Resiko

1

Database

SIMKAS

(Rencana Kerja

Anggaran

Sekolah)

6

Listrik tidak

stabil

Kesalahan input

data/Kesalahan

Pemrograman

0.26

20.8 80 124.8

High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Spionase

(pencurian

informasi)

Data

Corruption

(Kerusakan

Data)

Hackers

Software Bug Cracker

2

Database

SIMPEG

(Sistem

Informasi

Manajemen

Kepegawaian)

7

Listrik tidak

stabil

Kesalahan input

data/Kesalahan

Pemrograman

0.25

20 80 140

High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Spionase

(pencurian

informasi)

Data

Corruption

(Kerusakan

Data)

Hackers


3

Database SIAP

Online (Sistem

Informasi

Absensi

Pegawai)

7

Listrik tidak

stabil

Kesalahan input

data/Kesalahan

Pemrograman

0.25

21.25 85 148.75

High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Spionase

(pencurian

informasi)

Data

Corruption

(Kerusakan

Data)

Hackers


4

Database

RKPD Online

7

Listrik tidak

stabil

Kesalahan input

data/Kesalahan

Pemrograman

0.34

23.8 70 166.6

High

Risk Hardware

Failure

(Gangguan

Perangkat

Keras)

Spionase

(pencurian

informasi)

169

Data

Corruption

(Kerusakan

Data)

Hackers


5

Database

SIVANERJA

(Sistem

Evaluasi

Kinerja)

7

Listrik tidak

stabil

Kesalahan input

data/Kesalahan

Pemrograman

0.34

23.8 70 166.6

High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Spionase

(pencurian

informasi)

Data

Corruption

(Kerusakan

Data)

Hackers


6

Database

Sistem

Informasi

Pengendalian

Menara

9

Listrik tidak

stabil

Kesalahan input

data/Kesalahan

Pemrograman

0.25 18.75 75 168.75

High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Spionase

(pencurian

informasi)

Data

Corruption

(Kerusakan

Data)

Hackers


2. Aset Pendukung

Tabel 4. 75 Analisis Risiko Keamanan Informasi Aset Pendukung

No Nama Aset Nilai

Aset Vulnerability Threat

Nilai

Ancaman Dampak

Nilai

BIA

Nilai

Resiko

Level

Resiko

1 Desktop (PC) 5

Listrik tidak

stabil

Hilangnya

pasokan listrik 0.26

18.2 70

91

High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Data

Corruption

(Kerusakan

Data)

Software Bug

2 Server WEB

Physical

7

Listrik tidak

stabil

Spionase

(pencurian

informasi) 0.225

17.82 81 124.74

High

Risk

170

Hardware

Failure

(Gangguan

Perangkat

Keras)

Pencurian

perangkat

Data

Corruption

(Kerusakan

Data)

Hackers

Software Bug

Cracker

Pegawai

Internal

Spammers

Virus Attack

Virus Author

Hilangnya

pasokan listrik

Kerusakan

Jaringan

Komunikasi dari

Vendor

3 Mail Server 8

Listrik tidak

stabil

Virus Attack 0.225

19.125 85

153

High

Risk

Kurang

Kesadaran

Pengguna

Software Bug

4 WHM (Web

Host Manager)

8

Listrik tidak

stabil

Virus Attack 0.3

27

90

216

High

Risk

Kurang

Kesadaran

Pengguna

Software Bug

5 CentOS 8

Listrik tidak

stabil

Virus Attack 0.47

39.95

85

319.6

High

Risk

Kurang

Kesadaran

Pengguna

Software Bug

6 Ubuntu 8

Listrik tidak

stabil

Virus Attack 0.32

27.2

85

217.6

High

Risk

Kurang

Kesadaran

Pengguna

Software Bug

7 Windows XP 5

Listrik tidak

stabil

Virus Attack 0.4

30

75

150

High

Risk

Kurang

Kesadaran

Pengguna

Software Bug

8 Windows 7 5

Listrik tidak

stabil Virus Attack 0.375 28.125 75

140.62

5

High

Risk

171

Kurang

Kesadaran

Pengguna

Software Bug

9 Windows 8 5

Listrik tidak

stabil

Virus Attack 0.35 26.25 75 131.25 High

Risk

Kurang

Kesadaran

Pengguna

Software Bug

10 Windows 10 5

Listrik tidak

stabil

Virus Attack 0.3 22.5 75 112.5

High

Risk

Kurang

Kesadaran

Pengguna

Software Bug

11 Kaspersky 5

Listrik tidak

stabil

Virus Attack 0.175 12.25 70 61.25 High

Risk

Kurang

Kesadaran

Pengguna

Software Bug

12 Microsoft Office

2013 5

Listrik tidak

stabil

Virus Attack 0.375 27.375 73 136.87

5

High

Risk

Kurang

Kesadaran

Pengguna

Software Bug

13 Air Conditioner

(AC) 9

Listrik tidak

stabil

Hilangnya

pasokan Listrik 0.13

11.05 85 99.45 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

14 CCTV 8

Listrik tidak

stabil

Hilangnya

pasokan Listrik

0.26 19.5 75 156 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras) Sambungan

kabel yang

buruk Dara

Corruption

(Kerusakan

Data)

15 Access Door 9

Listrik tidak

stabil

Hilangnya

pasokan Listrik 0.175 10.5 60 94.5

High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Software Bug

172

16 Printer 7

Listrik tidak

stabil

Pencurian

perangkat 0.2 14 70 98

High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Software Bug

17 Infocus 7

Listrik tidak

stabil

Pencurian

perangkat 0.175 12.25 70 85.75

High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Software Bug

18 UPS 9

Listrik tidak

stabil

0.2 17 85

153

High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

19 Fiber Optic 10

Sambungan

kabel yang

buruk

Environment

(Lingkungan)

0.25 20 80 200 High

Risk

20 Switch 10 Listrik tidak

stabil

Hilangnya

pasorkan Listrik 0.1 8 80 80

High

Risk

21 Wi-Fi 6

Listrik tidak

stabil

Hilangnya

pasokan Listrik

0.28 22.4 80 134.4 High

Risk

Hardware

Failure

(Gangguan

Perangkat

Keras)

Bot-network

Operation

Software Bug Hacker

Pegawai

Internal

Spammer

Virus Author

Kerusakan

jaringan

Komunikasi dari

Vendor

Sambungan

kabel yang

buruk

22 Router 10

Listrik tidak

stabil

Bot-network

operation

0.26 20.8 80 208 High

Risk

Hardware

Failure

(gangguan

perangkat

keras)

Pegawai internal

173

Lack of user

awareness

(kurangnya

kesadaran

pengguna

Spammers

Virus attack

Virus author

Hilangnya

pasokan listrik

23

Visitor

Management

System

5

Hardware

Failure

(Gangguan

Perangkat

Keras)

0.33 24.09 73 120.45 High

Risk

Data

Corruption

(Kerusakan

Data)

Kurang

Kesadaran

Pengguna

24

Aplikasi

Monitoring

Jaringan

(DUDE)

5

Hardware

Failure

(Gangguan

Perangkat

Keras) 0.2 14 70 70 High

Risk Data

Corruption

(Kerusakan

Data)

25

Aplikasi

Monitoring

Trafik

Pemakaian

Bandwidth

Internet

5

Hardware

Failure

(Gangguan

Perangkat

Keras) 0.2 14 70 70 High

Risk Data

Corruption

(Kerusakan

Data)

Berdasarkan hasil identifikasi pada langkah-langkah sebelumnya

didapatkan beberapa kelemahan dan ancaman yang sering terjadi pada

Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor.

Kelemahan yang paling sering terjadi adalah kerusakan data, gangguan

perangkat keras (Hardware), listrik tidak stabil, celah pada software, dan

kurangnya kesadaran pengguna dalam menggunakan aset yang ada.

174

Sedangkan untuk ancaman, ada dua macam ancaman yaitu berasal dari

internal organisasi dan eksternal organisasi. Ancaman dari internal

organisasi berupa gangguan jaringan komunikasi dari vendor, hilangnya

pasokan listrik, sambungan kabel yang buruk, adanya pegawai yang

mencuri informasi dan pegawai internal yang ceroboh dalam menggunakan

aset. Ancaman dari eksternal organisasi berupa virus attack, bot-network

operation, spammers, cracker, hacker, pencurian, kondisi lingkungan, dan

virus author.

Dari hasil analisis risiko terhadap aset Bidang Penyelenggaraan

E-Government DISKOMINFO Kabupaten Bogor, diketahui bahwa seluruh

aset yang ada pada Bidang Penyelenggaraan E-Government baik aset utama

seperti Database SIMKAS, Database SIMPEG, Database SIAP Online,

Database RKPD Online, Database SIVANERJA, dan Database Sistem

Informasi Pengendalian Menara, maupun aset pendukung seperti Desktop,

Server WEB Physical, Mail Server, WHM, CentOS, Ubuntu, Windows XP,

Windows 7, Windows 8, Windows 10, Kaspersky, Microsoft Office 2013, Air

Conditioner, CCTV, Access Door, Printer, Infocus, UPS, Fiber Optic,

Router, Switch, Wi-Fi, Visitor Management System, Aplikasi Monitoring

Jaringan, dan Aplikasi Monitoring Trafik Pemakaian Bandwidth Internet

termasuk dalam aset beresiko tinggi yang perlu mendapatkan penanganan

yang lebih. Hal ini dikarenakan DISKOMINFO Kabupaten Bogor

merupakan wali data bagi dinas-dinas di Kabupaten Bogor terutama di Jl.

Tegar Beriman, Cibinong maka Bidang Penyelenggaraan E-Government

175

mengganggap semuat aset memiliki risiko yang tinggi karena apabila ada

insiden keamanan informasi maka bukan tidak mungkin pelayanan atau

kinerja operasional dinas-dinas lain di wilayah Kabupaten Bogor juga akan

terganggu.

Setelah melakukan analisis resiko, selanjutnya penulis melakukan

identifikasi risiko yang mungkin terjadi pada Bidang Penyelenggaraan E-

Government DISKOMINFO Kabupaten Bogor seperti:

1. Risiko kehilangan informasi karena kerusakan server dan tidak ada

backup dari informasi tersebut.

2. Risiko kehilangan data apabila terjadi insiden keamanan berupa

hacking dan crackers karena terdapat celah pada aplikasi.

3. Risiko kerusakan terhadap aset seperti server, desktop PC, Router,

dan Switch karena kurangnya perawatan terhadap aset. Hal ini juga

disebabkan karena Bidang Penyelenggaraan E-Government tidak

melakukan inventarisasi aset dan pengelompokan aset dalam jangka

waktu tertentu. Serta risiko terjadinya pencurian terhadap aset.

4. Risiko terputusnya kabel fiber optic yang dihubungkan oleh

DISKOMINFO Kab. Bogor ke dinas-dinas yang berada di wilayah

Jl. Tegar Beriman. Serta risiko adanya akses yang tidak sah ke

dalam jaringan internet yang disediakan oleh DISKOMINFO Kab.

Bogor

5. Risiko terjadinya insiden karena kurangnya pengetahuan dan

kesadaran yang dimiliki pegawai terhadap keamanan informasi dan

176

adanya risiko terhadap malware karena pegawai tidak sengaja

menginstall aplikasi yang di dalamnya terdapat malware.

6. Risiko terjadinya bencana alam seperti gempa bumi atau banjir yang

tidak dapat diprediksikan.

Setelah diukur besarnya risiko pada aset keamanan informasi,

selanjutnya diperlukan tindakan atau kontrol yang dapat mengurangi risiko

tersebut. Pemilihan kontrol dan objektif kontrol berdasarkan pada ISO/IEC

27001:2013 dengan menyesuaikan terhadap hasil penilaian risiko di atas.

Penulis melakukan pemilihan kontrol dan objektif kontrol pada tahap

selanjutnya yaitu tahapan Check.

4.3.3 Tahapan Check

Tahap check terdiri dari dua kegiatan yaitu memilih objektif kontrol dan

kontrol keamanan serta menghitung tingkat kematangan. Penjelasan masing-

masing dapat dilihat di bawah ini

4.3.3.1 Pemilihan Objektif Kontrol dan Kontrol Keamanan

Berdasarkan ISO 27001:2013

Tahap selanjutnya setelah penulis melakukan pengukuran terhadap

besarnya risiko yang ada pada aset milik Bidang Penyelenggaraan E-

Government Dinas Komunikasi dan Informatika Kabupaten Bogor adalah

memilih tindakan atau kontrol yang dapat mengurangi nilai risiko yang sudah

diukur sebelumnya. Dalam pemilihan objektif kontrol dan kontrol keamanan

pada penelitian ini, penulis mengacu kepada objektif kontrol dan kontrol yang

terdapat pada ISO 27001:2013 yang telah disesuaikan dengan insiden yang

177

pernah terjadi sebelumnya dan dari hasil penilaian risiko aset pada Bidang

Penyelenggaraan E-Government DISKOMINFO Kab. Bogor. Di bawah ini

merupakan objektif kontrol dan kontrol keamanan yang penulis gunakan:

Tabel 4. 76 Objektif Kontrol dan Kontrol Keamanan ISO 27001:2013

Klausul Objektif Kontrol Kontrol Keamanan


Manusia

7.1 Sebelum Bekerja 7.1.1 Penyaringan

7.2 Selama Bekerja 7.2.1 Tanggung Jawab

Manajemen

7.2.2 Kesadaran keamanan

informasi, pendidikan dan

pelatihan

8. Manajemen Aset 8.1 Tanggung Jawab Untuk

Aset



8.2 Klasifikasi Informasi 8.2.1 Klasifikasi Informasi

9. Kontrol Akses 9.1 Kebutuhan Bisnis

terhadap Kontrol Akses


9.1.2 Akses ke jaringan dan

layanan jaringan

11. Keamanan Fisik dan

Lingkungan

11.1 Area Aman 11.1.2 Kontrol Entri fisik

11.1.3 Mengamankan kantor,

ruangan, dan fasilitas

11.1.4 Pengamanan terhadap

ancaman eksternal dan

lingkungan

11.2 Peralatan 11.2.2 Utilitas Pendukung



12 Keamanan Operasi 12.2 Perlindungan dari

Malware


Malware

12.3 Backup 12.3.1 Backup Informasi

13 Keamanan Komunikasi 13.1 Manajemen Keamanan

Jaringan


16. Pengelolaan Insiden

Keamanan Informasi

16.1 Manajemen Insiden

Keamanan Informasi dan

Pebaikan


keamanan informasi


keamanan informasi

16.1.4 Penilaian dan keputusan

tentang kejadian keamanan

informasi




Keamanan Informasi

178

4.3.3.2 Penilaian Maturity Level Menggunakan SSE-CMM (System

Security Engineering Capability Maturity Level)

Tahap ini merupakan tahap untuk menggambarkan sudah sejauh

mana Bidang Penyelenggaraan E-Government Dinas Komunikasi dan

Informatika Kabupaten Bogor dapat memenuhi proses pengelolaan keamanan

informasi berdasarkan standar ISO 27001:2013 dan dilakukan terhadap

masing-masing kontrol yang sudah dijabarkan pada sub bab 4.3.3.1.

Daftar pernyataan yang penulis gunakan di dalam penelitian ini

dibuat berdasarkan kontrol keamanan dari setiap objektif kontrol yang dipilih

untuk melakukan audit keamanan sistem informasi di Bidang Penyelenggaraan

E-Government DISKOMINFO Kabupaten Bogor. Daftar penyataan yang

penulis gunakan dibuat berdasarkan standar ISO 27002:2013 yang berisi

tentang panduan implementasi dari masing-masing kontrol keamanan yang

sudah dijabarkan di atas. Dalam penelitian ini penulis menggunakan System

Security Engineering Capability Maturity Level (SSE-CMM) untuk mengukur

Maturity Level proses pengelolaan keamanan informasi berdasarkan standar

ISO 27001:2013.

Di bawah ini merupakan kerangka kerja perhitungan nilai maturity

level serta hasil perhitungan tingkat kematangan dari masing-masing kontrol

keamanan

179

1. Klausul 7 Keamanan Sumber Daya Manusia

Tabel 4. 77 Kerangka Kerja Perhitungan Maturity Level Klausul 7

7 Keamanan Sumber Daya Manusia

7.1.1 Penyaringan

No Penyataan Bobot 1 2 3 4 5 Nilai

1. Semua kandidat dilakukan

pemeriksaan dan verifikasi latar

belakang melalui daftar riwayat

hidup

1 √ 3

2. Adanya konfirmasi kualifikasi

akademik dan professional yang

diklaim, serta verifikasi identitas

independen (Contoh: paspor atau

dokumen serupa)

1 √ 3

3. Verifikasi yang lebih rinci

(Contoh: Peninjauan ulang

kredit atau catatan kriminal)

1 √ 1

4. Memastikan kandidat memiliki

kompetensi untuk melakukan

peran keamanan

1 √ 1

Total Bobot 4 Tingkat Kemampuan 2


No. Pernyataan Bobot 1 2 3 4 5 Nilai

1. Manajemen memberikan

pengarahan tentang peran dan

tanggung jawab keamanan

informasi terhadap karyawan

atau kontraktor sebelum

diberikan akses ke informasi

rahasia

1 √ 2

2. Adanya pemberian pedoman dan

pengarahan tentang harapan

keamanan informasi dari peran

karyawan dan kontraktor di

dalam organisasi

1 √ 2

3. Memastikan karyawan atau

kontraktor memiliki motivasi

dan terus memiliki keterampilan

dan kualifikasi yang sesuai untuk

memenuhi kebijakan keamanan

informasi

1 √ 1

Total Bobot 3 Tingkat Kemampuan 1.6

7.2.2 Kesadaran Keamanan Informasi, Pendidikan, dan Pelatihan


1. Adanya program kesadaran

keamanan informasi yang

bertujuan untuk membuat

karyawan atau kontraktor

menyadari tanggung jawab

mereka untuk keamanan

informasi

1 √ 2

180

2. Program kesadaran keamanan

informasi harus ditetapkan dan

relevan dengan kebijakan dan

prosedur keamanan informasi

organisasi (Contoh: pelaksanaan

hari keamanan informasi dan

menerbitkan buklet atau bulletin

tentang keamanan informasi)

1 √ 1

3. Pendidikan dan pelatihan

keamanan informasi harus

direncanakan dalam waktu

tertentu dan dilakukan secara

bertahap

1 √ 1

4. Memisahkan tanggung jawab

pribadi dan tanggung jawab

umum serta memastikan tidak

adanya tindakan sendiri dalam

mengamankan atau melindungi

informasi milik organisasi dan

milik pihak eksternal

1 √ 1

5. Memberikan kesadaran untuk

melakukan prosedur keamanan

informasi dasar (Contoh:

Pelaporan insiden keamanan

informasi) dan kontrol dasar

(Contoh: Keamanan kata sandi,

dan kontrol malware)

1 √ 2


Setelah melakukan perhitungan maturity level masing-masing

kontrol keamanan yang ada pada Klausul 7 Keamanan Sumber Daya Manusia,

selanjutnya adalah membuat perhitungan rata-rata klausul 7 Keamanan Sumber

Daya Manusia serta merepresentasikan hasil perhitungan kontrol keamanan di

atas ke dalam grafik. Di bawah ini merupakan tabel perhitungan rata-rata

kontrol keamanan di atas serta grafik yang menggambarkan maturity level 3

kontrol keamanan di atas.

181

Tabel 4. 78 Hasil Maturity Level Klausul 7

Klausul Objektif

Kontrol

Kontrol Keamanan Tingkat

Kemampuan

Rata-rata

Objektif

Kontrol

7. Keamanan

Sumber Daya

Manusia

7.1 Sebelum

Bekerja 7.1.1 Penyaringan 2 2

7.2 Selama

Bekerja

7.2.1 Tanggung Jawab

Manajemen 1.6

1.5 7.2.2 Kesadaran

Keamanan Informasi,

Pendidikan dan Pelatihan

1.4

Maturity Level Klausul 7 1.75

Berdasarkan hasil perhitungan maturity level yang penulis lakukan

pada Klausul 7 Keamanan Sumber Daya Manusia, didapatkan nilai maturity

level di Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten

Bogor sebesar 1.75 dan termasuk dalam level 1 yaitu Performed Informally.

Hasil itu didapat karena pada kontrol keamanan 7.1.1 terdapat 2 pernyataan

yang dinilai dengan angka 1, lalu pada kontrol keamanan 7.2.1 terdapat 1

pernyataan yang dinilai dengan angka 1 dan terakhir pada kontrol keamanan

7.2.2 terdapat 3 pernyataan yang dinilai dengan angka 1. Di bawah ini

merupakan grafik yang merepresentasikan nilai maturity level klausul 7

Keamanan Sumber Daya Manusia

Gambar 4. 8 Grafik Representasi Maturity Level Klausul 7

0

0,5

1

1,5

27.1.1 Penyaringan

7.2.1 Tanggung

Jawab Manajemen

7.2.2 Kesadaran

Keamanan Informasi,

Pendidikan dan

Pelatihan

Grafik Maturity Level Klausul 7 Keamanan

Sumber Daya Manusia

182

2. Klausul 8 Manajemen Aset


8 Manajemen Aset



1. Aset yang terkait dengan

informasi dan fasilitas

pemrosesan informasi harus

diidentifikasi dan inventarisasi

aset harus dibuat dan dipelihara.

