Upload
doandiep
View
227
Download
0
Embed Size (px)
Citation preview
6
BAB II
TINJAUAN PUSTAKA
Bab ini akan membahas latar belakang penggunaan SI Automatic Meter
Reading di Perusahaan Listrik X, landasan teori dari proses audit, tahapan-tahapan
proses pelaksanaan audit dengan menggunakan framewok COBIT 4.1 dan ISO
27002:2005 sebagai standar keamanan dan pedoman yang digunakan dalam
penilaian kinerja di Perusahaan Listrik X Wilayah Bali.
2.1 State of the Art
State of the art ini diambil dari beberapa contoh penelitian terdahulu
sebagai panduan ataupun contoh untuk penelitian yang akan dilakukan. Contoh
yang diambil berupa jurnal-jurnal mengenai pelaksanaan audit terhadap keamanan
sistem informasi. Berikut adalah contoh-contoh jurnal yang didapatkan dari
berbagai sumber di internet.
1. Jurnal “Pembuatan Perangkat Audit Internal TI Berbasis Risiko
menggunakan ISO/IEC 27002:2007 pada Proses Pengelolaan Data Studi
Kasus Digital Library ITS” karya Mochammad Arief Ramadhana dari ITS.
Penulis menggunakan standar ISO 27002 dalam pembuatan perangkat
audit yang berfungsi sebagai perangkat untuk melakukan pemeriksaan
rutin terhadap sistem sesuai dengan klausul yang telah ditentukan sehingga
risiko yang terjadi dapat teratasi.
2. Jurnal milik Merliana Halim, Haryanto Tanuwijaya, dan Ignatius Adrian
Mastan dengan judul “Audit Keamanan Sistem Informasi Berdasarkan
Standar ISO 27002 (Studi Kasus: PT. Aneka Jaya Baut Sejahtera)” Jurusan
Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik
Komputer Surabaya menjelaskan pengguanaan ISO 27002 menjadi lebih
terarah dan dapat dikondisikan sesuai proses bisnis perusahaan.
3. Judul “Indeks Penilaian Kematangan (Maturity) Manajemen Keamanan
Layanan TI oleh Farroh Sakinah, Bambang Setiawan dari Jurusan Sistem
Informasi, ITS. Penulis menyimpulkan kombinasi antara metodologi
7
manajemen TI menggunakan ITIL, COBIT dan ISO / IEC 27002 akan
memberikan hasil yang lebih komprehensif dan efisien. Indeks penilaian
yang dibuat memiliki fitur yang dikhususkan untuk organisasi
penyelenggara layanan publik, terutama di perguruan tinggi sehingga
fitur/pertanyaan yang ada di dalam indeks lebih bersifat khusus.
4. Judul “Analisis Keamanan dan Integritas Sistem Informasi Akuntansi
Bank DKI Pada DBMS AS/400 dengan Basis Pengukuran COBIT 4.1 oleh
Akhmad Zaki Al-Safi. Penulis menyimpulkan manajemen keamanan dan
pengendalian internal sistem informasi akuntansi di Bank DKI secara
umum telah berjalan baik, walaupun masih ditemukan kekurangan dan
kelemahan yang merupakan indikator tidak adanya peningkatan proses
pengendalian aplikasi dan keamanan sistem informasi akuntansi.
Berdasarkan jurnal-jurnal yang telah dipaparkan diatas dapat disimpulkan,
bahwa standar ISO 27002 digunakan dalam audit terhadap keamanan sistem
informasi. Penelitian ini juga akan menggunakan metode-metode yang sama
dengan metode yang dipakai dari jurnal-jurnal terdahulu, namun sedikit berbeda
dengan menggunakan kombinasi dari penelitian yang ada pada state of the art.
2.2 Latar Belakang Perusahaan
Organisasi Perusahaan Listrik X dibentuk dengan Surat Keputusan Direksi
Perusahaan Listrik X Nomor 195.K/DIR/2010, Tanggal 14 April 2010
merupakan pengembangan dari Perusahaan Listrik X Jasa Keteknikan yang
dibentuk berdasarkan SK. Direksi No. 029.K/025/DIR/1996, Tanggal 12 Maret
1996 dimana Perusahaan Listrik X JE sebelumnya merupakan pengembangan dari
Perusahaan Listrik X PPE (Pusat Pelayanan Teknik) yang dibentuk berdasarkan
SK. Direksi No. 085/DIR/85 Tanggal 10 Mei 1985 dimana secara operasional
sejak bulan Maret 1988 berperan sebagai in-house consultant untuk Perusahaan
Listrik X. Kantor yang bergerak dibidang perencanaan, Perusahaan Listrik X
sebagai pusat teknik ketenagalistrikan merasa perlu untuk memperoleh suatu
pengakuan akan kemampuannya.
8
Ketenagalistrikan memprogramkan untuk memperoleh ISO 9001 dibidang
desain dan telah berhasil memperoleh sertifikat tersebut dari Badan Sertifikasi
Internasional SGS-Yarsley International Certification Services Limited pada Juni
1997. Sertifikat ISO 9001 maka Perusahaan Listrik X Unit Bisnis dapat
disejajarkan dengan perusahaan-perusahaan konsultan terkemuka lainya dalam
bidang teknik ketenagalistrikan. Perusahaan Listrik X memberikan pelayanan
yang handal dan memuaskan pelanggan, mampu bersaing secara internasional
dengan selalu mengikuti perkembangan teknologi yang didukung oleh enjinir
yang profesional dan sistem manajeman mutu ISO 9001.
2.2.1 Visi dan Misi Perusahaan
Visi dan misi merupakan syarat wajib bagi sebuah perusahan atau
organisasi. Setiap perusahaan memiliki visi dan misi yang berbeda, semua
tergantung tujuan yang akan dicapai oleh masing-masing perusahaan. Biasanya
visi dan misi dibuat saat perusahaan sedang akan dibangun, karena visi dan misi
perusahaan menjadi landasan dasar bagi sebuah perusahaan.
2.2.1.1 Visi
Visi adalah sebuah pandangan tentang tujuan jangka panjang perusahaan
atau rencana yang akan dicapai oleh suatu perusahaan. Visi pada Perusahaan
Listrik X adalah menjadi perusahaan kelas dunia yang bertumbuh kembang,
unggul dan terpercaya dengan bertumpu pada potensi insani.
2.2.1.2 Misi
Misi adalah kegiatan atau aktivitas yang mengarahkan perusahaan pada
tujuan yang menjadi impian perusahaan tersebut. Pengertian lain dari misi adalah
kegiatan atau aktivitas yang dilakukan untuk mendukung perusahaan hingga
mencapai tujuannnya. Misi yang terdapat pada Perusahaan Listrik X untuk
mencapai visi perusahaan antara lain:
1. Menjalankan bisnis kelistrikan dan bidang lain yang terkait, berorientasi
pada kepuasan pelanggan, anggota perusahaan dan pemegang saham.
9
2. Menjadikan tenaga listrik sebagai media untuk meningkatkan kualitas
kehidupan masyarakat.
3. Mengupayakan agar tenaga listrik menjadi pendorong kegiatan ekonomi.
4. Menjalankan kegiatan usaha yang berwawasan lingkungan.
2.2.2 Struktur Organisasi Perusahaan
Struktur organisasi adalah susunan beberapa komponen dalam organisasi.
Struktur organisasi menunjukkan adanya pembagian kerja dan menunjukkan
bagaimana fungsi-fungsi atau kegiatan yang berbeda-beda kegiatan tersebut
diintegrasikan (koordinasi). Struktur organisasi juga menunjukkan spesialisasi-
spesialisasi pekerjaan, saluran perintah dan penyampaian laporan.
Gambar 2.1 Struktur Organisasi Perusahaan
Perusahaan Listrik X Wilayah Bali merupakan salah satu dari 35 unit
pelaksana (unit-unit usaha penyedia dan penunjang tenaga listrik) Perusahaan
Listrik Pusat. Perusahaan Listrik X Wilayah Bali dipimpin oleh seorang General
10
Manager yang bertanggung jawab langsung kepada Direksi. General Manager
pada Perusahaan Listrik X Wilayah Bali membawahi 6 bidang utama di kantor
distribusi yaitu Bidang Perencanaan, Bidang Distribusi, Bidang Niaga, Bidang
Keuangan, Bidang SDM dan Organisasi, serta Bidang Komunikasi Hukum dan
Administrasi.
General Manager juga membawahi secara langsung Manajer Area
Pelayanan Jaringan (APJ) yang tersebar pada 13 area APJ di wilayah Distribusi
Bali. Sistsem Informasi AMR langsung dibawah naungan Manajer Distrbusi dan
dilakukan langsung oleh Divisi Efisiensi Pengukuran & Mutu Distrbusi, mengenai
SI AMR akan dipaparkan pada poin selanjutnya.
2.2.3 Sistem Informasi Automatic Meter Reading (AMR)
Automatic Meter Reading adalah teknologi pencatatan meter elektronik
secara otomatis. Umumnya pembacaan dilakukan dari jarak jauh dengan
menggunakan media komunikasi. Data hasil pembacaan tersebut disimpan ke
dalam database dan dapat digunakan untuk melakukan analisa, transaksi serta
troubleshooting. Penyebab lain peralihan meter elektronik adalah meter elektronik
dilengkapi dengan fungsi dan modul komunikasi yang memungkinkan meter
terhubung ke sistem informasi, yang memanfaatkan teknologi basis data.
Awalnya, pembacaan meter dilakukan dengan menggunakan kabel (wired)
atau direct dialling/reading. Komputer terhubung ke meter dengan menggunakan
kabel komunikasi (RS-232 atau RS-485) atau optical probe jika pembacan
dilakukan di lapangan. Belakangan ini, banyak teknologi komunikasi yang dapat
digunakan oleh sistem AMR, seperti PSTN (telepon rumah), GSM, Gelombang
Radio, PLC (Power Line Carrier), dan LAN/WAN/WIFI untuk meter yang
sudah support TCP/IP.
Automatic Meter Reading (AMR) merupakan paradigma baru dalam hal
pembacaan, dan pengumpulan data pemakaian listrik pelanggan. Data tersebut
diukur oleh meter elektronik yang dilengkapi dengan modul komunikasi yang
dapat dibaca otomatis oleh server AMR (host) remote atau jarak jauh. Diperlukan
media transmisi untuk membuat data dari meter elektronik dapat sampai ke server
11
AMR, contohnya Power Line Communication (PLC), Telepon (PSTN), Radio
Frequency, GSM/GPRS Network, dan Internet Network (TCP/IP).
Gambar 2.2 Pusat Kendali (Server)
Data hasil pembacaan tersebut disimpan ke dalam database dan dapat
digunakan untuk melakukan analisa, transaksi serta troubleshooting. Teknologi ini
tentu saja dapat membantu perusahaan penyedia jasa elektrik untuk menekan
biaya operasional, serta menjadi nilai tambah kepada pelangganya dalam hal
penyediaan, ketepatan dan keakurasian data yang dibaca, dan tentu saja dapat
menguntungkan pengguna jasa tersebut. Beberapa fungsi penting yang dapat
dilakukan dengan menggunakan sistem AMR, diantaranya sebagai berikut:
1. Mengukur energi listrik yang digunakan secara jarak jauh
2. Mengetahui besaran tegangan, arus dan frekuensi di pelanggan
3. Mengetahui grafik beban atau arus atau tegangan, sehingga bisa memantau
energi listrik yang dipakai oleh pelanggan.
