BAB 2 LANDASAN TEORI - library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab2/THESIS HAMAMI...
Transcript of BAB 2 LANDASAN TEORI - library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab2/THESIS HAMAMI...
9
BAB 2
LANDASAN TEORI
2.1 Sistem informasi
Sistem informasi merupakan sistem buatan yang pada umumnya terdiri
dari komponen-komponen berbasis komputer yang saling berhubungan dan
komponen manual yang memiliki proses mengumpulkan, mengelola data,
menyimpan, dan menyediakan keluaran berupa informasi kepada user
(Gelinas, Dull, Wheeler, 2012:14). Sedangkan menurut O’brien (2005, p29),
sistem merupakan kumpulan komponen yang berinteraksi dan bekerja sama
untuk mencapai suatu tujuan dengan menerima masukan (input) dan
menghasilkan keluaran (output) dalam proses transformasi yang terstruktur.
Dari definisi-definisi di atas dapat ditarik kesimpulan bahwa sistem
informasi merupakan suatu sistem terpadu dalam pengelolaan data yang
menggabungkan sumber daya manusia dan teknologi untuk menghasilkan
suatu informasi.
2.2 Keamanan Informasi
2.2.1. Definisi Keamanan Informasi
Informasi merupakan salah satu aset yang perlu dilindungi karena berisi
data-data penting bagi suatu pihak sehingga keamanan informasi diperlukan.
Menurut Gordon B. Davis (1974) informasi merupakan suatu data yang sudah
diolah di mana data tersebut berisi hal penting bagi penerimanya dan
memiliki nilai nyata yang dapat dirasakan dalam berbagai keputusan baik
10
sekarang ataupun yang akan datang. Sedangkan menurut Burch (1974),
informasi merupaka kumpulan dari data yang telah diolah untuk memberikan
pengetahuan yang berguna. Dari beberapa definisi tersebut dapat ditarik
kesimpulan bahwa informasi merupakan kumpulan data yang telah diolah
menjadi suatu informasi yang penting bagi penerimanya sehingga diperlukan
perlindungan melalui sistem keamanan informasi.
Keamanan informasi bertujuan untuk melindungi informasi dari segala
sumber. Terdapat 3 prinsip utama dari keamanan informasi yaitu, kerahasiaan
(confidentiality), ketersediaan (availability), dan integritas (integrity) yang
dapat dijelaskan pada gambar 2.1.
Gambar 2.1 Tiga Prinsip Utama Keamanan Sistem Informasi
Sumber: Syafrizal, 2007
Berikut ini penjelasan dari 3 prinsip utama dari keamanan informasi,
yaitu:
a. Kerahasian: mencegah adanya akses dari pihak yang tidak berhak,
melindungi informasi rahasia dan proprietary.
11
b. Ketersediaan: memastikan informasi bisa diakses dan digunakan setiap
diperlukan.
c. Integritas: menjaga informasi dari adanya perubahan atau perusakan yang
seharusnya tidak terjadi, dan memastikan aspek non repudiation dari
suatu informasi.
Informasi memiliki banyak banyak aspek yang dapat mengancam
keamananya seperti aspek teknis yaitu, virus komputer, pencurian komputer ,
atau penyadapan komunikasi. Keamanan informasi juga dapat terancam oleh
beberapa hal berikut ini:
a. Force Majeure atau bencana alam seperti kebakaran, banjir, dan gempa
bumi yang dapat secara langsung mempengaruhi atau berdampak pada
data atau sistem informasi. sistem informasi, dokumen dan layanan
lainnya mengalami kelumpuhan sehingga tidak lagi tersedia sesuai yang
dibutuhkan.
b. Terjadinya kegagalan ketika meng-update software, aplikasi menjadi
tidak berfungsi dengan baik atau tejadi modifikasi data tampa
sepengetahuan orang yang bertanggung jawab.
c. Karyawan ahli mengalami sakit atau tidak masuk sehingga proses bisnis
penting terhambat.
d. Terjadinya kebocoran informasi rahasia kepada pihak lain.