1 √ 2

2. Aset yang relevan dalam siklus

hidup informasi (pembuatan,

pemrosesan, penyimpanan,

transmisi, penghapusan, dan

penghancuran) harus

diidentifikasi dan

dokumentasinya dibuat dan

disimpan dalam inventaris

khusus

1 √ 1

3. Inventaris aset harus akurat,

terbaru, konsisten, dan sejajar

dengan inventaris lain.

1 √ 2




1. Kepemilikan atas aset harus

diberikan ketika aset didapatkan

atau diterima oleh organisasi

1 √ 2

2. Aset diinventarisasi,

diklasifikasikan dan dilindungi

dengan tepat

1 √ 2

3. Aset didefinisikan dan ditinjau

secara berkala dengan kebijakan

kontrol akses yang berlaku

1 √ 2

4. Memastikan penanganan yang

tepat saat aset dihapus 1 √ 1




1. Terdapat skema klasifikasi

informasi, yang digunakan untuk

klasifikasi dan kriteria informasi

untuk meninjau klasifikasi dari

waktu ke waktu

1 √ 2

2. Skema klasifikasi informasi

harus berdasarkan

confidentiality (kerahasiaan),

integrity (integritas), dan

availability (ketersediaan)

1 √ 2

3. Skema klasifikasi informasi

bersifat konsisten di dalam

organisasi

1 √ 1

183

4. Klasifikasi informasi harus

dimasukkan ke dalam proses

bisnis organisasi

1 √ 1

5. Hasil klasifikasi informasi harus

menunjukkan nilai aset 1 √ 1

6. Hasil klasifikasi informasi

diperbaharui sesuai dengan

perubahan nilai aset dan

kekritisan aset

1 √ 2



kontrol keamanan yang ada pada Klausul 8 Manajemen Aset, selanjutnya

adalah membuat perhitungan rata-rata klausul 8 Manajemen Aset serta

merepresentasikan hasil perhitungan kontrol keamanan di atas ke dalam grafik.

Di bawah ini merupakan tabel perhitungan rata-rata kontrol keamanan di atas

serta grafik yang menggambarkan maturity level 3 kontrol keamanan di atas.


Klausul Objektif

Kontrol


Kemampuan

Rata-rata

Objektif

Kontrol

8. Manajemen

Aset

8.1 Tanggung

Jawab Untuk

Aset

8.1.1 Inventarisasi Aset 1.6

1.675 8.1.2 Kepemilikan Aset 1.75

8.2 Klasifikasi

Informasi

8.2.1 Klasifikasi

Informasi 1.6 1.66



pada Klausul 8 Manajemen Aset, didapatkan nilai maturity level di Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor sebesar 1.6

dan termasuk dalam level 1 yaitu Performed Informally. Hasil itu didapat

karena pada kontrol keamanan 8.1.1 dan 8.1.2 masing-masing terdapat 1

pernyataan yang dinilai dengan angka 1 serta pada kontrol keamanan 8.2.1

terdapat 3 pernyataan yang mendapat nilai 1. Di bawah ini merupakan grafik

yang merepresentasikan nilai maturity level klausul 8 Manajemen Aset

184


3. Klausul 9 Kontrol Akses


9 Kontrol Akses



1. Pemilik aset menentukan aturan

akses kontrol yang tepat, hak

akses dan pembatasan aturan

pengguna terhadap aset mereka

1 √ 1

2. Adanya kebijakan kontrol akses

bersifat fisik dan logis yang baik

dan telah dipertimbangakan

bersama-sama

1 √ 1

3. Terdapat undang-undang yang

relevan dan kewajiban

kontraktual apa pun terkait

pembatasan akses ke data atau

layanan

1 √ 2

4. Adanya peninjauan kembali hak

akses secara berkala dan

penghapusan hak akses apabila

tidak sesuai

1 √ 2


9.1.2 Akses ke jaringan dan layanan jaringan


1. Adanya kebijakan yang

mengatur jaringan dan layanan

jaringan mana yang diizinkan

untuk diakses

1 √ 1


mengatur prosedur otorisasi

untuk menentukan siapa yang

diizinkan untuk mengakses

1 √ 1

1,5

1,6

1,7

1,88.1.1 Inventarisasi Aset

8.1.2 Kepemilikan Aset8.2.1 Klasifikasi

Informasi

Grafik Maturity Level Klausul 8 Manajemen Aset

185

jaringan atau layanan jaringan

tertentu


mengatur sarana yang

digunakan untuk mengakses

jaringan dan layanan jaringan

(misalnya penggunaan VPN atau

jaringan nirkabel)

1 √ 1


mengatur persyaratan

autentikasi (validasi) pengguna

untuk mengakses berbagai

layanan jaringan

1 √ 1


mengatur pemantauan

penggunaan layanan jaringan

1 √ 1



kontrol keamanan yang ada pada Klausul 9 Kontrol Akses, selanjutnya adalah

membuat perhitungan rata-rata klausul 9 Kontrol Akses serta





Klausul Objektif

Kontrol


Kemampuan

Rata-rata

Objektif

Kontrol

9. Kontrol Akses

9.1 Kebutuhan

Bisnis

terhadap

Kontrol Akses

9.1.1 Kebijakan Kontrol

Akses 1.5

1.25 9.1.2 Akses ke jaringan

dan layanan jaringan 1



pada Klausul 9 Kontrol Akses, didapatkan nilai maturity level di Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor sebesar

1.25 dan termasuk dalam level 1 yaitu Performed Informally. Hasil itu didapat

karena pada kontrol keamanan 9.1.1 terdapat 2 pernyataan serta 5 pernyataan

186

pada kontrol keamanan 9.1.2 mendapat nilai 1. Di bawah ini merupakan grafik

yang merepresentasikan nilai maturity level klausul 9 Kontrol Akses


4. Klausul 11 Keamanan Fisik dan Lingkungan


11 Keamanan Fisik dan Lingkungan



1. Pencatatan tanggal dan waktu

masuk dan keluarnya

pengunjung dicatat dan adanya

pengawasan terhadap

pengunjung

1 √

2. Akses ke daerah-daerah dimana

informasi rahasia diproses atau

disimpan (Contoh: Ruang

server) harus dibatasi untuk

individu yang berwenang

dengan menerapkan kontrol

akses yang sesuai (Contoh:

menggunakan kartu akses atau

fingerprint)

1 √

3. Pemantauan dan penjagaan

buku masuk fisik atau jejak

audit elektronik dari semua

akses

1 √

4. Semua pegawai atau pihak

eksternal memakai tanda

pengenal

1 √

5. Perbaharuan aturan tentang hak

akses untuk mengamankan

daerah yang aman secara

berkala

1 √


0

0,5

1

1,5

9.1.1 Kebijakan Kontrol

Akses

9.1.2 Akses ke jaringan

dan layanan jaringan

Grafik Maturity Level Klausul 9 Kontrol Akses

187

11.1.3 Mengamankan Kantor, Ruangan, dan Fasilitas


1. Fasilitas utama ditempatkan di

tempat yang aman dan tidak

dapat diakses oleh publik 1 √ 2

2. Terdapat tanda baik di dalam

atau di luar bangunan yang

menandakan adanya tempat

pengelolaan dan pengolahan

data atau informasi

1 √ 2


11.1.4 Melindungi Terhadap Ancaman Eksternal dan Lingkungan

1. Terdapat rancangan atau

penerapan perlindungan fisik

terhadap aset dari adanya

bencana alam, serangan atau

kecelakaan yang berbahaya

1 √ 2

2. Adanya saran dari ahli tentang

bagaimana cara untuk

menghindari kerusakan dari

segala ancaman seperti

kebakaran, banjir, gempa bumi,

ledakan, atau ancaman lain

1 √ 2




1. Adanya peraturan mengenai

sarana pendukung sesuai dengan

spesifikasi peralatan dan

persyaratan hukum organisasi

1 √ 1

2. Penilaian sarana pendukung

secara teratur 1 √ 1

3. Pemeriksaan dan pengujian

aturan tentang sarana

pendukung secara teratur

1 √ 1




1. Adanya peraturan mengenai

listrik dan jalur telekomunikasi

ke fasilitas pengolahan

informasi yang menyatakan

harus di bawah tanah

1 √ 1

2. Adanya peraturan pemisahan

kabel listrik dengan kabel

komunikasi

1 √ 1




1. Terdapat peraturan mengenai


pemeliharaan peralatan dalam

interval yang direkomendasikan

pemasok

1 √ 1

188

2. Pemeliharaan atau perbaikan

peralatan dilakukan oleh

personil yang berwenang

1 √ 2

3. Memastikan peralatan berfungsi

dengan baik sebelum

mengoperasikan kembali

setelah proses pemeriksaan dan

pemeliharaan

1 √ 1



kontrol keamanan yang ada pada Klausul 11 Keamanan Fisik dan Lingkungan,

selanjutnya adalah membuat perhitungan rata-rata klausul 11 Keamanan Fisik

dan Lingkungan serta merepresentasikan hasil perhitungan kontrol keamanan

di atas ke dalam grafik. Di bawah ini merupakan tabel perhitungan rata-rata




Klausul Objektif

Kontrol Kontrol Keamanan

Tingkat

Kemampuan

Rata-rata

Objektif

Kontrol

11. Keamanan

Fisik dan

Lingkungan

11.1 Area

Aman

11.1.2 Kontrol Entri fisik 1.6

1.86

11.1.3 Mengamankan

kantor, ruangan, dan

fasilitas

2

11.1.4 Pengamanan

terhadap ancaman

eksternal dan lingkungan

2

11.2 Peralatan

11.2.2 Utilitas

Pendukung 1

1.1 11.2.3 Keamanan Kabel 1

11.2.4 Pemeliharaan

Peralatan 1.3



pada Klausul 11 Keamanan Fisik dan Lingkungan, didapatkan nilai maturity

level di Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten

Bogor sebesar 1.48 dan termasuk dalam level 1 yaitu Performed Informally.

189

Hasil itu didapat karena pada kontrol keamanan 11.1.2 terdapat 2 pernyataan

yang dinilai dengan angka 1, serta pada kontrol keamanan 11.2.2 terdapat 3

pernyataan yang dinilai dengan angka 1, kontrol keamanan 11.2.3 terdapat 2

pernyataan yang dinilai dengan angka 1, dan pada kontrol keamanan 11.2.4

terdapat 2 pernyataan yang dinilai dengan angka 1. Di bawah ini merupakan

grafik yang merepresentasikan nilai maturity level klausul 11 Keamanan Fisik

dan Lingkungan


5. Klausul 12 Keamanan Operasi


12 Keamanan Operasi



1. Terdapat kebijakan mengenai

penggunaan perangkat lunak

yang resmi beserta

pengontrolannya

1 √ 1

2. Adanya kontrol untuk mencegah

dan mendeteksi perangkat lunak

yang tidak sah serta penggunaan

situs berbahaya yang dicurigai

1 √ 2

0

0,5

1

1,5

2

11.1.2 Kontrol Entri

fisik

11.1.3 Mengamankan

kantor, ruangan, dan

fasilitas

11.1.4 Pengamanan

terhadap ancaman

eksternal dan…

11.2.2 Utilitas

Pendukung

11.2.3 Keamanan

Kabel

11.2.4 Pemeliharaan

Peralatan

Grafik Maturity Level Klausul 11 Keamanan Fisik dan

Lingkungan

190

3. Adanya kebijakan terkait

dengan sumber yang digunakan

untuk mendapatkan file dan

software untuk mencegah risiko

1 √ 1

4. Adanya manajemen kerentanan

terhadap malware 1 √ 1

5. Tinjauan rutin perangkat lunak

dan konten data sistem yang

mendukung proses bisnis yang

penting

1 √ 1

6. Instalasi dan pembaharuan rutin

software pendeteksi malware

serta perbaikan perangkat lunak

untuk memindai komputer dan

media

1 √ 2

7. Adanya prosedur dan tanggung

jawab untuk menangani

perlindungan malware pada

sistem, pelatihan dalam

penggunaan, pelaporan dan

perbaikan dari serangan

malware

1 √ 1

8. Adanya prosedur

mengumpulkan informasi

tentang malware baru secara

teratur

1 √ 1

9. Prosedur untuk memverifikasi

informasi yang berkaitan

dengan malware

1 √ 1




1. Kebijakan backup informasi

yang mencakup pertahanan dan

perlindungan infrormasi

1 √ 1

2. Tersedianya fasilitas backup

informasi yang memadai untuk

memastikan informasi penting

dapat dipulihkan setelah terjadi

bencana atau kegagalan media

1 √ 1

3. Pencatatan backup informasi

yang akurat dan lengkap serta

dokumentasi prosedur

perbaikan

1 √ 1

4. Penyimpanan Backup di tempat

yang aman dan jarak yang cukup 1 √ 1

5. Tingkat perlindungan fisik dan

lingkungan Backup informasi

yang konsisten sesuai dengan

standar yang diterapkan pada

lokasi utama organisasi

1 √ 1

6. Pengujian media backup secara

berkala 1 √ 1

191

7. Penggunaan enkripsi pada

backup dalam keadaan

kerahasiaan sangat penting

1 √ 1



kontrol keamanan yang ada pada Klausul 12 Keamanan Operasi, selanjutnya

adalah membuat perhitungan rata-rata klausul 12 Keamanan Operasi serta





Klausul Objektif

Kontrol


Kemampuan

Rata-rata

Objektif

Kontrol

12 Keamanan

Operasi

12.2

Perlindungan

dari Malware


Malware 1.22 1.22

12.3 Backup 12.3.1 Backup Informasi 1 1



pada Klausul 12 Keamanan Operasi, didapatkan nilai maturity level di Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor sebesar

1.11 dan termasuk dalam level 1 yaitu Performed Informally. Hasil itu didapat

karena pada kontrol keamanan 12.2.1 terdapat 7 pernyataan yang di nilai

dengan angka 1, lalu pada kontrol keamanan 12.3.1 seluruh pernyataan dinilai

dengan angka 1. Di bawah ini merupakan grafik yang merepresentasikan nilai

maturity level klausul 12 Keamanan Operasi

192


6. Klausul 13 Keamanan Komunikasi


13 Keamanan Komunikasi



1. Penetapan tanggung jawab dan

prosedur untuk pengelolaan

peralatan jaringan 1 √ 1

2. Adanya pemisahan tanggung

jawab operasional untuk

jaringan dengan operasional

yang lain

1 √ 2

3. Adanya pemantauan dan

tindakan memutus akses yang

sesuai untuk mendeteksi

tindakan yang dapat

berpengaruh terhadap keamanan

informasi

1 √ 1

4. Koordinasi manajemen untuk

mengoptimalkan layanan

kepada organisasi dan

memastikan bahwa kontrol

diterapkan secara konsisten

1 √ 2

5. Adanya autentikasi sistem di

jaringan 1 √ 2

6. Pembatasan koneksi sistem ke

jaringan 1 √ 2



kontrol keamanan yang ada pada Klausul 13 Keamanan Komunikasi,

0

0,5

1

1,5


Malware


Grafik Maturity Level Klausul 12 Keamanan

Operasi

193

selanjutnya adalah membuat perhitungan rata-rata klausul 13 Keamanan

Komunikasi serta merepresentasikan hasil perhitungan kontrol keamanan di

atas ke dalam grafik. Di bawah ini merupakan tabel perhitungan rata-rata




Klausul Objektif

Kontrol


Kemampuan

Rata-rata

Objektif

Kontrol

13 Keamanan

Komunikasi

13.1

Manajemen

Keamanan

Jaringan


1.6 1.6



pada Klausul 13 Keamanan Komunikasi, didapatkan nilai maturity level di

Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor

sebesar 1.6 dan termasuk dalam level 1 yaitu Performed Informally. Hasil itu

didapat karena pada kontrol keamanan 13.1.1 terdapat 2 pernyataan yang

dinilai dengan angka 1. Di bawah ini merupakan grafik yang

merepresentasikan nilai maturity level klausul 13 Keamanan Komunikasi

194


7. Klausul 16 Pengelolaan Insiden Keamanan Informasi


16 Pengelolaan Insiden Keamanan Informasi



1. Pegawai menyadari akan

tanggung jawabnya untuk

melaporkan kejadian keamanan

informasi secepat mungkin

1 √ 2

2. Adanya prosedur untuk

melaporkan kejadian keamanan

informasi terkait dengan

pelanggaran akses, malfungsi

perangkat lunak atau perangkat

keras, adanya perubahan sistem

yang tidak terkendali

1 √ 1




1. Adanya arahan bagi karyawan

maupun kontraktor untuk

mencatat kelemahan keamanan

sistem yang dicurigai

1 √ 1

2. Adanya mekanisme pelaporan

kelemahan keamanan informasi

yang mudah diakses

1 √ 1


16.1.4 Penilaian dan Keputusan tentang Kejadian Keamanan Informasi


1. Penilaian titik kontak setiap

peristiwa keamanan informasi

menggunakan kejadian

1 √ 1

0

0,5

1

1,5

2

13.1.1 Kontrol

Jaringan

Grafik Maturity Level Klausul 13 Keamanan Komunikasi

195

keamanan informasiyang

disepakati

2. Klasifikasi dan penentuan

prioritas insiden dari skala

klasifikasi insiden dilakukan

1 √ 1

3. Hasil penilaian dan keputusan

reasesmen dicatat secara rinci 1 √ 1


16.1.5 Respon Terhadap Insiden Keamanan Informasi


1. Adanya pengumpulan bukti

sesegera mungkin setelah

terjadinya insiden keamanan

informasi

1 √ 2

2. Adanya prosedur untuk

mengkomunikasikan

keberadaan insiden keamanan

informasi

1 √ 1

3. Adanya pencatatan insiden

keamanan informasi untuk

selanjutnya dilakukan analisis

penyebab insiden keamanan

infomasi

1 √ 1


16.1.6 Belajar Dari Insiden Keamanan Informasi


1. Terdapat mekanisme yang

digunakan untuk mengukur dan

memonitor jenis, frekuensi dan

biaya insiden keamanan

informasi

1 √ 1

2. Evaluasi insiden keamanan

informasi digunakan untuk

meningkatkan kinerja keamanan

serta membatasi frekuensi,

kerusakan dan biaya kejadian di

masa depan

1 √ 1



kontrol keamanan yang ada pada Klausul 16 Pengelolaan Insiden Keamanan

Informasi, selanjutnya adalah membuat perhitungan rata-rata klausul 16

Pengelolaan Insiden Keamanan Informasi serta merepresentasikan hasil

perhitungan kontrol keamanan di atas ke dalam grafik. Di bawah ini merupakan

tabel perhitungan rata-rata kontrol keamanan di atas serta grafik yang

menggambarkan maturity level 3 kontrol keamanan di atas.

196


Klausul Objektif

Kontrol


Kemampuan

Rata-rata

Objektif

Kontrol

16. Pengelolaan

Insiden

Keamanan

Informasi

16.1

Manajemen

Insiden

Keamanan

Informasi dan

Pebaikan

16.1.2 Pelaporan

Peristiwa keamanan

informasi 1.5

1.16

16.1.3 Pelaporan

kelemahan keamanan

informasi

1

16.1.4 Penilaian dan

keputusan tentang

kejadian keamanan

informasi

1


insiden keamanan

informasi

1.3

16.1.6 Belajar dari

Insiden Keamanan

Informasi

1



pada Klausul 16 Pengelolaan Insiden Keamanan Informasi, didapatkan nilai

maturity level di Bidang Penyelenggaraan E-Government DISKOMINFO

Kabupaten Bogor sebesar 1.16 dan termasuk dalam level 1 yaitu Performed

Informally. Hasil itu didapat karena pada kontrol keamanan 16.1.2 terdapat 1

pernyataan yang mendapat nilai 1, lalu semua pernyataan pada kontrol

keamanan 16.1.3, kontrol keamanan 16.1.4, kontrol keamanan 16.1.6

mendapat nilai 1 dan pada kontrol keamanan 16.1.5 terdapat 2 pernyataan yang

mendapat nilai 1. Di bawah ini merupakan grafik yang merepresentasikan nilai

maturity level klausul 16 Pengelolaan Insiden Keamanan Informasi.

197


4.3.4 Tahapan Act

Tahapan yang dilakukan setelah mengukur maturity level dari tiap-tiap

objektif kontrol serta kontrol keamanan pada Bidang Penyelenggaraan E-

Government Dinas Komunikasi dan Informatika Kabupaten Bogor yaitu

melakukan Penelusuran bukti terhadap pernyataan-pernyataan yang ada pada

kontrol keamanan. Penelusuran bukti ini berguna untuk mencocokkan nilai

maturity level yang sudah diberikan oleh beberapa responden dalam kuisioner

dengan kondisi sebenarnya yang ada pada Bidang Penyelenggaraan E-

Government Dinas Komunikasi dan Informatika Kabupaten Bogor.

