6

BAB II

TINJAUAN PUSTAKA

Bab ini akan membahas latar belakang penggunaan SI Automatic Meter

Reading di Perusahaan Listrik X, landasan teori dari proses audit, tahapan-tahapan

proses pelaksanaan audit dengan menggunakan framewok COBIT 4.1 dan ISO

27002:2005 sebagai standar keamanan dan pedoman yang digunakan dalam

penilaian kinerja di Perusahaan Listrik X Wilayah Bali.

2.1 State of the Art

State of the art ini diambil dari beberapa contoh penelitian terdahulu

sebagai panduan ataupun contoh untuk penelitian yang akan dilakukan. Contoh

yang diambil berupa jurnal-jurnal mengenai pelaksanaan audit terhadap keamanan

sistem informasi. Berikut adalah contoh-contoh jurnal yang didapatkan dari

berbagai sumber di internet.

1. Jurnal “Pembuatan Perangkat Audit Internal TI Berbasis Risiko

menggunakan ISO/IEC 27002:2007 pada Proses Pengelolaan Data Studi

Kasus Digital Library ITS” karya Mochammad Arief Ramadhana dari ITS.

Penulis menggunakan standar ISO 27002 dalam pembuatan perangkat

audit yang berfungsi sebagai perangkat untuk melakukan pemeriksaan

rutin terhadap sistem sesuai dengan klausul yang telah ditentukan sehingga

risiko yang terjadi dapat teratasi.

2. Jurnal milik Merliana Halim, Haryanto Tanuwijaya, dan Ignatius Adrian

Mastan dengan judul “Audit Keamanan Sistem Informasi Berdasarkan

Standar ISO 27002 (Studi Kasus: PT. Aneka Jaya Baut Sejahtera)” Jurusan

Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik

Komputer Surabaya menjelaskan pengguanaan ISO 27002 menjadi lebih

terarah dan dapat dikondisikan sesuai proses bisnis perusahaan.

3. Judul “Indeks Penilaian Kematangan (Maturity) Manajemen Keamanan

Layanan TI oleh Farroh Sakinah, Bambang Setiawan dari Jurusan Sistem

Informasi, ITS. Penulis menyimpulkan kombinasi antara metodologi

7

manajemen TI menggunakan ITIL, COBIT dan ISO / IEC 27002 akan

memberikan hasil yang lebih komprehensif dan efisien. Indeks penilaian

yang dibuat memiliki fitur yang dikhususkan untuk organisasi

penyelenggara layanan publik, terutama di perguruan tinggi sehingga

fitur/pertanyaan yang ada di dalam indeks lebih bersifat khusus.

4. Judul “Analisis Keamanan dan Integritas Sistem Informasi Akuntansi

Bank DKI Pada DBMS AS/400 dengan Basis Pengukuran COBIT 4.1 oleh

Akhmad Zaki Al-Safi. Penulis menyimpulkan manajemen keamanan dan

pengendalian internal sistem informasi akuntansi di Bank DKI secara

umum telah berjalan baik, walaupun masih ditemukan kekurangan dan

kelemahan yang merupakan indikator tidak adanya peningkatan proses

pengendalian aplikasi dan keamanan sistem informasi akuntansi.

Berdasarkan jurnal-jurnal yang telah dipaparkan diatas dapat disimpulkan,

bahwa standar ISO 27002 digunakan dalam audit terhadap keamanan sistem

informasi. Penelitian ini juga akan menggunakan metode-metode yang sama

dengan metode yang dipakai dari jurnal-jurnal terdahulu, namun sedikit berbeda

dengan menggunakan kombinasi dari penelitian yang ada pada state of the art.

2.2 Latar Belakang Perusahaan

Organisasi Perusahaan Listrik X dibentuk dengan Surat Keputusan Direksi

Perusahaan Listrik X Nomor 195.K/DIR/2010, Tanggal 14 April 2010

merupakan pengembangan dari Perusahaan Listrik X Jasa Keteknikan yang

dibentuk berdasarkan SK. Direksi No. 029.K/025/DIR/1996, Tanggal 12 Maret

1996 dimana Perusahaan Listrik X JE sebelumnya merupakan pengembangan dari

Perusahaan Listrik X PPE (Pusat Pelayanan Teknik) yang dibentuk berdasarkan

SK. Direksi No. 085/DIR/85 Tanggal 10 Mei 1985 dimana secara operasional

sejak bulan Maret 1988 berperan sebagai in-house consultant untuk Perusahaan

Listrik X. Kantor yang bergerak dibidang perencanaan, Perusahaan Listrik X

sebagai pusat teknik ketenagalistrikan merasa perlu untuk memperoleh suatu

pengakuan akan kemampuannya.

8

Ketenagalistrikan memprogramkan untuk memperoleh ISO 9001 dibidang

desain dan telah berhasil memperoleh sertifikat tersebut dari Badan Sertifikasi

Internasional SGS-Yarsley International Certification Services Limited pada Juni

1997. Sertifikat ISO 9001 maka Perusahaan Listrik X Unit Bisnis dapat

disejajarkan dengan perusahaan-perusahaan konsultan terkemuka lainya dalam

bidang teknik ketenagalistrikan. Perusahaan Listrik X memberikan pelayanan

yang handal dan memuaskan pelanggan, mampu bersaing secara internasional

dengan selalu mengikuti perkembangan teknologi yang didukung oleh enjinir

yang profesional dan sistem manajeman mutu ISO 9001.

2.2.1 Visi dan Misi Perusahaan

Visi dan misi merupakan syarat wajib bagi sebuah perusahan atau

organisasi. Setiap perusahaan memiliki visi dan misi yang berbeda, semua

tergantung tujuan yang akan dicapai oleh masing-masing perusahaan. Biasanya

visi dan misi dibuat saat perusahaan sedang akan dibangun, karena visi dan misi

perusahaan menjadi landasan dasar bagi sebuah perusahaan.

2.2.1.1 Visi

Visi adalah sebuah pandangan tentang tujuan jangka panjang perusahaan

atau rencana yang akan dicapai oleh suatu perusahaan. Visi pada Perusahaan

Listrik X adalah menjadi perusahaan kelas dunia yang bertumbuh kembang,

unggul dan terpercaya dengan bertumpu pada potensi insani.

2.2.1.2 Misi

Misi adalah kegiatan atau aktivitas yang mengarahkan perusahaan pada

tujuan yang menjadi impian perusahaan tersebut. Pengertian lain dari misi adalah

kegiatan atau aktivitas yang dilakukan untuk mendukung perusahaan hingga

mencapai tujuannnya. Misi yang terdapat pada Perusahaan Listrik X untuk

mencapai visi perusahaan antara lain:

1. Menjalankan bisnis kelistrikan dan bidang lain yang terkait, berorientasi

pada kepuasan pelanggan, anggota perusahaan dan pemegang saham.

9

2. Menjadikan tenaga listrik sebagai media untuk meningkatkan kualitas

kehidupan masyarakat.

3. Mengupayakan agar tenaga listrik menjadi pendorong kegiatan ekonomi.

4. Menjalankan kegiatan usaha yang berwawasan lingkungan.

2.2.2 Struktur Organisasi Perusahaan

Struktur organisasi adalah susunan beberapa komponen dalam organisasi.

Struktur organisasi menunjukkan adanya pembagian kerja dan menunjukkan

bagaimana fungsi-fungsi atau kegiatan yang berbeda-beda kegiatan tersebut

diintegrasikan (koordinasi). Struktur organisasi juga menunjukkan spesialisasi-

spesialisasi pekerjaan, saluran perintah dan penyampaian laporan.

Gambar 2.1 Struktur Organisasi Perusahaan

Perusahaan Listrik X Wilayah Bali merupakan salah satu dari 35 unit

pelaksana (unit-unit usaha penyedia dan penunjang tenaga listrik) Perusahaan

Listrik Pusat. Perusahaan Listrik X Wilayah Bali dipimpin oleh seorang General

10

Manager yang bertanggung jawab langsung kepada Direksi. General Manager

pada Perusahaan Listrik X Wilayah Bali membawahi 6 bidang utama di kantor

distribusi yaitu Bidang Perencanaan, Bidang Distribusi, Bidang Niaga, Bidang

Keuangan, Bidang SDM dan Organisasi, serta Bidang Komunikasi Hukum dan

Administrasi.

General Manager juga membawahi secara langsung Manajer Area

Pelayanan Jaringan (APJ) yang tersebar pada 13 area APJ di wilayah Distribusi

Bali. Sistsem Informasi AMR langsung dibawah naungan Manajer Distrbusi dan

dilakukan langsung oleh Divisi Efisiensi Pengukuran & Mutu Distrbusi, mengenai

SI AMR akan dipaparkan pada poin selanjutnya.

2.2.3 Sistem Informasi Automatic Meter Reading (AMR)

Automatic Meter Reading adalah teknologi pencatatan meter elektronik

secara otomatis. Umumnya pembacaan dilakukan dari jarak jauh dengan

menggunakan media komunikasi. Data hasil pembacaan tersebut disimpan ke

dalam database dan dapat digunakan untuk melakukan analisa, transaksi serta

troubleshooting. Penyebab lain peralihan meter elektronik adalah meter elektronik

dilengkapi dengan fungsi dan modul komunikasi yang memungkinkan meter

terhubung ke sistem informasi, yang memanfaatkan teknologi basis data.

Awalnya, pembacaan meter dilakukan dengan menggunakan kabel (wired)

atau direct dialling/reading. Komputer terhubung ke meter dengan menggunakan

kabel komunikasi (RS-232 atau RS-485) atau optical probe jika pembacan

dilakukan di lapangan. Belakangan ini, banyak teknologi komunikasi yang dapat

digunakan oleh sistem AMR, seperti PSTN (telepon rumah), GSM, Gelombang

Radio, PLC (Power Line Carrier), dan LAN/WAN/WIFI untuk meter yang

sudah support TCP/IP.

Automatic Meter Reading (AMR) merupakan paradigma baru dalam hal

pembacaan, dan pengumpulan data pemakaian listrik pelanggan. Data tersebut

diukur oleh meter elektronik yang dilengkapi dengan modul komunikasi yang

dapat dibaca otomatis oleh server AMR (host) remote atau jarak jauh. Diperlukan

media transmisi untuk membuat data dari meter elektronik dapat sampai ke server

11

AMR, contohnya Power Line Communication (PLC), Telepon (PSTN), Radio

Frequency, GSM/GPRS Network, dan Internet Network (TCP/IP).

Gambar 2.2 Pusat Kendali (Server)

Data hasil pembacaan tersebut disimpan ke dalam database dan dapat

digunakan untuk melakukan analisa, transaksi serta troubleshooting. Teknologi ini

tentu saja dapat membantu perusahaan penyedia jasa elektrik untuk menekan

biaya operasional, serta menjadi nilai tambah kepada pelangganya dalam hal

penyediaan, ketepatan dan keakurasian data yang dibaca, dan tentu saja dapat

menguntungkan pengguna jasa tersebut. Beberapa fungsi penting yang dapat

dilakukan dengan menggunakan sistem AMR, diantaranya sebagai berikut:

1. Mengukur energi listrik yang digunakan secara jarak jauh

2. Mengetahui besaran tegangan, arus dan frekuensi di pelanggan

3. Mengetahui grafik beban atau arus atau tegangan, sehingga bisa memantau

energi listrik yang dipakai oleh pelanggan.