Oleh karena itu, untuk menjaga keamanan informasi sesuai dengan
prinsip utama (kerahasian, integritas, dan ketersediaan), terdapat beberapa
strategi yang bida dilakukan, yaitu:
a. Physical security
12
Strategi ini bertujuan untuk mengamankan aset-aset fisik, seperti
hardware, karyawan, dan tempat kerja.
b. Personal security
Strategi ini bertujuan untuk mengamankan individu-individu seperti
memberikan engetahuan yang dapat berupa pelatihan atau sosialisasi
mengenai keamanan informasi untuk menciptakan kesadaran pada setiap
individu betapa pentingnya menjaga keamanan informasi.
c. Operation security
Strategi ini bertujuan untuk mengamankan operasional organisasi dari
adanya gangguan yang mengganggu aktivitas operasional.
d. Communication security
Strategi ini bertujuan untuk mengamankan teknologi komunikasi dan
media komunikasi sehingga fungsi komunikasi tetap berjalan dengan
baik.
e. Network security
Strategi ini bertujuan untuk mengamankan jaringan dan infrastruktur
yang digunakan sebagai media keluar masuk informasi perusahaan.
2.3 Manajemen Risiko Keamanan Sistem Informasi
Setiap organisasi atau perusahaan baik bersifat profit atau non-profit, pasti
akan selalu berhadapan dengan berbagai pengaruh dari internal maupun
eksternal yang bisa menimbulkan suatu keadaan yang tidak pasti dimana
keadaan itu dapat mempengaruhi organisasi tersebut untuk mencapai
tujuannya. efek dari ketidakpastian itu disebut risiko. Risiko yang berkaitan
13
dengan informasi merupakan frekuensi atau seberapa sering terjadi dan
kemungkinan besarnya kehilangan kerahasian, ketersediaan, integritas, atau
akuntabilitas pada masa depan (Wheeler, 2011).
Elemen-elemen penting dalam keamanan informasi seperti kerahasian,
keakuratan, dan ketersediaan harus diperhatikan karena sangat dimungkinkan
dapat terjadi risiko. Dengan adanya risiko, keamanan sistem informasi perlu
dijaga agar proses bisnis perusahaan tetap berjalan. Oleh karena itu diperlukan
suatu pendekatan sistematis terhadap keamanan sistem informasi untuk
mengidentifikasi kebutuhan perusahaan dan menciptakan Sistem Manajemen
Keamanan Informasi (SMKI) yang efektif dan prefentif.
2.3.1. Risiko
Menurut ISO (ISO Guide 73:2009, p9) risiko merupakan suatu efek
ketidakpastian dalam mencapai suatu tujuan, dimana:
a. Efek yang timbul dalam bentuk positif atau negatif merupakan
penyimpangan dari sesuatu yang diharapkan.
b. Tujuan dapat berhubungan dengan beberapa aspek (seperti finansial,
lingkungan, dan kesehatan dan keselamatan kerja) dan bisa diterapkan
melalui tingkatan yang berbeda (seperti strategi, proyek,organisasi secara
menyeluruh, serta produk dan proses).
c. Bentuk dari risiko yang sering diketahui orang yaitu events dan
consequences yang memiliki potensi, atau gabungan dari 2 bentuk
tersebut.
d. seringkali risiko diekspresikan dalam bentuk gabungan antara
consequences dan event serta kemungkinan yang saling berhubungan.
14
e. ketidakpastian merupakan keadaan yang tidak sempurna dari suatu
informai yang saling berhubungan, pengetahuan atau pemahaman,
terhadap suatu kejadian (event), konsekuensi (consequence), atau
kemungkinan (likelihood).
ISO juga menuturkan bahwa risiko bisa menjadi sebuah kesempatan
(opportunity) jika dikelola dengan baik sebaliknya, risiko dapat menjadi
sebuah ancaman (threat) jika tidak di kelola dengan baik. Sedangkan menurut
David Vose (2000) risiko didefinisikan sebagai "kejadian secara acak yang
kemungkinan terjadi, di mana jika terjadi, akan memberikan efek negatif atau
tidak baik dari kejadian acak tersebut".