Setelah tahap penelusuran bukti selesai dilakukan, maka langkah terakhir

adalah memberikan rekomendasi bagi Bidang Penyelenggaraan E-Government

Dinas Komunikasi dan Informatika Kabupaten Bogor untuk dapat mempebaiki

serta meningkatkan kontrol keamanan yang sesuai dengan standar ISO

0

0,5

1

1,5


keamanan informasi


keamanan informasi

16.1.4 Penilaian dan

keputusan tentang kejadian

keamanan informasi




Keamanan Informasi

Grafik Maturity Level Klausul 16 Pengelolaan Insiden

Keamanan Informasi

198

27001:2013. Ringkasan perhitungan nilai rata-rata maturity level dari seluruh

klausul yang ada pada sub bagian 4.3.3.2 akan dijelaskan di bawah ini.

Tabel 4. 91 Nilai Maturity Level Seluruh Klausul

Klausul Maturity

Level

Klausul 7 Keamanan Sumber Daya Manusia 1.75

Klausul 8 Manajemen Aset 1.6

Klausul 9 Kontrol Akses 1.25

Klausul 11 Keamanan Fisik dan Lingkungan 1.48

Klausul 12 Keamanan Operasi 1.11

Klausul 13 Keamanan Komunikasi 1.6

Klausul 16 Pengelolaan Insiden Keamanan Informasi 1.16

Total 9.95

Rata-Rata 1.42

Di bawah ini merupakan grafik yang merepresentasikan nilai maturity

level pada tabel 4.91.

Gambar 4. 15 Grafik Representasi Maturity Level Seluruh Klausul

Dari hasil perhitungan keseluruhan klausul yang peneliti gunakan

didapatkan nilai maturity level sebesar 1.42 yang berada dalam kategori

Performed Informally yang berarti sebagian besar kegiatan pada Bidang

Penyelenggaraan E-Government Dinas Komunikasi dan Informatika Kabupaten

0

0,5

1

1,5

2

Klausul 7 Keamanan Sumber

Daya Manusia

Klausul 8 Manajemen Aset

Klausul 9 Kontrol Akses

Klausul 11 Keamanan Fisik

dan LingkunganKlausul 12 Keamanan Operasi

Klausul 13 Keamanan

Komunikasi

Klausul 16 Pengelolaan

Insiden Keamanan Informasi

Grafik Maturity Level Seluruh Klausul

199

Bogor belum sepenuhnya direncanakan, kinerja yang dilakukan masih bergantung

pada pengetahuan pribadi pegawai serta organisasi.

Setelah melakukan penilaian maturity level serta merepresentasikan dalam

bentuk grafik di atas, penulis melakukan penelusuran bukti terhadap dokumen

atau kegiatan-kegiatan yang sesuai untuk menggambarkan nilai yang ada pada

saat melakukan penilaian maturity level.

4.3.4.1 Penelusuran Bukti

Tabel 4.92 merupakan hasil temuan kondisi Bidang


Kabupaten Bogor.

Tabel 4. 92 Hasil Temuan Seluruh Kontrol Keamanan

7.1.1 Penyaringan

Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap

Ya Tidak

Pemeriksaan

verifikasi latar

belakang pada semua

kandidat untuk

pekerjaan harus

dilakukan sesuai

dengan hukum,

peraturan dan etika

yang relevan dan

harus proporsional

dengan persyaratan

bisnis, klasifikasi

informasi yang akan

diakses dan risiko

yang dirasakan

Semua kandidat

dilakukan pemeriksaan

dan verifikasi latar

belakang melalui daftar

riwayat hidup

√

Pada saat recruitment,

dilaksanakan

pemeriksaan Daftar

Riwayat Hidup atau

CV sebagai salah satu

syarat pendaftaran

-

Konfirmasi kualifikasi

akademik dan

professional yang

diklaim, serta verifikasi

identitas independen

(Contoh: paspor atau

dokumen serupa)

√

Adanya pemeriksaan

terhadap Ijazah atau

sertifikat pengalaman

kerja sebelumnya

terhadap pelamar

-

Verifikasi yang lebih

rinci (Contoh: Peninjauan

ulang kredit atau catatan

kriminal) √

Berdasarkan kontrol

7.1.1 sebaiknya dalam

syarat pendaftaran

dimasukkan syarat

untuk melampirkan

SKCK dari kepolisian

Memastikan kandidat

memiliki kompetensi

untuk melakukan peran

keamanan √

Berdasarkan kontrol

7.1.1 sebaiknya ada

prosedur untuk

memastikan pelamar

memiliki kemampuan

melakukan peran

keamanan

200



Ya Tidak

Manajemen

mengharuskan semua

karyawan dan

kontraktor untuk

menerapkan

keamanan informasi

sesuai dengan

kebijakan dan

prosedur organisasi

yang telah ditetapkan

Manajemen memberikan

pengarahan tentang peran

dan tanggung jawab

keamanan informasi

terhadap karyawan atau

kontraktor sebelum

diberikan akses ke

informasi rahasia

√

Adanya arahan secara

lisan dari Kepala

Bidang

Penyelenggaraan E-

Government

DISKOMINFO Kab.

Bogor kepada Kepala

Seksi serta staf di tiap

seksi tentang

tanggung jawab

mereka

-

Pemberian pedoman dan

pengarahan tentang

harapan keamanan

informasi dari peran

karyawan dan kontraktor

di dalam organisasi

√

Adanya arahan secara

lisan dari Kepala

Bidang

Penyelenggaraan E-

Government

DISKOMINFO Kab.

Bogor tentang

harapan serta tujuan

yang ingin dicapai

oleh Bidang

Penyelenggaraan E-

Government

DISKOMINFO Kab.

Bogor

-

Memastikan karyawan

atau kontraktor memiliki

motivasi dan terus

memiliki keterampilan

dan kualifikasi yang

sesuai untuk memenuhi

kebijakan keamanan

informasi

√

Berdasarkan kontrol

7.2.1 seharusnya

Kepala Bidang

Penyelenggaraan E-

Government

memastikan bahwa

tiap stafnya memiliki

motivasi serta

keterampilan yang

konsisten untuk

memenuhi kebijakan

keamanan informasi



Ya Tidak

Semua karyawan

organisasi dan, jika

relevan, kontraktor

harus menerima

pendidikan dan

pelatihan kesadaran

yang sesuai dan

pembaruan rutin

dalam kebijakan dan

prosedur organisasi,

yang relevan untuk

Adanya program

kesadaran keamanan

informasi yang bertujuan

untuk membuat

karyawan atau kontraktor

menyadari tanggung

jawab mereka untuk

keamanan informasi

√

Pada tahun 2017

DISKOMINFO Kab.

Bogor pernah

mengadakan

pelatihan keamanan

informasi yang

narasumbernya

berasal dari BSSN

dan KOMINFO

-

Program kesadaran

keamanan informasi

harus ditetapkan dan

√

Berdasarkan kontrol

7.2.2 sebaiknya

Bidang

201

fungsi pekerjaan

mereka

relevan dengan kebijakan

dan prosedur keamanan

informasi organisasi

(Contoh: pelaksanaan

hari keamanan informasi

dan menerbitkan buklet

atau buletin tentang

keamanan informasi)

Penyelenggaraan E-

Government yang

bertugas dalam hal

keamanan informasi

membuat sebuah

edaran tentang

keamanan informasi

untuk mengedukasi

karyawan atau staf

yang berada di bidang

lain

Pendidikan dan pelatihan

keamanan informasi

harus direncanakan

dalam waktu tertentu dan

dilakukan secara

bertahap

√

Berdasarkan kontrol

7.2.2 sebaiknya

Bidang

Penyelenggaraan E-

Government selalu

memiliki untuk

memberikan

pelatihan keamanan

baik pelatihan

menggunakan

narasumber dari luar

maupun dari dalam

organisasi

Memisahkan tanggung

jawab pribadi dan

tanggung jawab umum

serta memastikan tidak

adanya tindakan sendiri

dalam mengamankan

atau melindungi

informasi milik

organisasi dan milik

pihak eksternal

√

Berdasarkan kontrol

7.2.2 sebaiknya

Kepala Bidang

Penyelenggara E-

Government

memberikan arahan

kepada staf untuk

tidak melakukan

tindakan sendiri

apabila ada suatu

insiden keamana

informasi

Memberikan kesadaran

untuk melakukan

prosedur keamanan

informasi dasar (Contoh:

Pelaporan insiden

keamanan informasi) dan

kontrol dasar (Contoh:

Keamanan kata sandi,

dan kontrol malware)

√

Adanya kesadaran

dari staf NOC untuk

melaporkan apabila

terjadi insiden

keamanan informasi

walaupun dalam

bentuk lisan

-



Ya Tidak

Aset yang terkait

dengan informasi dan

fasilitas pemrosesan

informasi harus

diidentifikasi dan

inventarisasi aset-aset

Aset yang terkait dengan

informasi dan fasilitas

pemrosesan informasi

harus diidentifikasi dan

inventarisasi aset harus

dibuat dan dipelihara

√

Terdapat Daftar

Inventarisasi Aplikasi

OPD Kabupaten

Bogor

-

202

ini harus dibuat dan

dipelihara

Aset yang relevan dalam

siklus hidup informasi

(pembuatan, pemrosesan,

penyimpanan, transmisi,

penghapusan, dan

penghancuran) harus

diidentifikasi dan

dokumentasinya dibuat

dan disimpan dalam

inventaris khusus

√

Berdasarkan kontrol

8.1.1 seharusnya aset

yang berkaitan

dengan siklus hidup

informasi harus

didokumentasikan

serta disimpan dalam

invetasris khusus

Inventaris aset harus

akurat, terbaru, konsisten,

dan sejajar dengan

inventaris lain.

√

Daftar Inventarisasi

Aplikasi OPD

Kabupaten Bogor

diperbaharui setiap

tahun

-



Ya Tidak

Aset yang

dipertahankan dalam

inventaris harus

dimiliki

Kepemilikan atas aset

harus diberikan ketika

aset didapatkan atau

diterima oleh organisasi √

Peraturan Bupati

Bogor Nomor 11

Tahun 2015 yang

menyatakan

DISKOMINFO Kab.

Bogor sebagai Wali

Data

-

Aset diinventarisasi,

diklasifikasikan dan

dilindungi dengan tepat

√

Peraturan Bupati

Bogor Nomor 11

Tahun 2015 yang

menyatakan

DISKOMINFO Kab.

Bogor harus menjaga

keamanan data dan

informasi

-

Aset didefinisikan dan

ditinjau secara berkala

dengan kebijakan kontrol

akses yang berlaku. √

Berdasarkan kontrol

8.1.2 hak akses

terhadap aset harus

ditinjau secara

berkala untuk

mencegah terjadinya

akses yang tidak sah

Memastikan penanganan

yang tepat saat aset

dihapus

√

Berdasarkan kontrol

8.1.2 sebaiknya ketika

aset dihapus harus

didokumentasikan

agar ketika

melakukan

inventarisasi aset

diketahui mana aset

yang masih ada dan

yang sudah dihapus



Ya Tidak

Informasi harus

diklasifikasikan

Terdapat skema

klasifikasi informasi, √

Berdasarkan kontrol

8.2.1 harus terdapat

203

dalam persyaratan

hukum, nilai,

kekritisan, dan

kepekaan terhadap

pengungkapan atau

modifikasi yang tidak

sah.

yang digunakan untuk

klasifikasi dan kriteria

informasi untuk meninjau

klasifikasi dari waktu ke

waktu

skema untuk

mengkalisifikasikan

informasi agar

organisasi dapat

dengan mudah

meninjaunya dari

waktu ke waktu

Skema klasifikasi

informasi harus

berdasarkan

confidentiality

(kerahasiaan), integrity

(integritas), dan

availability

(ketersediaan)

√

Berdasarkan kontrol

8.2.1 seharusnya ada

skema klasifikasi

informasi

berdasarkan aspek

kerahasiaan,

integritas, dan

ketersediaan

Skema klasifikasi

informasi bersifat

konsisten di dalam

organisasi √

Berdasarkan kontrol

8.2.1 seharusnya

informasi

diklasifikasikan

secara konsisten

menggunakan cara

yang sama

Klasifikasi informasi

harus dimasukkan ke

dalam proses bisnis

organisasi √

Berdasarkan kontrol

8.2.1 seharusnya

DISKOMINFO Kab.

Bogor memasukkan

kegiatan klasifikasi

informasi ke dalam

proses bisnis

organisasi

Hasil klasifikasi

informasi harus

menunjukkan nilai aset

√

Berdasarkan kontrol

8.2.1 klasifikasi

informasi harus

menunjukkan nilai

aset yang dinilai

berdasarkan aspek

kerahasiaan,

integritas, dan

ketersediaan

Hasil klasifikasi

informasi diperbaharui

sesuai dengan perubahan

nilai aset dan kekritisan

aset √

Berdasarkan kontrol

8.2.1 organisasi harus

memperbaharui nilai

aset yang telah

diklasifikasikan untuk

menentukan langkah

yang tepat dalam

melindungi informasi

tersebut



Ya Tidak

Kebijakan kontrol

akses harus

ditetapkan,

didokumentasikan

Pemilik aset menentukan

aturan akses kontrol yang

tepat, hak akses dan

pembatasan aturan

√

Ketika data-data dinas

lain disimpan ke

dalam server

DISKOMINFO Kab.

-

204

dan ditinjau

berdasarkan

persyaratan

keamanan bisnis dan

informasi

pengguna terhadap aset

mereka

Bogor ada

kesepakatan hal apa

saja yang bisa diakses

dan yang tidak dapat

diakses oleh

DISKOMINFO Kab.

Bogor

Adanya kebijakan

kontrol akses bersifat

fisik dan logis yang baik

dan telah

dipertimbangakan

bersama-sama

√

Berdasarkan kontrol

9.1.1 seharusnya

terdapat kebijakan

kontrol akses yang

baik dan disepakati

oleh semua pihak

Terdapat undang-undang

yang relevan dan

kewajiban kontraktual

apa pun terkait

pembatasan akses ke data

atau layanan √

Undang-undang

kependudukan

mengatur bahwa data

SIAK (Sistem

Informasi

Kependudukan)

hanya boleh diakses

oleh Dinas

Kependudukan dan

Pencatatan Sipil

-

Adanya peninjauan

kembali hak akses secara

berkala dan penghapusan

hak akses apabila tidak

sesuai

√

Berdasarkan kontrol

9.1.1 seharusnya hak

akses ditinjau secara

berkala untuk

menghindari adanya




Ya Tidak

Pengguna hanya

boleh diberikan akses

ke jaringan dan

layanan jaringan yang

telah secara khusus

diizinkan untuk

digunakan

Pengguna hanya

boleh diberikan akses

ke jaringan dan

layanan jaringan yang

telah secara khusus

diizinkan untuk

digunakan

Adanya kebijakan yang

mengatur jaringan dan

layanan jaringan mana

yang diizinkan untuk

diakses √

Menurut kontrol 9.1.2

kebijakan untuk

mengatur jaringan

yang dapat diakses

harus ada untuk

mencegah terjadinya


ke jaringan yang

bersifat pribadi.


mengatur prosedur

otorisasi untuk

menentukan siapa yang

diizinkan untuk

mengakses jaringan atau

layanan jaringan tertentu

√

Pemberian izin

mengakses jaringan

atau layanan jaringan

mengikuti kebijakan

dari pimpinan

-


mengatur sarana yang

digunakan untuk

mengakses jaringan dan

layanan jaringan

(misalnya penggunaan

√

DISKOMINFO

Kabupaten Bogor

telah menggunakan

VPN

-

205

VPN atau jaringan

nirkabel)


mengatur persyaratan

autentikasi (validasi)

pengguna untuk

mengakses berbagai

layanan jaringan

√

Berdasarkan kontrol

9.1.2 kebijakan untuk

validasi pengguna

harus ada untuk

mengetahui

memastikan layanan

jaringan diakses oleh

orang yang

berkepentingan


mengatur pemantauan

penggunaan layanan

jaringan

√

Adanya pemantauan

menggunakan

aplikasi DUDE

-



Ya Tidak

Area aman harus

dilindungi oleh

kontrol entri yang

tepat untuk

memastikan bahwa

hanya personel yang

berwenang yang

diperbolehkan

mengakses

Pencatatan tanggal dan

waktu masuk dan

keluarnya pengunjung

dicatat dan adanya

pengawasan terhadap

pengunjung √

Pada saat masuk ke

dalam

DISKOMINFO Kab.

Bogor terdapat staf

resepsionis yang

mengawasi melalui

kamera CCTV dan

apabila masuk ke

ruangan server ada

petugas NOC yang

mengawasi melalui

CCTV.

-

Akses ke daerah-daerah

dimana informasi rahasia

diproses atau disimpan

(Contoh: Ruang server)

harus dibatasi untuk

individu yang berwenang

dengan menerapkan

kontrol akses yang sesuai

(Contoh: menggunakan

kartu akses atau

fingerprint)

√

Terdapat

perlindungan berupa

pemakaian

fingerprint pada saat

ingin masuk ke

ruangan server

-

Pemantauan dan

penjagaan buku masuk

fisik atau jejak audit

elektronik dari semua

akses

√

Petugas NOC

melakukan

pencatatan siapa saja

yang masuk ke dalam

ruangan server

-

Semua pegawai atau

pihak eksternal memakai

tanda pengenal √

Hanya pegawai

DISKOMINFO Kab.

Bogor yang memakai

tanda pengenal

-

Perbaharuan aturan

tentang hak akses untuk

mengamankan daerah

yang aman secara berkala

√

Berdasarkan kontrol

11.1.2 seharusnya hak

akses ke obyek vital

seperti ruang server

harus terus

206

diperbaharui untuk

mencegah orang yang

tidak berkepentingan

mengakses obyek

tersebut



Ya Tidak

Keamanan fisik untuk

kantor, kamar dan

fasilitas harus

dirancang dan

diterapkan

Fasilitas utama

ditempatkan di tempat

yang aman dan tidak

dapat diakses oleh publik √

Aset berupa server

berada di lantai 2

DISKOMINFO Kab.

Bogor, dan untuk

dapat menuju lantai 2

harus melapor ke

resepsionis di lantai 1

-

Terdapat tanda baik di

dalam atau di luar

bangunan yang

menandakan adanya

tempat pengelolaan dan

pengolahan data atau

informasi

√

Terdapat tanda berupa

tulisan “Ruang

Server” di pintu ruang

server

-



Ya Tidak

Perlindungan fisik

terhadap bencana

alam, serangan atau

kecelakaan yang

berbahaya harus

dirancang dan

diterapkan.

Terdapat rancangan atau

penerapan perlindungan

fisik terhadap aset dari

adanya bencana alam,

serangan atau kecelakaan

yang berbahaya

√

Terdapat alat

pemadam kebakaran

untuk mengantisipasi

apabila terjadi insiden

kebakaran

-

Adanya saran dari ahli

tentang bagaimana cara

untuk menghindari

kerusakan dari segala

ancaman seperti

kebakaran, banjir, gempa

bumi, ledakan, atau

ancaman lain

√

Dalam tahap

pembangunan gedung

DISKOMINFO Kab.