4. Menentukan batas tarif Luar Waktu Beban Puncak (LWBP) dan Waktu
Beban Puncak (WBP).
5. Mengetahui saluran phasa tegangan yang digunakan (RST).
Penggunaan AMR dipandang sudah memenuhi kebutuhan pelanggan dan
perusahaan. Namun semakin meningkatnya kebutuhan pasar maka semakin
meningkatnya gudang penyimpanan pembacaan meter pelanggan yang sulit
12
terpenuhi sehingga keamanan kerahasiaan data pelanggan tidak terstandarisasi
oleh perusahaan.
Gambar 2.3 Flowchart SI AMR
Prosedur pengembangan metodologi di ilustrasikan sebagai konsep
keseluruhan telah dipaparkan pada Gambar 2.3. Ini memberikan algoritma untuk
pemantauan keamanan SI AMR yang di distribusi kepada pelanggan. Membaca
data sistem dan menutup semua switch dasi dan melakukan aliran listrik, jika
sistem di bawah kondisi normal, menampilkan hijau cahaya, yang lain tampilan
lampu merah dan memberikan sinyal ke alarm dan buzzers, jika sistem memiliki
kelainan maka pelanggaran kendala keamanan seperti V dan I, melebihi atau
membatasi nilai-nilai akan ditentukan oleh output data smart meter.
Daftar keluar jumlah pelanggaran keamanan dan mengirim sinyal
prioritas. Sinyal prioritas yang diterima diperiksa untuk jenis pelanggaran
keamanan, dan kemudian menghitung pengaturan tegangan. Kondisi dilakukan
untuk pengaturan tegangan (VR) dalam batas yang dapat diterima (0 sampai 5%).
13
Batas disilangkan, maka pelanggaran keamanan digambarkan sebagai dua
cara. Salah satunya adalah beban puncak periode (VR 5%) dan lain waktu beban
puncak adalah off (VR 0%). Maka program harus menyadari sistem berada di
bawah kondisi normal dan harus menunjukkan sinyal lampu hijau, maka program
harus dihentikan. Proses penyambungan atau pemasangan kWh meter dalam
AMR menghadapi beberapa permasalahan dan kerawanan antara lain:
1. Masih terdapatnya penyambungan atau pemasangan kWh meter AMR
yang tidak sesuai dengan SOP karena petugas pelaksana penyambungan
tidak memahami cara melakukan pemasangan wiring kWh AMR jenis-
jenis baru.
2. Keberadaan signal GSM buruk sehingga pembacaan yang dilakukan pada
hari H terjadi kegagalan, untuk mengantisipasi hal tersebut pembacaan
harus dilakukan sebelum H (H-1), namun umumnya pelanggan AMR
adalah pelanggan potensial atau besar, selisih jam saja hal tersebut dapat
mengakibatkan losses non teknis pada perhitungan kWh bulan pada
berjalan.
3. Jika gagal baca AMR pada lebih dari satu pelanggan semnetara lokasi
pelanggan tersebar dan terbatasnya alat AMR maka pembacaan dilakukan
secara manual yang selanjutnya hasil pembacaan dimasukkan pada
aplikasi AMR secara manual, hal ini berpotensi terjadi kesalahan entri,
pendeknya waktu antara pembacaan dengan periode terbit rekening
pelanggan AMR merupakan kendala tersendiri karena pembacaan manual
tidak selalu berhasil (lokasi pelanggan tutup) sehingga memaksa
pemakaian kWh pelanggan dihitung secara rata-rata dengan melihat histori
pembacaan AMR terakhir yang terdapat pada server AMR.
4. Hasil transfer stand pembacaan AMR ke aplikasi AP2T masih dapat
dilakukan koreksi pada aplikasi AP2T sehingga terdapat potensi kesalahan
entri.
5. Hasil pembacaan di AMR yang terpasang pada pelanggan tarif tunggal
masih terinci dalam format LWBP dan WBP sementara dalam formula
aplikasi AP2T hanya mengenal LWBP sehingga harus dilakukan koreksi
14
dengan cara menjumlahkan hasil baca AMR LWBP dan WBP dimasukan
ke dalam LWBP.
2.3 Studi Literatur
Studi literatur adalah suatu pembahasan yang berdasarkan pada buku-buku
referensi yang bertujuan untuk memperkuat materi pembahasan sebagai dasar
untuk menggunakan rumus-rumus tertentu dalam menganalisis dan mendesain
suatu struktur. Studi literatur digunakan untuk memecahkan masalah yang ada,
baik untuk menganalisis faktor-faktor dan data pendukung maupun untuk
merencanakan konstruksi.
2.3.1 Sistem Informasi
Sistem berasal dari Bahasa Latin (systēma) dan Bahasa Yunani (sustēma)
merupakan suatu kesatuan yang terdiri dari komponen atau elemen yang
dihubungkan bersama untuk memudahkan aliran informasi, materi atau energi
untuk mencapai suatu tujuan. Istilah ini sering digunakan untuk menggambarkan
suatu set entitas yang berinteraksi, di mana suatu model matematika seringkali
bisa dibuat. Sistem juga merupakan kesatuan bagian-bagian yang saling
berhubungan yang berada dalam suatu wilayah serta memiliki bagian-bagian
penggerak, contoh umum misalnya seperti negara.
Sistem Informasi (SI) adalah kumpulan sumber daya dan jaringan prosedur
yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hirarkis
tertentu dan bertujuan untuk mengolah data menjadi informasi (Gondodiyoto,
2007). Berdasarkan definisi SI yang telah diuraikan, pemanfaatan sistem
informasi dalam bisnis dapat memberi manfaat (O’Brien, 1996) sebagai berikut:
1. Membantu operasional bisnis.
2. Membantu pengambilan keputusan manajemen.
3. Membantu penciptaan keunggulan kompetitif yang strategis.
SI dapat mempertemukan kebutuhan pengolahan transaksi harian,
mendukung operasi, mengatur, dan menyediakan pihak luar tertentu dengan
laporan-laporan yang diperlukan (Davis, G.B dalam Jogiyanto, 1989).
15
2.3.2 Keamanan Informasi
Keamanan informasi adalah penjagaan informasi dari seluruh ancaman
yang mungkin terjadi dalam upaya untuk memastikan atau menjamin
kelangsungan bisnis (business continuity), meminimalisasi risiko bisnis (reduce
business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan
peluang bisnis (ISO/IEC 27002, 2005). Contoh keamanan informasi menurut
Sarno dan Iffano (2009: 27) adalah sebagai berikut:
1. Physical Security adalah keamanan informasi yang memfokuskan pada
strategi untuk mengamankan individu atau anggota organisasi, aset fisik,
dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses
tanpa otorisasi, dan bencana alam.
2. Personal Security adalah keamanan informasi yang berhubungan dengan
keamanan personil. Biasanya saling berhubungan dengan ruang lingkup.
3. Operation Security adalah keamanan informasi yang membahas
bagaimana strategi suatu organisasi untuk mengamankan kemampuan
organisasi tersebut untuk beroperasi tanpa gangguan.
4. Communications Security adalah keamanan informasi yang bertujuan
untuk mengamankan media komunikasi, teknologi komunikasi, serta apa
yang ada didalamnya serta kemampuan dalam memanfaatkan media.
5. Network Security adalah keamanan informasi yang memfokuskan pada
bagaimana pengamanan peralatan jaringan, data organisasi, jaringan dan
isinya, serta kemampuan untuk menggunakan jaringan tersebut.
2.3.3 Balanced Scorecard
Balanced Scorecard (BSC) adalah Pengukuran kinerja perusahaan yang
modern dengan mempertimbangan empat perspektif (yang saling berhubungan)
yang merupakan penerjemahan strategi dan tujuan yang diingin dicapai oleh suatu
perusahaan dalam jangka panjang, yang kemudian diukur dan dimonitor
secara berkelanjutan. Balanced (berimbang) berarti adanya keseimbangan antara
performance keuangan dan non-keuangan, performance jangka pendek dan
16
performance jangka panjang, antara performance yang bersifat internal dan
performance yang bersifat eksternal.
Scorecard (kartu skor) yaitu kartu yang digunakan untuk mencatat skor
performance seseorang. Kartu skor juga dapat digunakan untuk merencanakan
skor yang hendak diwujudkan oleh seseorang di masa depan. Awal
penggunaannya kinerja eksekutif diukur hanya dari segi keuangan. Kemudian
berkembang menjadi luas yaitu empat perspektif, yang kemudian digunakan untuk
mengukur kinerja organisasi secara utuh. Adapun perspektif-perspektif yang ada
di dalam BSC pada poin berikut ini.
2.3.3.1 Perspektif Keuangan
BSC memakai tolak ukur kinerja keuangan seperti laba bersih dan ROI,
karena tolak ukur tersebut secara umum digunakan dalam perusahaan untuk
mengetahui laba. Balanced Scorecard adalah suatu metode pengukuran kinerja
yang di dalamnya ada keseimbangan antara keuangan dan non-keuangan untuk
mengarahkan kinerja perusahaan terhadap keberhasilan. BSC dapat menjelaskan
lebih lanjut tentang pencapaian visi yang berperan di dalam mewujudkan
pertambahan kekayaan tersebut (Mulyadi dan Johny Setyawan, 2000) sebagai
berikut:
1. Peningkatan customer yang puas sehingga meningkatkan laba (melalui
peningkatan revenue.
2. Peningkatan produktivitas dan komitmen karyawan sehingga
meningkatkanlaba (melalui peningkatan cost effectiveness).
3. Peningkatan kemampuan perasahaan untuk menghasilkan financial returns
dengan mengurangi modal yang digunakan atau melakukan investasi
daiam proyek yang menghasilkan return yang tinggi.
Menurut Kaplan dan Norton, siklus bisnis terbagi 3 tahap, yaitu:
bertumbuh (growth), bertahan (sustain), dan menuai (harvest), di mana setiap
tahap dalam siklus tersebut mempunyai tujuan fmansial yang berbeda. Tahap ini
diharapkan suatu bisnis memiliki produk baru yang dirasa sangat potensial bagi
bisnis tersebut. Untuk itu, maka pada tahap growth perlu dipertimbangkan
17
mengenai sumber daya untuk mengembangkan produk baru dan meningkatkan
layanan, membangun serta mengembangkan fasilitas yang menunjang produksi,
investasi pada sistem, infrastruktur dan jaringan distribusi yang akan mendukung
terbentuknya hubungan kerja secara menyeluruh dalam mengembangkan
hubungan yang baik dengan pelanggan.
Secara keseluruhan tujuan fmansial pada tahap ini adalah mengukur
persentase tingkat pertumbuhan pendapatan, dan tingkat pertumbuhan penjualan
di pasar sasaran. Tahap selanjutnya adalah sustain (bertahan), di mana pada tahap
ini timbul pertanyaan mengenai akan ditariknya investasi atau melakukan
investasi kembali dengan mempertimbangkan tingkat pengembalian yang mereka
investasikan. Tujuan finansial dari tahap ini adalah untuk untuk meningkatkan
aliran kas dan mengurangi aliran dana.