Berdasarkan beberapa definisi di atas dapat ditarik kesimpulan bahwa
definisi risiko merupakan suatu kondisi yang terjadi karena ketidakpastian
dengan seluruh konsekuensi yang bila dikelola dengan baik dapat menjadi
kesempatan dan sebaliknya bisa menjadi ancaman.
menurut kategorinya, risiko dapat dibedakan ke dalam beberapa
kagtegori, dilihat dari obyek yang terkena dampak dari risiko tersebut,
diantaranya sebagai berikut:
a. Strategic Risk, merupakan risiko yang saling terkait dengan keseluruhan
tujuan organisasi, resiko ini berada pada tingkatan tertinggi organisasi
dan bisa menyebabkan munculnya berbagai jenis resiko lainnya.
b. Compliance Risk, merupakan jenis risiko dari sanksi hukum, kerugian
keuangan, atau rusaknya reputasi dari suatu organisasi atau perusahaan
yang mungkin dapat terjadi sebagai akibat dari tidak patuhnya
perusahaan tersebut terhadap peraturan, regulasi, standar regulasi
15
organisasi hukum, dan codes of conduct yang terdapat di setiap aktivitas
perusahaan.
c. Financial Risk, merupakan risiko yang berpengaruh pada reputasi
perusahaan di mata publik. risiko ini berhubungan dengan business
practice organisasi yang bisa menyebabkan penurunan pendapatan dan
pelanggan. reputasi ini juga bisa terjadi karena perusahaan tidak bisa
mengelola berbagai risiko yang lain secara efektif.
d. Operational Risk, terjadi karena ada ketidaksesuaian sistem yang tengah
berjalan, baik pada proses internalnya, orang-orangnya, serta sistem
teknologinya.
Fungsi umum yang digunakan untuk menghitung risiko adalah
RISK = Probability x Impact,
di mana probability merupakan kemungkinan suatu kejadian dan impact
merupakan dampak apabila hal tersebut terjadi.
2.3.2. Manajemen Risiko
Setiap aktivitas dari suatu organisasi atau perusahaan memiliki risiko.
Perusahaan mengelola risiko dengan cara melakukan antisipasi dan
memahami risiko yang kemungkinan terjadi. Menurut ISO (2009) manajemen
risiko adalah aplikasi sistematik dalam kebijakan pengelolaan, prosedur, dan
langkah-langkah dalam aktivitas komunikasi, konsultasi, menentukan ruang
lingkup, serta mengidentifikasi, menganalisa, mengevaluasi, memperlakukan,
memantau, dan meninjau risiko. Menurut carol woody (2006) manajemen
risiko merupakan suatu proses berulang yang terdiri dari proses: identifikasi,
analisa, perencanaan, implementasi, kontrol, dan pengawasan terhadap
16
kebijakan. Sedangkan menurut Emmet J. Vaughan dan Therese Vaughan
(2008) manajemen risiko merupakan “Pendekatan ilmiah untuk menghadapi
risiko murni dengan mengantisipasi kemungkinan kerugian yang tidak
disengaja dan mengimplementasikan prosedur yang meminimalisasi
terjadinya kerugian atau efek finansial dari kerugian yang terjadi”.
Proses manajemen risiko terdiri dari 4 tahap (Gallagher, 2012), yaitu:
1. Memetakan risiko
2. Menilai Risiko
3. Respon terhadap risiko
4. Pemantauan risiko
Manajemen risiko dapat diaplikasikan ke dalam keseluruhan organisasi,
di berbagai level dan area, fungsi, proyek, dan aktivitas tertentu. Manajemen
risiko juga memiliki berbagai bentuk strategi, tergantung pada jenis risiko dan
bisnis organisasi salah satunya dalam pengelolaan keamanan sistem
informasi.
Untuk mengelola risiko tersebut agar berjalan dengan efektif, diperlukan
standar dan kerangka kerja manajemen risiko keamanan sistem informasi,
salah satunya dengan SNI ISO 27001:2009 yang merupakan versi terjemahan
dari ISO/IEC 27001:2005. Di dalam standar ini, manajemen risiko
disempurnakan oleh pengembangan manajemen risiko, yang mana aset,
ancaman, dan kerentanan diidentifikasi dan mengukur risiko yang sepadan.