4. Menentukan batas tarif Luar Waktu Beban Puncak (LWBP) dan Waktu

Beban Puncak (WBP).

5. Mengetahui saluran phasa tegangan yang digunakan (RST).

Penggunaan AMR dipandang sudah memenuhi kebutuhan pelanggan dan

perusahaan. Namun semakin meningkatnya kebutuhan pasar maka semakin

meningkatnya gudang penyimpanan pembacaan meter pelanggan yang sulit

12

terpenuhi sehingga keamanan kerahasiaan data pelanggan tidak terstandarisasi

oleh perusahaan.

Gambar 2.3 Flowchart SI AMR

Prosedur pengembangan metodologi di ilustrasikan sebagai konsep

keseluruhan telah dipaparkan pada Gambar 2.3. Ini memberikan algoritma untuk

pemantauan keamanan SI AMR yang di distribusi kepada pelanggan. Membaca

data sistem dan menutup semua switch dasi dan melakukan aliran listrik, jika

sistem di bawah kondisi normal, menampilkan hijau cahaya, yang lain tampilan

lampu merah dan memberikan sinyal ke alarm dan buzzers, jika sistem memiliki

kelainan maka pelanggaran kendala keamanan seperti V dan I, melebihi atau

membatasi nilai-nilai akan ditentukan oleh output data smart meter.

Daftar keluar jumlah pelanggaran keamanan dan mengirim sinyal

prioritas. Sinyal prioritas yang diterima diperiksa untuk jenis pelanggaran

keamanan, dan kemudian menghitung pengaturan tegangan. Kondisi dilakukan

untuk pengaturan tegangan (VR) dalam batas yang dapat diterima (0 sampai 5%).

13

Batas disilangkan, maka pelanggaran keamanan digambarkan sebagai dua

cara. Salah satunya adalah beban puncak periode (VR 5%) dan lain waktu beban

puncak adalah off (VR 0%). Maka program harus menyadari sistem berada di

bawah kondisi normal dan harus menunjukkan sinyal lampu hijau, maka program

harus dihentikan. Proses penyambungan atau pemasangan kWh meter dalam

AMR menghadapi beberapa permasalahan dan kerawanan antara lain:

1. Masih terdapatnya penyambungan atau pemasangan kWh meter AMR

yang tidak sesuai dengan SOP karena petugas pelaksana penyambungan

tidak memahami cara melakukan pemasangan wiring kWh AMR jenis-

jenis baru.

2. Keberadaan signal GSM buruk sehingga pembacaan yang dilakukan pada

hari H terjadi kegagalan, untuk mengantisipasi hal tersebut pembacaan

harus dilakukan sebelum H (H-1), namun umumnya pelanggan AMR

adalah pelanggan potensial atau besar, selisih jam saja hal tersebut dapat

mengakibatkan losses non teknis pada perhitungan kWh bulan pada

berjalan.

3. Jika gagal baca AMR pada lebih dari satu pelanggan semnetara lokasi

pelanggan tersebar dan terbatasnya alat AMR maka pembacaan dilakukan

secara manual yang selanjutnya hasil pembacaan dimasukkan pada

aplikasi AMR secara manual, hal ini berpotensi terjadi kesalahan entri,

pendeknya waktu antara pembacaan dengan periode terbit rekening

pelanggan AMR merupakan kendala tersendiri karena pembacaan manual

tidak selalu berhasil (lokasi pelanggan tutup) sehingga memaksa

pemakaian kWh pelanggan dihitung secara rata-rata dengan melihat histori

pembacaan AMR terakhir yang terdapat pada server AMR.

4. Hasil transfer stand pembacaan AMR ke aplikasi AP2T masih dapat

dilakukan koreksi pada aplikasi AP2T sehingga terdapat potensi kesalahan

entri.

5. Hasil pembacaan di AMR yang terpasang pada pelanggan tarif tunggal

masih terinci dalam format LWBP dan WBP sementara dalam formula

aplikasi AP2T hanya mengenal LWBP sehingga harus dilakukan koreksi

14

dengan cara menjumlahkan hasil baca AMR LWBP dan WBP dimasukan

ke dalam LWBP.

2.3 Studi Literatur

Studi literatur adalah suatu pembahasan yang berdasarkan pada buku-buku

referensi yang bertujuan untuk memperkuat materi pembahasan sebagai dasar

untuk menggunakan rumus-rumus tertentu dalam menganalisis dan mendesain

suatu struktur. Studi literatur digunakan untuk memecahkan masalah yang ada,

baik untuk menganalisis faktor-faktor dan data pendukung maupun untuk

merencanakan konstruksi.

2.3.1 Sistem Informasi

Sistem berasal dari Bahasa Latin (systēma) dan Bahasa Yunani (sustēma)

merupakan suatu kesatuan yang terdiri dari komponen atau elemen yang

dihubungkan bersama untuk memudahkan aliran informasi, materi atau energi

untuk mencapai suatu tujuan. Istilah ini sering digunakan untuk menggambarkan

suatu set entitas yang berinteraksi, di mana suatu model matematika seringkali

bisa dibuat. Sistem juga merupakan kesatuan bagian-bagian yang saling

berhubungan yang berada dalam suatu wilayah serta memiliki bagian-bagian

penggerak, contoh umum misalnya seperti negara.

Sistem Informasi (SI) adalah kumpulan sumber daya dan jaringan prosedur

yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hirarkis

tertentu dan bertujuan untuk mengolah data menjadi informasi (Gondodiyoto,

2007). Berdasarkan definisi SI yang telah diuraikan, pemanfaatan sistem

informasi dalam bisnis dapat memberi manfaat (O’Brien, 1996) sebagai berikut:

1. Membantu operasional bisnis.

2. Membantu pengambilan keputusan manajemen.

3. Membantu penciptaan keunggulan kompetitif yang strategis.

SI dapat mempertemukan kebutuhan pengolahan transaksi harian,

mendukung operasi, mengatur, dan menyediakan pihak luar tertentu dengan

laporan-laporan yang diperlukan (Davis, G.B dalam Jogiyanto, 1989).

15

2.3.2 Keamanan Informasi

Keamanan informasi adalah penjagaan informasi dari seluruh ancaman

yang mungkin terjadi dalam upaya untuk memastikan atau menjamin

kelangsungan bisnis (business continuity), meminimalisasi risiko bisnis (reduce

business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan

peluang bisnis (ISO/IEC 27002, 2005). Contoh keamanan informasi menurut

Sarno dan Iffano (2009: 27) adalah sebagai berikut:

1. Physical Security adalah keamanan informasi yang memfokuskan pada

strategi untuk mengamankan individu atau anggota organisasi, aset fisik,

dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses

tanpa otorisasi, dan bencana alam.

2. Personal Security adalah keamanan informasi yang berhubungan dengan

keamanan personil. Biasanya saling berhubungan dengan ruang lingkup.

3. Operation Security adalah keamanan informasi yang membahas

bagaimana strategi suatu organisasi untuk mengamankan kemampuan

organisasi tersebut untuk beroperasi tanpa gangguan.

4. Communications Security adalah keamanan informasi yang bertujuan

untuk mengamankan media komunikasi, teknologi komunikasi, serta apa

yang ada didalamnya serta kemampuan dalam memanfaatkan media.

5. Network Security adalah keamanan informasi yang memfokuskan pada

bagaimana pengamanan peralatan jaringan, data organisasi, jaringan dan

isinya, serta kemampuan untuk menggunakan jaringan tersebut.

2.3.3 Balanced Scorecard

Balanced Scorecard (BSC) adalah Pengukuran kinerja perusahaan yang

modern dengan mempertimbangan empat perspektif (yang saling berhubungan)

yang merupakan penerjemahan strategi dan tujuan yang diingin dicapai oleh suatu

perusahaan dalam jangka panjang, yang kemudian diukur dan dimonitor

secara berkelanjutan. Balanced (berimbang) berarti adanya keseimbangan antara

performance keuangan dan non-keuangan, performance jangka pendek dan

16

performance jangka panjang, antara performance yang bersifat internal dan

performance yang bersifat eksternal.

Scorecard (kartu skor) yaitu kartu yang digunakan untuk mencatat skor

performance seseorang. Kartu skor juga dapat digunakan untuk merencanakan

skor yang hendak diwujudkan oleh seseorang di masa depan. Awal

penggunaannya kinerja eksekutif diukur hanya dari segi keuangan. Kemudian

berkembang menjadi luas yaitu empat perspektif, yang kemudian digunakan untuk

mengukur kinerja organisasi secara utuh. Adapun perspektif-perspektif yang ada

di dalam BSC pada poin berikut ini.

2.3.3.1 Perspektif Keuangan

BSC memakai tolak ukur kinerja keuangan seperti laba bersih dan ROI,

karena tolak ukur tersebut secara umum digunakan dalam perusahaan untuk

mengetahui laba. Balanced Scorecard adalah suatu metode pengukuran kinerja

yang di dalamnya ada keseimbangan antara keuangan dan non-keuangan untuk

mengarahkan kinerja perusahaan terhadap keberhasilan. BSC dapat menjelaskan

lebih lanjut tentang pencapaian visi yang berperan di dalam mewujudkan

pertambahan kekayaan tersebut (Mulyadi dan Johny Setyawan, 2000) sebagai

berikut:

1. Peningkatan customer yang puas sehingga meningkatkan laba (melalui

peningkatan revenue.

2. Peningkatan produktivitas dan komitmen karyawan sehingga

meningkatkanlaba (melalui peningkatan cost effectiveness).

3. Peningkatan kemampuan perasahaan untuk menghasilkan financial returns

dengan mengurangi modal yang digunakan atau melakukan investasi

daiam proyek yang menghasilkan return yang tinggi.

Menurut Kaplan dan Norton, siklus bisnis terbagi 3 tahap, yaitu:

bertumbuh (growth), bertahan (sustain), dan menuai (harvest), di mana setiap

tahap dalam siklus tersebut mempunyai tujuan fmansial yang berbeda. Tahap ini

diharapkan suatu bisnis memiliki produk baru yang dirasa sangat potensial bagi

bisnis tersebut. Untuk itu, maka pada tahap growth perlu dipertimbangkan

17

mengenai sumber daya untuk mengembangkan produk baru dan meningkatkan

layanan, membangun serta mengembangkan fasilitas yang menunjang produksi,

investasi pada sistem, infrastruktur dan jaringan distribusi yang akan mendukung

terbentuknya hubungan kerja secara menyeluruh dalam mengembangkan

hubungan yang baik dengan pelanggan.

Secara keseluruhan tujuan fmansial pada tahap ini adalah mengukur

persentase tingkat pertumbuhan pendapatan, dan tingkat pertumbuhan penjualan

di pasar sasaran. Tahap selanjutnya adalah sustain (bertahan), di mana pada tahap

ini timbul pertanyaan mengenai akan ditariknya investasi atau melakukan

investasi kembali dengan mempertimbangkan tingkat pengembalian yang mereka

investasikan. Tujuan finansial dari tahap ini adalah untuk untuk meningkatkan

aliran kas dan mengurangi aliran dana.