2.3.3.2 Perspektif Pelanggan
Dalam perspektif pelanggan, perusahaan perlu terlebih dahulu menentukan
segmen pasar dan pelanggan yang menjadi target bagi organisasi atau badan
usaha. Selanjutnya, manajer harus menentukan alat ukur yang terbaik untuk
mengukur kinerja dari tiap unit opetasi dalam upaya mencapai target finansialnya.
Selanjutnya apabila suatu unit bisnis ingin mencapai kinerja keuangan yang
superior dalam jangka panjang, mereka harus menciptakan dan menyajikan suatu
produk baru/jasa yang bernilai lebih baik kepada pelanggan mereka (Kaplan, dan
Norton, 1996).
Produk dikatakan bernilai apabila manfaat yang diterima produk lebih
tinggi daripada biaya perolehan (bila kinerja produk semakin mendekati atau
bahkan melebihi dari apa yang diharapkan dan dipersepsikan pelanggan).
Perusahaan terbatas untuk memuaskan potential customer sehingga perlu
melakukan segmentasi pasar untuk melayani dengan cara terbaik berdasarkan
kemampuan dan sumber daya yang ada. Ada 2 kelompok pengukuran dalam
perspektif pelanggan, yaitu:
1. Kelompok pengukuran inti (icore measurement group).
18
Kelompok pengukuran ini digunakan untuk mengukur bagaimana
perusahaan memenuhi kebutuhan pelanggan dalam mencapai kepuasan,
mempertahankan, memperoleh, dan merebut pangsa pasar yang telah
ditargetkan. Dalam kelompok pengukuran inti, kita mengenal lima tolak
ukur, yaitu: pangsa pasar, akuisisi pelanggan (perolehan pelanggan),
retensi pelanggan (pelanggan yang dipertahankan), kepuasan pelanggan,
dan profitabilitas pelanggan.
2. Kelompok pengukuran nilai pelanggan (customer value proposition).
Kelompok pengukuran ini digunakan untuk mengetahui bagaimana
perusahaan mengukur nilai pasar yang mereka kuasai dan pasar yang
potensial yang mungkin bisa mereka masuki. Kelompok pengukuran ini
juga dapat menggambarkan pemacu kinerja yang menyangkut apa yang
harus disajikan perusahaan untuk mencapai tingkat kepuasan, loyalitas,
retensi, dan akuisisi pelanggan yang tinggi. Kelompok pengukuran nilai
pelanggan terdiri dari:
a. Atribut produk/jasa, yang meliputi: fungsi, harga, dan kualitas produk.
b. Hubungan dengan pelanggan, yang meliputi: distribusi produk kepada
pelanggan, termasuk respon dari perusahaan, waktu pengiriman, serta
bagaimana perasaan pelanggan setelah membeli produk/jasa dari
perusahaan yang bersangkutan.
c. Citra dan reputasi, yang menggambarkan faktor intangible bagi
perusahaan untuk menarik pelanggan untuk berhubungan dengan
perusahaan, atau membeli produk.
2.3.3.3 Perspektif Proses Bisnis Internal
Perspektif proses bisnis internal menampilkan proses kritis yang
memungkinkan unit bisnis untuk memberi value proposition yang mampu
menarik dan mempertahankan pelanggannya di segmen pasar yang diinginkan dan
memuaskan harapan para pemegang saham melalui financial retums (Simon,
1999). Tiap-tiap perasahaan mempunyai seperangkat proses penciptaan nilai yang
19
unik bagi pelanggannya. Secara umum, Kaplan dan Norton (1996) membaginya
dalam 3 prinsip dasar, yaitu:
1. Proses inovasi.
Proses inovasi adalah bagian terpenting dalam keseluruhan proses
produksi. Di dalam proses inovasi itu sendiri terdiri atas dua komponen,
yaitu identifikasi keinginan pelanggan, dan melakukan proses perancangan
produk yang sesuai dengan keinginan pelanggan. Bila hasil inovasi dari
perusahaan tidak sesuai dengan keinginan pelanggan, maka produk tidak
akan mendapat tanggapan positif dari pelanggan, sehingga tidak memberi
tambahan pendapatan bagi perasahaan bahkan perasahaan haras
mengeluarkan biaya investasi pada proses penelitian dan pengembangan.
2. Proses operasi.
Proses operasi adalah aktivitas yang dilakukan perusahaan, mulai dari saat
penerimaan order dari pelanggan sampai produk dikirim ke pelanggan.
Proses operasi menekankan kepada penyampaian produk kepada
pelanggan secara efisien, dan tepat waktu. Proses ini, berdasarkan fakta
menjadi fokus utama dari sistem pengukuran kinerja sebagian besar
organisasi.
3. Pelayanan purna jual.
Adapun pelayanan purna jual yang dimaksud di sini, dapat berupa garansi,
penggantian untuk produk yang rusak, dll.
2.3.3.4 Perspektif Pembelajaran dan Pertumbuhan
Perspektif ini menyediakan infrastruktur bagi tercapainya ketiga perspektif
sebelumnya, dan untuk menghasilkan pertumbuhan dan perbaikan jangka panjang.
Penting bagi suatu badan usaha saat melakukan investasi tidak hanya pada
peralatan untuk menghasilkan produk/jasa, tetapi juga melakukan investasi pada
infrastruktur, yaitu: sumber daya manusia, sistem dan prosedur.
Tolak ukur kinerja keuangan, pelanggan, dan proses bisnis internal dapat
mengungkapkan kesenjangan yang besar antara kemampuan yang ada dari
manusia, sistem, dan prosedur. Untuk memperkecil kesenjangan itu, maka suatu
20
badan usaha harus melakukan investasi dalam bentuk reskilling karyawan, yaitu
meningkatkan kemampuan sistem dan teknologi informasi, serta menata ulang
prosedur yang ada. Pengetahuan tentang balanced scoecard membuka peluang
bagi perusahaan untuk memanfaatkan secara optimum alat manajemen tersebut
dalam melipatgandakan kinerja perusahaan.
2.3.4 Audit
Menurut Riyanto Sarno (2009) mendefinisikan istilah audit SI/TI sebagai
aktivitas pengumpulan dan pengevaluasian bukti untuk penentuan apakah proses
TI yang berlangsung dalam perusahaaan telah dikelola sesuai dengan standar dan
dilengkapi dengan objektif kontrol untuk mengawasi penggunaannya serta apakah
telah memenuhi tujuan bisnis secara efektif. Audit SI/TI dapat menekankan pada
penggunaan keterpaduan antara uji kepatutan maupun uji secara substantif yang
komposisi atau banyaknya digunakan secara seimbang sesuai dengan kondisi
proses yang di audit.
Hakekatnya audit sistem informasi juga perlu dilakukan untuk memeriksa
tingkat kematangan atau kesiapan organisasi dalam melakukan pengelolaan TI.
Audit ialah proses atau aktivitas yang sistematik, independen dan terdokumentasi
untuk menemukan suatu bukti audit (evidence) dan mengevaluasi secara objektif
untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang
ditetapkan. “Tujuan dari audit adalah untuk memberikan gambaran kondisi
tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan
terhadap sekumpulan standar yang terdefinisi” (ISACA, 2006).
2.3.4.1 Audit Sistem Informasi
Audit sistem informasi merupakan proses pengumpulan dan
pengevaluasian bukti-bukti untuk menentukan apakah sistem komputer yang
digunakan telah dapat melindungi aset milik organisasi, mampu menjaga
integritas data, memungkinkan tujuan organisasi untuk dicapai secara efektif, dan
menggunakan sumber daya yang efisien (Weber, 1999:10).
Audit sistem informasi sendiri merupakan gabungan dari beberapa ilmu,
antara lain tradisional audit, manajemen sistem informasi, sistem informasi
21
akuntansi, ilmu komputer dan ilmu perilaku (Weber, 1999:18). Menurut Weber
(1999:11-13) terdapat empat tujuan audit sistem informasi yaitu meningkatkan
keamanan aset-aset perusahaan, meningkatkan integritas data, meningkatkan
efektifitas sistem, dan meningkatkan efisiensi sistem.
2.3.4.2 Audit Keamanan Informasi
Sistem keamanan jaringan komputer yang terhubung di Internet harus
direncanakan dan dipahami dengan baik agar dapat melindungi investasi dan
sumber daya didalam jaringan komputer tersebut secara efektif. Mulai
mengamankan suatu jaringan komputer, harus ditentukan terlebih dahulu tingkat
ancaman (threat) yang harus diatasi, dan risiko yang harus diambil maupun yang
harus dihindari.
Gambar 2.1 Potensi Ancaman Kejahatan terhadap Sistem Informasi
(Sumber: 2004 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT®
Coordination Center)
Jaringan komputer harus dianalisis untuk mengetahui apa yang harus
diamankan, untuk apa diamankan, seberapa besar nilainya, dan siapa yang
bertanggung jawab terhadap data dan aset-aset lain di dalam jaringan komputer
tersebut. Hal-hal yang harus dimengerti dalam perencanaan kebijaksanaan (policy)
keamanan jaringan komputer adalah sebagai berikut:
1. Confidentiality (Kerahasiaan)
Beberapa jenis informasi yang tersedia didalam sebuah jaringan komputer
dari physical access. Data yang terdapat dalam suatu perusahaan bersifat
rahasia dan tidak boleh diketahui oleh pihak ketiga. Pengamanan bertujuan
untuk menjaga rahasia perusahaan dan strategi perusahaan.
22
2. Integrity (Integritas)
Integritas yang dimaksud mengacu pada jaringan komputer yang dapat
diandalkan dan harus terlindungi dari serangan (attacks). In-the-middle
merupakan jenis serangan yang dapat merubah integritas dari sebuah data
dimana penyerang (attacker) dapat membajak “session” atau
memanipulasi data yang terkirim, sehingga dapat merubah data selama
dalam proses persinggahan (transmit).
3. Availability (Ketersediaan).
Ketersediaan data atau layanan dapat dengan mudah dipantau oleh
pengguna dari sebuah layanan. Ketidaktersediaan dari sebuah layanan
(service) dapat menjadi sebuah halangan untuk maju bagi sebuah
perusahaan untuk maju dan bahkan dapat berdampak lebih buruk lagi.
4. Nonrepudiation
Tindakan yang dilakukan dalam sebuah sistem yang aman telah diawasi
(logged), ini dapat berarti penggunaan alat (tool) untuk melakukan
pengecekan sistem tidak dapat dipisahkan dari bagian keamanan “sistem”
karena apabila terjadi sebuah penyusupan atau serangan akan membantu
proses investigasi.
2.3.4.3 Tujuan Audit Keamanan
Tujuan audit keamanan sistem menurut Ron Weber (2013. 11-13) secara
garis besar dapat disimpulkan menjadi empat tahap antara lain:
1. Meningkatkan keamanan aset perusahaan. Aset informasi suatu
perusahaan seperti perangkat keras, perangkat lunak, sumber daya manusia
dan file data harus dijaga oleh suatu sistem pengendalian internal yang
baik agar tidak terjadi penyalagunaan aset perusahaan. Pengamanan
terhadap aset merupakan hal utama karena aset merupakan pusat dari
segala data.