Dalam mendukung strategi manajemen risiko, dibutuhkan empat prinsip
dasar (Jones, 2007), yaitu:
1. Koordinasi
17
Apabila risiko telah diidentifikasi, hal itu dapat memungkinkan
berdampak terhadap bagian lain dalam organisasi atau perusahaan.
Diperlukan orang yang bertanggung jawab atas risiko tersebut untuk
diberikan kekuasaan dalam mengkoordinasikan setiap risiko yang
terjadi pada beberapa area yang berkaitan.
2. Kredibilitas
Pendekatan manajemen risiko sebisa mungkin berkualitas, kapabilitas
dan memiliki kekuatan untuk terus mendukung strategi manajemen
risiko dan ancaman yang berpotensi serta kerentanan seharusnya dapat
ditangani sebelum muncul dampaknya. Dalam mengambil tindakan
dipikirkan agar biaya berimbang dengan dampak potensial.
3. Efektivitas
Pendekatan manajemen risiko harus dapat mencakup semua aspek dari
proses. Pendekatan ini dibangun dari praktek yang berlaku umum (best
practices) dan harus berlaku bagi pengawas internal dan eksternal.
4. Transparansi
Proses manajemen risiko membutuhkan keterbukaan dari semua pihak
yang terlibat agar manajemen risiko dapat berjalan efektif. Pada risiko
yang sudah diidentifikasi, karyawan yang bertanggungjawab atau
karyawan yang terkait harus diberikan akses pada informasi terkait
sesuai dengan kebutuhan organisasi.
Dalam menjalankan strategi manajemen risiko keamanan sistem
informasi diperlukan kerangka risiko (Jones, 2007). Kerangka ini dapat
dijelaskan dalam siklus model plan-do-check-act (PDCA).
18
Gambar 2.2 Siklus PDCA pada ISO 27001
Sumber: A.T. Kearney Analysis, 2013
2.3.3. Identifikasi Risiko
Identifikasi risiko merupakan salah satu kegiatan penting dalam
manajemen risiko. Proses identifikasi dan pemetaan risiko diperlukan
perusahaan untuk memahami risiko bisnisnya dan kemudian dapat membuat
mitigasinya. Dalam membuat daftar hasil identifikasi risiko tidak ada cara
baku sehingga masing-masing perusahaan memiliki caranya sendiri.
Dalam memetakan risiko ini bertujuan untuk menghasilkan strategi
manajemen risiko yang dapat menunjukkan bagaimana organisasi bermaksud
menilai risiko, merespon risiko, dan memantau risiko (Gallagher, 2012).
Identifikasi risiko terdiri dari 5 hal, yaitu:
1. Kepatuhan terhadap standar dan regulasi
19
Setiap perusahaan memiliki suatu aturan atau regulasi yang harus
dipatuhi. Aturan yang relevan harus diidentifikasi dan persyaratannya
harus dipahami.
2. Identifikasi aset dan proses
Identifikasi aset dan proses dilakukan untuk melihat elemen mana
saja yang akan menjadi subjek penilaian risiko. Identifikasi ini
mencakup dari aset berwujud (tangible assets) dan aset tak berwujud
(intangible assets). Jika perusahaan menggunakan teknologi
informasi dalam operasinya, maka perlu menangkap pemahaman
komprehensif akan lingkungan operasi bisnis. Cara yang dapat
dilakukan untuk menangkap dan merekam sumber daya, lokasi,
konfigurasi perangkat keras dan lunak, antar muka dan saling
ketergantungan adalah dengan melakukan survey.
3. Pemetaan lingkungan teknologi informasi
Pemetaan lingkungan teknologi informasi bertujuan untuk
memperoleh pemahaman akan infrastruktur teknologi informasi di
perusahaan agar dapat mengidentifikasi secara keseluruhan
kebutuhan keamanan informasi. Cakupan dari pemetaan ini antara
lain infrastruktur yang mendukung fungsi-fungsi bisnis dan kebijakan
keamanan, standar, dan prosedur yang sedang digunakan. Teknologi
informasi terkait dengan hukum dan persyaratan yang telah diatur
juga perlu dikaji dalam proses ini.