2.3.3.2 Perspektif Pelanggan

Dalam perspektif pelanggan, perusahaan perlu terlebih dahulu menentukan

segmen pasar dan pelanggan yang menjadi target bagi organisasi atau badan

usaha. Selanjutnya, manajer harus menentukan alat ukur yang terbaik untuk

mengukur kinerja dari tiap unit opetasi dalam upaya mencapai target finansialnya.

Selanjutnya apabila suatu unit bisnis ingin mencapai kinerja keuangan yang

superior dalam jangka panjang, mereka harus menciptakan dan menyajikan suatu

produk baru/jasa yang bernilai lebih baik kepada pelanggan mereka (Kaplan, dan

Norton, 1996).

Produk dikatakan bernilai apabila manfaat yang diterima produk lebih

tinggi daripada biaya perolehan (bila kinerja produk semakin mendekati atau

bahkan melebihi dari apa yang diharapkan dan dipersepsikan pelanggan).

Perusahaan terbatas untuk memuaskan potential customer sehingga perlu

melakukan segmentasi pasar untuk melayani dengan cara terbaik berdasarkan

kemampuan dan sumber daya yang ada. Ada 2 kelompok pengukuran dalam

perspektif pelanggan, yaitu:

1. Kelompok pengukuran inti (icore measurement group).

18

Kelompok pengukuran ini digunakan untuk mengukur bagaimana

perusahaan memenuhi kebutuhan pelanggan dalam mencapai kepuasan,

mempertahankan, memperoleh, dan merebut pangsa pasar yang telah

ditargetkan. Dalam kelompok pengukuran inti, kita mengenal lima tolak

ukur, yaitu: pangsa pasar, akuisisi pelanggan (perolehan pelanggan),

retensi pelanggan (pelanggan yang dipertahankan), kepuasan pelanggan,

dan profitabilitas pelanggan.

2. Kelompok pengukuran nilai pelanggan (customer value proposition).

Kelompok pengukuran ini digunakan untuk mengetahui bagaimana

perusahaan mengukur nilai pasar yang mereka kuasai dan pasar yang

potensial yang mungkin bisa mereka masuki. Kelompok pengukuran ini

juga dapat menggambarkan pemacu kinerja yang menyangkut apa yang

harus disajikan perusahaan untuk mencapai tingkat kepuasan, loyalitas,

retensi, dan akuisisi pelanggan yang tinggi. Kelompok pengukuran nilai

pelanggan terdiri dari:

a. Atribut produk/jasa, yang meliputi: fungsi, harga, dan kualitas produk.

b. Hubungan dengan pelanggan, yang meliputi: distribusi produk kepada

pelanggan, termasuk respon dari perusahaan, waktu pengiriman, serta

bagaimana perasaan pelanggan setelah membeli produk/jasa dari

perusahaan yang bersangkutan.

c. Citra dan reputasi, yang menggambarkan faktor intangible bagi

perusahaan untuk menarik pelanggan untuk berhubungan dengan

perusahaan, atau membeli produk.

2.3.3.3 Perspektif Proses Bisnis Internal

Perspektif proses bisnis internal menampilkan proses kritis yang

memungkinkan unit bisnis untuk memberi value proposition yang mampu

menarik dan mempertahankan pelanggannya di segmen pasar yang diinginkan dan

memuaskan harapan para pemegang saham melalui financial retums (Simon,

1999). Tiap-tiap perasahaan mempunyai seperangkat proses penciptaan nilai yang

19

unik bagi pelanggannya. Secara umum, Kaplan dan Norton (1996) membaginya

dalam 3 prinsip dasar, yaitu:

1. Proses inovasi.

Proses inovasi adalah bagian terpenting dalam keseluruhan proses

produksi. Di dalam proses inovasi itu sendiri terdiri atas dua komponen,

yaitu identifikasi keinginan pelanggan, dan melakukan proses perancangan

produk yang sesuai dengan keinginan pelanggan. Bila hasil inovasi dari

perusahaan tidak sesuai dengan keinginan pelanggan, maka produk tidak

akan mendapat tanggapan positif dari pelanggan, sehingga tidak memberi

tambahan pendapatan bagi perasahaan bahkan perasahaan haras

mengeluarkan biaya investasi pada proses penelitian dan pengembangan.

2. Proses operasi.

Proses operasi adalah aktivitas yang dilakukan perusahaan, mulai dari saat

penerimaan order dari pelanggan sampai produk dikirim ke pelanggan.

Proses operasi menekankan kepada penyampaian produk kepada

pelanggan secara efisien, dan tepat waktu. Proses ini, berdasarkan fakta

menjadi fokus utama dari sistem pengukuran kinerja sebagian besar

organisasi.

3. Pelayanan purna jual.

Adapun pelayanan purna jual yang dimaksud di sini, dapat berupa garansi,

penggantian untuk produk yang rusak, dll.

2.3.3.4 Perspektif Pembelajaran dan Pertumbuhan

Perspektif ini menyediakan infrastruktur bagi tercapainya ketiga perspektif

sebelumnya, dan untuk menghasilkan pertumbuhan dan perbaikan jangka panjang.

Penting bagi suatu badan usaha saat melakukan investasi tidak hanya pada

peralatan untuk menghasilkan produk/jasa, tetapi juga melakukan investasi pada

infrastruktur, yaitu: sumber daya manusia, sistem dan prosedur.

Tolak ukur kinerja keuangan, pelanggan, dan proses bisnis internal dapat

mengungkapkan kesenjangan yang besar antara kemampuan yang ada dari

manusia, sistem, dan prosedur. Untuk memperkecil kesenjangan itu, maka suatu

20

badan usaha harus melakukan investasi dalam bentuk reskilling karyawan, yaitu

meningkatkan kemampuan sistem dan teknologi informasi, serta menata ulang

prosedur yang ada. Pengetahuan tentang balanced scoecard membuka peluang

bagi perusahaan untuk memanfaatkan secara optimum alat manajemen tersebut

dalam melipatgandakan kinerja perusahaan.

2.3.4 Audit

Menurut Riyanto Sarno (2009) mendefinisikan istilah audit SI/TI sebagai

aktivitas pengumpulan dan pengevaluasian bukti untuk penentuan apakah proses

TI yang berlangsung dalam perusahaaan telah dikelola sesuai dengan standar dan

dilengkapi dengan objektif kontrol untuk mengawasi penggunaannya serta apakah

telah memenuhi tujuan bisnis secara efektif. Audit SI/TI dapat menekankan pada

penggunaan keterpaduan antara uji kepatutan maupun uji secara substantif yang

komposisi atau banyaknya digunakan secara seimbang sesuai dengan kondisi

proses yang di audit.

Hakekatnya audit sistem informasi juga perlu dilakukan untuk memeriksa

tingkat kematangan atau kesiapan organisasi dalam melakukan pengelolaan TI.

Audit ialah proses atau aktivitas yang sistematik, independen dan terdokumentasi

untuk menemukan suatu bukti audit (evidence) dan mengevaluasi secara objektif

untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang

ditetapkan. “Tujuan dari audit adalah untuk memberikan gambaran kondisi

tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan

terhadap sekumpulan standar yang terdefinisi” (ISACA, 2006).

2.3.4.1 Audit Sistem Informasi

Audit sistem informasi merupakan proses pengumpulan dan

pengevaluasian bukti-bukti untuk menentukan apakah sistem komputer yang

digunakan telah dapat melindungi aset milik organisasi, mampu menjaga

integritas data, memungkinkan tujuan organisasi untuk dicapai secara efektif, dan

menggunakan sumber daya yang efisien (Weber, 1999:10).

Audit sistem informasi sendiri merupakan gabungan dari beberapa ilmu,

antara lain tradisional audit, manajemen sistem informasi, sistem informasi

21

akuntansi, ilmu komputer dan ilmu perilaku (Weber, 1999:18). Menurut Weber

(1999:11-13) terdapat empat tujuan audit sistem informasi yaitu meningkatkan

keamanan aset-aset perusahaan, meningkatkan integritas data, meningkatkan

efektifitas sistem, dan meningkatkan efisiensi sistem.

2.3.4.2 Audit Keamanan Informasi

Sistem keamanan jaringan komputer yang terhubung di Internet harus

direncanakan dan dipahami dengan baik agar dapat melindungi investasi dan

sumber daya didalam jaringan komputer tersebut secara efektif. Mulai

mengamankan suatu jaringan komputer, harus ditentukan terlebih dahulu tingkat

ancaman (threat) yang harus diatasi, dan risiko yang harus diambil maupun yang

harus dihindari.

Gambar 2.1 Potensi Ancaman Kejahatan terhadap Sistem Informasi

(Sumber: 2004 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT®

Coordination Center)

Jaringan komputer harus dianalisis untuk mengetahui apa yang harus

diamankan, untuk apa diamankan, seberapa besar nilainya, dan siapa yang

bertanggung jawab terhadap data dan aset-aset lain di dalam jaringan komputer

tersebut. Hal-hal yang harus dimengerti dalam perencanaan kebijaksanaan (policy)

keamanan jaringan komputer adalah sebagai berikut:

1. Confidentiality (Kerahasiaan)

Beberapa jenis informasi yang tersedia didalam sebuah jaringan komputer

dari physical access. Data yang terdapat dalam suatu perusahaan bersifat

rahasia dan tidak boleh diketahui oleh pihak ketiga. Pengamanan bertujuan

untuk menjaga rahasia perusahaan dan strategi perusahaan.

22

2. Integrity (Integritas)

Integritas yang dimaksud mengacu pada jaringan komputer yang dapat

diandalkan dan harus terlindungi dari serangan (attacks). In-the-middle

merupakan jenis serangan yang dapat merubah integritas dari sebuah data

dimana penyerang (attacker) dapat membajak “session” atau

memanipulasi data yang terkirim, sehingga dapat merubah data selama

dalam proses persinggahan (transmit).

3. Availability (Ketersediaan).

Ketersediaan data atau layanan dapat dengan mudah dipantau oleh

pengguna dari sebuah layanan. Ketidaktersediaan dari sebuah layanan

(service) dapat menjadi sebuah halangan untuk maju bagi sebuah

perusahaan untuk maju dan bahkan dapat berdampak lebih buruk lagi.

4. Nonrepudiation

Tindakan yang dilakukan dalam sebuah sistem yang aman telah diawasi

(logged), ini dapat berarti penggunaan alat (tool) untuk melakukan

pengecekan sistem tidak dapat dipisahkan dari bagian keamanan “sistem”

karena apabila terjadi sebuah penyusupan atau serangan akan membantu

proses investigasi.

2.3.4.3 Tujuan Audit Keamanan

Tujuan audit keamanan sistem menurut Ron Weber (2013. 11-13) secara

garis besar dapat disimpulkan menjadi empat tahap antara lain:

1. Meningkatkan keamanan aset perusahaan. Aset informasi suatu

perusahaan seperti perangkat keras, perangkat lunak, sumber daya manusia

dan file data harus dijaga oleh suatu sistem pengendalian internal yang

baik agar tidak terjadi penyalagunaan aset perusahaan. Pengamanan

terhadap aset merupakan hal utama karena aset merupakan pusat dari

segala data.