2. Meningkatkan integritas data. Integritas data adalah salah satu konsep
dasar sistem informasi. Suatu perusahaan harus dapat menjaga dan
meningkatkan integritas data yang dimilikinya.
23
3. Meningkatkan efektivitas sistem. Efektivitas sistem informasi suatu
perusahaan memiliki peranan penting dalam suatu proses pengambilan
keputusan.
4. Meningkatkan efisiensi sistem. Efisiensi merupakan suatu hal yang sangat
penting ketika suatu komputer tidak lagi memiliki kapasitas yang
memadai. Perusahaan perlu meningkatkan efisiensi sistemnya dan sistem
pemrosesan data yang efisien terjadi bila menggunakan sumber data yang
minimal untuk menghasilkan output yang diperlukan.
2.3.5 Tahapan Audit Sistem Informasi
Menurut Hall (2007) audit sistem informasi berfokus pada berbagai aspek
berbasis komputer dalam sistem informasi perusahaan. Audit TI umumnya dibagi
ke dalam tiga tahap, yaitu perencanaan, pengujian pengendalian, dan pengujian
substantif. Berikut ini adalah penjelasan masing-masing tahapan audit TI.
1. Perencanaan Audit
Sebelum auditor dapat menentukan pengujian yang harus dilakukan,
auditor harus memperoleh pemahaman menyeluruh terhadap bisnis klien.
Pada tahap ini, auditor harus memahami kebijakan, praktik, dan struktur
perusahaan, kemudian auditor harus memahami pengendalian umum dan
pengendalian aplikasi yang ada dalam perusahaan. Selama proses ini
berlangsung auditor harus mengidentifikasi ancaman yang paling penting
dan pengendalian untuk mengurangi ancaman tersebut. Bagian utama dari
tahap audit ini adalah analisis risiko audit. Analisis risiko meliputi
gambaran umum pengendalian internal perusahaan. Teknik untuk
mengumpulkan bukti dalam tahap ini meliputi penyebaran kuisioner,
wawancara dengan pihak manajemen, pengkajian dokumentasi sistem, dan
observasi berbagai aktivitas.
2. Pengujian Pengendalian
Tujuan dari pengujian pengendalian adalah untuk menentukan apakah ada
pengendalian internal yang memadai dan berfungsi dengan baik. Auditor
dapat menggunakan teknik pengumpulan bukti dengan teknik manual dan
24
teknik audit komputer khusus yang menggunakan pendekatan berbasis
sistem untuk audit TI dengan berfokus pada pengendalian dan sistem
secara keseluruhan untuk mencapainya.
3. Pengujian Substantif
Tahap ketiga dalam proses audit difokuskan pada data keuangan.
Informasi yang dibutuhkan untuk melakukan uji substantif seperti saldo
akun serta nama dan alamat pelanggan terdapat dalam berbagai file data
yang sering kali harus diekstraksi menggunakan peranti lunak.
2.3.6 Pengendalian Audit
Pengendalian audit secara efektif yang mencakup lingkungan
pengendalian, penaksiran risiko, aktivitas pengendalian, informasi dan
komunikasi dan pengawasan akan mendorong dua aktivitas pengendalian yang
dipaparkan berikut ini:
2.3.6.1 Pengendalian Umum
Menurut Gonododiyoto (2007:301) pengendalian umum adalah sistem
pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan
komputerisasi sebuah organisasi menyeluruh. Ruang lingkup yang termasuk
dalam pengendalian umum adalah sebagai berikut:
1. Pengendalian top manajemen, dalam lingkup ini termasuk pengendalian
manajemen sistem informasi
2. Pengendalian manajemen pengembangan sistem, termasuk manajemen
program
3. Pengendalian manajemen sumber data, manajemen operasi, manajemen
keamanan dan manajemen jaminan kualitas
2.3.6.2 Pengendalian Aplikasi
Pengendalian khusus atau pengendalian aplikasi ialah kontrol internal
komputer yang berlaku khusus untuk aplikasi komputerisasi tertentu pada suatu
organisasi. Pengendalian aplikasi terdiri dari 6 pengendalian, yaitu:
1. Pengendalian Batasan (Boundary Control)
25
Pengendalian batasan merupakan jenis pengendalian yang didesain untuk
mengenal identitas dan otentik tidaknya user sistem dan untuk menjaga
agar sumber daya sistem informasi digunakan oleh user dengan cara yang
ditetapkan.
2. Pengendalian Masukan
Pengendalian masukan dirancang dengan tujuan untuk mendapat
keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas
dari kesalahan dan penyalahgunaan.
3. Pengendalian Proses
Tujuan pengendalian proses adalah untuk mencegah agar tidak terjadi
kesalahan-kesalahan selama proses pengolahan data
4. Pengendalian Keluaran (Output)
Pengendalian keluaran ini didesain agar output informasi disajikan secara
akurat, lengkap, muktahir, dan di distribusikan kepada orang-orang yang
berhak secara cepat dan tepat waktu.
5. Pengendalian Database
Pengendalian database merupakan jenis pengendalian intern yang didesain
untuk menjaga akses ke dalam database dan menjaga integritas dari data
tersebut.
6. Pengendalian Komunikasi Aplikasi
Pengendalian yang merupakan jenis pengendalian intern yang didesain
untuk menangani kesalahan selama proses transisi data dan untuk menjaga
keamanan dari data selama pengiriman informasi tersebut.
2.3.7 Audit Berbasis Risiko
Risk-based auditing merupakan identifikasi suatu risiko bisnis, semakin
tinggi risiko suatu area, semakin tinggi pula perhatian dalam audit area tersebut.
Audit harus memahami aspek pengendalian dari bisnis yang bersangkutan.
Pemahaman terhadap proses bisnis termasuk memahami risiko dan pengendalian
dari sistem dalam mencapai sasaran atau tujuan organisasi. Adapun perbedaan
26
dari audit berbasis risiko (risk-based auditing) dengan audit tradisional menurut
Amin Widjaja Tunggal, berdasarkan Tabel 2.2 berikut:
Tabel 2.2 Perbedaan audit tradisional dengan Risk based auditing
No
.
Perubahan/
Perbedaan
Pendekatan lama/Audit
tradisional
Pendekatan Baru/Risk-Based
Auditing
1. Audit
Universe
Lebih mengutamakan
area finansial dan
kepatuhan kepada
kebijakan dan prosedur
internal.
Semua aktivitas usaha, khususnya
yang mengandung risiko usaha
(business risk).
2. Tujuan Audit Lebih kepada
memastikan bahwa
pengendalian internal
bekerja secara efektif
dan perannya untuk
meningkatkan efisiensi
tanpa melihat
keberadannya untuk
mengendalikan risiko.
Lebih kepada memberikan kepastian
(assurance) bahwa risiko yang
diidentifikasi telah dikurangi ke
tingkat yang dapat diterima.
3. Rencana
Audit
Tahunan
Siklus audit ditetapkan
secara berkala dan
biasanya dilakukan
secara mendadak tanpa
memperhatikan tingkat
risiko.
Audit lebih diprioritaskan ke area
yang berisiko tinggi.
4. Tugas
Lapangan
Dilakukan berdasarkan
pada seperangkat
rencana kerja yang
mungkin tanpa tujuan
yang spesifik.
Tugas lapangan lebih kepada
memastikan bahwa perusahaan telah
mengidentifikasi, mengendalikan dan
memantau semua risiko yang ada
5. Pengujian Pengujian untuk
mengkonfirmasi
bekerjanya pengendalian
Masih tetap menggunakan teknik
pengujian yang sama, tetapi lebih
memastikan bahwa pengendalian
27
tanpa mengurutkan
menurut tingkat
kepentingannya dan
lebih mengarah kepada
penemuan kesalahan
walaupun tidak material
dengan akibat laporan
yang tebal.
utama (important risk control)
berfungsi dengan baik untuk
mengurangi risiko.
6. Pelaporan Lebih mengutamakan
penyimpangan yang
signifikan dengan tetap
merekam semua
penyimpangan yang
tidak material tetapi
jumlahnya banyak.
Lebih kepada memberikan keyakinan
bahwa semua risiko khususnya yang
utama telah dikelola secara baik, dan
melaporkan secara rinci risiko yang
tidak dikurangi dengan baik.
7. Rekomendasi Rekomendasi diberikan
dalam kaitan dengan
pengendalian agar
diperkuat,
memperhatikan cost
benefit, efisiensi dan
efektivitas.
Rekomendasi akan diberikan dalam
kaitan dengan manajemen risiko agar
risiko dihindari, diakhiri, ditransfer,
diterima dan dikelola.
Berdasarkan tabel di atas, maka dapat diketahui bahwa audit internal
manajemen yang basis risiko merupakan suatu kegiatan dimana audit yang secara
keseluruhan lebih mengutamakan aktivitas yang mengandung risiko. Audit
internal memastikan bahwa risiko yang diidentifikasi telah dikurangi ke tingkat
yang dapat diterima dan audit ini juga lebih diprioritaskan dalam mengendalikan
dan memantau semua risiko yang ada.
2.3.8 Dampak Risiko
Dampak dari risiko menurut The institute of Internal Auditors (1991) dapat
berupa poin-poin yang dijelaskan pada halaman selanjutnya.
28
1. Kesalahan pengambilan keputusan disebabkan karena informasi yang
tidak akurat, tidak tepat waktu, tidak lengkap, atau tidak dapat diandalkan.
2. Kesalahan pencatatan, akuntansi yang tidak memadai, penyimpangan
laporan keuangan, dan kerugian finansial.
3. Ketidakpuasan pelanggan, publisitas negatif, dan merusak reputasi
organisasi.
4. Kegagalan penerapan kebijakan organisasi, rencana, dan prosedur, atau
ketidakpatuhan terhadap hukum dan peraturan.
5. Menggunakan sumber daya yang tidak ekonomis atau pemakaiannya tidak
efisien atau tidak efektif.
6. Kegagalan pelaksanaan pencapaian sasaran dan tujuan operasional atau
program.
2.4 Framework Information Security Standard
Keamanan data atau informasi elektronik menjadi hal yang sangat penting
bagi perusahaan yang menggunakan fasilitas TI dan menempatkannya sebagai
infrastruktur penting. Data maupun informasi adalah aset bagi perusahaan
tersebut. Keamanan data atau informasi secara langsung maupun tidak langsung
dapat mempertahankan kelangsungan bisnis, mengurangi risiko, mengoptimalkan
return of investment dan bahkan memberikan peluang bisnis semakin besar.
Semakin banyak informasi perusahaan yang disimpan, dikelola dan
digunakan secara bersama, akan semakin besar pula risiko terjadinya kerusakan,
kehilangan atau tereksposnya data maupun informasi ke pihak lain yang tidak
berhak. Ancaman dan risiko yang ditimbulkan akibat kegiatan pengelolaan dan
pemeliharaan data atau informasi menjadi alasan disusunnya standar sistem
manajemen keamanan informasi yang salah satunya adalah COBIT 4.1 dan ISO
27002:2005.
2.4.1 Information Technology Infrastructure Library (ITIL)
ITIL adalah kerangka kerja manajemen layanan TI yang memberikan
panduan pada siklus hidup penuh mendefinisikan, mengembangkan, mengelola,
memberikan dan meningkatkan layanan TI.