4. Identifikasi risiko
20
Identifikasi risiko dilakukan dengan tujuan untuk mengetahu
informasi yang memadai agar dilakukan perhitungan dari setiap
ancaman (threat) dan kerentanan (vulnerabilities) yang telah
teridentifikasi. Nilai tersebut berdasarkan kemungkinan dari ancaman
mengeksploitasi kerentanan dan tingkat dampak yang muncul dari
ancaman tersebut yang terdapat pada sistem. Terdapat 3 definisi yang
menggambarkan dari dampak, yaitu kerahasian (confidentiality),
integritas (integrity), dan ketersediaan (availibility).
5. Kepemilikan risiko
Kepemilikan risiko merupakan orang yang bertanggung jawab
terhadap suatu risiko. Orang ini memastikan agar strategi
penanggulangan risiko telah memadai dan memiliki kuasa untuk
memastikan tindakan yang tepat telah dilakukan.
2.3.4. Penilaian Risiko
Penilaian risiko dilakukan dengan membentuk hubungan antara kualitatif
dan kuantitatif dari risiko-risiko yang sudah teridentifikasi. Hal-hal yang
berkaitan dengan penilaian risiko adalah sebagai berikut:
1. Peremcanaan pengurangan risiko
a. Evaluasi atas pilihan dan identifikasi solusi yang diharapkan
b. Prioritas terhadap tindakan
c. Pembuatan dan penerapan suatu rencana aksi keamanan
d. Review kebijakan dan prosedur
e. Pembangunan rencana manajemen krisis
f. Pembangunan rencana komunikasi
21
g. Pengembangan rencana pemulihan setelah krisis
2. Pemodelan risiko
Pemodelan risiko bertujuan untuk menyajikan aspek keamanan
informasi organisasi untuk mengeksplorasi sistem dengan
menggunakan pertanyaan what-if-scenario.
3. Pengujian
Pengujian bertujuan untuk mengetahui apakah perencanaan maupun
prosedur yang sudah dirancang dapat memberikan hasil sesuai
harapan. Dalam tahap ini juga dilakukan ulasan atau review mengenai
implementasi perencanaan, merumuskan kembali perencanaan, dan
melakukan kembali rencana tersebut.
Penilaian risiko merupakan bagian penting dari manajemen risiko dan
berhubungan dengan mengidentifikasi serta menilai tingkat risiko bagi
perusahaan. Menurut Peltier (2009), penilaian risiko merupakan serangkaian
proses untuk menidentifikasi ancaman secara sistematis dan menentukan
tingkat risiko berdasarkan metode spesifik. Dengan mengetahui tingkat risiko,
perusahaan dapat mengidentifikasi pengukuran engendalian untuk
mengurangi risiko yang dapat diterima. Penilaian risiko memiliki empat
tahapan utama, yaitu mengidentifikasi ancaman terhadap misi organisasi,
memprioritaskan ancaman tersebut ke tingkat risiko, mengidentifikasi
mitigasi kontrol atau perlindungan, dan membuat rencana aksi untuk
menerapkan kontrol-kontrol yang meringankan risiko.
Dalam melakukan prses penilaian risiko dilakukan analisis risiko dan
evaluasi risiko. Analisis risiko merupakan pendekatan sistematis yang
22
menaksirkan besarnya risiko. Sedangkan evaluasi risiko merupakan proses
membandingkan estimasi risiko terhadap kriteria risiko untuk menentukan
signifikansi risiko (ISO/IEC 17799:2005).
2.3.5 Analisis Risiko
Dalam mengukur risiko keamanan merupakan pekerjaan yang sulit, yang
hampir tidak mungkin dilakukan secara akuraat, untuk sebuah sistem
informasi (Munteanu, 2006). dalam literatur keamanan informasi, pengukuran
dapat dilakukan dengan metode kuantitatif dan kualitatif. Dalam metode
kuantitatif terdapat tahapan penilaian aset-aset. Dalam memperoleh nilai ini,
aset non-physical seperti informasi atau database memiliki peluang
munculnya penilaian yang sujektif. Karena dalam penilaian tersebut, terdiri
dari beberapa elemen yang harus ditaksir, diantaranya nilai dari kompetitis
aset, biaya perangkat lunak, biaya untuk melindunginya, dan lain sebagainya.