2. Meningkatkan integritas data. Integritas data adalah salah satu konsep

dasar sistem informasi. Suatu perusahaan harus dapat menjaga dan

meningkatkan integritas data yang dimilikinya.

23

3. Meningkatkan efektivitas sistem. Efektivitas sistem informasi suatu

perusahaan memiliki peranan penting dalam suatu proses pengambilan

keputusan.

4. Meningkatkan efisiensi sistem. Efisiensi merupakan suatu hal yang sangat

penting ketika suatu komputer tidak lagi memiliki kapasitas yang

memadai. Perusahaan perlu meningkatkan efisiensi sistemnya dan sistem

pemrosesan data yang efisien terjadi bila menggunakan sumber data yang

minimal untuk menghasilkan output yang diperlukan.

2.3.5 Tahapan Audit Sistem Informasi

Menurut Hall (2007) audit sistem informasi berfokus pada berbagai aspek

berbasis komputer dalam sistem informasi perusahaan. Audit TI umumnya dibagi

ke dalam tiga tahap, yaitu perencanaan, pengujian pengendalian, dan pengujian

substantif. Berikut ini adalah penjelasan masing-masing tahapan audit TI.

1. Perencanaan Audit

Sebelum auditor dapat menentukan pengujian yang harus dilakukan,

auditor harus memperoleh pemahaman menyeluruh terhadap bisnis klien.

Pada tahap ini, auditor harus memahami kebijakan, praktik, dan struktur

perusahaan, kemudian auditor harus memahami pengendalian umum dan

pengendalian aplikasi yang ada dalam perusahaan. Selama proses ini

berlangsung auditor harus mengidentifikasi ancaman yang paling penting

dan pengendalian untuk mengurangi ancaman tersebut. Bagian utama dari

tahap audit ini adalah analisis risiko audit. Analisis risiko meliputi

gambaran umum pengendalian internal perusahaan. Teknik untuk

mengumpulkan bukti dalam tahap ini meliputi penyebaran kuisioner,

wawancara dengan pihak manajemen, pengkajian dokumentasi sistem, dan

observasi berbagai aktivitas.

2. Pengujian Pengendalian

Tujuan dari pengujian pengendalian adalah untuk menentukan apakah ada

pengendalian internal yang memadai dan berfungsi dengan baik. Auditor

dapat menggunakan teknik pengumpulan bukti dengan teknik manual dan

24

teknik audit komputer khusus yang menggunakan pendekatan berbasis

sistem untuk audit TI dengan berfokus pada pengendalian dan sistem

secara keseluruhan untuk mencapainya.

3. Pengujian Substantif

Tahap ketiga dalam proses audit difokuskan pada data keuangan.

Informasi yang dibutuhkan untuk melakukan uji substantif seperti saldo

akun serta nama dan alamat pelanggan terdapat dalam berbagai file data

yang sering kali harus diekstraksi menggunakan peranti lunak.

2.3.6 Pengendalian Audit

Pengendalian audit secara efektif yang mencakup lingkungan

pengendalian, penaksiran risiko, aktivitas pengendalian, informasi dan

komunikasi dan pengawasan akan mendorong dua aktivitas pengendalian yang

dipaparkan berikut ini:

2.3.6.1 Pengendalian Umum

Menurut Gonododiyoto (2007:301) pengendalian umum adalah sistem

pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan

komputerisasi sebuah organisasi menyeluruh. Ruang lingkup yang termasuk

dalam pengendalian umum adalah sebagai berikut:

1. Pengendalian top manajemen, dalam lingkup ini termasuk pengendalian

manajemen sistem informasi

2. Pengendalian manajemen pengembangan sistem, termasuk manajemen

program

3. Pengendalian manajemen sumber data, manajemen operasi, manajemen

keamanan dan manajemen jaminan kualitas

2.3.6.2 Pengendalian Aplikasi

Pengendalian khusus atau pengendalian aplikasi ialah kontrol internal

komputer yang berlaku khusus untuk aplikasi komputerisasi tertentu pada suatu

organisasi. Pengendalian aplikasi terdiri dari 6 pengendalian, yaitu:

1. Pengendalian Batasan (Boundary Control)

25

Pengendalian batasan merupakan jenis pengendalian yang didesain untuk

mengenal identitas dan otentik tidaknya user sistem dan untuk menjaga

agar sumber daya sistem informasi digunakan oleh user dengan cara yang

ditetapkan.

2. Pengendalian Masukan

Pengendalian masukan dirancang dengan tujuan untuk mendapat

keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas

dari kesalahan dan penyalahgunaan.

3. Pengendalian Proses

Tujuan pengendalian proses adalah untuk mencegah agar tidak terjadi

kesalahan-kesalahan selama proses pengolahan data

4. Pengendalian Keluaran (Output)

Pengendalian keluaran ini didesain agar output informasi disajikan secara

akurat, lengkap, muktahir, dan di distribusikan kepada orang-orang yang

berhak secara cepat dan tepat waktu.

5. Pengendalian Database

Pengendalian database merupakan jenis pengendalian intern yang didesain

untuk menjaga akses ke dalam database dan menjaga integritas dari data

tersebut.

6. Pengendalian Komunikasi Aplikasi

Pengendalian yang merupakan jenis pengendalian intern yang didesain

untuk menangani kesalahan selama proses transisi data dan untuk menjaga

keamanan dari data selama pengiriman informasi tersebut.

2.3.7 Audit Berbasis Risiko

Risk-based auditing merupakan identifikasi suatu risiko bisnis, semakin

tinggi risiko suatu area, semakin tinggi pula perhatian dalam audit area tersebut.

Audit harus memahami aspek pengendalian dari bisnis yang bersangkutan.

Pemahaman terhadap proses bisnis termasuk memahami risiko dan pengendalian

dari sistem dalam mencapai sasaran atau tujuan organisasi. Adapun perbedaan

26

dari audit berbasis risiko (risk-based auditing) dengan audit tradisional menurut

Amin Widjaja Tunggal, berdasarkan Tabel 2.2 berikut:

Tabel 2.2 Perbedaan audit tradisional dengan Risk based auditing

No

.

Perubahan/

Perbedaan

Pendekatan lama/Audit

tradisional

Pendekatan Baru/Risk-Based

Auditing

1. Audit

Universe

Lebih mengutamakan

area finansial dan

kepatuhan kepada

kebijakan dan prosedur

internal.

Semua aktivitas usaha, khususnya

yang mengandung risiko usaha

(business risk).

2. Tujuan Audit Lebih kepada

memastikan bahwa

pengendalian internal

bekerja secara efektif

dan perannya untuk

meningkatkan efisiensi

tanpa melihat

keberadannya untuk

mengendalikan risiko.

Lebih kepada memberikan kepastian

(assurance) bahwa risiko yang

diidentifikasi telah dikurangi ke

tingkat yang dapat diterima.

3. Rencana

Audit

Tahunan

Siklus audit ditetapkan

secara berkala dan

biasanya dilakukan

secara mendadak tanpa

memperhatikan tingkat

risiko.

Audit lebih diprioritaskan ke area

yang berisiko tinggi.

4. Tugas

Lapangan

Dilakukan berdasarkan

pada seperangkat

rencana kerja yang

mungkin tanpa tujuan

yang spesifik.

Tugas lapangan lebih kepada

memastikan bahwa perusahaan telah

mengidentifikasi, mengendalikan dan

memantau semua risiko yang ada

5. Pengujian Pengujian untuk

mengkonfirmasi

bekerjanya pengendalian

Masih tetap menggunakan teknik

pengujian yang sama, tetapi lebih

memastikan bahwa pengendalian

27

tanpa mengurutkan

menurut tingkat

kepentingannya dan

lebih mengarah kepada

penemuan kesalahan

walaupun tidak material

dengan akibat laporan

yang tebal.

utama (important risk control)

berfungsi dengan baik untuk

mengurangi risiko.

6. Pelaporan Lebih mengutamakan

penyimpangan yang

signifikan dengan tetap

merekam semua

penyimpangan yang

tidak material tetapi

jumlahnya banyak.

Lebih kepada memberikan keyakinan

bahwa semua risiko khususnya yang

utama telah dikelola secara baik, dan

melaporkan secara rinci risiko yang

tidak dikurangi dengan baik.

7. Rekomendasi Rekomendasi diberikan

dalam kaitan dengan

pengendalian agar

diperkuat,

memperhatikan cost

benefit, efisiensi dan

efektivitas.

Rekomendasi akan diberikan dalam

kaitan dengan manajemen risiko agar

risiko dihindari, diakhiri, ditransfer,

diterima dan dikelola.

Berdasarkan tabel di atas, maka dapat diketahui bahwa audit internal

manajemen yang basis risiko merupakan suatu kegiatan dimana audit yang secara

keseluruhan lebih mengutamakan aktivitas yang mengandung risiko. Audit

internal memastikan bahwa risiko yang diidentifikasi telah dikurangi ke tingkat

yang dapat diterima dan audit ini juga lebih diprioritaskan dalam mengendalikan

dan memantau semua risiko yang ada.

2.3.8 Dampak Risiko

Dampak dari risiko menurut The institute of Internal Auditors (1991) dapat

berupa poin-poin yang dijelaskan pada halaman selanjutnya.

28

1. Kesalahan pengambilan keputusan disebabkan karena informasi yang

tidak akurat, tidak tepat waktu, tidak lengkap, atau tidak dapat diandalkan.

2. Kesalahan pencatatan, akuntansi yang tidak memadai, penyimpangan

laporan keuangan, dan kerugian finansial.

3. Ketidakpuasan pelanggan, publisitas negatif, dan merusak reputasi

organisasi.

4. Kegagalan penerapan kebijakan organisasi, rencana, dan prosedur, atau

ketidakpatuhan terhadap hukum dan peraturan.

5. Menggunakan sumber daya yang tidak ekonomis atau pemakaiannya tidak

efisien atau tidak efektif.

6. Kegagalan pelaksanaan pencapaian sasaran dan tujuan operasional atau

program.

2.4 Framework Information Security Standard

Keamanan data atau informasi elektronik menjadi hal yang sangat penting

bagi perusahaan yang menggunakan fasilitas TI dan menempatkannya sebagai

infrastruktur penting. Data maupun informasi adalah aset bagi perusahaan

tersebut. Keamanan data atau informasi secara langsung maupun tidak langsung

dapat mempertahankan kelangsungan bisnis, mengurangi risiko, mengoptimalkan

return of investment dan bahkan memberikan peluang bisnis semakin besar.

Semakin banyak informasi perusahaan yang disimpan, dikelola dan

digunakan secara bersama, akan semakin besar pula risiko terjadinya kerusakan,

kehilangan atau tereksposnya data maupun informasi ke pihak lain yang tidak

berhak. Ancaman dan risiko yang ditimbulkan akibat kegiatan pengelolaan dan

pemeliharaan data atau informasi menjadi alasan disusunnya standar sistem

manajemen keamanan informasi yang salah satunya adalah COBIT 4.1 dan ISO

27002:2005.

2.4.1 Information Technology Infrastructure Library (ITIL)

ITIL adalah kerangka kerja manajemen layanan TI yang memberikan

panduan pada siklus hidup penuh mendefinisikan, mengembangkan, mengelola,

memberikan dan meningkatkan layanan TI.