29
Gambar 2.4 Logo Framework ITIL
Inti dari ITIL Service Lifecycle adalah Service Strategy. Service Strategy
memberikan panduan kepada pengimplementasi Information technology Service
Management (ITSM) pada bagaimana memandang konsep ITSM bukan hanya
sebagai sebuah kemampuan organisasi (dalam memberikan, mengelola serta
mengoperasikan layanan TI), tapi juga sebagai sebuah aset strategis perusahaan.
Proses-proses yang dicakup dalam Service Strategy, disamping topik-topik
di atas antara lain Service Portfolio Management, Financial Management,
Demand Management. Kerangka yang diberikan belum memberikan panduan
pengelolaan TI yang memebuhi kebutuhan di tingkat yang lebih tinggi di
perusahaan seperti pada kerangka kerja COBIT.
2.4.2 Committee of Sponsoring Organization of the Treadway Commission
(COSO)
COSO merupakan sebuah organisasi di Amerika yang berdedikasi dalam
meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol internal
dan corporate governance dan berikut logo pada COSO.
Gambar 2.5 Logo Framework COSO
Komite ini didirikan pada tahun 1985 untuk mempelajari faktor-faktor
yang menunjukkan ketidaksesuaian dalam laporan finansial. Tahun 90-an,
Pricewater house Couper bersama komite ini melakukan extensive study
mengenai kontrol internal, yang menghasilkan COSO framework yang digunakan
30
untuk mengevaluasi efektifitas kontrol internal suatu perusahaan. Sejak itu,
komunitas finansial global, termasuk badan-badan regulator seperti public
accounting dan internal audit professions, telah mengadopsi COSO. Hal ini juga
bernilai untuk perusahaan manapun yang ingin memastikan sistem kontrol
internalnya dengan menggunakan standar internasional.
2.4.3 COBIT
COBIT adalah kerangka kerja tata kelola TI dan toolset pendukung yang
memungkinkan manajer untuk menjembatani kesenjangan antara kebutuhan
kontrol, masalah teknis dan risiko bisnis. Menurut ISACA (2012:15), COBIT 4.1
merupakan generasi terbaru dari panduan ISACA yang membahas mengenai tata
kelola dan manajemen TI. COBIT 4.1 dibuat berdasarkan pengalaman
penggunaan COBIT selama lebih dari 15 tahun oleh banyak perusahaan dan
pengguna dari bidang bisnis, komunitas TI, risiko, asuransi, dan keamanan.
COBIT 4.1 dikembangkan untuk mengatasi kebutuhan-kebutuhan penting seperti:
1. Membantu stakeholder dalam menentukan apa yang mereka harapkan dari
informasi dan teknologi terkait seperti keuntungan apa, pada tingkat risiko
berapa, pada biaya berapa dan bagaimana prioritas mereka dalam
menjamin bahwa nilai tambah yang diharapkan benar-benar tersampaikan.
2. Membahas peningkatan ketergantungan kesuksesan perusahaan pada
perusahaan lain dan rekan TI, seperti outsource, pemasok, konsultan,
klien, cloud, penyedia layanan lain, serta pada beragam alat internal dan
mekanisme untuk memberikan nilai tambah yang diharapkan.
3. Mengatasi jumlah informasi yang meningkat secara signifikan. Bagaimana
perusahaan memilih informasi yang relevan dan kredibel yang akan
mengarahkan perusahaan kepada keputusan bisnis yang efektif dan efisien.
Informasi juga perlu untuk dikelola secara efektif dan model informasi
yang efektif.
4. Mengatasi teknologi informasi yang semakin meresap ke dalam
perusahaan. Seringkali TI yang terpisah tidak cukup memuaskan walaupun
sudah sejalan dengan bisnis. TI perlu menjadi bagian penting dari proyek
31
bisnis, struktur organisasi, manajemen risiko, kebijakan, kemampuan,
proses, dan sebagainya.
5. Menyediakan panduan lebih jauh dalam area inovasi dan teknologi baru.
Hal ini berkaitan dengan kreativitas, penemuan, pengembangan produk
baru, membuat produk saat ini lebih menarik bagi pelanggan, dan meraih
tipe pelanggan baru.
6. Mendukung perpaduan bisnis dan TI secara menyeluruh, dan mendukung
semua aspek yang mengarah pada tata kelola dan manajemen TI
perusahaan yang efektif, seperti struktur organisasi, kebijakan, dan budaya.
7. Mendapatkan kontrol yang lebih baik berkaitan dengan solusi TI.
8. Memberikan perusahaan:
a. Nilai tambah melalui penggunaan TI yang efektif dan inovatif.
b. Kepuasan pengguna dengan keterlibatan dan layanan TI yang baik.
c. Kesesuaian dengan peraturan, regulasi, persetujuan, dan kebijakan
internal.
d. Peningkatan hubungan antara kebutuhan bisnis dengan tujuan TI.
9. Menghubungkan dan bila relevan, menyesuaikan dengan framework dan
standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO, dan ISO.
Hal ini akan membantu stakeholder mengerti bagaimana kaitan berbagai
framework, berbagai standar antar yang satu dengan yang lain, dan
bagaimana mereka bisa digunakan bersama-sama.
Kerangka kerja COBIT mendefinisikan kegiatan TI dalam 34 model
proses dan mengelompokannya kedalam 4 domain, yaitu Plan and Organize,
Acquire and Implement, Deliver and Support, dan Monitor and Evaluate (ITGI,
2007) dapat dilihat pada Tabel 2.2 berikut.
Tabel 2.2 4 Domain dan Proses Kontrol pada COBIT
Domain Proses Kontrol
Plan and Organize (PO)
Domain ini mencakup strategi
taktis yang memberikan
PO1 Mendefinisikan Rencana Strategis TI
PO2 Mendefinisikan Arsitektur Informasi
PO3 Menentukan Arahan Teknologi
32
perhatian dalam
mengidentifikasi cara terbaik
TI untuk memberikan
kontribusi maksimal terhadap
pencapaian tujuan bisnis.
PO4 Mendefinisikan Proses TI, Organisasi
dan Keterhubungan
PO5 Mengelola Investasi TI
PO6 Mengkomunikasikan Tujuan dan Arahan
Manajemen
PO7 Mengelola SDM TI
PO8 Mengelola Kualitas
PO9 Menaksir dan Mengelola Risiko TI
PO10 Mengelola Proyek
Acquire and Implement (AI)
Dalam mewujudkan
pelaksanaan strategi TI yang
telah diterapkan, solusi TI
perlu diidentifikasi,
dikembangkan atau diperoleh,
serta diimplementasikan dan
terintegrasi kedalam proses
bisnis. Domain ini juga
melingkupi perubahan dan
pemeliharaan sistem yang ada
untuk memastikan solusi yang
memenuhi tujuan bisnis.
AI1 Mengidentifikasi Solusi Otomatis
AI2 Memperoleh dan Memelihara Software
Aplikasi
AI3 Memperoleh dan Memelihara
Infrastruktur Teknologi
AI4 Memungkinkan Operasional dan
Penggunaan
AI5 Memenuhi Sumber Daya TI
AI6 Mengelola Perubahan
AI7 Instalasi dan Akreditasi Solusi beserta
Perubahannya
Deliver and Support (DS)
Domain ini memberikan
perhatian terhadap proses
pelayanan TI dan dukungan
teknisnya yang meliputi
service delivery, manajemen
keamanan dan kontinuitas,
pelatihan dan pendidikan untuk
DS1 Mendefinisikan dan Mengelola Tingkat
Layanan
DS2 Mengelola Layanan Pihak Ketiga
DS3 Mengelola Kinerja dan Kapasitas
DS4 Memastikan Layanan yang
Berkelanjutan
DS5 Memastikan Keamanan Sistem
DS6 Mengidentifikasi dan Mengalokasikan
33
pengguna, dan manajemen data
dan operasional.
Biaya
DS7 Mendidik dan Melatih Pengguna
DS8 Mengelola Service Desk dan Insiden
DS9 Mengelola Konfigurasi
DS10 Mengelola Permasalahan
DS11 Mengelola Data
DS12 Mengelola Lingkungan Fisik
DS13 Mengelola Operasi
Monitor and Evaluate (ME)
Domain ini memberikan
perhatian terhadap proses
pengawasan pengelolaan TI
yang difokuskan pada masalah
kendali-kendali yang
diterapkan dalam organisasi,
pemeriksaan internal dan
eksternal
ME1 Mengawasi dan Mengevaluasi Kinerja
TI
ME2 Mengawasi dan Mengevaluasi Kontrol
Internal
ME3 Memastikan Pemenuhan terhadap
Kebutuhan Eksternal
ME4 Menyediakan Tata Kelola TI
Tujuan bisnis yang berfungsi secara efektif dan sesuai dengan kontrol
dapat ditunjang dengan keberadaan informasi yang berkualitas. Memenuhi tujuan
bisnis yang berfungsi secara efektif dan sesuai dengan kriteria kontrol tertentu
perlu ditunjang dengan keberadaan informasi yang berkualitas. COBIT 4.1 dalam
(ITGI, 2007) mendeskripsikan karakteristik informasi yang berkualitas dalam 7
aspek utama seperti terlihat pada Tabel 2.3.
Tabel 2.3 Kriteria Informasi COBIT 4.1
Effectiveness
(Efektifitas)
Informasi yang diberikan harus relevan dan berhubungan
dengan proses bisnis yang disampaikan secara tepat waktu,
benar, konsisten, dan dapat digunakan.
Efficiency
(Efisiensi)
Penyediaan informasi melalui penggunaan sumber daya
(yang paling produktif dan ekonomis) yang optimal.
Confidentiality Berkaitan dengan proteksi pada informasi penting dari
34
(Kerahasiaan) pihak-pihak yang tidak memiliki hak otorisasi/tidak
berwenang.
Integrity
(Integritas)
Berkaitan dengan keakuratan dan kelengkapan
data/informasi dan tingkat validitas yang sesuai dengan
ekspektasi dan nilai bisnis.
Availability
(Ketersediaan)
Fokus terhadap ketersediaan data/informasi ketika
diperlukan dalam proses bisnis, baik sekarang maupun di
masa yang akan datang. Hal ini juga terkait dengan
pengamanan atas sumber daya yang diperlukan dan terkait.
Compliance
(Kelincahan)
Pemenuhan data/informasi harus dapat di
pertanggungjawabkan yang sesuai dengan ketentuan
hukum, peraturan dan rencana perjanjian/kontrak untuk
proses bisnis.
Reliability
(Keakuratan)
Fokus pada penyediaan informasi yang tepat bagi
manajemen untuk mengoperasikan perusahaan dalam
pemenuhan kewajiban untuk pengambilan keputusan.
COBIT juga menyediakan keterkaitan yang jelas antara area tata kelola
TI, proses TI dan objektif kontrol TI, yang memastikan TI selaras dengan
kebutuhan bisnis perusahaan dengan mengelompokkan dua jenis dukungan
primer dan sekunder. Masing-masing proses TI tersebut juga di lengkapi dengan
control objective sehingga kerangka kerja COBIT menyediakan keterkaitan yang
jelas antara kebutuhan tata kelola TI, proses TI dan objektif kontrol TI. Berikut
Tabel 2.4 adalah proses TI pendukung tata kelola TI berdasarkan COBIT.