Sedangkan pada metode kualitatif untuk memperolek nilai atau fakta,
digunakan kuisioner melalui estimasi secara statisktik dengan tinkatan-
tingkatan penilaian seperti rendah, sedang, tinggi, sehingga ditemukan
kesulitan dalam menghitung kerugian finansial jika hanya berdasarkan
asumsi.
Menurut Mazareanu (2007), pendekatan kualitatif sangat didominasi oleh
pengukuran yang subjektif, sesangkan pada pendekatan kuantitatif dapat
menghilangkan sifat subjektif yang ada, sehingga akan lebih ojketif
dibandingkan metode kualitatif.
Sebaiknya dilakukan pengukuran dengan menggunakan kedua metode
baik kuantitatif dan kualitatif agar didapatkan hasil yang lebih maksimal.
23
2.3.6 Penanggulangan Risiko
Penanggulangan risiko setelah berhasil diidentifikasi memiliki empat
cara, yaitu sebagai berikut:
1. Penghindaran risiko
Penghindaran risiko merupakan tidak melakukan aktivitas apapun
yang memungkinkan adanya risiko. Dengan menghindari semua
risiko, berarti membatasi seluruh fungsional sistem atau menghindari
timbulnya biaya tambahan bila risiko diterima.
2. Pengurangan risiko
Pengurangan risiko merupakan melakukan aktivitas yang dapat
mengurangi akibat atau dampak dari risiko.
3. Penerimaan risiko
Penerimaan risiko merupakan perlakuan dimana risiko dari suatu
kejadian dapat diterima. Penerimaan risiko dapat menjadi layak
diterima ketika memiliki dampak atau kemungkinan yang kecil, atau
biaya untuk menaggulanginya lebih kecil dibanding dampak yang
dihasilkan.
4. Pengalihan risiko
Pengalihan risiko merupakan perlakuan yang mengalihkan risiko ke
pihak lain. Contoh pengalihan risiko adalah asuransi.
Menurut Krutz (2003), dengan menggunakan kontrol keamanan
informasi, diharapkan akan mampu meredam risiko yang ada, dimana kontrol
akan memiliki fungsi sebagai berikut:
1. Kontrol pencegahan
24
Kontrol ini berfungsi melakukan pencegahan dari upaya-upaya
melanggar kebijakan dan aturan keamanan informasi.
2. Kontrol pendeteksi
Kontrol ini berfungsi melakukan peringatan adanya pelanggaran yang
terjadi sebagai upaya pelanggaran kebijakan atau aturan keamanan
informasi. Beberapa kontrol pendeteksi bersinggungan dengan
kontrol pencegahan karena sebuah kontrol dapat digunakan sebagai
pencegahan untuk masa depan, dan deteksi untuk kejadian saat ini.
3. Kontrol koreksi
Kontrol yang berfungsi untuk melakukan pemulihan dari dampak
yang telah ditimbulkan oleh terjadinya risiko.
2.3.7 Monitoring dan Pelaporan Risiko
1. Monitoring risiko
Merupakan aktivitas pemantauan yang dilakukan pihak internal
dalam tiap jangka waktu tertentu. Aktivitas ini dapat berupa
identifikasi risiko baru yang mungkin terjadi, pengelolaan
dokumentasi atas accidents dan incidents yang berpengaruh terhadap
sistem informasi, pendeteksian perubahan atas risiko yang telah
teridentifikasi, menyediakan peringatan atas kerentanan dan insiden,
dan mengelola rencana manajemen risiko.
2. Pelaporan
Pelaporan yang efektif menyediakan informasi yang terpercaya dan
relevan bagi para pembaca agar pembaca memperoleh pemahaman
25
yang cukup mengenai risiko yang mengancam organisasi. Kemudian,
dari laporan tersebut digunakan untuk pengambil keputusan.
2.4 Standar dan Kerangka Kerja Keamanan Informasi
Pengelolaan keamanan informasi yang baik dan efektif adalah di mana
suatu organisasi memperhitungkan seluruh proses baik operasional dan
organisasional termasuk pihak yang terkait dengan keamanan informasi.