29

Gambar 2.4 Logo Framework ITIL

Inti dari ITIL Service Lifecycle adalah Service Strategy. Service Strategy

memberikan panduan kepada pengimplementasi Information technology Service

Management (ITSM) pada bagaimana memandang konsep ITSM bukan hanya

sebagai sebuah kemampuan organisasi (dalam memberikan, mengelola serta

mengoperasikan layanan TI), tapi juga sebagai sebuah aset strategis perusahaan.

Proses-proses yang dicakup dalam Service Strategy, disamping topik-topik

di atas antara lain Service Portfolio Management, Financial Management,

Demand Management. Kerangka yang diberikan belum memberikan panduan

pengelolaan TI yang memebuhi kebutuhan di tingkat yang lebih tinggi di

perusahaan seperti pada kerangka kerja COBIT.

2.4.2 Committee of Sponsoring Organization of the Treadway Commission

(COSO)

COSO merupakan sebuah organisasi di Amerika yang berdedikasi dalam

meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol internal

dan corporate governance dan berikut logo pada COSO.

Gambar 2.5 Logo Framework COSO

Komite ini didirikan pada tahun 1985 untuk mempelajari faktor-faktor

yang menunjukkan ketidaksesuaian dalam laporan finansial. Tahun 90-an,

Pricewater house Couper bersama komite ini melakukan extensive study

mengenai kontrol internal, yang menghasilkan COSO framework yang digunakan

30

untuk mengevaluasi efektifitas kontrol internal suatu perusahaan. Sejak itu,

komunitas finansial global, termasuk badan-badan regulator seperti public

accounting dan internal audit professions, telah mengadopsi COSO. Hal ini juga

bernilai untuk perusahaan manapun yang ingin memastikan sistem kontrol

internalnya dengan menggunakan standar internasional.

2.4.3 COBIT

COBIT adalah kerangka kerja tata kelola TI dan toolset pendukung yang

memungkinkan manajer untuk menjembatani kesenjangan antara kebutuhan

kontrol, masalah teknis dan risiko bisnis. Menurut ISACA (2012:15), COBIT 4.1

merupakan generasi terbaru dari panduan ISACA yang membahas mengenai tata

kelola dan manajemen TI. COBIT 4.1 dibuat berdasarkan pengalaman

penggunaan COBIT selama lebih dari 15 tahun oleh banyak perusahaan dan

pengguna dari bidang bisnis, komunitas TI, risiko, asuransi, dan keamanan.

COBIT 4.1 dikembangkan untuk mengatasi kebutuhan-kebutuhan penting seperti:

1. Membantu stakeholder dalam menentukan apa yang mereka harapkan dari

informasi dan teknologi terkait seperti keuntungan apa, pada tingkat risiko

berapa, pada biaya berapa dan bagaimana prioritas mereka dalam

menjamin bahwa nilai tambah yang diharapkan benar-benar tersampaikan.

2. Membahas peningkatan ketergantungan kesuksesan perusahaan pada

perusahaan lain dan rekan TI, seperti outsource, pemasok, konsultan,

klien, cloud, penyedia layanan lain, serta pada beragam alat internal dan

mekanisme untuk memberikan nilai tambah yang diharapkan.

3. Mengatasi jumlah informasi yang meningkat secara signifikan. Bagaimana

perusahaan memilih informasi yang relevan dan kredibel yang akan

mengarahkan perusahaan kepada keputusan bisnis yang efektif dan efisien.

Informasi juga perlu untuk dikelola secara efektif dan model informasi

yang efektif.

4. Mengatasi teknologi informasi yang semakin meresap ke dalam

perusahaan. Seringkali TI yang terpisah tidak cukup memuaskan walaupun

sudah sejalan dengan bisnis. TI perlu menjadi bagian penting dari proyek

31

bisnis, struktur organisasi, manajemen risiko, kebijakan, kemampuan,

proses, dan sebagainya.

5. Menyediakan panduan lebih jauh dalam area inovasi dan teknologi baru.

Hal ini berkaitan dengan kreativitas, penemuan, pengembangan produk

baru, membuat produk saat ini lebih menarik bagi pelanggan, dan meraih

tipe pelanggan baru.

6. Mendukung perpaduan bisnis dan TI secara menyeluruh, dan mendukung

semua aspek yang mengarah pada tata kelola dan manajemen TI

perusahaan yang efektif, seperti struktur organisasi, kebijakan, dan budaya.

7. Mendapatkan kontrol yang lebih baik berkaitan dengan solusi TI.

8. Memberikan perusahaan:

a. Nilai tambah melalui penggunaan TI yang efektif dan inovatif.

b. Kepuasan pengguna dengan keterlibatan dan layanan TI yang baik.

c. Kesesuaian dengan peraturan, regulasi, persetujuan, dan kebijakan

internal.

d. Peningkatan hubungan antara kebutuhan bisnis dengan tujuan TI.

9. Menghubungkan dan bila relevan, menyesuaikan dengan framework dan

standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO, dan ISO.

Hal ini akan membantu stakeholder mengerti bagaimana kaitan berbagai

framework, berbagai standar antar yang satu dengan yang lain, dan

bagaimana mereka bisa digunakan bersama-sama.

Kerangka kerja COBIT mendefinisikan kegiatan TI dalam 34 model

proses dan mengelompokannya kedalam 4 domain, yaitu Plan and Organize,

Acquire and Implement, Deliver and Support, dan Monitor and Evaluate (ITGI,

2007) dapat dilihat pada Tabel 2.2 berikut.

Tabel 2.2 4 Domain dan Proses Kontrol pada COBIT

Domain Proses Kontrol

Plan and Organize (PO)

Domain ini mencakup strategi

taktis yang memberikan

PO1 Mendefinisikan Rencana Strategis TI

PO2 Mendefinisikan Arsitektur Informasi

PO3 Menentukan Arahan Teknologi

32

perhatian dalam

mengidentifikasi cara terbaik

TI untuk memberikan

kontribusi maksimal terhadap

pencapaian tujuan bisnis.

PO4 Mendefinisikan Proses TI, Organisasi

dan Keterhubungan

PO5 Mengelola Investasi TI

PO6 Mengkomunikasikan Tujuan dan Arahan

Manajemen

PO7 Mengelola SDM TI

PO8 Mengelola Kualitas

PO9 Menaksir dan Mengelola Risiko TI

PO10 Mengelola Proyek

Acquire and Implement (AI)

Dalam mewujudkan

pelaksanaan strategi TI yang

telah diterapkan, solusi TI

perlu diidentifikasi,

dikembangkan atau diperoleh,

serta diimplementasikan dan

terintegrasi kedalam proses

bisnis. Domain ini juga

melingkupi perubahan dan

pemeliharaan sistem yang ada

untuk memastikan solusi yang

memenuhi tujuan bisnis.

AI1 Mengidentifikasi Solusi Otomatis

AI2 Memperoleh dan Memelihara Software

Aplikasi

AI3 Memperoleh dan Memelihara

Infrastruktur Teknologi

AI4 Memungkinkan Operasional dan

Penggunaan

AI5 Memenuhi Sumber Daya TI

AI6 Mengelola Perubahan

AI7 Instalasi dan Akreditasi Solusi beserta

Perubahannya

Deliver and Support (DS)

Domain ini memberikan

perhatian terhadap proses

pelayanan TI dan dukungan

teknisnya yang meliputi

service delivery, manajemen

keamanan dan kontinuitas,

pelatihan dan pendidikan untuk

DS1 Mendefinisikan dan Mengelola Tingkat

Layanan

DS2 Mengelola Layanan Pihak Ketiga

DS3 Mengelola Kinerja dan Kapasitas

DS4 Memastikan Layanan yang

Berkelanjutan

DS5 Memastikan Keamanan Sistem

DS6 Mengidentifikasi dan Mengalokasikan

33

pengguna, dan manajemen data

dan operasional.

Biaya

DS7 Mendidik dan Melatih Pengguna

DS8 Mengelola Service Desk dan Insiden

DS9 Mengelola Konfigurasi

DS10 Mengelola Permasalahan

DS11 Mengelola Data

DS12 Mengelola Lingkungan Fisik

DS13 Mengelola Operasi

Monitor and Evaluate (ME)

Domain ini memberikan

perhatian terhadap proses

pengawasan pengelolaan TI

yang difokuskan pada masalah

kendali-kendali yang

diterapkan dalam organisasi,

pemeriksaan internal dan

eksternal

ME1 Mengawasi dan Mengevaluasi Kinerja

TI

ME2 Mengawasi dan Mengevaluasi Kontrol

Internal

ME3 Memastikan Pemenuhan terhadap

Kebutuhan Eksternal

ME4 Menyediakan Tata Kelola TI

Tujuan bisnis yang berfungsi secara efektif dan sesuai dengan kontrol

dapat ditunjang dengan keberadaan informasi yang berkualitas. Memenuhi tujuan

bisnis yang berfungsi secara efektif dan sesuai dengan kriteria kontrol tertentu

perlu ditunjang dengan keberadaan informasi yang berkualitas. COBIT 4.1 dalam

(ITGI, 2007) mendeskripsikan karakteristik informasi yang berkualitas dalam 7

aspek utama seperti terlihat pada Tabel 2.3.

Tabel 2.3 Kriteria Informasi COBIT 4.1

Effectiveness

(Efektifitas)

Informasi yang diberikan harus relevan dan berhubungan

dengan proses bisnis yang disampaikan secara tepat waktu,

benar, konsisten, dan dapat digunakan.

Efficiency

(Efisiensi)

Penyediaan informasi melalui penggunaan sumber daya

(yang paling produktif dan ekonomis) yang optimal.

Confidentiality Berkaitan dengan proteksi pada informasi penting dari

34

(Kerahasiaan) pihak-pihak yang tidak memiliki hak otorisasi/tidak

berwenang.

Integrity

(Integritas)

Berkaitan dengan keakuratan dan kelengkapan

data/informasi dan tingkat validitas yang sesuai dengan

ekspektasi dan nilai bisnis.

Availability

(Ketersediaan)

Fokus terhadap ketersediaan data/informasi ketika

diperlukan dalam proses bisnis, baik sekarang maupun di

masa yang akan datang. Hal ini juga terkait dengan

pengamanan atas sumber daya yang diperlukan dan terkait.

Compliance

(Kelincahan)

Pemenuhan data/informasi harus dapat di

pertanggungjawabkan yang sesuai dengan ketentuan

hukum, peraturan dan rencana perjanjian/kontrak untuk

proses bisnis.

Reliability

(Keakuratan)

Fokus pada penyediaan informasi yang tepat bagi

manajemen untuk mengoperasikan perusahaan dalam

pemenuhan kewajiban untuk pengambilan keputusan.

COBIT juga menyediakan keterkaitan yang jelas antara area tata kelola

TI, proses TI dan objektif kontrol TI, yang memastikan TI selaras dengan

kebutuhan bisnis perusahaan dengan mengelompokkan dua jenis dukungan

primer dan sekunder. Masing-masing proses TI tersebut juga di lengkapi dengan

control objective sehingga kerangka kerja COBIT menyediakan keterkaitan yang

jelas antara kebutuhan tata kelola TI, proses TI dan objektif kontrol TI. Berikut

Tabel 2.4 adalah proses TI pendukung tata kelola TI berdasarkan COBIT.