Bogor meminta saran

kepada konsultan

perencana

-



Ya Tidak

Peralatan harus

dilindungi dari

gangguan listrik dan

gangguan lain yang

disebabkan oleh

kegagalan dalam

mendukung utilitas

Adanya peraturan

mengenai utilitas

pendukung sesuai dengan


persyaratan hukum

organisasi

√

Berdasarkan kontrol

11.2.2 harus dibuat

peraturan tentang

utilitas pendukung

yang sesuai dengan

spesifikasi pabrik dan

persyaratan hukum

pihak DISKOMINFO

Penilaian utilitas


√

Berdasarkan kontrol

11.2.2 utilitas

pendukung harus

dinilai dalam jangka

waktu tertentu untuk

207

memastikan apakah

utilitas pendukung

masih layak

digunakan atau tidak

Adanya aturan tentang

pemeriksaan dan

pengujian sarana

pendukung secara teratur √

Sarana pendukung

berupa Air

Conditioner terutama

di ruangan server

dilaksanakan

pemeliharaan secara

rutin

-



Ya Tidak

Kabel daya dan

telekomunikasi yang

membawa data atau

layanan informasi

pendukung harus

dilindungi dari

intersepsi,

interferensi atau

kerusakan

Adanya peraturan

mengenai listrik dan jalur

telekomunikasi ke

fasilitas pengolahan

informasi yang

menyatakan harus di

bawah tanah

√

Jalur listrik dan jalur

telekomunikasi

ditempatkan di bawah

tanah

-

Adanya peraturan

pemisahan kabel listrik

dengan kabel komunikasi

√

Kabel listrik dan

kabel komunikasi

dipisah

-



Ya Tidak

Peralatan harus

dipelihara dengan

benar untuk

memastikan

ketersediaan dan

integritasnya yang

berkelanjutan

Terdapat peraturan

mengenai spesifikasi

peralatan dan

pemeliharaan peralatan

dalam interval yang

direkomendasikan

pemasok

√

Berdasarkan kontrol

11.2.4 peraturan

terkait jadwal service

peralatan yang sesuai

dengan anjuran pihak

vendor atau pemasok

harus dibuat

Pemeliharaan atau

perbaikan peralatan

dilakukan oleh personil

yang berwenang

√

Pemeliharaan

dilakukan oleh pihak

ketiga atau vendor

-

Memastikan peralatan

berfungsi dengan baik

sebelum mengoperasikan

kembali setelah proses

pemeriksaan dan

pemeliharaan

√

Berdasarkan kontrol

11.2.4 peralatan yang

selesai dilakukan

perawatan harus

dipastikan berfungsi

dengan baik sebelum

digunakan kembali



Ya Tidak

Kontrol deteksi,

pencegahan, dan

pemulihan untuk

melindungi terhadap

malware harus

diterapkan,

dikombinasikan

Kebijakan mengenai

penggunaan perangkat

lunak yang resmi beserta

pengontrolannya √

Berdasarkan kontrol

12.2.1 harus ada

kebijakan yang

mengatur penggunaan

software yang resmi

dan larangan

menggunakan

208

dengan kesadaran

pengguna yang sesuai

software yang tidak

resmi

Kontrol untuk mencegah

dan mendeteksi

perangkat lunak yang

tidak sah serta

penggunaan situs

berbahaya yang dicurigai

√

Berdasarkan kontrol

12.2.1 harus ada

kontrol yang

diterapkan untuk

mendeteksi serta

melarang apabila ada

yang menggunakan

software yang tidak

sah

Adanya kebijakan terkait

dengan sumber yang

digunakan untuk

mendapatkan file dan

software untuk mencegah

risiko

√

Berdasarkan kontrol

12.2.1 harus ada

kebijakan yang

mengatur software

yang digunakan

didapatkan dari

sumber atau situs

yang terpercaya

Adanya manajemen

kerentanan terhadap

malware

√

Berdasarkan kontrol

12.2.1 manajemen

kerentanan

diperlukan untuk

mengurangi celah

keamanan yang dapat

dimanfaatkan

malware

Tinjauan rutin perangkat

lunak dan konten data

sistem yang mendukung

proses bisnis yang

penting √

Berdasarkan kontrol


tinjauan rutin dalam

jangka waktu tertentu

untuk memastikan

software yang

digunakan sesuai

dengan kebutuhan

organisasi

Instalasi dan

pembaharuan rutin

software pendeteksi

malware serta perbaikan

perangkat lunak untuk

memindai komputer dan

media

√

Pembaharuan lisensi

antivirus Kaspersky

yang dilakukan setiap

tahun

-

Adanya prosedur dan

tanggung jawab untuk

menangani perlindungan

malware pada sistem,

pelatihan dalam

penggunaan, pelaporan

dan perbaikan dari

serangan malware

√

Berdasarkan kontrol


prosedur untuk

pelatihan

perlindungan,

pelaporan, serta

perbaikan apabila

terjadi serangan

malware

Adanya prosedur

mengumpulkan informasi

√

Berdasarkan kontrol


prosedur untuk

209

tentang malware baru

secara teratur

mengumpulkan

informasi tentang

jenis malware yang

baru dan cara

penanggulangannya

Prosedur untuk

memverifikasi informasi

yang berkaitan dengan

malware

√

Berdasarkan kontrol


prosedur untuk

memverifikasi isu-isu

terbaru yang

berkaitan dengan

malware



Ya Tidak

Salinan cadangan

informasi, perangkat

lunak dan gambar

sistem harus diambil

dan diuji secara

teratur sesuai dengan

kebijakan cadangan

yang disepakati

Kebijakan backup

informasi yang

mencakup pertahanan

dan perlindungan

infrormasi

√

Berdasarkan kontrol

12.3.1 seharusnya

terdapat kebijakan

backup untuk


Tersedianya fasilitas

backup informasi yang

memadai untuk

memastikan informasi

penting dapat dipulihkan

setelah terjadi bencana

atau kegagalan media

√

Berdasarkan kontrol

12.3.1 seharusnya

terdapat fasilitas

backup informasi agar

data atau informasi

dapat segera

dipulihkan apabila

terjadi insiden

Pencatatan backup

informasi yang akurat

dan lengkap serta

dokumentasi prosedur

perbaikan

√

Berdasarkan kontrol


pencatatan waktu

kapan backup

informasi dilakukan

Penyimpanan Backup di

tempat yang aman dan

jarak yang cukup

√

Berdasarkan kontrol

12.3.1 seharusnya

tempat untuk backup

informasi harus

berada di jarak yang

aman dari tempat

utama untuk

menghindari dampak

apabila terjadi suatu

insiden

Tingkat perlindungan

fisik dan lingkungan

Backup informasi yang

konsisten sesuai dengan

standar yang diterapkan

pada lokasi utama

organisasi

√

Berdasarkan kontrol

12.3.1 tempat yang

digunakan sebagai

lokasi backup

informasi harus

dilindungi sesuai

dengan standar lokasi

utama organisasi

Pengujian media backup

secara berkala

√

Berdasarkan kontrol

12.3.1 seharusnya

media backup

dilakukan pengujian

210

berkala untuk

memastikan

fungsinya berjalan

dengan baik

Penggunaan enkripsi

pada backup dalam

keadaan kerahasiaan

sangat penting

√

Berdasarkan kontrol

12.3.1 seharusnya

backup dilindungi

dengan menggunakan

enkripsi untuk

mencegah hacker

mengakses informasi

yang penting



Ya Tidak

Jaringan harus

dikelola dan

dikendalikan untuk


dalam sistem dan

aplikasi

Penetapan tanggung

jawab dan prosedur untuk

pengelolaan peralatan

jaringan

√

Berdasarkan kontrol

13.1.1 seharusnya

terdapat prosedur

untuk mengelola

peralatan jaringan dan

siapa yang

bertanggung jawab

mengelola peralatan

jaringan tersebut

Adanya pemisahan

tanggung jawab

operasional untuk

jaringan dengan

operasional yang lain

√

Terdapat 2 orang staf

NOC dari Seksi

Infrastuktur dan

Jaringan yang

bertugas untuk

memantau jaringan

-

Adanya pemantauan dan

tindakan memutus akses

yang sesuai untuk

mendeteksi tindakan

yang dapat berpengaruh

terhadap keamanan

informasi

√

Adanya instruksi

secara lisan dari

Kepala Seksi

Infrastruktur dan

Teknologi untuk

memutus akses

apabila terdapat akses

yang mencurigakan

-

Koordinasi manajemen

untuk mengoptimalkan

layanan kepada

organisasi dan

memastikan bahwa

kontrol diterapkan secara

konsisten

√

Berdasarkan kontrol

13.1.1 seharusnya

pihak manajemen

berkoordinasi dengan

pihak yang mengelola

jaringan untuk

memastikan layanan

berjalan optimal bagi

organisasi

Adanya autentikasi

sistem di jaringan √

Penggunaan Microtik

ketika ingin masuk ke

jaringan

-

Pembatasan koneksi

sistem ke jaringan √

Berdasarkan kontrol

13.1.1 seharusnya

koneksi sistem ke

jaringan dibatasi agar

211

jaringan yang ada

tidak overload



Ya Tidak

Kejadian keamanan

informasi harus

dilaporkan melalui

saluran manajemen

yang tepat secepat

mungkin.

Pegawai menyadari akan

tanggung jawabnya untuk

melaporkan kejadian

keamanan informasi

secepat mungkin

√

Pegawai melaporkan


seperti hacking

namun masih secara

lisan

-

Adanya prosedur untuk

melaporkan kejadian

keamanan informasi

terkait dengan

pelanggaran akses,

malfungsi perangkat

lunak atau perangkat

keras, adanya perubahan

sistem yang tidak

terkendali

√

Berdasarkan kontrol

16.1.2 seharusnya

terdapat prosedur

untuk melaporkan

kejadian agar

koordinasi pelaporan

bisa diketahui



Ya Tidak

Karyawan dan

kontraktor yang

menggunakan sistem

informasi dan

layanan organisasi

harus diminta untuk

mencatat dan

melaporkan setiap

kelemahan keamanan

sistem atau layanan

yang diamati atau

dicurigai.

Adanya arahan bagi

karyawan maupun

kontraktor untuk

mencatat kelemahan

keamanan sistem yang

dicurigai

√

Berdasarkan kontrol

16.1.3 seharusnya

terdapat mekanisme

untuk mencatat

kelemahan keamanan

informasi

Adanya mekanisme

pelaporan kelemahan


mudah diakses √

Berdasarkan kontrol

16.1.3 seharusnya

terdapat mekanisme

untuk melaporkan

kelemahan keamanan

informasi yang

mudah diakses



Ya Tidak

Kejadian keamanan

informasi harus

dinilai dan harus

diputuskan apakah

mereka harus

diklasifikasikan

sebagai insiden

keamanan informasi

Penilaian titik kontak

setiap peristiwa

keamanan informasi

menggunakan kejadian


disepakati

√

Berdasarkan kontrol

16.1.4 sebaiknya

terdapat kontak

khusus yang

menangani apabila

terjadi suatu insiden

keamanan informasi

Klasifikasi dan

penentuan prioritas

insiden dari skala

klasifikasi insiden

dilakukan

√

Berdasarkan kontrol

16.1.4 insiden harus

diklasifikasikan agar

dapat diketahui

insiden mana yang

menjadi prioritas

utama

212

Hasil penilaian dan

keputusan reasesmen

dicatat secara rinci √

Berdasarkan kontrol

16.1.4 dokumen hasil

penilaian dan

keputusan dari

insiden yang pernah

terjadi harus dibuat



Ya Tidak

Insiden keamanan

informasi harus

ditanggapi sesuai

dengan prosedur

terdokumentasi

Adanya pengumpulan

bukti sesegera mungkin

setelah terjadinya insiden

keamanan informasi

√

Berdasarkan kontrol

16.1.5 bukti-bukti

terkait insiden

keamanan informasi

harus dikumpulkan

sesegera mungkin

Adanya prosedur untuk

mengkomunikasikan

keberadaan insiden

keamanan informasi

√

Berdasarkan kontrol

16.1.5 harus ada

prosedur untuk

mengkomunikasikan

keberadaan insiden

keamanan keamanan

informasi

Adanya pencatatan

insiden keamanan

informasi untuk

selanjutnya dilakukan

analisis penyebab insiden

keamanan infomasi

√

Berdasarkan kontrol


catatan insiden yang

pernah terjadi sebagai

bahan analisis

penyebab insiden

tersebut



Ya Tidak

Pengetahuan yang

diperoleh dari

menganalisa dan

menyelesaikan

insiden keamanan

informasi harus

digunakan untuk

mengurangi

kemungkinan atau

dampak dari insiden

masa depan

Terdapat mekanisme

yang digunakan untuk

mengukur dan

memonitor jenis,

frekuensi dan biaya

insiden keamanan

informasi

√

Berdasarkan kontrol


mekanisme untuk

menganalisis

frekuensi serta biaya


keamanan informasi

Evaluasi insiden

keamanan informasi

digunakan untuk

meningkatkan kinerja

keamanan serta

membatasi frekuensi,

kerusakan dan biaya

kejadian di masa depan

√

Evaluasi dilakukan

namun hasil dari

proses evaluasi tidak

didokumentasikan.

Evaluasi dilakukan

masih secara informal

-

Di bawah ini adalah beberapa foto untuk mendukung hasil temuan

yang penulis lakukan di Dinas Komunikasi dan Informatika Kabupaten Bogor

terutama pada Bidang Penyelenggaraan E-Government

213

Gambar 4. 16 DISKOMINFO Kab Bogor Gambar 4. 17 Meja Resepsionis

Gambar 4. 18 Aplikasi Visitor Management System Gambar 4. 19 Desain DISKOMINFO Kab Bogor

Gambar 4. 20 Meja Penerima Tamu Ruang Server Gambar 4. 21 Form Pengunjung Ruang Server

Gambar 4. 22 Tampak Depan Ruang Server Gambar 4. 23 Ruang Petugas NOC

214

Gambar 4. 24 Fingerprint di Pintu Masuk Ruang Server Gambar 4. 25 Ruang Server

Gambar 4. 26 Rak-Rak Server Gambar 4. 27 Kamera CCTV Di Dalam Ruang Server

Gambar 4. 28 Form Pengunjung Data Center

215

Gambar 4. 29 SOP Data Center

Hasil tersebut didapatkan penulis melalui observasi serta melalui

wawancara kepada beberapa responden. Dari hasil penelusuran bukti diketahui

bahwa sebagian besar kegiatan di Bidang Penyelenggaraan E-Government

Dinas Komunikasi dan Informatika Kabupaten Bogor tidak memiliki prosedur

tertulis sehingga perintah pelaksanaan kegiatan hanya dilakukan secara

informal serta tidak ada dokumentasinya. Hal ini diperjelas oleh Kepala Seksi

Pengembangan Aplikasi dan Data yang memberikan contoh pelaporan insiden

hacking yang hanya dilakukan melalui aplikasi whatsapp atau melalui telepon

dan pelaporannya dilakukan beberapa hari setelah insiden terjadi. Dari insiden

kerusakan server serta ainsiden hacking yang pernah terjadi pada Bidang

Penyelenggaraan E-Government juga disebabkan tidak adanya prosedur pada

kontrol keamanan, antara lain: kontrol keamanan 11.2.4 Pemeliharaan

216

Peralatan, kontrol keamanan 16.1.2 Pelaporan Peristiwa Keamanan Informasi,

dan kontrol keamanan 16.1.3 Pelaporan Kelemahan Keamanan Informasi.

Dari penelusuran bukti tersebut masih terdapat beberapa gap pada

Bidang Penyelenggaraan E-Government, oleh karena itu dibutuhkan

rekomendasi agar Bidang Penyelenggaraan E-Government DISKOMINFO

Kab. Bogor dapat memperbaiki gap yang ada. Rekomendasi akan dijelaskan

pada sub bab 4.3.4.2.

4.3.4.2 Rekomendasi

Tabel 4.93 merupakan beberapa rekomendasi yang dapat penulis

berikan untuk dapat memperbaiki gap yang ada pada Bidang Penyelenggaraan

E-Government Dinas Komunikasi dan Informatika Kabupaten Bogor

Tabel 4. 93 Rekomendasi Perbaikan

Klausul 7 Keamanan Sumber Daya Manusia

7.1 Sebelum Bekerja

7.1.1 Penyaringan

No. Rekomendasi

1. DISKOMINFO Kab. Bogor sebaiknya menambah syarat dokumen yang dibutuhkan

apabila ingin melamar kerja di DISKOMINFO Kab. Bogor yaitu dokumen SKCK dari

kepolisian untuk memastikan bahwa setiap kandidat yang melamar bersih dari berbagai

tindakan criminal

2. Lalu apabila ingin melamar sebagai staf keamanan informasi sebaiknya panitia

penerimaan pegawai melakukan tes tertentu untuk memastikan pelamar memiliki

kompetensi dalam mengatasi masalah keamanan informasi

7.2 Selama Bekerja


No. Rekomendasi

1. Kepala Bidang Penyelenggaraan E-Government sebaiknya memberikan motivasi

langsung serta memastikan keterampilan staf yang ada pada Bidang Penyelenggara E-

Government untuk memastikan staf memiliki motivasi dan keterampilan yang sesuai

dengan harapan.

7.2.2 Kesadaran Keamanan Informasi, Pendidikan dan Pelatihan

No. Rekomendasi

1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor sebaiknya

membuat sebuah edaran atau buletin yang berisi beberapa artikel tentang keamanan

informasi dan dibagikan ke seluruh staf DISKOMINFO Kab. Bogor, sehingga staf juga

memiliki wawasan baru tentang keamanan informasi


memberikan pelatihan secara berkala kepada staf yang dirasa kurang memiliki

pengetahuan tentang pentingnya keamanan informasi.

217

3. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor memberikan

arahan kepada staf yang bertugas dalam bidang keamanan informasi untuk tidak

mengambil tindakan untuk menyelesaikan apabila terjadi suatu insiden atau melihat ada

celah keamanan pada layanan ataupun jaringan. Tindakan yang akan dilakukan harus

dikoordinasikan terlebih dahulu kepada Kepala Bidang atau Kepala Seksi yang

bersangkutan.

Klausul 8 Manajemen Aset



No Rekomendasi


memperbaharui Daftar Inventarisasi Aplikasi OPD Kabupaten Bogor setiap bulan,

sehingga Daftar Inventasisasi Aplikasi tersebut selalu up to date dan konsisten antara

Dokumen Daftar Inventarisasi Aplikasi dengan data yang ada di server DISKOMINFO

Kab. Bogor.

2. Selain itu sebaiknya Bidang Penyelenggaraan E-Government DISKOMINFO Kab.

Bogor seharusnya membuat daftar inventarisasi aset-aset lain selain daftar inventarisasi

aplikasi. Daftar aset lain bisa berisi jumlah komputer, printer, scanner, sistem operasi

yang digunakan agar aset milik Bidang Penyelenggaraan E-Government dapat dengan

mudah diidentifikasi


No. Rekomendasi

1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor seharusnya

membuat peraturan untuk meninjau kontrol akses atas aset secara berkala untuk

memastikan aset hanya dapat diakses oleh pihak yang berkepentingan.

2. Memastikan penanganan yang tepat saat aset dihapus serta mendokumentasikan

langkah-langkah ketika aset dihapus sehingga jika suatu saat laporannya diperlukan

dapat dengan mudah ditelusuri.

8.2 Klasifikasi Informasi


No. Rekomendasi


membuat skema untuk mengklasifikasikan informasi yang berdasarkan 3 aspek yaitu

kerahasiaan, integritas, serta ketersediaan secara berkala dalam waktu berapa bulan

sekali untuk mengetahui nilai aset berdasarkan 3 aspek tersebut dan mengklasifikasikan

aset tersebut dalam kategori low risk, medium risk, atau high risk.

2. Membuat prosedur dalam melakukan klasifikasi informasi agar kegiatan klasifikasi

informasi dilakukan dengan cara yang konsisten.


memasukkan kegiatan klasifikasi informasi ke dalam salah satu kegiatannya.

4. Nilai klasifikasi informasi tersebut sebaiknya diperbaharui dalam rentang waktu

beberapa bulan, sehingga nilai kekritisan aset sesuai dengan kondisi yang ada.

Klausul 9 Kontrol Akses

9.1 Kebutuhan Bisnis Terhadap Kontrol Akses


No Rekomendasi


membuat kebijakan tertulis tentang kontrol akses bersifat logis, karena untuk kontrol

akses bersifat fisik sudah ada kebijakan tertulisnya berupa SOP “Akses Data Center”.

9.1.2 Akses Ke Jaringan dan Layanan Jaringan

No Rekomendasi

1. Bidang Penyelenggaraan E-Government membuat kebijakan untuk mengatur jaringan

mana saja yang dapat diakses, baik di akses oleh pihak internal organisasi maupun yang

dapat digunakan oleh pihak eksternal (pengunjung).

218

2. Bidang Penyelenggaraan E-Government membuat kebijakan yang mengatur autentikasi

pengguna untuk menggunakan jaringan, walaupun saat ini jaringan DISKOMINFO Kab.

Bogor sudah menggunakan microtik, namun tidak terdapat kebijakan tertulisnya.

Klausul 11 Keamanan Fisik dan Lingkungan

11.1 Area Aman


No Rekomendasi

1. DISKOMINFO Kab. Bogor memiliki Aplikasi Visitor Management System yang

berfungsi mencatat siapa saja yang masuk-keluar DISKOMINFO Kab. Bogor, namun

saat ini aplikasi tersebut kurang digunakan karena ketidaktegasan operator yang

mengoperasikannya. Oleh karena itu sebaiknya staf yang mengoperasikan aplikasi

tersebut diberi arahan untuk lebih tegas mengoperasikan aplikasi tersebut dan diperjelas

dengan dibuatnya SOP apabila ada pihak eksternal ingin masuk ke DISKOMINFO Kab.

Bogor

2. Sebaiknya setiap beberapa bulan hak akses staf untuk masuk-keluar ke area penting

seperti ruangan server ditinjau kembali untuk memastikan ruangan tersebut diakses oleh

orang yang benar-benar memiliki kepentingan


No Rekomendasi

1. Berkaitan dengan kontrol 11.1.3 sebaiknya memberikan pengarahan kembali kepada

operator Visitor Management System untuk lebih teratur menggunakan aplikasinya.

Untuk memastikan hanya orang-orang yang berkepentingan saja yang dapat masuk-

keluar DISKOMINFO Kab. Bogor.

11.1.4 Pengamanan Terhadap Ancaman Eksternal dan Lingkungan

No Rekomendasi

1. Pihak DISKOMINFO Kab. Bogor sebaiknya membuat rancangan pengamanan aset

yang dibuat oleh ahli untuk mengurangi resiko apabila terjadi insiden selain insiden

kebakaran, seperti insiden gempa bumi.

2. Melakukan pengecekan secara berkala terhadap alat pemadam kebakaran yang ada

untuk memastikan alat tersebut berfungsi dengan baik.