Tabel 2.4 Proses TI Pendukung Tata Kelola TI berdasarkan COBIT
Area Tata
Kelola TI
Proses-proses Pendukung
Primer Sekunder
Strategic
Alignment
PO1, PO2, PO6, PO7, PO8,
PO9, PO10, AI1, AI2, DS1,
ME3, ME4
PO3, PO4, PO5, AI4, AI7,
DS3, DS4, DS7, ME1
Value Delivery PO5, AI1, AI2, AI4, AI6,
AI7, DS1, DS2, DS4, DS7,
DS8, DS9, DS10, DS11,
PO2, PO3, PO8, PO10, AI5,
DS3, DS6, ME1
35
ME2, ME4
Resource
Management
PO2, PO3, PO4, PO7, AI3,
AI5, DS1, DS3, DS6, DS9,
DS11, DS13, ME4
PO1, PO5, PO10, AI1, AI4,
AI6, AI7, DS2, DS4, DS7,
DS12, ME1
Risk
Management
PO4, PO6, PO9, DS2, DS4,
DS5, DS11, DS12, ME2,
ME3, ME4
PO1, PO2, PO3, PO7, PO8,
PO10, AI1, AI2, AI4, AI7,
DS3, DS7, DS9, DS10,
ME1
Performance
Measurement
DS1, ME1, ME4 PO5, PO7, PO10, AI7, DS2,
DS3, DS4, DS6, DS8, DS10
(Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA : IT Governance Institute . Page
171)
2.4.4 ISO 27000 SERIES
ISO / IEC 27000 Series juga dikenal sebagai "ISMS Family of Standards"
atau singkatnya "ISO27K". ISO seri 27000 dari standar telah secara khusus
disediakan oleh ISO untuk urusan keamanan informasi. Seri ini memberikan
rekomendasi praktik terbaik untuk manajemen keamanan informasi, risiko dan
kontrol dalam konteks keseluruhan Sistem Manajemen Keamanan Informasi
(SMKI), serupa didesain untuk sistem manajemen untuk jaminan kualitas (ISO
seri 9000) dan perlindungan lingkungan (ISO 14000 series).
Gambar 2.6 Logo Framework ISO
ISO / IEC 27000 akan memberikan gambaran atau pengenalan standar
ISO27k secara keseluruhan ditambah kosa kata spesialis digunakan dalam
ISO27k. Pemaparan pada ISO 27000 series adalah sebagai berikut:
1. ISO / IEC 27001:2005 adalah persyaratan standar Sistem Manajemen
Keamanan Informasi (spesifikasi) terhadap yang lebih 4.600 organisasi
telah disertifikasi sesuai.
2. ISO / IEC 27002:2005 adalah kode dari manajemen keamanan informasi
yang menggambarkan seperangkat tujuan pengendalian keamanan
36
informasi dan satu set yang berlaku umum kontrol praktik keamanan yang
baik.
3. ISO / IEC 27004 akan menjadi standar pengukuran manajemen keamanan
informasi untuk membantu meningkatkan efektivitas ISMS Anda.
4. ISO / IEC 27005:2008 adalah standar manajemen risiko keamanan
informasi yang baru dirilis pada bulan Juni 2008.
5. ISO / IEC 27010 akan memberikan panduan tentang sector-to-sector
interworking dan komunikasi untuk industri dan pemerintah, mendukung
serangkaian petunjuk pelaksanaan ISMS sektor tertentu dimulai dengan
ISO / IEC 27011.
6. ISO / IEC 27032 akan pedoman untuk cyber security.
7. ISO / IEC 27034 akan memberikan pedoman untuk keamanan aplikasi.
8. ISO / IEC 27799, meskipun tidak secara ketat bagian dari ISO27k, akan
memberikan sektor kesehatan panduan implementasi ISMS tertentu.
2.4.5 ISO 27001:2005
ISO/IEC 27001:2005 secara resmi dipublikasikan pada Oktober 2005.
ISO 27001:2005 tidak hanya mencakup aspek teknologi informasi, standar ini
juga menjangkau seluruh proses bisnis termasuk pihak pendukung proses bisnis
tersebut, seperti pihak ketiga atau outsourcing. Standar ini memasukkan aspek
proses dan sumber daya manusia yang ada di organisasi.
ISO 27001:2005 merupakan dokumen standar ISMS yang memberikan
gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah
perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan
dan memelihara keamanan informasi di perusahaan berdasarkan ”best practice”
dalam pengamanan informasi. ISMS bukanlah produk melainkan suatu proses
yang dilakukan untuk penentuan bagaimana (how-to) mengelola (merencanakan,
mengimplementasikan, memonitor, memperbaiki dan mengembangkan)
informasi agar menjadi aman.
Membangun ISMS dengan menggunakan standar ISO/IEC 27001:2005
harus terlebih dahulu memahami struktur organisasi dari ISO/IEC 27001:2005.
37
Struktur organisasi ISO/IEC 27001:2005 dibagi 2 bagian yaitu:
1. Klausul: Mandatory Process
Klausul (pasal) adalah persyaratan yang harus dipenuhi jika organisasi
menerapkan ISMS dengan menggunakan standar ISO/IEC 27001.
2. Annex A: Security Control
Security control adalah dokumen referensi yang disediakan dan dapat
dijadikan rujukan untuk menentukan kontrol apa saja yang perlu di
implementasikan dalam ISMS.
Terdiri dari 11 klausul kontrol keamanan, 39 objektif kontrol dan 133
kontrol. Tabel 2.5 dapat dilihat ringkasan kontrol keamanan dalam ISO
27001:2005 dengan setiap klausulnya.
Tabel 2.5 Ringkasan Jumlah Klausul, Objektif Kontrol dan Kontrol Keamanan
Klausul Jumlah
Objektif Kontrol Kontrol
5 1 2
6 2 11
7 2 5
8 3 9
9 2 13
10 10 31
11 7 25
12 6 16
13 2 5
14 1 5
15 3 10
Jumlah: 11 Jumlah: 39 Jumlah: 133
Standar ISO/IEC 27001:2005 telah menyediakan model terkait bagaimana
mulai dari membangun, implementasi, operasional, memonitor, mengkaji ulang,
memelihara dan mengembangkan ISMS. Daftar kontrol yang dapat di
implementasikan sebagai bagian dari ISMS organisasi meliputi 11 domain
kontrol dan klausul, antara lain:
1. Security policy.
2. Organization of information security.
38
3. Asset management.
4. Human resources security.
5. Physical and environmental security.
6. Communications and operations management.
7. Access control.
8. Information system acquisition, development, and maintenance.
9. Information security incident management.
10. Business continuity management.
11. Compliance.
11 domain kontrol pada ISO/IEC 27001:2005 diterapkan menggunakan
standar penerapan ISMS atau standar ISO/IEC 27002:2005 yang merupakan
penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan sebagai
titik awal dalam penyusunan dan pengembangan ISMS.
2.4.6 ISO/IEC 27002:2005
Bagian ini akan dibahas secara garis besar setiap klausul yang merupakan
kontrol keamanan yang ada pada standar ISO/IEC 27002:2005 sesuai dengan
ISO/IEC (2011) seperti terlihat pada Tabel 2.6 berikut.
Tabel 2.6 Domain seperti Kontrol/Klausul ISO 27002:2005
Klausul 5. Kebijakan Keamanan
Bertujuan untuk memberikan arahan dan dukungan manajemen keamanan
informasi
5.1 Kebijakan Keamanan Informasi
5.1.1 Dokumen Kebijakan Keamanan Informasi
5.1.2 Review / Tinjauan Ulang Kebijakan Keamanan Informasi
Klausul 6. Organisasi Keamanan Informasi
Bertujuan untuk memudahkan pengelolaan SMKI pada suatu organisasi
6.1 Organisasi Internal Keamanan Informasi
6.1.1 Komitmen manajemen terhadap keamanan informasi
39
6.1.2 Koordinasi keamanan informasi
6.1.3 Pembagian tanggung jawab keamanan informasi
6.1.4
Proses otorisasi terhadap fasilitas-fasilitas pemrosesan informasi yang
ada di dalam organisasi
6.1.5 Perjanjian Kerahasiaan
6.1.6 Berhubungan dengan vendor atau penyedia ISMS yang resmi
6.1.7 Berhubungan dengan lembaga-lembaga khusus atau tertentu
6.1.8 Pengkajian ulang secara independen terhadap keamanan informasi
6.2 Pihak Eksternal
6.2.1 Identifikasi risiko terhadap hubungannya dengan pihak ketiga
6.2.2 Akses keamanan dalam hubungan dengan pihak pelanggan
6.2.3 Melibatkan persyaratan keamanan dalam perjanjian dengan pihak
ketiga
Klausul 7. Manajemen Aset
7.1 Tanggung Jawab terhadap aset
Semua aset informasi penting harus diperhitungkan keberadaannya dan
ditentukan kepemilikannya.
7.1.1 Inventarisasi terhadap aset
7.1.2 Kepemilikan aset
7.1.3 Aturan penggunaan aset
7.2 Klaifikasi Informasi
Untuk memastikan bahwa aset informasi memperoleh perlindungan yang
memadai
7.2.1 Panduan Klasifikasi
7.2.2 Penanganan dan pelabelan informasi
Klausul 8. Keamanan Sumber Daya Manusia (SDM)
8.1 Keamanan SDM Sebelum menjadi Pegawai
40
Sebelum menjadi pegawai suatu organisasi adalah penting untuk memastikan
bahwa pegawai, kontraktor dan pihak ketiga memahami akan tanggung jawab
mereka, dan bisa menjalankan aturan yang mereka dapatkan untuk
meminimalkan risiko pencurian atau kesalahan dalam penggunaan fasilitas
informasi.
8.1.1 Aturan dan tanggung jawab
8.1.2 Seleksi
8.1.3 Persyaratan dan kondisi yang harus dipenuhi oleh pegawai
8.2 Selama menjadi Pegawai
Untuk memastikan selama menjadi pegawai suatu organisasi pegawai,
kontraktor dan pihak ketiga memahami Keamanan Informasi yang telah
ditetapkan oleh organisasi untuk mengurangi terjadinya kesalahan kerja (human
error) dan risiko yang dihadapi oleh organisasi.
8.2.1 Tanggung jawab manajemen
8.2.2 Pendidikan dan pelatihan keamanan informasi
8.2.3 Proses kedisplinan
8.3 Pemberhentian atau Pemindahan Pegawai
Saat terjadi pemberhentian atau pemindahan pegawai dipastikan bahwa
pegawai, kontraktor dan pihak ketiga keluar dari organisasi atau pindah
kebagian lain dilakukan dengan cara yang benar dan memenuhi aturan
keamanan informasi yang telah diterapkan oleh organisasi.
8.3.1 Tanggung jawab pemberhentian
8.3.2 Pengembalian aset
8.3.3 Penghapusan hak akses
Klausul 9. Keamanan Fisik dan Lingkungan
9.1 Wilayah Aman
Bertujuan untuk mencegah akses tanpa otorisasi, kerusakan, dan gangguan
terhadap tempat dan informasi bisnis.