Tabel 2.4 Proses TI Pendukung Tata Kelola TI berdasarkan COBIT

Area Tata

Kelola TI

Proses-proses Pendukung

Primer Sekunder

Strategic

Alignment

PO1, PO2, PO6, PO7, PO8,

PO9, PO10, AI1, AI2, DS1,

ME3, ME4

PO3, PO4, PO5, AI4, AI7,

DS3, DS4, DS7, ME1

Value Delivery PO5, AI1, AI2, AI4, AI6,

AI7, DS1, DS2, DS4, DS7,

DS8, DS9, DS10, DS11,

PO2, PO3, PO8, PO10, AI5,

DS3, DS6, ME1

35

ME2, ME4

Resource

Management

PO2, PO3, PO4, PO7, AI3,

AI5, DS1, DS3, DS6, DS9,

DS11, DS13, ME4

PO1, PO5, PO10, AI1, AI4,

AI6, AI7, DS2, DS4, DS7,

DS12, ME1

Risk

Management

PO4, PO6, PO9, DS2, DS4,

DS5, DS11, DS12, ME2,

ME3, ME4

PO1, PO2, PO3, PO7, PO8,

PO10, AI1, AI2, AI4, AI7,

DS3, DS7, DS9, DS10,

ME1

Performance

Measurement

DS1, ME1, ME4 PO5, PO7, PO10, AI7, DS2,

DS3, DS4, DS6, DS8, DS10

(Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA : IT Governance Institute . Page

171)

2.4.4 ISO 27000 SERIES

ISO / IEC 27000 Series juga dikenal sebagai "ISMS Family of Standards"

atau singkatnya "ISO27K". ISO seri 27000 dari standar telah secara khusus

disediakan oleh ISO untuk urusan keamanan informasi. Seri ini memberikan

rekomendasi praktik terbaik untuk manajemen keamanan informasi, risiko dan

kontrol dalam konteks keseluruhan Sistem Manajemen Keamanan Informasi

(SMKI), serupa didesain untuk sistem manajemen untuk jaminan kualitas (ISO

seri 9000) dan perlindungan lingkungan (ISO 14000 series).

Gambar 2.6 Logo Framework ISO

ISO / IEC 27000 akan memberikan gambaran atau pengenalan standar

ISO27k secara keseluruhan ditambah kosa kata spesialis digunakan dalam

ISO27k. Pemaparan pada ISO 27000 series adalah sebagai berikut:

1. ISO / IEC 27001:2005 adalah persyaratan standar Sistem Manajemen

Keamanan Informasi (spesifikasi) terhadap yang lebih 4.600 organisasi

telah disertifikasi sesuai.

2. ISO / IEC 27002:2005 adalah kode dari manajemen keamanan informasi

yang menggambarkan seperangkat tujuan pengendalian keamanan

36

informasi dan satu set yang berlaku umum kontrol praktik keamanan yang

baik.

3. ISO / IEC 27004 akan menjadi standar pengukuran manajemen keamanan

informasi untuk membantu meningkatkan efektivitas ISMS Anda.

4. ISO / IEC 27005:2008 adalah standar manajemen risiko keamanan

informasi yang baru dirilis pada bulan Juni 2008.

5. ISO / IEC 27010 akan memberikan panduan tentang sector-to-sector

interworking dan komunikasi untuk industri dan pemerintah, mendukung

serangkaian petunjuk pelaksanaan ISMS sektor tertentu dimulai dengan

ISO / IEC 27011.

6. ISO / IEC 27032 akan pedoman untuk cyber security.

7. ISO / IEC 27034 akan memberikan pedoman untuk keamanan aplikasi.

8. ISO / IEC 27799, meskipun tidak secara ketat bagian dari ISO27k, akan

memberikan sektor kesehatan panduan implementasi ISMS tertentu.

2.4.5 ISO 27001:2005

ISO/IEC 27001:2005 secara resmi dipublikasikan pada Oktober 2005.

ISO 27001:2005 tidak hanya mencakup aspek teknologi informasi, standar ini

juga menjangkau seluruh proses bisnis termasuk pihak pendukung proses bisnis

tersebut, seperti pihak ketiga atau outsourcing. Standar ini memasukkan aspek

proses dan sumber daya manusia yang ada di organisasi.

ISO 27001:2005 merupakan dokumen standar ISMS yang memberikan

gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah

perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan

dan memelihara keamanan informasi di perusahaan berdasarkan ”best practice”

dalam pengamanan informasi. ISMS bukanlah produk melainkan suatu proses

yang dilakukan untuk penentuan bagaimana (how-to) mengelola (merencanakan,

mengimplementasikan, memonitor, memperbaiki dan mengembangkan)

informasi agar menjadi aman.

Membangun ISMS dengan menggunakan standar ISO/IEC 27001:2005

harus terlebih dahulu memahami struktur organisasi dari ISO/IEC 27001:2005.

37

Struktur organisasi ISO/IEC 27001:2005 dibagi 2 bagian yaitu:

1. Klausul: Mandatory Process

Klausul (pasal) adalah persyaratan yang harus dipenuhi jika organisasi

menerapkan ISMS dengan menggunakan standar ISO/IEC 27001.

2. Annex A: Security Control

Security control adalah dokumen referensi yang disediakan dan dapat

dijadikan rujukan untuk menentukan kontrol apa saja yang perlu di

implementasikan dalam ISMS.

Terdiri dari 11 klausul kontrol keamanan, 39 objektif kontrol dan 133

kontrol. Tabel 2.5 dapat dilihat ringkasan kontrol keamanan dalam ISO

27001:2005 dengan setiap klausulnya.

Tabel 2.5 Ringkasan Jumlah Klausul, Objektif Kontrol dan Kontrol Keamanan

Klausul Jumlah

Objektif Kontrol Kontrol

5 1 2

6 2 11

7 2 5

8 3 9

9 2 13

10 10 31

11 7 25

12 6 16

13 2 5

14 1 5

15 3 10

Jumlah: 11 Jumlah: 39 Jumlah: 133

Standar ISO/IEC 27001:2005 telah menyediakan model terkait bagaimana

mulai dari membangun, implementasi, operasional, memonitor, mengkaji ulang,

memelihara dan mengembangkan ISMS. Daftar kontrol yang dapat di

implementasikan sebagai bagian dari ISMS organisasi meliputi 11 domain

kontrol dan klausul, antara lain:

1. Security policy.

2. Organization of information security.

38

3. Asset management.

4. Human resources security.

5. Physical and environmental security.

6. Communications and operations management.

7. Access control.

8. Information system acquisition, development, and maintenance.

9. Information security incident management.

10. Business continuity management.

11. Compliance.

11 domain kontrol pada ISO/IEC 27001:2005 diterapkan menggunakan

standar penerapan ISMS atau standar ISO/IEC 27002:2005 yang merupakan

penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan sebagai

titik awal dalam penyusunan dan pengembangan ISMS.

2.4.6 ISO/IEC 27002:2005

Bagian ini akan dibahas secara garis besar setiap klausul yang merupakan

kontrol keamanan yang ada pada standar ISO/IEC 27002:2005 sesuai dengan

ISO/IEC (2011) seperti terlihat pada Tabel 2.6 berikut.

Tabel 2.6 Domain seperti Kontrol/Klausul ISO 27002:2005

Klausul 5. Kebijakan Keamanan

Bertujuan untuk memberikan arahan dan dukungan manajemen keamanan

informasi

5.1 Kebijakan Keamanan Informasi

5.1.1 Dokumen Kebijakan Keamanan Informasi

5.1.2 Review / Tinjauan Ulang Kebijakan Keamanan Informasi

Klausul 6. Organisasi Keamanan Informasi

Bertujuan untuk memudahkan pengelolaan SMKI pada suatu organisasi

6.1 Organisasi Internal Keamanan Informasi

6.1.1 Komitmen manajemen terhadap keamanan informasi

39

6.1.2 Koordinasi keamanan informasi

6.1.3 Pembagian tanggung jawab keamanan informasi

6.1.4

Proses otorisasi terhadap fasilitas-fasilitas pemrosesan informasi yang

ada di dalam organisasi

6.1.5 Perjanjian Kerahasiaan

6.1.6 Berhubungan dengan vendor atau penyedia ISMS yang resmi

6.1.7 Berhubungan dengan lembaga-lembaga khusus atau tertentu

6.1.8 Pengkajian ulang secara independen terhadap keamanan informasi

6.2 Pihak Eksternal

6.2.1 Identifikasi risiko terhadap hubungannya dengan pihak ketiga

6.2.2 Akses keamanan dalam hubungan dengan pihak pelanggan

6.2.3 Melibatkan persyaratan keamanan dalam perjanjian dengan pihak

ketiga

Klausul 7. Manajemen Aset

7.1 Tanggung Jawab terhadap aset

Semua aset informasi penting harus diperhitungkan keberadaannya dan

ditentukan kepemilikannya.

7.1.1 Inventarisasi terhadap aset

7.1.2 Kepemilikan aset

7.1.3 Aturan penggunaan aset

7.2 Klaifikasi Informasi

Untuk memastikan bahwa aset informasi memperoleh perlindungan yang

memadai

7.2.1 Panduan Klasifikasi

7.2.2 Penanganan dan pelabelan informasi

Klausul 8. Keamanan Sumber Daya Manusia (SDM)

8.1 Keamanan SDM Sebelum menjadi Pegawai

40

Sebelum menjadi pegawai suatu organisasi adalah penting untuk memastikan

bahwa pegawai, kontraktor dan pihak ketiga memahami akan tanggung jawab

mereka, dan bisa menjalankan aturan yang mereka dapatkan untuk

meminimalkan risiko pencurian atau kesalahan dalam penggunaan fasilitas

informasi.

8.1.1 Aturan dan tanggung jawab

8.1.2 Seleksi

8.1.3 Persyaratan dan kondisi yang harus dipenuhi oleh pegawai

8.2 Selama menjadi Pegawai

Untuk memastikan selama menjadi pegawai suatu organisasi pegawai,

kontraktor dan pihak ketiga memahami Keamanan Informasi yang telah

ditetapkan oleh organisasi untuk mengurangi terjadinya kesalahan kerja (human

error) dan risiko yang dihadapi oleh organisasi.

8.2.1 Tanggung jawab manajemen

8.2.2 Pendidikan dan pelatihan keamanan informasi

8.2.3 Proses kedisplinan

8.3 Pemberhentian atau Pemindahan Pegawai

Saat terjadi pemberhentian atau pemindahan pegawai dipastikan bahwa

pegawai, kontraktor dan pihak ketiga keluar dari organisasi atau pindah

kebagian lain dilakukan dengan cara yang benar dan memenuhi aturan

keamanan informasi yang telah diterapkan oleh organisasi.

8.3.1 Tanggung jawab pemberhentian

8.3.2 Pengembalian aset

8.3.3 Penghapusan hak akses

Klausul 9. Keamanan Fisik dan Lingkungan

9.1 Wilayah Aman

Bertujuan untuk mencegah akses tanpa otorisasi, kerusakan, dan gangguan

terhadap tempat dan informasi bisnis.