11.2 Peralatan


No Rekomendasi

1. Bidang Penyelenggaraan E-Government peraturan utilitas pendukung yang sesuai

dengan spesifikasi pabrik dan persyaratan hukum DISKOMINFO Kab. Bogor

2. Utilitas pendukung harus dinilai secara teratur untuk memastikan utilitas pendukung

tersebut masih layak atau tidak

3. Bidang Penyelenggaraan E-Government membuat prosedur untuk pemeriksaan serta

utilitas pendukung lain selain AC. Karena utilitas pendukung seperti UPS tidak pernah

dilakukan pemeriksaan dan pengujian secara rutin.


No Rekomendasi

1. Bidang Penyelenggaraan E-Government membuat peraturan tertulis yang menyatakan

bahwa jalur listrik dan jalur komunikasi berada di bawah tanah. Karena pada prakteknya,

jalur listrik dan jalur komunikasi ada di bawah tanah

2. Bidang Penyelenggaraan E-Government membuat peraturan tertulis yang menyatakan

bahwa kabel listrik dengan kabel komunikasi harus dipisah. Karena dalam prakteknya

kabel listrik dengan kabel komunikasi dipisah, namun tidak ada peraturan tertulisnya


No Rekomendasi

1. Bidang Penyelenggaraan E-Government peraturan yang mengatur pemeliharaan

peralatan dilakukan dalam waktu berapa bulan sekali untuk memastikan peralatan yang

digunakan dalam kondisi yang baik serta sesuai dengan anjuran pihak vendor

219

2. Memastikan kembali bahwa pelaksanaan maintenance dilakukan oleh pihak yang

berwenang serta memastikan peralatan yang selesai di maintenance berfungsi dengan

baik sebelum digunakan kembali.

3. Sebaiknya terdapat laporan kegiatan sebagai dokumentasi kegiatan maintenance

peralatan.

Klausul 12 Keamanan Operasi

12.2 Perlindungan Dari Malware

12.2.1 Kontrol terhadap Malware

No Rekomendasi

1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor seharusnya

membuat peraturan tentang penggunaan perangkat lunak yang resmi karena masih ada

beberapa komputer yang memakai perangkat lunak tidak resmi.

2. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor membuat

peraturan tentang website-website mana saja yang dapat digunakan apabila ingin

mendownload software.

3. Adanya peninjauan rutin terhadap software-software yang digunakan untuk memastikan

software yang digunakan tersebut memang digunakan untuk mendukung kegiatan

Bidang Penyelenggaraan E-Government.

4. Bidang Penyelenggaraan E-Government membuat prosedur serta form untuk

melaporkan apabila ada serangan malware.

5. Berikan arahan kepada staf untuk selalu mengumpulkan informasi terbaru tentang

malware serta cara mengatasinya apabila telah terinfeksi. Serta berikan arahan bagi staf

untuk melakukan verifikasi tentang malware terbaru apakah malware tersebut memang

benar ada atau hanya sebuah isu.

12.3 Backup


No Rekomendasi

1. Segera merealisasikan rencana untuk melakukan backup server di lokasi yang jauh dari

server utama seperti yang telah direncanakan di Batam atau Bali, agar apabila terjadi

insiden pada server utama seperti kebakaran atau gempa bumi, data-data penting masih

tersimpan di server lain

2. Memastikan lokasi yang dipilih sebagai tempat untuk backup server memiliki pola

perlindungan fisik dan lingkungan yang sesuai dengan standar DISKOMINFO Kab.

Bogor

3. Berikan arahan kepada karyawan atau staf yang bertugas melakukan backup data

tersebut untuk mendokumentasikan waktu, lokasi, serta data apa yang di backup ke

server lain

4. Buat peraturan untuk menguji media backup secara berkala supaya memastikan media

backup berfungsi dengan normal

5. Serta gunakan pola enkripsi ketika membackup data dari server utama ke server lain

supaya data penting tidak dapat dibobol oleh hacker

Klausul 13 Keamanan Komunikasi

13.1 Manajemen Keamanan Jaringan


No Rekomendasi

1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor khususnya Seksi

Infrastruktur dan Teknologi seharusnya membuat sebuah prosedur dan menentukan

tanggung jawab staf mana untuk mengelola peralatan jaringan. Walaupun saat ini

terdapat 2 staf NOC yang bertugas untuk jaringan, namun tidak diperjelas diantara 2 staf

tersebut staf mana yang bertugas mengelola peralatan jaringan dan yang mana yang

bertugas memantau jaringan yang ada.

2. Bidang Penyelenggaraan E-Government juga sebaiknya berkoordinasi dengan pihak

manajemen kondisi jaringan yang ada supaya pihak manajemen juga bisa memberikan

masukkan untuk mengoptimalkan layanan kepada organisasi.

220

3. Bidang Penyelenggaraan E-Government juga sebaiknya membatasi koneksi sistem yang

digunakan ke jaringan yang ada. Misalnya sistem yang memuat informasi penting tidak

diperbolehkan menggunakan jaringan yang umum dan harus menggunakan jaringan

yang terdapat VPN.

Klausul 16 Pengelolaan Insiden Keamanan Informasi

16.1 Manajemen Insiden Keamanan Informasi dan Perbaikan


No. Rekomendasi

1. Sebaiknya dibuat peraturan atau SOP tertulis tentang bagaimana alur untuk melaporkan

apabila terjadi insiden terkait keamanan informasi agar langkah-langkah dalam

melakukan pelaporan lebih jelas dan terstruktur

2. Lalu dapat juga disediakan form khusus yang dapat diisi apabila terjadi suatu insiden

agar ada dokumentasi terkait insiden apa yang pernah terjadi sebelumnya

3. Berikan pengarahan kembali kepada staf untuk melaporkan secepat mungkin setelah

terjadi suatu insiden agar Kepala Seksi yang bersangkutan dapat mengambil langkah

yang tepat untuk mengatasi insiden tersebut


No Rekomendasi

1. Sebaiknya dibuat prosedur atau mekanisme tertulis untuk melaporkan adanya

kelemahan keamanan informasi

2. Sediakan form khusus untuk mencatat kelemahan keamanan informasi yang dicurigai

sebagai bahan evaluasi untuk mengatasi kelemahan tersebut

3. Berikan arahan kepada staf untuk secepat mungkin mencatat dan melaporkan apabila

ada kelemahan keamanan sistem yang dicurigai

16.1.4 Penilaian dan Keputusan Tentang Kejadian Keamanan Informasi

No Rekomendasi

1. Kepala Bidang Penyelenggaraan E-Government sebaiknya menyediakan dokumen

klasifikasi insiden apa saja yang menjadi prioritas utama

2. Sediakan juga kontak khusus sebagai penerima laporan apabila terjadi suatu gangguan

atau insiden keamanan informasi. seperti menghubungi melalui telepon atau melalui

email, terlebih lagi jaringan juga digunakan oleh beberapa OPD yang ada di wilayah

Kab. Bogor. Diharapkan dengan adanya laporan melalui telepon atau email tersebut

gangguan atau insiden tersebut dapat ditindaklanjuti dengan cepat

3. Berkaitan dengan kontrol 16.1.2 dan kontrol 16.1.3, dari hasil penilaian insiden

sebaiknya dicatat secara rinci sebagai dokumentasi kejadian.


No Rekomendasi

1. Ini berkaitan dengan kontrol 16.1.2 dimana sebaiknya disediakan form khusus untuk

mencatat insiden apa yang pernah terjadi, lalu form tersebut dikumpulkan sebagai

dokumentasi dan bukti pernah terjadi suatu insiden

2. Selain itu dibuat prosedur untuk menyimpan bukti tersebut agar bukti tersebut disimpan

dengan tepat dan tidak hilang ketika dibutuhkan saat evaluasi

3. Mewajibkan pegawai Bidang Penyelenggaraan E-Government melaporkan adanya

insiden keamanan informasi serta mengumpulkan bukti insiden tersebut


No Rekomendasi

1. Bidang Penyelenggaraan E-Government sebaiknya membuat prosedur untuk mengukur,

memonitor jenis dan frekuensi serta biaya apabila terjadi suatu insiden sebagai persiapan

apabila insiden serupa terjadi

2. Serta lebih sering melakukan evaluasi terhadap insiden yang pernah terjadi sebelumnya.

Dan hasil evaluasi sebaiknya didokumentasikan sehingga apabila insiden serupa terjadi

kembali, dapat mengikuti langkah-langkah perbaikan yang sebelumnya

221

4.4. Interpretasi Hasil dan Pembahasan

Interpretasi hasil dibagi menjadi dua bagian, yaitu interpretasi hasil dan

pembahasan assessment process activities COBIT 5 dan interpretasi hasil dan

pembahasan metode perencanaan SMKI.

4.4.1 Interpretasi Hasil dan Pembahasan Assessment Process Activities

COBIT 5

Pada bagian ini peneliti akan membahas interpretasi hasil analisis yang

didapatkan menggunakan Assessment Process Activities COBIT 5, dimana tahap

yang digunakan adalah tahap initiation. Di bawah ini merupakan hasil interpretasi

tahap tersebut:

1. Initiation

Tahap ini dilakukan dengan menghubungkan antara entreprise goals

dengan IT-related goals yang dapat dilihat pada Gambar 4.5 dan

menghubungkan antara IT-related goals dengan domain COBIT 5 yang

dapat dilihat pada Gambar 4.6. Tahap menghasilkan domain COBIT 5

APO13 (Manage Security) yang sesuai dengan kondisi Bidang

Penyelenggaraan E-Government DISKOMINFO Kab. Bogor.

Domain APO13 (Manage Security) dipilih karena di dalamnya berisi

tentang Information Security Management System (ISMS) atau Sistem

Manajemen Keamanan Informasi yang berkaitan dengan ISO/IEC

27001:2013.

222

4.4.2 Interpretasi Hasil dan Pembahasan Metode Perencanaan SMKI

Pada bagian ini peneliti akan membahas interpretasi hasil analisis yang

didapatkan menggunakan Metode Perencanaan SMKI, dimana tahap yang

digunakan adalah tahap plan-do-check-act (PDCA). Hasil interpretasi tersebut

dapat dilihat di bawah ini:

1. Tahap Plan

Dalam tahap ini peneliti menentukan ruang lingkup dari SMKI. Ruang

lingkup SMKI dalam penelitian ini adalah Bidang Penyelenggaraan E-

Government DISKOMINFO Kab. Bogor karena bidang ini merupakan

bidang yang bertanggung jawab menjaga data dan informasi milik dinas-

dinas lain di wilayah Kabupaten Bogor serta pada bidang ini juga

mengelola infrastruktur-infrastruktur seperti ruang server, UPS, serta

jaringan internet sehingga bidang ini harus diberikan perlindungan

semaksimal mungkin.

Selain menentukan ruang lingkup SMKI, pada tahap plan ini peneliti

juga menentukan kebijakan SMKI. Dalam menentukan kebijakan SMKI

ini terdiri dari dua tahap yaitu membuat tujuan dibuatnya SMKI dan

kebijakan-kebijakan SMKI apa saja yang sesuai. Tujuannya adalah agar

para pihak yang ada pada Bidang Penyelenggaraan E-Government

DISKOMINFO Kab. Bogor mau ikut serta dalam melaksanakan SMKI

sesuai dengan standar ISO/IEC 27001:2013.

223

2. Tahap Do

Tahap selanjutnya adalah tahap Do, dimana pada tahap ini dilakukan

identifikasi serta penilaian risiko terhadap aset yang dimiliki Bidang

Penyelenggaraaan E-Government DISKOMINFO Kabupaten Bogor baik

aset utama maupun aset pendukung. Hasil penilaian tersebut dijadikan

acuan dalam memilih kontrol keamanan ISO/IEC 27001:2013 yang

digunakan. Hasil penilaian aset dapat dilihat pada tabel 4.94 dan tabel 4.95.

Tabel 4. 94 Rekapitulasi Level Resiko Aset Utama

No Nama Aset Nilai Resiko Level

Risiko


Pengendalian Menara 168,75 High Risk

2 Database RKPD Online 166,6 High Risk

3 Database SIVANERJA (Sistem

Evaluasi Kinerja) 166,6 High Risk

4 Database SIAP Online (Sistem

Informasi Absensi Pegawai) 148,75 High Risk

5 Database SIMPEG (Sistem Informasi

Manajemen Kepegawaian) 140 High Risk

6 Database SIMKAS (Rencana Kerja

Anggaran Sekolah) 124,8 High Risk

Tabel 4. 95 Rekapitulasi Level Resiko Aset Pendukung

No Nama Aset Dampak

Bisnis

Level

Risiko

1 CentOS 319,6 High Risk

2 Ubuntu 217,6 High Risk

3 WHM (Web Host Manager) 216 High Risk

4 Router 208 High Risk

5 Fiber Optic 200 High Risk

6 CCTV 156 High Risk

7 Mail Server 153 High Risk

8 UPS 153 High Risk

9 Windows XP 150 High Risk

10 Windows 7 140,625 High Risk

11 Microsoft Office 136,875 High Risk

12 Wi-Fi 134,4 High Risk


14 Server WEB Physical 124,74 High Risk

224

15 Visitor Management System 120,45 High Risk


17 Air Conditioner (AC) 99,45 High Risk

18 Printer 98 High Risk

19 Access Door 94,5 High Risk

20 Desktop 91 High Risk

21 Infocus 85,75 High Risk

22 Switch 80 High Risk

23 Aplikasi Monitoring Jaringan (DUDE) 70 High Risk

24 Aplikasi Monitoring Trafik pemakaian

bandwidth internet (Aplikasi MRTG) 70 High Risk

25 Kaspersky 61,25 High Risk

Dari hasil analisis risiko terhadap aset Bidang Penyelenggaraan E-

Government DISKOMINFO Kabupaten Bogor, diketahui bahwa seluruh

aset yang ada pada Bidang Penyelenggaraan E-Government baik aset

utama maupun aset pendukung berada dalam level High Risk (risiko

tinggi). Hal ini dikarenakan bidang ini bertanggung jawab menjaga data

milik dinas-dinas di Kabupaten Bogor terutama di Jl. Tegar Beriman,

Cibinong sehingga Bidang Penyelenggaraan E-Government mengganggap

semua aset memiliki risiko yang tinggi karena apabila ada insiden

keamanan informasi maka bukan tidak mungkin akan mengganggu

pelayanan atau kinerja operasional dinas-dinas lain di wilayah Kabupaten

Bogor.

3. Tahap Check

Pada tahap check peneliti menentukan kontrol keamanan apa yang

sesuai dengan hasil perhitungan risiko yang dilakukan pada tahap do.

Pemilihan kontrol keamanan ini bertujuan untuk mencegah atau

menimalisir dampak yang ditimbulkan terhadap aset utama maupun aset

pendukung apabila terjadi suatu insiden terkait keamanan informasi.

225

Terdapat 7 klausul, 11 objektif kontrol dan 22 kontrol keamanan yang

digunakan dalam penelitian ini.

Setelah menentukan kontrol keamanan yang digunakan, selanjutnya

dilakukan perhitungan terhadap maturity level dari tiap-tiap kontrol

keamanan. Dari hasil perhitungan maturity level tiap-tiap kontrol

keamanan tersebut kemudian disederhanakan menjadi ke dalam maturity

level tiap klausul. Di bawah ini merupakan hasil perhitungan maturity level

dari klausul yang digunakan:

a. Nilai maturity level klausul 7 (Keamanan Sumber Daya Manusia)

sebesar 1.75 dan termasuk dalam level 1 yaitu Performed Informally.

b. Nilai maturity level klausul 8 (Manajemen Aset) sebesar 1.6 dan

termasuk dalam level 1 yaitu Performed Informally.

c. Nilai maturity level klausul 9 Kontrol Akses sebesar 1.25 dan termasuk

dalam level 1 yaitu Performed Informally.

d. Nilai maturity level klausul 11 (Keamanan Fisik dan Lingkungan)


e. Nilai maturity level klausul 12 (Keamanan Operasi) dengan hasil


f. Nilai maturity level klausul 13 (Keamanan Komunikasi) dengan hasil


g. Nilai maturity level klausul 16 (Pengelolaan Insiden Keamanan

Informasi) dengan hasil 1.16 dan termasuk dalam level 1 yaitu

Performed Informally.

226

Mengacu kepada tabel 4.91, hasil perhitungan dari keseluruhan klausul

yang peneliti gunakan didapatkan nilai rata-rata maturity level sebesar 1.42

yang berada dalam kategori Performed Informally yang berarti sebagian

besar kegiatan pada Bidang Penyelenggaraan E-Government Dinas

Komunikasi dan Informatika Kabupaten Bogor belum sepenuhnya

direncanakan, kinerja yang dilakukan masih bergantung pada pengetahuan

pribadi pegawai serta organisasi.

4. Tahap Act

Tahap terakhir yang dilakukan adalah tahap Act, dimana pada tahap ini

dilakukan penelusuran bukti untuk mengetahui apakah hasil perhitungan

maturity level yang sudah dilakukan pada tahap selanjutnya sesuai dengan

kondisi sebenarnya dari Bidang Penyelenggaraan E-Government

DISKOMINFO Kabupaten Bogor. Hasil lengkap dari penelusuran bukti

dapat dilihat pada tabel 4.92.

Dari tabel 4.92 penulis melakukan analisis kembali terhadap kontrol

keamanan apa saja yang krusial untuk diperbaiki gap-nya terlebih dahulu.

Peneliti mengacu terhadap insiden kerusakan server serta insiden hacking

yang pernah terjadi sebelumnya pada Bidang Penyelenggaraan E-

Government DISKOMINFO Kabupaten Bogor. Jika mengacu kepada

insiden tersebut terdapat 7 kontrol keamanan yang terkait dengan insiden

tersebut yang perlu dilakukan perbaikan terhadap gap yang ada. 7 kontrol

keamanan tersebut antara lain:

a. Kontrol keamanan 11.2.2 (Utilitas Pendukung)

227

b. Kontrol keamanan 11.2.4 (Pemeliharaan Peralatan)

c. Kontrol keamanan 12.3.1 (Backup Informasi)

d. Kontrol keamanan 16.1.2 (Pelaporan Insiden Keamanan Informasi)

e. Kontrol keamanan 16.1.3 (Pelaporan Kelemahan Keamanan

Informasi)

f. Kontrol keamanan 16.1.5 (Respon Terhadap Insiden Keamanan

Informasi)

g. Kontrol keamanan 16.1.6 (Belajar dari Insiden Keamanan Informasi)

Dengan mengacu dari 7 kontrol keamanan tersebut, kemudian peneliti

melakukan analisis dari gap yang ada. Tabel 4.96 merupakan hasil analisis

gap dari 7 kontrol keamanan tersebut.

Tabel 4. 96 Hasil Penelusuran Bukti

No. Kontrol Keamanan Gap

a. 11.2.2 Utilitas Pendukung

Tidak adanya peraturan mengenai utilitas

pendukung dan kurang dilaksanakannya penilaian

utilitas pendukung secara teratur

b. 11.2.4 Pemeliharaan Peralatan

Tidak adanya peraturan mengenai pemeliharaan

peralatan dalam interval yang direkomendasikan

pemasok.

Belum ada langkah untuk memastikan bahwa

peralatan berfungsi dengan baik setelah proses

pemeliharaan peralatan

c. 12.3.1 Backup Informasi Tidak adanya peraturan untuk backup informasi

dalam interval waktu tertentu.

d. 16.1.2 Pelaporan Insiden

Keamanan Informasi

Tidak adanya prosedur untuk melaporkan kejadian

keamanan informasi terkait dengan pelanggaran

akses, malfungsi perangkat lunak atau perangkat

keras.

e. 16.1.3 Pelaporan Kelemahan

Keamanan Informasi

Tidak adanya prosedur serta arahan bagi karyawan

untuk melaporkan serta mencatat adanya

kelemahan keamanan informasi.

f. 16.1.5 Respon Terhadap Insiden

Keamanan Informasi

Tidak adanya prosedur untuk pengumpulan bukti

sesegera mungkin setelah terjadinya insiden

keamanan informasi.

g. 16.1.6 Belajar Dari Insiden

Keamanan Informasi

Tidak ada prosedur yang digunakan untuk

melakukan evaluasi terhadap insiden yang pernah

terjadi sebelumnya.

228

Berdasarkan hasil penelusuran bukti pada tabel 4.96, diketahui bahwa

masih terdapat gap dari kontrol keamanan 11.2.2 (utilitas pendukung)

kontrol keamanan 11.2.4 (pemeliharaan peralatan), kontrol keamanan

12.3.1 (backup informasi), kontrol keamanan 16.1.2 (pelaporan insiden

keamanan informasi), kontrol keamanan 16.1.3 (pelaporan kelemahan

keamanan informasi), kontrol keamanan 16.1.5 (respon terhadap insiden

keamanan informasi), dan kontrol keamanan 16.1.6 (belajar dari insiden

keamanan informasi). Dari hasil analisis gap tersebut kemudian peneliti

akan memberikan rekomendasi serta usulan untuk memperbaiki gap yang

ada agar hasil perbaikan gap tersebut dapat mencegah terulangnya insiden

kerusakan server dan insiden hacking. Rekomendasi dapat dilihat pada sub

bab 4.4.3.