9.1.1 Pembatas keamanan fisik
41
9.1.2 Kontrol masuk fisik
9.1.3 Keamanan kantor, ruang, dan fasilitas
9.1.4 Perlindungan terhadap ancaman eksternal dan lingkungan sekitar
9.1.5 Bekerja di daerah aman
9.1.6 Akses publik, pengiriman, dan penurunan barang
9.2 Keamanan Peralatan
Bertujuan untuk mencegah kebocoran atau pencurian Informasi dan fasilitas
peralatan pemrosesan informasi.
9.2.1 Penempatan peralatan dan perlindungannya
9.2.2 Utilitas pendukung
9.2.3 Keamanan pengkabelan
9.2.4 Pemeliharaan peralatan
9.2.5 Keamanan peralatan di luar tempat yang tidak disyaratkan
9.2.6 Keamanan pembuangan atau pemanfaatan kembali peralatan
9.2.7 Hak pemindahan peralatan
Klausul 10. Manajemen Komunikasi dan Operasi
10.1 Prosedur dan Tanggung Jawab Operasioal
Untuk menjamin bahwa fasilitas pemrosesan Informasi berjalan dengn benar
dan aman, maka harus direncanakan dan ditetapkan tanggung jawab operasional
dan prosedur manajemen dan operasi seluruh fasilitas pemrosesan informasi.
10.1.1 Dokumentasi prosedur operasi
10.1.2 Manajemen Pertukaran
10.1.3 Pemisahan tugas
10.1.4 Pemisahan pengembangan, pengujian, dan operasional fasilitas
10.2 Manajemen Layanan Pengiriman oleh Pihak Ketiga
Bertujuan untuk mengimplementasikan dan memelihara level-level keamanan
informasi yang berhubungan dengan layanan pihak ketiga kepada organisasi.
10.2.1 Layanan pengiriman
10.2.2 Pemantauan dan pengkajian ulang terhadap layanan pihak ketiga
42
10.2.3 Manajemen penggantian layanan pihak ketiga
10.3 Perencanaan dan Penerimaan Sistem
Untuk meminimalisasi risiko kegagalan sistem dalam organisasi
10.3.1 Manajemen Kapasitas
10.3.2 Penerimaan Sistem
10.4 Perlindungan terhadap Malicious (Kode Berbahaya) dan Mobile Code
Bertujuan melindungi integritas perangkat luak dan informasi yang dimiliki
organisasi
10.4.1 Kontrol terhadap kode berbahaya
10.4.2 Kontrol terhadap mobile code
10.5 Back-up
Untuk menjaga keutuhan dan ketersediaan pemrosesan informasi dan layanan
komunikasi.
10.5.1 Back-up informasi
10.6 Manajemen Keamanan Jaringan
Untuk memastikan penjagaan informasi dalam jaringan dan perlindungan
terhadap infrastruktur pendukung
10.6.1 Kontrol Jaringan
10.6.2 Keamanan dalam layanan jaringan
10.7 Penanganan Media
Untuk mencegah kerusakan terhadap aset dan gangguan kegiatan bisnis.
10.7.1 Manajemen untuk media yang dapat dipindahkan
10.7.2 Pemusnahan atau pembuangan media
10.7.3 Prosedur penanganan informasi
10.7.4 Keamanan dokumentasi sistem
10.8 Pertukaran Informasi
Untuk menjaga kehilangan, modifikasi atau penyalahgunaan pertukaran
informasi antar organisasi, maka harus direncanakan kontrol atau pengaturan
pertukaran informasi dan piranti lunak antar organisasi dan harus sesuai dengan
peraturan yang relevan
43
10.8.1 Kebijakan dan prosedur pertukaran informasi
10.8.2 Perjanjian pertukaran
10.8.3 Transportasi media fisik
10.8.4 Pesan elektronik
10.8.5 Sistem informasi bisnis
10.9 Layanan E-Commerce
Bertujuan untuk memastikan layanan transaksi elektronik aman digunakan oleh
organisasi.
10.9.1 E-Commerce
10.9.2 Transaksi online
10.9.3 Informasi untuk publik
10.10 Monitoring
Untuk mendeteksi aktivitas pemrosesan informasi yang tidak legal
10.10.1 Rekaman audit
10.10.2 Monitoring penggunaan sistem
10.10.3 Proteksi catatan informasi
10.10.4 Catatan administrator dan operator
10.10.5 Catatan kesalahan
10.10.6 Sinkronisasi waktu
Klausul 11. Kontrol Akses
11.1 Persyaratan Kontrol Akses
Untuk mengontrol akses ke informasi
11.1.1 Kebijakan kontrol akses
11.2 Manajemen Akses User
Untuk me-manage akses user ke informasi
11.2.1 Registrasi pengguna
11.2.2 Manajemen hak istimewa dan khusus
11.2.3 Manajemen password user
11.2.4 Tinjauan hak akses pengguna
44
11.3 Tanggung Jawab User
Untuk mencegah akses pengguna tanpa ijin
11.3.1 Penggunaan password
11.3.2 Peralatan pengguna yang tidak terjaga
11.3.3 Kebijakan clear desk dan clear screen
11.4 Kontrol Akses Jaringan
Akses ke layanan jaringan baik internal maupun eksternal harus dikontrol
11.4.1 Kebijakan penggunaan layanan jaringan
11.4.2 Autentikasi pengguna untuk melakukan koneksi eksternal
11.4.3 Identifikasi peralatan di dalam jaringan
11.4.4 Perlindungan remote diagnostic dan konfigurasi port
11.4.5 Pemisahan dalam jaringan
11.4.6 Kontrol terhadap koneksi jaringan
11.4.7 Kontrol terhadap routing jaringan
11.5 Kontrol Akses Sistem Operasi
Untuk mencegah akses komputer tanpa ijin
11.5.1 Prosedur Log-On yang aman
11.5.2 Identifikasi dan autentikasi pengguna
11.5.3 Manajemen password
11.5.4 Penggunaan utilitas sistem
11.5.5 Sesi time-out
11.5.6 Batasan waktu koneksi
11.6 Kontrol Akses Informasi dan Aplikasi
Bertujuan untuk mencegah akses informasi ilegal yang terdapat dalam sistem-
sistem aplikasi.
11.6.1 Pembatasan akses informasi
11.6.2 Isolasi sistem yang sensitif
11.7 Komputasi bergerak dan bekerja dari tempat lain (teleworking)
Bertujuan untuk memastikan ISMS daat menggunakan komputer bergerak dan
fasilitas teleworking
45
11.7.1 Komunikasi dan komputerisasi yang bergerak
11.7.2 Teleworking
Klausul 12. Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan
12.1 Persyaratan Keamanan untuk Sistem Informasi
Memastikan bahwa keamanan dibangun dalam sistm informasi di organisasi
dan persyaratan ISMS yang mencakup infrastruktur, aplikasi bisnis dan aplikasi
yang dikembangkan pengguna harus sudah direncanakan.
12.1.1 Analisis dan spesifikasi persyaratan keamanan informasi
12.2 Pemrosesan yang benar dalam aplikasi
Untuk mencegah kehilanagan, modifikasi atau penyalahgunaan data pengguna
pada sistem aplikasi.
12.2.1 Validasi data input
12.2.2 Kontrol untuk pemrosesan internal
12.2.3 Integrasi pesan
12.2.4 Validasi data output
12.3 Kontrol Kriptografi
Untuk melindungi kerahasiaa, keaslian dan keutuhan informasi
12.3.1 Kebijakan dalam penggunaan kontrol kriptografi
12.3.2 Manajemen kunci
12.4 Keamanan File Sistem
Untuk memastikan bahwa proyek teknologi informasi dan kegiatan
pendukungnya dilakukan dengan cara yang aman, akses terhadap sistem file
haruslah terkendali.
12.4.1 Kontrol operasional software
12.4.2 Perlindungan data pengujian sistem
12.4.3 Kontrol akses ke sumber program
12.5 Keamanan dalam pengembangan dan proses-proses pendukung
Untuk menjaga keamanan dalam proses pengembangan piranti lunak sistem
aplikasi dan informasi.
46
12.5.1 Prosedur perubahan kontrol
12.5.2 Tinjauan teknis aplikasi setelah dilakukan perubahan sistem operasi
12.5.3 Pembatasan perubahan paket software
12.5.4 Kelemahan informasi
12.5.5 Pengembangan piranti lunak yang di outsource-kan
12.6 Manajemen Teknis Kelemahan (Vulnerablity)
Untuk mengurangi risiko organisasi dari kelemahan-kelemahan teknis yang
dimiliki oleh sistem informasi (vulnerablity) yang dimiliki.
12.6.1 Kontrol terhadap teknis kelemahan (Vulnerablity)
Klausul 13. Manajemen Kejadian Keamanan Informasi
13.1 Pelaporan Kejadian dan Kelemahan Keamanan Informasi
Bertujuan untuk mengurangi risiko yang disebabkan oleh terpublikasinya
teknik-teknik kelemahan (vulnerability) yang dimiliki
13.1.1 Pelaporan kejadian keamanan informasi
13.1.2 Pelaporan kelemahan keamanan
13.2 Manajemen kejadian Keamanan Informasi dan Pengembangannya
Bertujuan untuk memastikan konsistensi dan keefektifitasan pendekatan yang
diaplikasikan ke dalam manajemen kejadian keamanan informasi
13.2.1 Tanggung jawab dan prosedur
13.2.2 Belajar dari kejadian keamanan informasi
13.2.3 Pengumpulan bukti
Klausul A.14 Manajemen Kelangsungan Bisnis
14.1 Aspek keamanan informasi dalam manajemen kelangsungan bisnis
Bertujuan untuk menghadapi kemungkinan penghentian kegiatan usaha dan
melindungi proses usaha yang kritis dari akibat kegagalan atau bencana
14.1.1 Memasukkan keamanan informasi dalam proses manajemen
kelangsungan bisnis
14.1.2 Kelangsungan bisnis dan penilaian risiko
47
14.1.3 Pembangunan dan implementasi rencana kelangsungan yang di
dalamnya meliputi keamanan informasi
14.1.4 Kerangka kerja rencana kelangsungan bisnis
14.1.5 Pengujian, pemeliharaan dan pengkajian ulang rencana kelangsungan
bisnis
Klausul A.15 Kepatuhan
15.1 Kepatuhan terhadap Persyaratan Legal Hukum
Untuk menghindari pelanggaran terhadap hukum pidanan maupun hukum
perdata, perundangan, peraturan atau kewajiban kontrak serta ketentuan
keamanan lainnya.
15.1.1 Identifikasi perundangan yang dapat di aplikasikan
15.1.2 Hak Kekayaan Intelektual (HKI)
15.1.3 Perlindungan dokumen organisasi
15.1.4 Perlindungan data dan kerahasiaan informasi personal
15.1.5 Pencegahan penyalahgunaan fasilitas pemrosesan informasi
15.1.6 Peraturan kontrol kriptografi
15.2 Kepatuhan Kebijakan Keamanan, Standar dan Kepatuhan Teknik
Bertujuan untuk memastikan kesesuaian
15.2.1 Kepatuhan dengan kebijakan keamanan dan standar
15.2.2 Pemeriksaan kepatuhan teknik
15.3 Audit Sistem Informasi
Bertujuan untuk memaksimalkan efektivitas dan untuk meminimalisir gangguan
dari atau ke pemeriksaan Sistem Informasi
15.3.1 Kontrol audit sistem informasi
15.3.2 Perlindungan terhadap perangkat audit sistem informasi
Domain berdasarkan klausul ISO 27001:2005 yang membantu dalam
proses pemetaan dalam kebutuhan dan proses bisnis perusahaan.