9.1.1 Pembatas keamanan fisik

41

9.1.2 Kontrol masuk fisik

9.1.3 Keamanan kantor, ruang, dan fasilitas

9.1.4 Perlindungan terhadap ancaman eksternal dan lingkungan sekitar

9.1.5 Bekerja di daerah aman

9.1.6 Akses publik, pengiriman, dan penurunan barang

9.2 Keamanan Peralatan

Bertujuan untuk mencegah kebocoran atau pencurian Informasi dan fasilitas

peralatan pemrosesan informasi.

9.2.1 Penempatan peralatan dan perlindungannya

9.2.2 Utilitas pendukung

9.2.3 Keamanan pengkabelan

9.2.4 Pemeliharaan peralatan

9.2.5 Keamanan peralatan di luar tempat yang tidak disyaratkan

9.2.6 Keamanan pembuangan atau pemanfaatan kembali peralatan

9.2.7 Hak pemindahan peralatan

Klausul 10. Manajemen Komunikasi dan Operasi

10.1 Prosedur dan Tanggung Jawab Operasioal

Untuk menjamin bahwa fasilitas pemrosesan Informasi berjalan dengn benar

dan aman, maka harus direncanakan dan ditetapkan tanggung jawab operasional

dan prosedur manajemen dan operasi seluruh fasilitas pemrosesan informasi.

10.1.1 Dokumentasi prosedur operasi

10.1.2 Manajemen Pertukaran

10.1.3 Pemisahan tugas

10.1.4 Pemisahan pengembangan, pengujian, dan operasional fasilitas

10.2 Manajemen Layanan Pengiriman oleh Pihak Ketiga

Bertujuan untuk mengimplementasikan dan memelihara level-level keamanan

informasi yang berhubungan dengan layanan pihak ketiga kepada organisasi.

10.2.1 Layanan pengiriman

10.2.2 Pemantauan dan pengkajian ulang terhadap layanan pihak ketiga

42

10.2.3 Manajemen penggantian layanan pihak ketiga

10.3 Perencanaan dan Penerimaan Sistem

Untuk meminimalisasi risiko kegagalan sistem dalam organisasi

10.3.1 Manajemen Kapasitas

10.3.2 Penerimaan Sistem

10.4 Perlindungan terhadap Malicious (Kode Berbahaya) dan Mobile Code

Bertujuan melindungi integritas perangkat luak dan informasi yang dimiliki

organisasi

10.4.1 Kontrol terhadap kode berbahaya

10.4.2 Kontrol terhadap mobile code

10.5 Back-up

Untuk menjaga keutuhan dan ketersediaan pemrosesan informasi dan layanan

komunikasi.

10.5.1 Back-up informasi

10.6 Manajemen Keamanan Jaringan

Untuk memastikan penjagaan informasi dalam jaringan dan perlindungan

terhadap infrastruktur pendukung

10.6.1 Kontrol Jaringan

10.6.2 Keamanan dalam layanan jaringan

10.7 Penanganan Media

Untuk mencegah kerusakan terhadap aset dan gangguan kegiatan bisnis.

10.7.1 Manajemen untuk media yang dapat dipindahkan

10.7.2 Pemusnahan atau pembuangan media

10.7.3 Prosedur penanganan informasi

10.7.4 Keamanan dokumentasi sistem

10.8 Pertukaran Informasi

Untuk menjaga kehilangan, modifikasi atau penyalahgunaan pertukaran

informasi antar organisasi, maka harus direncanakan kontrol atau pengaturan

pertukaran informasi dan piranti lunak antar organisasi dan harus sesuai dengan

peraturan yang relevan

43

10.8.1 Kebijakan dan prosedur pertukaran informasi

10.8.2 Perjanjian pertukaran

10.8.3 Transportasi media fisik

10.8.4 Pesan elektronik

10.8.5 Sistem informasi bisnis

10.9 Layanan E-Commerce

Bertujuan untuk memastikan layanan transaksi elektronik aman digunakan oleh

organisasi.

10.9.1 E-Commerce

10.9.2 Transaksi online

10.9.3 Informasi untuk publik

10.10 Monitoring

Untuk mendeteksi aktivitas pemrosesan informasi yang tidak legal

10.10.1 Rekaman audit

10.10.2 Monitoring penggunaan sistem

10.10.3 Proteksi catatan informasi

10.10.4 Catatan administrator dan operator

10.10.5 Catatan kesalahan

10.10.6 Sinkronisasi waktu

Klausul 11. Kontrol Akses

11.1 Persyaratan Kontrol Akses

Untuk mengontrol akses ke informasi

11.1.1 Kebijakan kontrol akses

11.2 Manajemen Akses User

Untuk me-manage akses user ke informasi

11.2.1 Registrasi pengguna

11.2.2 Manajemen hak istimewa dan khusus

11.2.3 Manajemen password user

11.2.4 Tinjauan hak akses pengguna

44

11.3 Tanggung Jawab User

Untuk mencegah akses pengguna tanpa ijin

11.3.1 Penggunaan password

11.3.2 Peralatan pengguna yang tidak terjaga

11.3.3 Kebijakan clear desk dan clear screen

11.4 Kontrol Akses Jaringan

Akses ke layanan jaringan baik internal maupun eksternal harus dikontrol

11.4.1 Kebijakan penggunaan layanan jaringan

11.4.2 Autentikasi pengguna untuk melakukan koneksi eksternal

11.4.3 Identifikasi peralatan di dalam jaringan

11.4.4 Perlindungan remote diagnostic dan konfigurasi port

11.4.5 Pemisahan dalam jaringan

11.4.6 Kontrol terhadap koneksi jaringan

11.4.7 Kontrol terhadap routing jaringan

11.5 Kontrol Akses Sistem Operasi

Untuk mencegah akses komputer tanpa ijin

11.5.1 Prosedur Log-On yang aman

11.5.2 Identifikasi dan autentikasi pengguna

11.5.3 Manajemen password

11.5.4 Penggunaan utilitas sistem

11.5.5 Sesi time-out

11.5.6 Batasan waktu koneksi

11.6 Kontrol Akses Informasi dan Aplikasi

Bertujuan untuk mencegah akses informasi ilegal yang terdapat dalam sistem-

sistem aplikasi.

11.6.1 Pembatasan akses informasi

11.6.2 Isolasi sistem yang sensitif

11.7 Komputasi bergerak dan bekerja dari tempat lain (teleworking)

Bertujuan untuk memastikan ISMS daat menggunakan komputer bergerak dan

fasilitas teleworking

45

11.7.1 Komunikasi dan komputerisasi yang bergerak

11.7.2 Teleworking

Klausul 12. Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan

12.1 Persyaratan Keamanan untuk Sistem Informasi

Memastikan bahwa keamanan dibangun dalam sistm informasi di organisasi

dan persyaratan ISMS yang mencakup infrastruktur, aplikasi bisnis dan aplikasi

yang dikembangkan pengguna harus sudah direncanakan.

12.1.1 Analisis dan spesifikasi persyaratan keamanan informasi

12.2 Pemrosesan yang benar dalam aplikasi

Untuk mencegah kehilanagan, modifikasi atau penyalahgunaan data pengguna

pada sistem aplikasi.

12.2.1 Validasi data input

12.2.2 Kontrol untuk pemrosesan internal

12.2.3 Integrasi pesan

12.2.4 Validasi data output

12.3 Kontrol Kriptografi

Untuk melindungi kerahasiaa, keaslian dan keutuhan informasi

12.3.1 Kebijakan dalam penggunaan kontrol kriptografi

12.3.2 Manajemen kunci

12.4 Keamanan File Sistem

Untuk memastikan bahwa proyek teknologi informasi dan kegiatan

pendukungnya dilakukan dengan cara yang aman, akses terhadap sistem file

haruslah terkendali.

12.4.1 Kontrol operasional software

12.4.2 Perlindungan data pengujian sistem

12.4.3 Kontrol akses ke sumber program

12.5 Keamanan dalam pengembangan dan proses-proses pendukung

Untuk menjaga keamanan dalam proses pengembangan piranti lunak sistem

aplikasi dan informasi.

46

12.5.1 Prosedur perubahan kontrol

12.5.2 Tinjauan teknis aplikasi setelah dilakukan perubahan sistem operasi

12.5.3 Pembatasan perubahan paket software

12.5.4 Kelemahan informasi

12.5.5 Pengembangan piranti lunak yang di outsource-kan

12.6 Manajemen Teknis Kelemahan (Vulnerablity)

Untuk mengurangi risiko organisasi dari kelemahan-kelemahan teknis yang

dimiliki oleh sistem informasi (vulnerablity) yang dimiliki.

12.6.1 Kontrol terhadap teknis kelemahan (Vulnerablity)

Klausul 13. Manajemen Kejadian Keamanan Informasi

13.1 Pelaporan Kejadian dan Kelemahan Keamanan Informasi

Bertujuan untuk mengurangi risiko yang disebabkan oleh terpublikasinya

teknik-teknik kelemahan (vulnerability) yang dimiliki

13.1.1 Pelaporan kejadian keamanan informasi

13.1.2 Pelaporan kelemahan keamanan

13.2 Manajemen kejadian Keamanan Informasi dan Pengembangannya

Bertujuan untuk memastikan konsistensi dan keefektifitasan pendekatan yang

diaplikasikan ke dalam manajemen kejadian keamanan informasi

13.2.1 Tanggung jawab dan prosedur

13.2.2 Belajar dari kejadian keamanan informasi

13.2.3 Pengumpulan bukti

Klausul A.14 Manajemen Kelangsungan Bisnis

14.1 Aspek keamanan informasi dalam manajemen kelangsungan bisnis

Bertujuan untuk menghadapi kemungkinan penghentian kegiatan usaha dan

melindungi proses usaha yang kritis dari akibat kegagalan atau bencana

14.1.1 Memasukkan keamanan informasi dalam proses manajemen

kelangsungan bisnis

14.1.2 Kelangsungan bisnis dan penilaian risiko

47

14.1.3 Pembangunan dan implementasi rencana kelangsungan yang di

dalamnya meliputi keamanan informasi

14.1.4 Kerangka kerja rencana kelangsungan bisnis

14.1.5 Pengujian, pemeliharaan dan pengkajian ulang rencana kelangsungan

bisnis

Klausul A.15 Kepatuhan

15.1 Kepatuhan terhadap Persyaratan Legal Hukum

Untuk menghindari pelanggaran terhadap hukum pidanan maupun hukum

perdata, perundangan, peraturan atau kewajiban kontrak serta ketentuan

keamanan lainnya.

15.1.1 Identifikasi perundangan yang dapat di aplikasikan

15.1.2 Hak Kekayaan Intelektual (HKI)

15.1.3 Perlindungan dokumen organisasi

15.1.4 Perlindungan data dan kerahasiaan informasi personal

15.1.5 Pencegahan penyalahgunaan fasilitas pemrosesan informasi

15.1.6 Peraturan kontrol kriptografi

15.2 Kepatuhan Kebijakan Keamanan, Standar dan Kepatuhan Teknik

Bertujuan untuk memastikan kesesuaian

15.2.1 Kepatuhan dengan kebijakan keamanan dan standar

15.2.2 Pemeriksaan kepatuhan teknik

15.3 Audit Sistem Informasi

Bertujuan untuk memaksimalkan efektivitas dan untuk meminimalisir gangguan

dari atau ke pemeriksaan Sistem Informasi

15.3.1 Kontrol audit sistem informasi

15.3.2 Perlindungan terhadap perangkat audit sistem informasi

Domain berdasarkan klausul ISO 27001:2005 yang membantu dalam

proses pemetaan dalam kebutuhan dan proses bisnis perusahaan.