Kesimpulan dari interpretasi hasil adalah, diketahui bahwa rata-rata

tingkat kematangan (maturity level) Bidang Penyelenggaraan E-

Government DISKOMINFO Kabupaten Bogor sebesar 1.42 (dapat dilihat

pada tabel 4.91) dan berada dalam kategori Performed Informally. Dari

hasil perhitungan maturity level sebesar 1.42 tersebut disebabkan karena

masih terdapat banyak gap terutama tidak adanya kebijakan tertulis serta

prosedur pelaksanaan kegiatan secara tertulis. Dari hasil perhitungan

maturity level tersebut, peneliti membuat beberapa rekomendasi seperti

pembuatan kebijakan serta prosedur terutama pada 7 kontrol keamanan

antara lain kontrol keamanan 11.2.2 (utilitas pendukung) kontrol

keamanan 11.2.4 (pemeliharaan peralatan), kontrol keamanan 12.3.1

229

(backup informasi), kontrol keamanan 16.1.2 (pelaporan insiden

keamanan informasi), kontrol keamanan 16.1.3 (pelaporan kelemahan

keamanan informasi), kontrol keamanan 16.1.5 (respon terhadap insiden

keamanan informasi), dan kontrol keamanan 16.1.6 (belajar dari insiden

keamanan informasi). Dari rekomendasi tersebut diharapkan dapat

dijadikan acuan bagi perbaikan tata kelola keamanan informasi untuk

mencegah terjadinya insiden kerusakan server serta insiden hacking yang

pernah terjadi sebelumnya dan dapat dijadikan persiapan dalam

menerapkan sistem manajemen keamanan informasi (SMKI) yang sesuai

standar ISO/IEC 27001:2013.

4.4.3 Rekomendasi, Usulan, Implikasi dan Keterbatasan Studi

Bagian ini akan menjelaskan tentang rekomendasi, usulan, implikasi dan

keterbasan yang ada dalam penelitian ini. Penjelasan masing-masing dapat dilihat

di bawah ini:

1. Rekomendasi

Mengacu dari gap yang ada dari 7 kontrol keamanan antara lain kontrol

keamanan 11.2.2 (utilitas pendukung) kontrol keamanan 11.2.4

(pemeliharaan peralatan), kontrol keamanan 12.3.1 (backup informasi),

kontrol keamanan 16.1.2 (pelaporan peristiwa keamanan informasi),

kontrol keamanan 16.1.3 (pelaporan kelemahan keamanan informasi),

kontrol keamanan 16.1.5 (respon terhadap insiden keamanan informasi),

dan kontrol keamanan 16.1.6 (belajar dari insiden keamanan informasi),

selanjutnya peneliti memberikan beberapa rekomendasi bagi Bidang

230

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor, antara

lain:

1) Membuat peraturan tertulis pada:

a) Kontrol keamanan 11.2.2 tentang penilaian terhadap Utilitas

Pendukung.

b) Kontrol keamanan 11.2.4 tentang Pemeliharaan Peralatan.

c) Kontrol keamanan 12.3.1 tentang Backup Informasi.

2) Buat panduan pelaksanaan atau prosedur kegiatan pada:

a) kontrol keamanan 16.1.2 tentang Pelaporan Peristiwa Keamanan

Informasi.

b) 16.1.3 Pelaporan Kelemahan Keamanan Informasi

c) 16.1.5 Respon Terhadap Insiden Keamanan Informasi.

d) 16.1.6 Belajar Dari Insiden Keamanan Informasi.

Diharapkan dari beberapa contoh rekomendasi tersebut dapat

digunakan untuk mencegah atau mengantisipasi dampak yang ditimbulkan

apabila suatu saat terjadi insiden kerusakan server dan insiden hacking.

Dari rekomendasi-rekomendasi tersebut juga dapat digunakan acuan untuk

memperbaiki gap yang ada pada kontrol keamanan ISO/IEC 27001:2013

sebagai bahan untuk merencanakan SMKI sesuai standar ISO/IEC

27001:2013.

231

2. Usulan

Kemudian dari rekomendasi di atas peneliti memberikan contoh usulan

bagi Bidang Penyelenggaraan E-Government. Berikut ini adalah contoh

usulan dengan mengacu kepada hasil rekomendasi sebelumnya:

1) Buat peraturan tertulis yang di dalamnya mengatur tentang waktu

pelaksanaan kegiatan serta personil atau staf yang bertanggung jawab

melaksanakan kegiatan tersebut. Peraturan tertulis yang perlu dibuat

antara lain:

a) Mengacu pada kontrol keamanan 11.2.2, buat peraturan untuk

melakukan penilaian penilaian terhadap Utilitas Pendukung.

b) Mengacu pada kontrol keamanan 11.2.4, buat peraturan mengenai

pemeliharaan peralatan dalam interval yang direkomendasikan

pemasok.

c) Mengacu pada kontrol keamanan 12.3.1, buat peraturan mengenai

backup informasi dalam interval waktu tertentu agar apabila terjadi

insiden, data-data dapat dengan cepat di recovery (pulihkan)

2) Buat prosedur kegiatan dengan menggunakan Activity Diagram.

Penggunaan activity diagram ini hanya sebagai contoh bagi Bidang


agar prosedur kegiatan lebih mudah dibuat dan mudah dipahami oleh

setiap pegawai. Berikut ini adalah beberapa contoh usulan prosedur

kegiatan dalam bentuk activity diagram:

232

a) Contoh Usulan Prosedur Dalam Bentuk Activity Diagram pada

kontrol keamanan 16.1.2 tentang Pelaporan Peristiwa Keamanan

Informasi

Gambar 4.30 merupakan usulan prosedur untuk melaporkan apabila

terjadi insiden keamanan informasi seperti hacking, dalam hal ini petugas NOC

yang berada di bawah Seksi Infrastruktur dan Teknologi mendeteksi adanya

insiden lalu melaporkan kepada Kepala Seksi Infrastruktur dan Teknologi

untuk selanjutnya di periksa. Apabila insiden benar terjadi maka Kepala Seksi

Infrastruktur dan Teknologi memberikan instruksi kepada petugas NOC untuk

melakukan tindakan. Setelah melakukan tindakan, selanjutnya petugas NOC

melakukan pencatatan insiden tersebut ke dalam form khusus sebagai bahan

dokumentasi.

233

Gambar 4. 30 Usulan Prosedur Pelaporan Insiden Keamanan Informasi

b) Contoh Usulan Prosedur Dalam Bentuk Activity Diagram pada

kontrol keamanan 16.1.3 Pelaporan Kelemahan Keamanan

Informasi

Gambar 4.31 merupakan usulan prosedur untuk melaporkan apabila

dideteksi adanya kelemahan terhadap keamanan informasi, dalam hal ini

petugas NOC yang berada di bawah Seksi Infrastruktur dan Teknologi

mendeteksi adanya insiden lalu melaporkan kepada Kepala Seksi Infrastruktur

dan Teknologi untuk selanjutnya di periksa. Apabila benar ada kelemahan

234

terkait keamanan informasi. Jika benar terdapat kelemahan, maka Kepala Seksi

Infrastruktur dan Teknologi memberikan instruksi kepada petugas NOC untuk

melakukan tindakan. Setelah melakukan tindakan, selanjutnya petugas NOC

melakukan pencatatan kelemahan tersebut ke dalam form khusus sebagai

bahan dokumentasi.

Gambar 4. 31 Usulan Prosedur Pelaporan Kelemahan Keamanan Informasi

Selain usulan prosedur pada gambar 4.31 peneliti juga memberikan

usulan form yang dapat digunakan untuk mencatat insiden serta kelemahan

keamanan informasi. Contoh form dapat dilihat pada gambar 4.32

235

Gambar 4. 32 Usulan Form Pelaporan Insiden & Kelemahan Keamanan Informasi

c) Contoh Usulan Prosedur Dalam Bentuk Activity Diagram pada

Kontrol Keamanan 16.1.5 Respon Terhadap Insiden Keamanan

Informasi

Gambar 4.33 merupakan usulan prosedur untuk respon terhadap

insiden keamanan informasi. Prosedur ini berkaitan dalam hal pengumpulan

bukti sesegera mungkin setelah terjadinya insiden keamanan informasi.

236

Gambar 4. 33 Usulan Prosedur Pengumpulan Bukti Insiden Keamanan Informasi

Gambar 4.33 merupakan usulan prosedur pengumpulan bukti

insiden keamanan informasi. Langkah yang dilakukan adalah petugas NOC

setelah melakukan tindakan terhadap insiden keamanan informasi kemudian

mengisi form khusus, setelah itu form khusus tersebut di serahkan kepada bagian

administrasi yang masih berada di Seksi Infrastruktur dan Teknologi untuk

selanjutnya diperiksa apakah sudah sesuai atau belum. Jika petugas NOC sudah

sesuai dalam mengisi form tersebut maka selanjutnya petugas administrasi

menyimpan form tersebut di inventaris khusus yang harus disediakan

sebelumnya.

237

d) Contoh Usulan Prosedur Dalam Bentuk Activity Diagram pada

Kontrol Keamanan 16.1.6 Belajar Dari Insiden Keamanan

Informasi.

Gambar 4.34 merupakan usulan prosedur untuk kontrol keamanan

16.1.6 belajar dari insiden keamanan informasi. Prosedur ini berkaitan dalam hal

melakukan evaluasi dari insiden atau kelemahan terhadap keamanan informasi

Gambar 4. 34 Usulan Evaluasi Insiden serta Kelemahan dari Keamanan Informasi

238

Gambar 4.34 merupakan proses yang penulis usulkan untuk

melakukan evaluasi insiden dan kelemahan yang terjadi. Langkah pertama yang

dilakukan adalah Kepala Seksi Infrastruktur dan Teknologi memberikan laporan

insiden serta kelemahan yang dibuat sebelumnya ke Kepala Bidang

Penyelenggaraan E-Government setelah itu Kepala Bidang Penyelenggaraan E-

Government memeriksa laporan dan melakukan evaluasi bersama dengan kepala

Seksi Infrastruktur dan Teknologi untuk mencari solusi, setelah solusi di dapat

kemudian kepala Bidang memberikan instruksi untuk menerapkan solusi yang

sudah dibuat. Instruksi tersebut kemudian dicatat oleh Kepala Seksi Infrastruktur

dan Teknologi di dalam notulen yang sudah disediakan untuk selanjutnya

diberikan pengesahan oleh kepala bidang. Setelah notulen disetujui, notulen

kemudian disimpan di inventaris khusus. Gambar 4.35 merupakan contoh format

notulen yang penulis usulkan

239

Gambar 4. 35 Usulan Notulen Hasil Evaluasi Insiden dan Kelemahan

Dari beberapa usulan di atas diharapkan dapat menjadi bahan

pertimbangan bagi Bidang Penyelenggaraan E-Government untuk menerapkan

usulan tersebut guna memperbaiki gap yang ada saat ini. Setelah memberikan

usulan, tahap selanjutnya adalah membahas tentang implikasi dari penelitian ini.

3. Implikasi

Implikasi dari hasil penelitian ini diharapkan dapat menjadi bahan

pertimbangan bagi Bidang Penyelenggaraan E-Government

DISKOMINFO Kabupaten Bogor untuk memperbaiki gap yang ada sesuai

240

dengan standar ISO/IEC 27001:2013. Terutama dalam hal pembuatan

kebijakan dan prosedur pelaksanaan di beberapa kegiatan. Alangkah

baiknya Bidang Penyelenggaraan E-Government DISKOMINFO

Kabupaten Bogor membuat prosedur kegiatan dalam bentuk SOP yang

sesuai dengan Peraturan Menteri Pendayagunaan Apartatur Negara Dan

Reformasi Birokrasi Republik Indonesia Nomor 35 Tahun 2012 tentang

Pedoman Penyusunan Standar Operasional Prosedur Administrasi

Pemerintahan.

Implikasi lain dari hasil penelitian ini adalah diharapkan dapat

menjadi referensi bagi penelitian-penelitian selanjutnya yang ingin

melakukan penelitian tentang audit keamanan sistem informasi, terutama

dengan menggunakan framework COBIT 5 dan standar ISO/IEC

27001:2013.

Jadi diharapkan penelitian ini dapat membantu Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor untuk

memperbaiki gap yang ada, serta dapat menjadi referensi bagi penelitian-

penelitian selanjutnya.

4. Keterbatasan Studi

Dalam penelitian ini peneliti memiliki keterbatasan waktu,

pengetahuan serta pengalaman dalam membuat SOP sesuai dengan

Peraturan Menteri Pendayagunaan Apartatur Negara Dan Reformasi

Birokrasi Republik Indonesia Nomor 35 Tahun 2012. Oleh karena itu

diharapkan penelitian selanjutnya dapat membantu Bidang

241

Penyelenggaraan E-Government untuk merancang dokumen SOP yang

sesuai dengan Peraturan Menteri tersebut.

Keterbatasan lain dalam penelitian ini adalah peneliti hanya

menggunakan 1 dari 5 domain COBIT 5 yang memiliki hubungan primary

dengan IT-related goals yaitu domain APO13 (Manage Security). Oleh

karena itu diharapkan penelitian selanjutnya dapat mengembangkan

penelitian ini dengan menggunakan domain COBIT 5 lain seperti domain

EDM03 (Ensure Risk Optimisation), APO12 (Manage Risk), BAI06

(Manage Changes), dan DSS05 (Manage Security Services). Tentunya

domain yang dipilih pada penelitian selanjutnya harus menyesuaikan

dengan kondisi serta kebutuhan dari Bidang Penyelenggaraan E-

Government DISKOMINFO Kabupaten Bogor.

Jadi diharapkan penelitian selanjutnya dapat melanjutkan penelitian

sampai tahap perancangan SOP serta pada penelitian selanjutnya dapat

menggunakan domain COBIT 5 yang lain selain domain APO13 (Manage

Security).

Kesimpulan akhir dari penelitian ini adalah, penelitian ini memiliki

perbedaan dengan penelitian-penelitian sebelumnya, karena pada beberapa

penelitian terdahulu hanya berfokus pada perbandingan, hubungan dan

keuntungan penggunaan COBIT dan ISO 27001 secara teori. Dari hasil

penelitian terdahulu menyatakan bahwa COBIT 5 dan ISO/IEC 27001

dapat digunakan secara bersama dan akan memberikan keuntungan dalam

hal evaluasi atau audit terhadap keamanan sistem informasi.

242

Setelah melakukan praktik langsung penggunaan COBIT 5 dan

ISO/IEC 27001:2013 secara bersama untuk melakukan audit keamanan

sistem informasi didapatkan hasil perhitungan maturity level didapatkan

hasil rata-rata dari 7 klausul ISO/IEC 27001:2013 yang digunakan adalah

sebesar 1.42 (dapat dilihat pada tabel 4.91) yang berada dalam kategori

Performed Informally. Hasil tersebut disebabkan karena terdapat gap pada

sebagian besar kegiatan pada Bidang Penyelenggaraan E-Government

DISKOMINFO Kab. Bogor. Gap tersebut yaitu tidak adanya peraturan

tertulis dari kegiatan-kegiatan yang ada serta tidak adanya prosedur

pelaksanaan kegiatan secara tertulis.

Dari hasil tersebut peneliti memberikan rekomendasi pembuatan

kebijakan dan prosedur kegiatan, serta usulan yang dapat menjadi bahan

pertimbangan bagi Bidang Penyelenggaraan E-Government untuk

diterapkan. Penelitian ini diharapkan dapat membantu Bidang

Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor untuk

memperbaiki gap yang ada, serta dapat menjadi referensi bagi penelitian-

penelitian selanjutnya. Dan dikarenakan keterbatasan waktu serta

pengetahuan peneliti, penelitian selanjutnya diharapkan dapat melanjutkan

penelitian sampai tahap perancangan SOP serta pada penelitian

selanjutnya dapat menggunakan domain COBIT 5 yang lain selain domain

APO13 (Manage Security).

243

BAB V

PENUTUP

5.1 Kesimpulan

Pada penelitian ini peneliti melakukan audit keamanan sistem informasi

pada Dinas Komunikasi dan Informatika Kabupaten Bogor tepatnya di Bidang

Penyelenggaran E-Government dengan menggunakan framework COBIT 5 dan

standar ISO/IEC 27001:2013. Berdasarkan hasil pembahasan pada bab

sebelumnya, maka kesimpulan yang didapat adalah sebagai berikut:

1. Dari hasil perhitungan maturity level didapatkan hasil rata-rata dari 7

klausul ISO/IEC 27001:2013 yang digunakan adalah sebesar 1.42 yang

berada dalam kategori Performed Informally atau masih dalam tingkat

kematangan rendah karena sebagian besar kegiatan belum sepenuhnya

direncanakan.

2. Mayoritas gap yang ada disebabkan karena sebagian besar kegiatan

pada Bidang Penyelenggaraan E-Government DISKOMINFO Kab.

Bogor tidak memiliki peraturan dan prosedur pelaksanaan kegiatan

secara tertulis.

3. Hasil penelitian ini merekomendasikan pembuatan peraturan dalam hal

penilaian terhadap utilitas pendukung, pemeliharaan peralatan, backup

informasi. Selain itu peneliti merekomendasikan prosedur untuk

melaporkan adanya insiden atau kelemahan terkait keamanan informasi,

244

respon terhadap insiden dan evaluasi terhadap insiden untuk mencegah

terjadinya insiden serupa yang pernah terjadi.

Berdasarkan hasil temuan itu juga dapat disimpulkan bahwa implikasi dari

penelitian adalah sebagai berikut:

1. Dapat menjadi bahan pertimbangan bagi Bidang Penyelenggaraan E-

Government DISKOMINFO Kabupaten Bogor untuk memperbaiki gap

yang ada sesuai dengan standar ISO/IEC 27001:2013.

2. Dapat menjadi referensi bagi penelitian-penelitian selanjutnya yang

ingin melakukan penelitian tentang audit keamanan sistem informasi,

terutama dengan menggunakan framework COBIT 5 dan standar

ISO/IEC 27001:2013.

5.2 Saran

Berdasarkan kesimpulan dan analisa yang yang telah dilakukan

sebelumnya, peneliti memberikan saran untuk penelitian selanjutnya agar dapat

melanjutkan penelitian ini ke tahap implementasi SMKI dengan membuat dokumen

SOP yang sesuai dengan Peraturan Menteri Pendayagunaan Apartatur Negara Dan

Reformasi Birokrasi Republik Indonesia Nomor 35 Tahun 2012 serta dapat

menggunakan menggunakan domain COBIT 5 lain selain domain APO13 (Manage

Security) seperti domain EDM03 (Ensure Risk Optimisation), APO12 (Manage

Risk), BAI06 (Manage Changes), dan DSS05 (Manage Security Services).

245

DAFTAR PUSTAKA

About TIPA: Assess and Improve Your IT Processes with the TIPA Framework

[Online]. Available: http://www.tipaonline.org/tipa/ Diakses Pada:

15.03.2019.

Arnason, Sigurjon T. and Willett, Keith D. 2008. How to Achieve 27001

Certification: An Example of Applied Compliance Management.

Florida: Auerbach Publications.

Bless, Yulius C. et al. 2014. Audit Keamanan SIMAK Berdasarkan ISO 27002

(Studi Kasus: FE UNUD). Jurnal MERPATI Vol. 2 No. 2 Bulan

Agustus.

Carnegie Mellon University. 2003. Systems Security Engineering Capability

Maturity Model SSE-CMM Version 3.0. Pennsylvania: Carnegie

Mellon University.

Dinas Komunikasi dan Informatika Kabupaten Bogor. 2017. Rencana Strategis

(Renstra) Tahun 2013-2018.

Dinas Komunikasi dan Informatika Kabupaten Bogor. 2018. Daftar Inventarisasi

Aplikasi OPD Kabupaten Bogor (Per 8 Maret 2018).

Direktorat Keamanan Informasi. 2017. Panduan Penerapan Sistem Manajemen

Keamanan Informasi Berbasis Indeks Keamanan Informasi (Indeks

KAMI). Jakarta: Penerbit Kementerian Komunikasi dan Informatika.

ECC International. ISO 27001 Information Security Management System. Diakses

pada 7 Januari 2019 dari

http://www.eccinternational.com/consulting/it-process-excellence/iso-

27001-information-security-management-system.

Fitroh et al. 2018. Strategies to Improve Human Resource Management using

COBIT 5 For Data and Information Centre of Ministry of Agriculture

of Indonesia of Republic. The 6th International Conference on Cyber

and IT Service Management (CITSM 2018).

Gantz, Stephen D. 2014. The Basics of IT Audit: Purposes, Processes, and Practical

Information. Massachusetts: Elsevier Inc.

Gondodiyoto, S., & Hendarti, H. 2007. Audit Sistem Informasi Lanjutan + Standar,

Panduan, dan Prosedur Audit SI dari ISACA. Jakarta: Mitra Wacana

Media.



https://id.wikipedia.org/wiki/Massachusetts

246

Hall, James A. 2011. Information Technology Auditing and Assurance 3rd Edition.

Ohio: South-Western, Cengage Learning.

Hanna, A., & Rance, S. 2011. ITIL® Glossary and Abbreviations-English. ITIL®

Glossary of Terms English v.1.0. AXELOS Limited.