48
2.5 Mapping/Pemetaan ISO 27002:2005 dengan COBIT 4.1
Mapping atau pemetaan dilakukan atas dasar untuk mengetahui
perbandingan antar setiap proses pada standar framework keamanan informasi.
Standar framework ini memiliki bagian-bagian proses yang lebih rinci dan
mendalam dibanding yang lainnya, sehingga melalui pemetaan juga dapat saing
melengkapi antar framework yang ingin digunakan. Framework COBIT
digunakan sebagai standar dalam menentukan business dan IT goals serta
penghitungan tingkat kematangan/maturity level.
Tabel 2.7 Gambaran Kualitatif Cakupan ISO 27002:2005 pada COBIT 4.1
High-level Mapping ISO 27002:2005 with COBIT 4.1
Proses dan Domain COBIT 4.1
1 2 3 4 5 6 7 8 9 10 11 12 13
PO - o o + - + + - + - \ \ \
AI o o o - - o o \ \ \ \ \ \
DS - o - + + - - o o - + + O
ME - + + - \ \ \ \ \ \ \ \ \ (Sumber: ITGI, 2005)
Keterangan:
(+) Kecocokan signifikan (lebih dari 30 persyaratan yang dipetakan pada sebuah
proses COBIT 4.1)
(o) Kecocokan lebih kecil (antara 15 sampai 29 persyaratan yang dipetakan)
(-) Fokus yang tidak terkait (kurang dari 15 persyaratan yang dipetakan)
(\) Tidak ada proses COBIT 4.1
Tabel 2.7 menunjukkan bahwa ISO/IEC 27002:2005 melakukan hampir
66 persen (65,4%) dari proses pada seluruh domain COBIT 4.1. Hal ini
menunjukkan ISO/IEC 27002:2005 mempunyai spektrum luas dalam pengelolaan
TI sebagaimana halnya COBIT 4.1, namun ISO/IEC 27002:2005 tidak sedalam
COBIT 4.1 dalam hal detail proses-proses yang dilakukan dalam domain-domain
tersebut, namun memiliki fokus lebih mendalam terhadap keamanan. Tabel 2.8
adalah high-level mapping dari ISO/IEC 27002:2005 dengan COBIT 4.1.
Tabel 2.8 High-level Mapping ISO/IEC 27002:2005 dengan COBIT 4.1
Domain COBIT ISO/IEC 27002:2005
Plan and Organize (PO)
49
PO1 -
PO2 7.1, 7.2, 10.7, 10.8, 11.1
PO3 5.1, 6.1, 10.3, 10.8, 11.7, 14.1
PO4 6.1, 6.2, 7.1, 8.1, 8.2, 9.1, 9.2, 10.1, 10.6, 15.1, 15.2
PO5 5.1, 13.2
PO6 5.1, 6.1, 6.2, 7.1, 8.1, 8.2, 8.3, 9.1, 9.2, 10.7, 10.8, 10.9,
11.1, 11.3, 11.7, 12.3, 13.2, 15.1, 15.2
PO7 8.1, 8.2, 8.3
PO8 6.1, 6.2, 12.5
PO9 5.1,13.1, 14.1
PO10 -
Acquire and Implement (AI)
AI1 6.1, 8.2, 10.1, 10.3, 11.6, 12.1
AI2 6.1, 7.2, 10.3, 10.10, 11.6, 12.1, 12.2, 12.3, 12.4, 12.5,
13.2, 15.3
AI3 9.1, 9.2, 10.1, 12.1, 12.4, 12.5, 12.6
AI4 10.1, 10.3, 10.7, 13.2
AI5 6.1, 6.2 10.8, 12.5
AI6 10.1, 11.5, 12.5, 12.6
AI7 6.1, 8.2, 9.1, 10.1, 10.3, 12.4, 12.5
Deliver and Support (DS)
DS1 10.2
DS2 6.2, 8.1, 10.2, 10.8, 12.4, 12.5, 15.1
DS3 10.3
DS4 6.1, 10.5, 14.1
DS5 5.1, 6.1, 6.2, 8.1, 8.2, 8.3, 9.1, 9.2, 10.1, 10.4, 10.6, 10.7,
10.8, 10.9, 10.10, 11.1, 11.2, 11.3, 11.4, 11.5, 11.6, 11.7,
12.2, 12.3, 12.4, 12.6, 13.1, 13.2, 15.1, 15.2, 15.3
DS6 -
DS7 8.2
DS8 13.1, 13.2, 14.1
DS9 7.1, 7.2, 10.7, 11.4, 12.4, 12.5, 12.6, 15.1
DS10 13.2
DS11 9.2, 10.5, 10.7, 10.8, 12.4, 15.1
DS12 6.2, 9.1, 9.2
DS13 9.2, 10.1, 10.7
Monitor and Evaluate (ME)
ME1 10.10
ME2 5.1, 6.1, 6.2, 10.2, 10.10, 15.2, 15.3
50
ME3 6.1, 15.1, 15.2
ME4 5.1, 6.1, 10.10
(Sumber: ITGI, 2005)
2.6 Maturity Level
Mekanisme IT Governance dapat berjalan secara efektif dan sejalan
dengan strategi bisnis yang telah ditetapkan, diperlukan suatu pengembangan
teknologi informasi yang terukur dengan baik dan memiliki tahapan kematangan
tertentu. Nilai level kematangan apabila digunakan, maka sebuah perusahaan atau
organisasi dapat mengukur posisi kematangannya dalam pengembangan teknologi
informasi serta menentukan prioritas perbaikan dan peningkatan sampai pada
tingkat tertinggi agar aspek IT Governance dapat berjalan secara efektif dan
sejalan dengan strategi bisnis yang telah ditetapkan (Pederiva, 2003 dan
Tanuwijaya dan Sarno, 2010). Tujuan pengukuran nilai maturity level dijelaskan
pada poin selanjutnya seperti dibawah ini:
1. Menumbuhkan kepedulian (awareness).
2. Melakukan identifikasi kelemahan (weakness).
3. Melakukan identifikasi kebutuhan perbaikan (improvement).
Teknik pengukuran dalam maturity level menggunakan beberapa
pernyataan dimana setiap pernyataan dapat dinilai tingkat kepatutannya dengan
menggunakan standar penilaian.
2.6.1 System Security Engineering Capability Maturity Model (SSE-CMM)
SSE-CMM versi 3 adalah versi terbaru dan dikembangkan pada Juni 2003.
Model SSE-CMM berasal dari Software Enginering Institute CMM (SW-CMM)
dan System Engineering (SE-CMM). SSE-CMM adalah Capability Maturity
Model (CMM) untuk System Security Engineering (SSE). CMM adalah kerangka
untuk mengembangkan proses, seperti proses teknis baik formal maupun
informal. SSE-CMM sebagai pengukuran kematangan terdiri dari dua bagian
dipaparkan poin berikut ini antara lain:
1. Model untuk teknik keamanan proses, proyek dan organisasi, dan
2. Metode penilaian untuk mengetahui kematangan proses.
51
Metode penilaian SSE-CMM dengan tingkat kematangan digunakan untuk
menilai kematangan proses tetapi bukan kualitas output. SSE-CMM dapat
diterapkan dalam tiga cara, yaitu:
1. Peningkatan proses, yang dipenuhi dengan mencapai tingkat kemampuan
yang lebih tinggi.
2. Tingkat kemampuan, dimana konsumen yang mencari tingkat kemampuan
dari organisasi untuk menyediakan konsumen dengan produk atau jasa
yang sesuai dipenuhi dengan evaluasi kemampuan.
3. Garansi, dipenuhi dengan menyediakan bukti bahwa proses telah
mencapai kematangan yang ditentukan.
SSE-CMM mempunyai lima tingkat kemampuan untuk menunjukkan
tingkat kematangan proses seperti pada Gambar 2.6.
0
Tidak
Dilakukan
1
Dilakukan
Informal
2
Planned &
Tracked
3
Didefinisikan
dengan Baik
4
Dikendalikan
Scr Kuantitatif
5
Di tingkatkan
Terus-menerus
Best
Practice
Berkomitmen
merencanakan
Dicipline
Tracking
Verification
Definisikan
proses standar
menggunakan
data;
Menjalankan
proses yang
sudah di
definisika
n
Menentukan
tujuan kualitas;
Menentukan
kapabilitas
proses yang
dituju;
Mengelola
kinerja dengan
objektif
Menentukan
tujuan
efektifitas
proses
kuantitatif;
Meningkatkan
efektifitas
proses
Gambar 2.6 Tingkat Kemampuan dari Kematangan SSE-CMM
Tingkat 0 menandakan tidak semua praktik dasar dilakukan. Tingkat 1
menandakan semua praktik dasar dilakukan namun secara informal. Informal
berarti tidak ada dokumentasi, tidak ada standar dan secara terpisah-pisah. Semua
praktik dasar dalam area proses harus dilakukan agar dapat dianggap
diimplementasi oleh organisasi.
52
Proses pada tingkat 1 umumnya hanya dilakukan pada satu proyek. Ketika
proses mencapai tingkat yang lebih tinggi, proses mulai didokumentasi,
dimonitor, dilacak dan dilaksanakan pada seluruh organisasi. Tingkat 1 dan 2
berhubungan pada proyek tertentu, sedangkan tingkat 3 sampai 5 berhubungan
dengan praktik seluruh organisasi. Semua fitur umum pada tingkat kemampuan
harus dipenuhi sebelum tingkat kemampuan dicapai. Cara kerja metode SSE-
CMM sendiri dengan memberikan skor penilaian pada setiap area proses yang
dipilih dengan kisaran 0 sampai 5 untuk setiap area proses.
2.6.2 Pembobotan
Penilaian terhadap setiap pernyataan kontrol yang telah ditentukan perlu
diberikan bobot sesuai dengan panduan implementasi ISMS. Pembobotan yang
digunakan mengadopsi dari penilaian risiko. Menurut Sarno dan Iffano (2009:89)
dalam hubungannya dengan ISMS, risiko adalah dampak yang ditimbulkan atas
terjadinya sesuatu yang mengancam keamanan informasi di organisasi, yang
dimaksud adalah ancaman terhadap aspek keamanan informasi yaitu CIA
(Confidentiality, Integrity, Availability).
Setiap pernyataan akan diberikan bobot sesuai dengan nilai risiko yang
akan terjadi apabila tidak diterapkan. Metode kualitatif digunakan untuk
menghitung nilai risiko yang ditentukan dengan range sebagai berikut.
1. Low Risk (Risiko yang diterima kecil)
2. Medium Risk (Risiko yang diterima sedang)
3. High Risk (Risiko yang diterima tinggi)
Dengan nilai rerata probabilitasnya antara lain: Low (0,1 – 0,3), Medium
(0,4 – 0,6) dan High (0,7 – 1,0).