48

2.5 Mapping/Pemetaan ISO 27002:2005 dengan COBIT 4.1

Mapping atau pemetaan dilakukan atas dasar untuk mengetahui

perbandingan antar setiap proses pada standar framework keamanan informasi.

Standar framework ini memiliki bagian-bagian proses yang lebih rinci dan

mendalam dibanding yang lainnya, sehingga melalui pemetaan juga dapat saing

melengkapi antar framework yang ingin digunakan. Framework COBIT

digunakan sebagai standar dalam menentukan business dan IT goals serta

penghitungan tingkat kematangan/maturity level.

Tabel 2.7 Gambaran Kualitatif Cakupan ISO 27002:2005 pada COBIT 4.1

High-level Mapping ISO 27002:2005 with COBIT 4.1

Proses dan Domain COBIT 4.1

1 2 3 4 5 6 7 8 9 10 11 12 13

PO - o o + - + + - + - \ \ \

AI o o o - - o o \ \ \ \ \ \

DS - o - + + - - o o - + + O

ME - + + - \ \ \ \ \ \ \ \ \ (Sumber: ITGI, 2005)

Keterangan:

(+) Kecocokan signifikan (lebih dari 30 persyaratan yang dipetakan pada sebuah

proses COBIT 4.1)

(o) Kecocokan lebih kecil (antara 15 sampai 29 persyaratan yang dipetakan)

(-) Fokus yang tidak terkait (kurang dari 15 persyaratan yang dipetakan)

(\) Tidak ada proses COBIT 4.1

Tabel 2.7 menunjukkan bahwa ISO/IEC 27002:2005 melakukan hampir

66 persen (65,4%) dari proses pada seluruh domain COBIT 4.1. Hal ini

menunjukkan ISO/IEC 27002:2005 mempunyai spektrum luas dalam pengelolaan

TI sebagaimana halnya COBIT 4.1, namun ISO/IEC 27002:2005 tidak sedalam

COBIT 4.1 dalam hal detail proses-proses yang dilakukan dalam domain-domain

tersebut, namun memiliki fokus lebih mendalam terhadap keamanan. Tabel 2.8

adalah high-level mapping dari ISO/IEC 27002:2005 dengan COBIT 4.1.

Tabel 2.8 High-level Mapping ISO/IEC 27002:2005 dengan COBIT 4.1

Domain COBIT ISO/IEC 27002:2005

Plan and Organize (PO)

49

PO1 -

PO2 7.1, 7.2, 10.7, 10.8, 11.1

PO3 5.1, 6.1, 10.3, 10.8, 11.7, 14.1

PO4 6.1, 6.2, 7.1, 8.1, 8.2, 9.1, 9.2, 10.1, 10.6, 15.1, 15.2

PO5 5.1, 13.2

PO6 5.1, 6.1, 6.2, 7.1, 8.1, 8.2, 8.3, 9.1, 9.2, 10.7, 10.8, 10.9,

11.1, 11.3, 11.7, 12.3, 13.2, 15.1, 15.2

PO7 8.1, 8.2, 8.3

PO8 6.1, 6.2, 12.5

PO9 5.1,13.1, 14.1

PO10 -

Acquire and Implement (AI)

AI1 6.1, 8.2, 10.1, 10.3, 11.6, 12.1

AI2 6.1, 7.2, 10.3, 10.10, 11.6, 12.1, 12.2, 12.3, 12.4, 12.5,

13.2, 15.3

AI3 9.1, 9.2, 10.1, 12.1, 12.4, 12.5, 12.6

AI4 10.1, 10.3, 10.7, 13.2

AI5 6.1, 6.2 10.8, 12.5

AI6 10.1, 11.5, 12.5, 12.6

AI7 6.1, 8.2, 9.1, 10.1, 10.3, 12.4, 12.5

Deliver and Support (DS)

DS1 10.2

DS2 6.2, 8.1, 10.2, 10.8, 12.4, 12.5, 15.1

DS3 10.3

DS4 6.1, 10.5, 14.1

DS5 5.1, 6.1, 6.2, 8.1, 8.2, 8.3, 9.1, 9.2, 10.1, 10.4, 10.6, 10.7,

10.8, 10.9, 10.10, 11.1, 11.2, 11.3, 11.4, 11.5, 11.6, 11.7,

12.2, 12.3, 12.4, 12.6, 13.1, 13.2, 15.1, 15.2, 15.3

DS6 -

DS7 8.2

DS8 13.1, 13.2, 14.1

DS9 7.1, 7.2, 10.7, 11.4, 12.4, 12.5, 12.6, 15.1

DS10 13.2

DS11 9.2, 10.5, 10.7, 10.8, 12.4, 15.1

DS12 6.2, 9.1, 9.2

DS13 9.2, 10.1, 10.7

Monitor and Evaluate (ME)

ME1 10.10

ME2 5.1, 6.1, 6.2, 10.2, 10.10, 15.2, 15.3

50

ME3 6.1, 15.1, 15.2

ME4 5.1, 6.1, 10.10

(Sumber: ITGI, 2005)

2.6 Maturity Level

Mekanisme IT Governance dapat berjalan secara efektif dan sejalan

dengan strategi bisnis yang telah ditetapkan, diperlukan suatu pengembangan

teknologi informasi yang terukur dengan baik dan memiliki tahapan kematangan

tertentu. Nilai level kematangan apabila digunakan, maka sebuah perusahaan atau

organisasi dapat mengukur posisi kematangannya dalam pengembangan teknologi

informasi serta menentukan prioritas perbaikan dan peningkatan sampai pada

tingkat tertinggi agar aspek IT Governance dapat berjalan secara efektif dan

sejalan dengan strategi bisnis yang telah ditetapkan (Pederiva, 2003 dan

Tanuwijaya dan Sarno, 2010). Tujuan pengukuran nilai maturity level dijelaskan

pada poin selanjutnya seperti dibawah ini:

1. Menumbuhkan kepedulian (awareness).

2. Melakukan identifikasi kelemahan (weakness).

3. Melakukan identifikasi kebutuhan perbaikan (improvement).

Teknik pengukuran dalam maturity level menggunakan beberapa

pernyataan dimana setiap pernyataan dapat dinilai tingkat kepatutannya dengan

menggunakan standar penilaian.

2.6.1 System Security Engineering Capability Maturity Model (SSE-CMM)

SSE-CMM versi 3 adalah versi terbaru dan dikembangkan pada Juni 2003.

Model SSE-CMM berasal dari Software Enginering Institute CMM (SW-CMM)

dan System Engineering (SE-CMM). SSE-CMM adalah Capability Maturity

Model (CMM) untuk System Security Engineering (SSE). CMM adalah kerangka

untuk mengembangkan proses, seperti proses teknis baik formal maupun

informal. SSE-CMM sebagai pengukuran kematangan terdiri dari dua bagian

dipaparkan poin berikut ini antara lain:

1. Model untuk teknik keamanan proses, proyek dan organisasi, dan

2. Metode penilaian untuk mengetahui kematangan proses.

51

Metode penilaian SSE-CMM dengan tingkat kematangan digunakan untuk

menilai kematangan proses tetapi bukan kualitas output. SSE-CMM dapat

diterapkan dalam tiga cara, yaitu:

1. Peningkatan proses, yang dipenuhi dengan mencapai tingkat kemampuan

yang lebih tinggi.

2. Tingkat kemampuan, dimana konsumen yang mencari tingkat kemampuan

dari organisasi untuk menyediakan konsumen dengan produk atau jasa

yang sesuai dipenuhi dengan evaluasi kemampuan.

3. Garansi, dipenuhi dengan menyediakan bukti bahwa proses telah

mencapai kematangan yang ditentukan.

SSE-CMM mempunyai lima tingkat kemampuan untuk menunjukkan

tingkat kematangan proses seperti pada Gambar 2.6.

0

Tidak

Dilakukan

1

Dilakukan

Informal

2

Planned &

Tracked

3

Didefinisikan

dengan Baik

4

Dikendalikan

Scr Kuantitatif

5

Di tingkatkan

Terus-menerus

Best

Practice

Berkomitmen

merencanakan

Dicipline

Tracking

Verification

Definisikan

proses standar

menggunakan

data;

Menjalankan

proses yang

sudah di

definisika

n

Menentukan

tujuan kualitas;

Menentukan

kapabilitas

proses yang

dituju;

Mengelola

kinerja dengan

objektif

Menentukan

tujuan

efektifitas

proses

kuantitatif;

Meningkatkan

efektifitas

proses

Gambar 2.6 Tingkat Kemampuan dari Kematangan SSE-CMM

Tingkat 0 menandakan tidak semua praktik dasar dilakukan. Tingkat 1

menandakan semua praktik dasar dilakukan namun secara informal. Informal

berarti tidak ada dokumentasi, tidak ada standar dan secara terpisah-pisah. Semua

praktik dasar dalam area proses harus dilakukan agar dapat dianggap

diimplementasi oleh organisasi.

52

Proses pada tingkat 1 umumnya hanya dilakukan pada satu proyek. Ketika

proses mencapai tingkat yang lebih tinggi, proses mulai didokumentasi,

dimonitor, dilacak dan dilaksanakan pada seluruh organisasi. Tingkat 1 dan 2

berhubungan pada proyek tertentu, sedangkan tingkat 3 sampai 5 berhubungan

dengan praktik seluruh organisasi. Semua fitur umum pada tingkat kemampuan

harus dipenuhi sebelum tingkat kemampuan dicapai. Cara kerja metode SSE-

CMM sendiri dengan memberikan skor penilaian pada setiap area proses yang

dipilih dengan kisaran 0 sampai 5 untuk setiap area proses.

2.6.2 Pembobotan

Penilaian terhadap setiap pernyataan kontrol yang telah ditentukan perlu

diberikan bobot sesuai dengan panduan implementasi ISMS. Pembobotan yang

digunakan mengadopsi dari penilaian risiko. Menurut Sarno dan Iffano (2009:89)

dalam hubungannya dengan ISMS, risiko adalah dampak yang ditimbulkan atas

terjadinya sesuatu yang mengancam keamanan informasi di organisasi, yang

dimaksud adalah ancaman terhadap aspek keamanan informasi yaitu CIA

(Confidentiality, Integrity, Availability).

Setiap pernyataan akan diberikan bobot sesuai dengan nilai risiko yang

akan terjadi apabila tidak diterapkan. Metode kualitatif digunakan untuk

menghitung nilai risiko yang ditentukan dengan range sebagai berikut.

1. Low Risk (Risiko yang diterima kecil)

2. Medium Risk (Risiko yang diterima sedang)

3. High Risk (Risiko yang diterima tinggi)

Dengan nilai rerata probabilitasnya antara lain: Low (0,1 – 0,3), Medium

(0,4 – 0,6) dan High (0,7 – 1,0).