Haufe, Knut et al. 2016. “Security Management Standards: A Mapping”. Procedia

Computer Science 100, pp. 755-761.

IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta: ANDI.

Indrajit, Richardus E. 2016. Konsep dan Strategi Electronic Government.

ISACA. 2012. COBIT 5 A Business Framework for the Governance and

Management of Enterprise IT. USA: IT Governance Institute.

ISACA. 2012. COBIT 5 Enabling Processes. USA: IT Governance Institute.

ISACA. 2012. COBIT 5 Implementation. USA: IT Governance Institute.

ISACA. 2012. COBIT 5 Process Assessment Model. USA: IT Governance Institute.

ISACA, 2016. A Historical Timeline The COBIT® Framework. USA: IT

Governance Institute.

ISO, “International Standard ISO/IEC 27001 Information Technology - Security

Techniques - Information Security Management Systems -

Requirements,” IEC, vol. 27001, no. 27001, 2005.


Techniques - Information Security Management Systems -

Requirements,” IEC, vol. 27001, no. 27001, 2013.

ISO, “International Standard ISO/IEC 27002 Information technology — Security

techniques — Code of practice for information security controls,” IEC,

vol. 27002, no. 27002, 2013


techniques – Information security risk Management,” vol. 27005, 2008.

Jogiyanto & Abdillah, Willy. 2011. Sistem Tata Kelola Teknologi Informasi.

Yogyakarta: Penerbit Andi.

Kementerian Komunikasi dan Informatika Republik Indonesia. 2016. Peraturan

Menteri Komunikasi dan Informatika Republik Indonesia No. 4 Tahun

2016: Sistem Manajemen Pengamanan Informasi.

247

Marczyk, Geoffrey, et. all. 2005. Essentials of Research Design and Methodology.

New Jersey: John Wiley & Son, Inc.

Mataracioglu, Tolga & Ozkan, Sevgi. 2011. “Governing Information Security in

Conjunction With COBIT and ISO 27001”. Ankara: Departement of

Information Systems Security, Tubitak National Research Institute of

Electronics and Cryptology.

McLeod, Raymond & Schell, Jr. George. 2008. Sistem Informasi Manajemen, Edisi

10. Terjemahan oleh Hendra Teguh. Klaten: PT. Intan Sejati Klaten.

National Institute of Standards and Technology U.S Department of Commerce

(NIST). 2014. Framework for Improving Critical Infrastructure

Cybersecurity Core.

Nurbojatmiko et al. 2016. Assessment of ISMS Based On Standard ISO/IEC

27001:2013 at DISKOMINFO Depok City. 2016 4th International

Conference on Cyber and IT Service Management.

Park, S. H & Lee, K. H. 2014. “Advanced Approach to Information Security

Management System Model for Industrial Control System,” The

Scientific World Journal vol. 2014.

Pemerintah Kabupaten. Bogor. 2015. Peraturan Bupati Bogor No. 11 Tahun 2015 :

Pelaksanaan dan Pengembangan E-Government Di Lingkungan

Pemerintah Kabupaten Bogor.

Pemerintah Kabupaten Bogor. 2016. Peraturan Bupati Bogor No 57 Tahun 2016:

Kedudukan, Susunan Organisasi, Tugas dan Fungsi Serta Tata Kerja

Dinas Komunikasi dan Informatika.

Ponemon Institute LLC. 2017. Cost of Cyber Crime Study : Insights On The

Security Investments That Make Difference. USA: Ponemon Institute

LLC.

Putra, Syopiansyah J. 2018. The process capability model for governance of the

Election Organizer Ethics Court system. JOIN (Jurnal Online

Informatika) Vol: 3 No. 2, pp. 93-98.

Ritzkal et al. 2016. Implementasi ISO/IEC 27001:2013 Untuk Sistem Manajemen

Keamanan Informasi (SMKI) Pada Fakultas Teknik UIKA-Bogor.

Seminar Nasional Sains dan Teknologi 2016.

Sahibudin, Shamsul, et al. 2008. “Combining ITIL, COBIT, and ISO/IEC 27002 in

Order to Design a Comprehensive IT Framework in Organization”.

Second Asia Internationa Conference on Modelling & Simulation, pp.

749-753.

https://ieeexplore.ieee.org/xpl/mostRecentIssue.jsp?punumber=7562830


248

Sanjaya, Wina. 2013. Penelitian Pendidikan: Jenis, Metode dan Prosedur. Jakarta:

Kencana Prenada Media Group.

Sarno R, Iffano I. 2009. Sistem Manajemen Keamanan Informasi Berbasis ISO

27001. Surabaya: ITS Press.

Sheikhpour, Razieh and Modiri, Nasser. 2012. “An Approach to Map COBIT

Processes to ISO/IEC 27001 Information Security Management

Controls”. International Journal of Security and Its Applications Vol 6,

No.2.

Shin, Y. J & Kim, S. T. 2008. “E-Government Concepts, Measures, and Best

Practicies”. New York: Information Science Reference.

Simplilearn Solutions. ITIL: Key Concepts and Summary. Diakses pada 7 Januari

2019 dari https://www.simplilearn.com/itil-key-concepts-and-

summary-article.

Stair, Ralph M. and Reynolds, George W. 2016. Fundamentals of Information

Systems (8th Edition). USA: Cengage Learning.

Sugiyono. 2013. Metode Penelitian Manajemen. Bandung: ALFABETA.

Sugiyono. 2014. Metode Penelitian Manajemen. Bandung: ALFABETA.

Suminar, Suryo et al. 2014. Evaluation of Information Technology Governance

using COBIT 5 Framework FocusAPO13 and DSS05 in PPIKSN-

BATAN. 2014 International Conference on Cyber and IT Service

Management (CITSM).

Susanto, Bekti M. 2013. Mengukur Keamanan Informasi: Studi Komparasi ISO

27002 dan NIST 800-55. Seminar Nasional Teknologi Informasi dan

Komunikasi.

Susanto, Heru, dkk. 2011. “Information Security Management System Standards:

A Comparative Study of the Big Five”. International Journal of

Electrical & Computer Sciences IJECS-IJENS Vol: 11 No: 05.

Symantec Corporation. 2018. Internet Security Threat Report 2017 Volume 23.

California: Symantec Corporation.

The Open Group. 2009. The Open Group Architecture Framework (TOGAF)

Version 9.

Von Solms, Basie. 2005. “Information Security governance: COBIT or ISO 17799

or both?”. International Journal of Computer & Security Vol: 24, pp.

99-104.





249

Whitman, Michael E and Mattord, Herbert J. 2014. Management of Information

Security (4th Edition). USA: Cengage Learning.

Wibowo, Aldi S. et al. 2016. Kombinasi Framework COBIT 5, ITIL dan ISO/IEC

27002 Untuk Membangun Model Tata Kelola Teknologi Informasi Di

Perguruan Tinggi. Seminar Nasional Teknologi Informasi dan

Komunikasi 2016, pp. 122-128.

Williams, Barry L. 2013. Information Security Policy Development for

Compliance. Florida: CRC Press.

250

LAMPIRAN

LAMPIRAN 1: HASIL WAWANCARA

Responden : Dendi Wahyudin, S.IP

Jabatan : Kepala Seksi Pengembangan Aplikasi dan Data

Pewawancara : Mohamad Mirza Maulana

Tanggal : 25 April 2018

Tempat : Ruang Seksi Pengembangan Aplikasi dan Data

P: Apakah tugas dari Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor

ini?

J: Tugas dari Bidang Penyelenggaraan E-Government dapat dilihat dari tupoksi pada

dokumen renstra Diskominfo Kabupaten Bogor tahun 2013-2018.

P: Contoh data e-government seperti apa yang dikelola oleh Bidang Penyelenggaraan E-

Government?

J: Perlu dikoreksi bahwa Dinas Komunikasi dan Informatika Kabupaten Bogor saat ini hanya

menjadi wali data bagi Dinas/OPD di wilayah Kabupaten Bogor. Yang dimaksud wali data

ini adalah Diskominfo hanya menjadi tempat menyimpan data aplikasi yang dimiliki

beberapa Dinas/OPD yang berada di wilayah Kabupaten Bogor. Diskominfo Kabupaten

Bogor terutama Bidang Penyelenggaraan E-Government tidak memiliki hak untuk

mengelola/melakukan integrasi data-data yang dimiliki oleh tiap dinas tersebut.

P: Apa saja contoh tindakan untuk menjaga keamanan informasi yang sudah dilakukan?

J: Langkah yang baru dilakukan adalah baru memasang firewall dan antivirus serta

memberikan edukasi terhadap dinas-dinas yang lain

P: Adakah SOP tertulis untuk manajemen keamanan informasi?

J: SOP dahulu pernah dibuat Peraturan Bupati tentang keamanan data dan informasi, namun

masih sampai Rancangan Peraturan Bupati karena Rancangan Peraturan Bupati tersebut

belum menjadi prioritas dan belum ditetapkan menjadi Peraturan Bupati, mengarah ke ISO

tapi belum ditetapkan.

Untuk Peraturan Bupati tentang e-government ada, bisa liat di website. Bisa diliat pada

Peraturan Bupati terdapat kriteria DISKOMINFO Kab Bogor sebagai apa seperti wali data

dan dinas lain sebagai apa, datanya juga seperti apa. Tapi karena keterbatasan, Peraturan

Bupati tersebut belum bisa diterapkan semua.

P: Pernakah terjadi ancaman atau insiden terkait dengan keamanan informasi? Insidennya

seperti apa?

J: Insiden seperti hacker dan kerusakan server. Dulu pernah terjadi kerusakan storage dan

data hilang namun masih ada backup namun tidak semuanya yang dapat di backup karena

dulu masih parsial per aplikasi. Untuk hacker tidak sampai kepada pencurian atau

penyanderaan data, hanya pernah kejadian hacker masuk dan mengacak-acak isi dari

website. Dan ditambah dari ancaman malware dan virus namun tidak sampai tahap

mengancam data yang ada.

P: Adakah dampak/kerugian yang ditimbulkan dari ancaman/insiden yang pernah terjadi?

J: Tentu ada kerugian waktu dan tenaga untuk melakukan recovery data yang hilang tersebut

P: Apabila pernah terjadi insiden terkait dengan keamanan informasi, adakah langkah yang

dilakukan untuk memperbaikinya? Dan apakah memerlukan biaya untuk

memperbaikinya?

J: Untuk kerusakan server untungnya saat itu masih ada garansi untuk servernya. Namun

tentu dengan adanya kejadian tersebut membuat kita mempertimbangkan mengadakan

pengadaan server yang lebih baru.

P: Apakah sejauh ini dinas ini pernah di evaluasi tata kelola dengan framework-framework

yang ada? (Contoh menggunakan COBIT, ITIL, dll)

J: Sejauh ini untuk audit hanya audit terhadap jaringan yang dilakukan oleh pihak ketiga,

namun hasil evaluasinya belum didapat oleh pihak DISKOMINFO. Untuk rencana ke

depan ada rencana evaluasi keamanan dalam hal persandian yang akan dilakukan oleh

Seksi Persandian dan Keamanan Informasi.

P: Adakah pencatatan terhadap aset yang dimiliki oleh Diskominfo Kab Bogor?

J: Ada, namun bukan Seksi Data dan Aplikasi yang melakukan pencatatan.

P: Apa saja aset-aset yang terdapat pada dinas ini?

(Contoh Database apa saja, jaringan seperti LAN, VPN, SSL, Aplikasi, Software)

J: Windows 10 dan Windows 8, mayoritas menggunakan Windows 10. Lalu ada yang

menggunakan Windows XP karena ada yang tidak mau ganti. Linux dulu ada, namun

jarang. Antivirus menggunakan kaspersky. Ada ruangan server, pake fingerprint, jadi tidak

semua bisa masuk, lalu ada CCTV di ruangan server serta di beberapa lorong, kemudian

AC presisi dan AC biasa, UPS ada beberapa yg kecil, genset, kabel FO (Fiber Optic)

karena DISKOMINFO Kab Bogor menyediakan jaringan internet untuk dinas-dinas di

wilayah Jl. Tegar Beriman dengan pusatnya di DISKOMINFO, dan terakhir kita juga

menggunakan VPN.

P: Menurut anda perlukah dilakukan audit terhadap sistem manajemen keamanan informasi

pada dinas ini?

J: Saya rasa perlu sebagai bahan evaluasi bagi Diskominfo Kabupaten Bogor.

Responden : Dendi Wahyudin, S.IP

Jabatan : Kepala Seksi Pengembangan Aplikasi dan Data

Pewawancara : Mohamad Mirza Maulana

Tanggal : 16 Mei 2018

Tempat : Ruang Seksi Pengembangan Aplikasi dan Data

P: Dari hasil wawancara pertama yang saya lakukan, didapatkan fakta bahwa

DISKOMINFO hanya menjadi wali data untuk menyimpan data-data dinas yang ada di

wilayah Kabupaten Bogor. Tapi apakah DISKOMINFO Kabupaten Bogor ini memiliki

aplikasi tertentu yang digunakan khusus untuk menunjang operasional DISKOMINFO

Kabupaten Bogor? Kalau ada aplikasi apa saja dan apa fungsinya?

Contoh: Sistem informasi kepegawaian

J: Untuk aplikasi yang dibuat dan digunakan oleh Diskominfo Kabupaten Bogor baru

aplikasi visitor untuk mengetahui siapa saja pengunjung Diskominfo Kabupaten Bogor.

Untuk aplikasi yang bukan dibuat oleh Diskominfo namun digunakan oleh Diskominfo

ada banyak. Contohnya aplikasi Sistem Informasi Manajemen Kepegawaian, Sistem

Informasi Absensi Pegawai, Sistem Informasi Evaluasi Kinerja, dll. Untuk aplikasi lain

buatan Diskominfo Kabupaten Bogor belum ada selain aplikasi visitor, namun sekarang

sedang tahap pengembangan beberapa aplikasi seperti aplikasi surat menyurat

P: Jika terdapat aplikasi apakah aplikasi tersebut dibuat oleh pihak DISKOMINFO

Kabupaten Bogor atau oleh pihak ketiga? Jika menggunakan pihak ketiga adakah

perjanjian khusus dengan pihak ketiga untuk melakukan perbaikan berkala?

J: Untuk aplikasi visitor dibuat oleh Diskominfo Kabupaten Bogor.

P: Apakah selama penerapan aplikasi itu dilakukan ada sosialisasi cara penggunaan, dan

adakah keluhan dari pegawai diskominfo?

J: Untuk aplikasi visitor tentu ada sosialiasi kepada pegawai/petugas yang menerima tamu

dan pegawai Diskominfo Kabupaten Bogor lainnya. Untuk aplikasi lain seperti Sistem

Informasi Manajemen Kepegawaian dan Sistem Informasi Absensi Pegawai sosialisasi

dilakukan oleh dinas terkait yang memiliki aplikasi tersebut. Untuk keluhan terkait

aplikasi hanya keluhan aplikasi error pada aplikasi Sistem Informasi Manajemen

Kepegawaian dan Sistem Informasi Absensi Pegawai. Namun pada kenyataan sekarang

aplikasi visitor tersebut tidak sering digunakan karena belum adanya ketegasan dari

petugas yang menerima tamu tersebut.

P: Apakah pada DISKOMINFO Kabupaten Bogor ini pernah melakukan edukasi dan

pelatihan terhadap keamanan informasi kepada pegawai diskominfo?

J: Ada semacam pelatihan namun belum banyak. Tahun kemarin dilakukan 2-3 kali

pelatihan untuk menyadarkan mereka cara pake internet yg baik, firewall, tidak

sembarangan kasih password. Narasumber berasal dari BSSN dan Kominfo.

P: Apabila ada aplikasi khusus di DISKOMINFO Kabupaten Bogor, bagaimana cara

pegawai diskominfo mendapatkan akses untuk aplikasi tsb? Apakah langsung

didaftarkan atau pegawai mendaftar sendiri? Lalu untuk melakukan pendaftaran sesuai

dengan apa? (Contoh dari nomor induk pegawai)

J: Untuk aplikasi visitor petugas hanya langsung menggunakan tanpa harus memiliki hak

akses. Namun untuk aplikasi lain milik OPD yang digunakan DISKOMINFO Kabupaten

Bogor, hak akses aplikasi didaftarkan oleh admin tiap aplikasi. Hak akses tersebut

berbeda tiap aplikasi. Ada aplikasi yang seluruh pegawai DISKOMINFO Kabupaten

Bogor mendapat hak akses, adapula aplikasi yang hanya beberapa pegawai

DISKOMINFO Kabupaten Bogor yang mendapat hak akses

P: Apakah pernah terjadi insiden terkait keamanan informasi pada aplikasi tersebut?

Contohnya penggunaan hak akses yang tidak semestinya

J: Belum ada kasus seperti itu karena untuk aplikasi selain aplikasi visitor, hak akses

diberikan oleh admin aplikasi tiap-tiap OPD.

P: Apabila ada, adakah sanksi yang diberikan kepada pegawai tersebut?

J: Belum ada kasus seperti itu

P: Dari wawancara yang dilakukan sebelumnya, DISKOMINFO Kabupaten Bogor pernah

mengalami insiden berupa kerusakan server yg menyebabkan ada sebagian data di

server yang hilang dan insiden hacking. Data yang hilang pada server DISKOMINFO

tersebut milik dinas apa saja? Apakah saat itu ada pencatatan terhadap data yang hilang

tersebut?

J: Ada beberapa Dinas termasuk Diskominfo namun saat itu ada recovery data. Data awal

ada, tapi ada beberapa perubahan memang. Saat itu dokumentasi terhadap kejadian

tersebut masih belum baik, pencatatan insiden hanya dilakukan secara manual namun

tidak dibuat ke dalam dokumen tertentu. Jadi bukti kejadian saat itu tidak ada.

P: Ada berapa website yang dikelola oleh DISKOMINFO Kabupaten Bogor?

J: Untuk website yang dikelola oleh Diskominfo Kab. Bogor ada 2 yaitu website Pemkab

Bogor dan website Diskominfo Kab. Bogor. Namun untuk dinas lain Diskominfo

menyediakan fasilitas berupa cpanel yang dapat digunakan oleh dinas lain untuk

membuat website, dan konten website menjadi tanggung jawab dinas masing-masing.

P: Apakah ada laporan bulanan mengenai masalah keamanan informasi?

J: Harusnya ada, tapi yang mengelola seksi lain.

P: Seperti yang bapak katakan pada wawancara pertama, DISKOMINFO punya ruangan

server dan pengamanan dengan menggunakan fingerprint. Apakah hanya pegawai dari

Seksi Pengembangan Aplikasi dan Data saja yang dapat masuk ke ruangan server atau

ada seksi lain yang dapat masuk ke ruangan server?

J: Hanya orang-orang yg punya akses/kepentingan yang boleh masuk ke ruangan server

contohnya dari Seksi Infrastuktur hampir semua pegawai boleh masuk ke ruang server.

Untuk pegawai dari Bidang selain Bidang Penyelenggaraan E-Government juga dapat

masuk ke ruang server tapi harus jelas tujuannya untuk apa.

P: Lalu apakah ada laporan terkait waktu pegawai-pegawai keluar-masuk ruangan server?

J: Ada laporan manual dalam bentuk buku. Seharusnya laporan ini menyatu dengan

aplikasi visitor namun karena aplikasi visitor tidak diterapkan dengan baik maka

memakai cara manual. Laporan manual tersebut bulanan. Untuk pendataannya dengan

cara bertanya keperluan apa, darimana, contact person, dan rekomendasi dari siapa.

P: Untuk aset yang dimiliki oleh DISKOMINFO Kabupaten Bogor seperti server,

computer, ups, dll apakah ada pemeliharaan rutin untuk menjaga aset tersebut optimal

kinerjanya? Atau apakah pemeliharaan tersebut dilakukan apabila terjadi insiden saja?

J: Ada pemeliharaan. Dan yang melakukan pemeliharaan adalah Noc dan umum. Namun

pemeliharaan yang rutin dilakukan hanya pemeliharaan terhadap Air Conditioner (AC)

yang berada pada ruang server saja. Untuk pemeliharaan aset lain tidak dilakukan secara

rutin

P: Lalu untuk server DISKOMINFO Kabupaten Bogor apakah ada backup rutin untuk

menjaga apabila suatu saat terjadi kerusakan server lagi seperti yang pernah terjadi

sebelumnya?

J: Backup ada, namun backup yang dilakukan hanya di 1 tempat yaitu DISKOMINFO

Kabupaten Bogor. DISKOMINFO Kabupaten Bogor belum melakukan backup server

di tempat lain. Karena saat ini DISKOMINFO Kabupaten Bogor memiliki rencana untuk

melakukan backup server di Batam atau Bali namun masih belum ditentukan di mana.

Masih dalam tahap kajian.

P: Apakah ada prosedur/SOP untuk kegiatan backup server tersebut? Lalu untuk tempat

atau lokasi backup data tsb apakah menurut bapak sudah aman?

J: Untuk SOP backup server belum ada baru ada payung hukumnya saja. Karena masih

menunggu keputusan di mana lokasi backup server akan dipilih. Apabila sudah

ditentukan maka SOP backup server adalah keharusan.

LAMPIRAN II: KUISIONER PENELITIAN

KUISIONER

AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI DAN

INFORMATIKA KABUPATEN BOGOR

Kepada Yth,

Kepala Bagian Penyelenggaraan E-Government

Dinas Komunikasi dan Informatika Kabupaten Bogor

Di Tempat

Responden yang terhormat,

Saya Mohamad Mirza Maulana (1113093000042) adalah Mahasiswa Program Studi Sistem

Informasi UIN Syarif Hidayatullah Jakarta yang sedang melakukan penelitian tentang Audit

Keamanan Sistem Informasi Pada Dinas Komunikasi dan Informatika Kabupaten Bogor

Menggunakan Standar ISO/IEC 27001:2013 dan COBIT 5. Penelitian ini adalah bagian dari

skripsi sebagai salah satu syarat untuk mendapatkan gelar Sarjana Sistem Informasi bagi peneliti.

Demi tercapainya hasil yang diinginkan, peneliti mohon kesediaan Anda untuk berpartisipasi

mengisi kuesioner ini secara lengkap dan benar.

Kuisioner ini bertujuan untuk mendapatkan data dan opini Bapak/Ibu mengenai proses

pengelolaan keamanan teknologi informasi di Dinas Komunikasi dan Informatika Kabupaten

Bogor. Informasi yang diterima dari kuisioner ini bersifat rahasia dan hanya digunakan untuk

kepentingan akademis. Tidak ada jawaban yang salah dalam menjawab kuesioner ini. Atas

bantuannya saya ucapkan terima kasih.

Jakarta, Oktober 2018

Mohamad Mirza Maulana

Petunjuk Pengisian

Bacalah pernyataan kriteria dari tingkat kematangan dengan seksama. Masing-masing pernyataan

memiliki 5 (lima) pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut

tertentu pada proses Pengelolaan Keamanan Teknologi Informasi. Pilihan pilihan jawaban

tersebut dari 1 sampai 5 secara berturut-turut merepresentasikan tingkat kapabilitas yang semakin

meningkat terhadap suatu atribut pada proses Pengelolaan Keamanan Teknologi Informasi.

Dimana (1) performed informally, (2) planned and tracked, (3) well defined, (4) quantitatively

controlled, dan (5) continuously improving.

Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang dianggap bisa

mewakili kondisi kapabilitas saat ini, terkait dengan atribut kapabilitas tertentu dalam proses

Pengelolaan Keamanan Teknologi Informasi dengan memberikan tanda ceklis (√) pada tempat

yang tersedia. Dengan mengetahui posisi kapabilitas saat ini selanjutnya akan dilakukan analisis

yang dapat menjadi dasar pendefinisian rancangan solusi untuk perbaikan dalam proses

Pengelolaan Keamanan Teknologi Informasi.

Untuk kebutuhan diatas mohon kiranya Bapak/Ibu sebagai responden dapat memberikan jawaban

atas pernyataan-pernyataan yang diberikan dalam kuesioner ini untuk kemudian dapat kami olah

dalam penelitian skripsi ini

Nama Responden

Jabatan Responden

Unit/Bidang/Seksi

:

:

:

Adapun level kemampuan System Security Engineering Capability Maturity Model (SSE-CMM)

dijelaskan sebagai berikut:

Level 1 : Performed Informally (Dilakukan Informal) artinya kinerja belum

sepenuhnya direncanakan dan dilacak, kinerja tergantung pada pengetahuan

individu dan organisasi. Serta tidak ada peraturan tertulis untuk melaksanakan

tindakan, perintah pelaksanaan dilakukan hanya melalui lisan

Level 2 : Planned and Tracked (Direncanakan dan Dilacak) artinya kinerja sesuai

prosedur yang sudah diverifikasi. Hasil kerja sesuai dengan persyaratan.

Perbedaan dengan proses kinerja level 1 adalah bahwa proses kinerja pada level

2 telah direncanakan dan dikelola.

Level 3 : Well Defined (Didefinisikan dengan Baik) artinya kinerja pada level ini

dilakukan sesuai dengan persetujuan, sesuai dengan standar yang telah ada, dan

proses telah didokumentasikan. Perbedaan dari level 2 adalah bahwa proses

kinerja pada level ini direncanakan dan dikelola dengan menggunakan standar

yang ditetapkan organisasi.

Level 4 : Quantitatively Controlled (Dikendalikan secara Kuantitatif) artinya langkah-

langkah detail pada proses kinerja dikumpulkan dan dianalisis. Ini mengarah ke

pemahaman kuantitatif terhadap kemampuan proses dan kemampuan untuk

meningkatkan kinerja. Pada level ini kualitas hasil kerja secara kuantitatif

diketahui. Perbedaan dengan level 3 adalah bahwa proses kinerja pada level ini

didefinisikan, dipahami, dan dikendalikan secara kuantitatif

Level 5 : Continously Improving (Ditingkatkan terus-menerus) perbedaan proses

kinerja level 5 dengan proses kinerja pada level 4 adalah bahwa proses

didefinisikan dan proses telah sesuai dengan standar dan dilakukan perbaikan

terus-menerus dan dilakukan peningkatan. Proses kinerja ini didasarkan pada

pemahaman kuantitatif dari dampak dari perubahan proses


7.1 Sebelum Bekerja

7.1.1 Penyaringan

Kontrol: Pemeriksaan verifikasi latar belakang pada semua kandidat untuk pekerjaan harus

dilakukan sesuai dengan hukum, peraturan dan etika yang relevan dan harus proporsional dengan

persyaratan bisnis, klasifikasi informasi yang akan diakses dan risiko yang dirasakan

No Pernyataan 1 2 3 4 5

1. Semua kandidat dilakukan pemeriksaan dan

verifikasi latar belakang melalui daftar riwayat

hidup

2. Adanya konfirmasi kualifikasi akademik dan

professional yang diklaim, serta verifikasi

identitas independen (Contoh: paspor atau

dokumen serupa)

3. Verifikasi yang lebih rinci (Contoh: Peninjauan

ulang kredit atau catatan kriminal)

4. Memastikan kandidat memiliki kompetensi

untuk melakukan peran keamanan


7.2 Selama Bekerja


Kontrol: Manajemen mengharuskan semua karyawan dan kontraktor untuk menerapkan

keamanan informasi sesuai dengan kebijakan dan prosedur organisasi yang telah ditetapkan


1. Manajemen memberikan pengarahan tentang

peran dan tanggung jawab keamanan informasi

terhadap karyawan atau kontraktor sebelum

diberikan akses ke informasi rahasia

2. Adanya pemberian pedoman dan pengarahan

tentang harapan keamanan informasi dari peran

karyawan dan kontraktor di dalam organisasi

3. Memastikan karyawan atau kontraktor memiliki

motivasi dan terus memiliki keterampilan dan

kualifikasi yang sesuai untuk memenuhi

kebijakan keamanan informasi


7.2 Selama Bekerja


Kontrol: Semua karyawan organisasi dan, jika relevan, kontraktor harus menerima pendidikan

dan pelatihan kesadaran yang sesuai dan pembaruan rutin dalam kebijakan dan prosedur

organisasi, yang relevan untuk fungsi pekerjaan mereka


1. Program kesadaran keamanan informasi harus

bertujuan untuk membuat karyawan atau

kontraktor menyadari tanggung jawab mereka

untuk keamanan informasi

2. Program kesadaran keamanan informasi harus

ditetapkan dan relevan dengan kebijakan dan

prosedur keamanan informasi organisasi (Contoh:

pelaksanaan hari keamanan informasi dan

menerbitkan buklet atau bulletin tentang

keamanan informasi)

3. Pendidikan dan pelatihan harus memastikan

komitmen manajemen terhadap keamanan

informasi di seluruh organisasi

4. Memisahkan tanggung jawab pribadi dan

tanggung jawab umum serta memastikan tidak

adanya tindakan sendiri dalam mengamankan atau

melindungi informasi milik organisasi dan milik

pihak eksternal

5. Memberikan kesadaran untuk melakukan prosedur

keamanan informasi dasar (Contoh: Pelaporan

insiden keamanan informasi) dan kontrol dasar

(Contoh: Keamanan kata sandi, dan kontrol

malware)

KUISIONER



Kepada Yth,

Kepala Seksi Pengembangan Aplikasi dan Data


Di Tempat
















8 Manajemen Aset



Kontrol: Aset yang terkait dengan informasi dan fasilitas pemrosesan informasi harus

diidentifikasi dan inventarisasi aset-aset ini harus dibuat dan dipelihara


1. Aset yang terkait dengan informasi dan fasilitas

pemrosesan informasi harus diidentifikasi dan

inventarisasi aset harus dibuat dan dipelihara.

2. Aset yang relevan dalam siklus hidup informasi

(pembuatan, pemrosesan, penyimpanan, transmisi,

penghapusan, dan penghancuran) harus

diidentifikasi dan dokumentasinya dibuat dan

disimpan dalam inventaris khusus

3. Inventaris aset harus akurat, terbaru, konsisten,

dan sejajar dengan inventaris lain.

8 Manajemen Aset



Kontrol: Aset yang dipertahankan dalam inventaris harus dimiliki.


1. Kepemilikan atas aset harus diberikan ketika aset

didapatkan atau diterima oleh organisasi

2. Aset diinventarisasi, diklasifikasikan dan

dilindungi dengan tepat

3. Aset didefinisikan dan ditinjau secara berkala

dengan kebijakan kontrol akses yang berlaku

4. Memastikan penanganan yang tepat saat aset

dihapus

8 Manajemen Aset

8.2 Klasifikasi Informasi


Kontrol: Informasi harus diklasifikasikan dalam persyaratan hukum, nilai, kekritisan, dan

kepekaan terhadap pengungkapan atau modifikasi yang tidak sah.


1. Terdapat skema klasifikasi informasi, yang

digunakan untuk klasifikasi dan kriteria informasi

untuk meninjau klasifikasi dari waktu ke waktu

2. Skema klasifikasi informasi harus berdasarkan

confidentiality (kerahasiaan), integrity (integritas),

dan availability (ketersediaan)

3. Skema klasifikasi informasi bersifat konsisten di

dalam organisasi

4. Klasifikasi informasi harus dimasukkan ke dalam

proses bisnis organisasi

5. Hasil klasifikasi informasi harus menunjukkan

nilai aset

6. Hasil klasifikasi informasi diperbaharui sesuai

dengan perubahan nilai aset dan kekritisan aset

9 Kontrol Akses



Kontrol: Kebijakan kontrol akses harus ditetapkan, didokumentasikan dan ditinjau berdasarkan

persyaratan keamanan bisnis dan informasi


1. Pemilik aset menentukan aturan akses kontrol

yang tepat, hak akses dan pembatasan aturan

pengguna terhadap aset mereka

2. Adanya kebijakan kontrol akses bersifat fisik dan

logis yang baik dan telah dipertimbangakan

bersama-sama

3. Terdapat undang-undang yang relevan dan

kewajiban kontraktual apa pun terkait pembatasan

akses ke data atau layanan

4. Adanya peninjauan kembali hak akses secara

berkala dan penghapusan hak akses apabila tidak

sesuai

12 Keamanan Operasi

12.3 Backup


Kontrol: Salinan cadangan informasi, perangkat lunak dan gambar sistem harus diambil dan diuji

secara teratur sesuai dengan kebijakan cadangan yang disepakati


1. Kebijakan backup informasi yang mencakup

pertahanan dan perlindungan infrormasi

2. Tersedianya fasilitas backup informasi yang

memadai untuk memastikan informasi penting

dapat dipulihkan setelah terjadi bencana atau

kegagalan media

3. Pencatatan backup informasi yang akurat dan

lengkap serta dokumentasi prosedur perbaikan

4. Penyimpanan Backup di tempat yang aman dan

jarak yang cukup

5. Tingkat perlindungan fisik dan lingkungan

Backup informasi yang konsisten sesuai dengan

standar yang diterapkan pada lokasi utama

organisasi

6. Pengujian media backup secara berkala

7. Penggunaan enkripsi pada backup dalam keadaan

kerahasiaan sangat penting

KUISIONER



Kepada Yth,

Kepala Seksi Infrastruktur dan Teknologi


Di Tempat
















9 Kontrol Akses



Kontrol: Pengguna hanya boleh diberikan akses ke jaringan dan layanan jaringan yang telah

secara khusus diizinkan untuk digunakan.


1. Adanya kebijakan yang mengatur jaringan dan

layanan jaringan mana yang diizinkan untuk

diakses

2. Adanya kebijakan yang mengatur prosedur

otorisasi untuk menentukan siapa yang diizinkan

untuk mengakses jaringan atau layanan jaringan

tertentu

3. Adanya kebijakan yang mengatur sarana yang

digunakan untuk mengakses jaringan dan layanan

jaringan (misalnya penggunaan VPN atau jaringan

nirkabel)

4. Adanya kebijakan yang mengatur persyaratan

autentikasi (validasi) pengguna untuk mengakses

berbagai layanan jaringan

5. Adanya kebijakan yang mengatur pemantauan

penggunaan layanan jaringan


11.1 Area Aman


Kontrol: Area aman harus dilindungi oleh kontrol entri yang tepat untuk memastikan bahwa

hanya personel yang berwenang yang diperbolehkan mengakses


1. Pencatatan tanggal dan waktu masuk dan

keluarnya pengunjung dicatat dan adanya

pengawasan terhadap pengunjung

2. Akses ke daerah-daerah dimana informasi rahasia

diproses atau disimpan (Contoh: Ruang server)

harus dibatasi untuk individu yang berwenang

dengan menerapkan kontrol akses yang sesuai

(Contoh: menggunakan kartu akses atau

fingerprint)

3. Pemantauan dan penjagaan buku masuk fisik atau

jejak audit elektronik dari semua akses

4. Semua pegawai atau pihak eksternal memakai

tanda pengenal

5. Perbaharuan aturan tentang hak akses untuk

mengamankan daerah yang aman secara berkala


11.1 Area Aman


Kontrol: Keamanan fisik untuk kantor, kamar dan fasilitas harus dirancang dan diterapkan


1. Fasilitas utama ditempatkan di tempat yang aman

dan tidak dapat diakses oleh publik

2. Terdapat tanda baik di dalam atau di luar

bangunan yang menandakan adanya tempat

pengelolaan dan pengolahan data atau informasi


11.1 Area Aman


Kontrol: Perlindungan fisik terhadap bencana alam, serangan atau kecelakaan yang berbahaya

harus dirancang dan diterapkan.


1. Terdapat rancangan atau penerapan perlindungan

fisik terhadap aset dari adanya bencana alam,

serangan atau kecelakaan yang berbahaya

2. Adanya saran dari ahli tentang bagaimana cara

untuk menghindari kerusakan dari segala ancaman

seperti kebakaran, banjir, gempa bumi, ledakan,

atau ancaman lain


11.2 Peralatan


Kontrol: Peralatan harus dilindungi dari gangguan listrik dan gangguan lain yang disebabkan

oleh kegagalan dalam mendukung utilitas


1. Adanya peraturan mengenai sarana pendukung

sesuai dengan spesifikasi peralatan dan

persyaratan hukum organisasi

2. Penilaian sarana pendukung secara teratur

3. Pemeriksaan dan pengujian aturan tentang sarana



11.2 Peralatan


Kontrol: Kabel daya dan telekomunikasi yang membawa data atau layanan informasi pendukung

harus dilindungi dari intersepsi, interferensi atau kerusakan


1. Adanya peraturan mengenai listrik dan jalur

telekomunikasi ke fasilitas pengolahan informasi

yang menyatakan harus dibawah tanah

2. Adanya peraturan pemisahan kabel listrik dengan

kabel komunikasi


11.2 Peralatan


Kontrol: Peralatan harus dipelihara dengan benar untuk memastikan ketersediaan dan

integritasnya yang berkelanjutan


1. Terdapat peraturan mengenai spesifikasi peralatan

dan pemeliharaan peralatan dalam interval yang

direkomendasikan pemasok

2. Pemeliharaan atau perbaikan peralatan dilakukan

oleh personil yang berwenang

3. Memastikan peralatan berfungsi dengan baik

sebelum mengoperasikan kembali setelah proses

pemeriksaan dan pemeliharaan

13 Keamanan Komunikasi

13.1 Manajemen Keamanan Jaringan


Kontrol: Jaringan harus dikelola dan dikendalikan untuk melindungi informasi dalam sistem dan

aplikasi


1. Penetapan tanggung jawab dan prosedur untuk

pengelolaan peralatan jaringan

2. Adanya pemisahan tanggung jawab operasional

untuk jaringan dengan operasional yang lain

3. Adanya pemantauan dan tindakan memutus akses

yang sesuai untuk mendeteksi tindakan yang dapat

berpengaruh terhadap keamanan informasi

4. Koordinasi manajemen untuk mengoptimalkan

layanan kepada organisasi dan memastikan bahwa

kontrol diterapkan secara konsisten

5. Adanya autentikasi sistem di jaringan

6. Pembatasan koneksi sistem ke jaringan

KUISIONER



Kepada Yth,

Kepala Seksi Keamanan Informasi


Di Tempat
















12 Keamanan Operasi

12.2 Perlindungan dari Malware


Kontrol: Kontrol deteksi, pencegahan, dan pemulihan untuk melindungi terhadap malware harus

diterapkan, dikombinasikan dengan kesadaran pengguna yang sesuai


1. Terdapat kebijakan mengenai penggunaan

perangkat lunak yang resmi beserta

pengontrolannya

2. Adanya kontrol untuk mencegah dan mendeteksi

perangkat lunak yang tidak sah serta penggunaan

situs berbahaya yang dicurigai

3. Adanya kebijakan terkait dengan sumber yang

digunakan untuk mendapatkan file dan software

untuk mencegah risiko

4. Adanya manajemen kerentanan terhadap malware

5. Tinjauan rutin perangkat lunak dan konten data

sistem yang mendukung proses bisnis yang

penting

6. Instalasi dan pembaharuan rutin software

pendeteksi malware serta perbaikan perangkat

lunak untuk memindai komputer dan media

7. Adanya prosedur dan tanggung jawab untuk

menangani perlindungan malware pada sistem,

pelatihan dalam penggunaan, pelaporan dan

perbaikan dari serangan malware

8. Adanya prosedur mengumpulkan informasi

tentang malware baru secara teratur

9. Prosedur untuk memverifikasi informasi yang

berkaitan dengan malware

16 Manajemen Insiden Keamanan Informas



Kontrol: Kejadian keamanan informasi harus dilaporkan melalui saluran manajemen yang tepat

secepat mungkin


1. Pegawai menyadari akan tanggung jawabnya

untuk melaporkan kejadian keamanan informasi

secepat mungkin

2. Adanya prosedur untuk melaporkan kejadian

keamanan informasi terkait dengan pelanggaran

akses, malfungsi perangkat lunak atau perangkat

keras, adanya perubahan sistem yang tidak

terkendali




Kontrol: Karyawan dan kontraktor yang menggunakan sistem informasi dan layanan organisasi

harus diminta untuk mencatat dan melaporkan setiap kelemahan keamanan sistem atau layanan

yang diamati atau dicurigai


1. Adanya arahan bagi karyawan maupun kontraktor

untuk mencatat kelemahan keamanan sistem yang

dicurigai

2. Adanya mekanisme pelaporan kelemahan

keamanan informasi yang mudah diakses




Kontrol: Kejadian keamanan informasi harus dinilai dan harus diputuskan apakah mereka harus

diklasifikasikan sebagai insiden keamanan informasi


1. Penilaian titik kontak setiap peristiwa keamanan

informasi menggunakan kejadian keamanan

informasiyang disepakati

2. Klasifikasi dan penentuan prioritas insiden dari

skala klasifikasi insiden dilakukan

3. Hasil penilaian dan keputusan reasesmen dicatat

secara rinci




Kontrol: Insiden keamanan informasi harus ditanggapi sesuai dengan prosedur terdokumentasi


1. Adanya pengumpulan bukti sesegera mungkin

setelah terjadinya insiden keamanan informasi

2. Adanya prosedur untuk mengkomunikasikan

keberadaan insiden keamanan informasi

3. Adanya pencatatan insiden keamanan informasi

untuk selanjutnya dilakukan analisis penyebab

insiden keamanan infomasi




Kontrol: Pengetahuan yang diperoleh dari menganalisa dan menyelesaikan insiden keamanan

informasi harus digunakan untuk mengurangi kemungkinan atau dampak dari insiden masa depan


1. Terdapat mekanisme yang digunakan untuk

mengukur dan memonitor jenis, frekuensi dan

biaya insiden keamanan informasi

2. Evaluasi insiden keamanan informasi digunakan

untuk meningkatkan kinerja keamanan serta

membatasi frekuensi, kerusakan dan biaya

kejadian di masa depan

LAMPIRAN III

SURAT-SURAT PENDUKUNG PENELITIAN

SKRIPSI AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS ...repository.uinjkt.ac.id/dspace/bitstream/123456789...iv LEMBAR PENGESAHAN UJIAN Skripsi yang berjudul Audit Keamanan Sistem Informasi

Documents