Hingga saat ini sudah berbagai standar dan kerangka kerja mengenai keamanan
informasi telah dikembangkan di mana menitikberatkan pada target atau area
subyek. Berbagai organisasi, perusahaan, dan pemerintahan menggunakan
standar keamanan informasi untuk meningkatkan keamanan mereka dan
memudahkan mereka dalam menentukan prosedur dan bentuk keamanan yang
harus dijalankan. Dalam penelitian ini, kerangka kerja yang digunakan adalah
International Organization for Standardization (ISO) untuk keamanan sistem
informasi, yaitu SNI ISO 27001:2009.
2.4.1 ISO 27000 Information Security Management System
ISO dan IEC (International Electrotechnical Commission) bersepakat
dalam mengembangkan standar keamanan informasi seri 2700x, diantaranya
sebagai berikut (Tofan, 2010):
1. ISO 27000:2009 - Information Security Management System - Overview and
vocabulary
2. ISO 27001:2005 - Information Security Management System - Requirements
3. ISO 27002:2005 – Code of Practise for Information Security Management
System
26
4. ISO 27003:2010 – Information Security Management System Implementation
Guidance
5. ISO 27004:2009 – Information Security Management System Measurement
6. ISO 27005:2008 – Information Security Risk Management System
7. ISO 27006:2011 – Requirements for Bodles Providing Audit and
Certification of Informastion Security Management System
8. ISO 27007:2011 – Guidelines for Information Security Management System
Auditting (Focused on the Management System).
9. ISO 27008:2011 – Guidance for Auditors on ISMS Controls (Focused on
Information Security Controls)
10. ISO 27010:2011 – Information Technology – Security Techniques –
Information Security Management for Inter-sector and Inter-Organizational
Communications
11. ISO 27011:2008 – Information Security Management Guidelines for
Telecommunication Organizational based on ISO/IEC 27002.
12. ISO 27013:2015 – Guideline on the Integrated implmentation of ISO/IEC
20000-1 and ISI/IEC 27001
13. ISO 27014 : Information Security Governance Framework
14. ISO 27015 : Information Security Management Guidelines for the Finance
and Insurances Sectors
15. ISO 27016 – Information Security Management – Organiozational
Economics [DRAFT]
16. ISO 27017 – Security in Cloud Computing [DRAFT]
27
17. ISO 27018 – Code of Practice for Data Protection Controls for Public Cloud
Computing Services [DRAFT]
18. ISO 27019 – Information Security Management Guidelines based on ISO
27002 for Process Control Systems Specific to the Energy Industry [DRAFT]
19. ISO 27031:2011 – Guidelines for Information and Communication
Technology Readiness for Business Cntinuity.
20. ISO 27032:2012 – Guidelines for Cyber Security
21. ISO 27033:2008 – IT Network Security, a Multi-part Standard based on
ISO/IEC 18028:2006
22. ISO 27034:2011 – Guidelines for Application Security (part 1 published rest
in DRAFT)
23. ISO 27033:2011 – Information Security Incident Management
24. ISO 27036 – Information Security for Suppler Realtionship [DRAFT]
25. ISO 27037:2012 – Guidelines for Identification, Collection, Acquisition and
Preservation of Digital Evidence.
26. ISO 27038 – Specification for Digital Redaction [DRAFT]
27. ISO 27038 – Selection, Development and Operations of Intrusion Detection
(and preventation) [DRAFT]
28. ISO 27040 – Storage Security [DRAFT]
29. ISO 27041 – Guidelines for the Analysis and Interpretation of Digital
Evidence [DRAFT]
30. ISO 27042 – Guidelines for the Analysis and Interpretation of Digital
Evidence [DRAFT]
31. ISO 27043 – Digital evidence investigation Principles and Process [DRAFT]
28
32. ISO 27799:2008 – Information Security Management in Health using
ISO/IEC 27002.
Adapun standar pada seri ISO lainnya dijelaskan sebagai berikut:
a. ISO 13335
Standar ISO 13335 merupakan standar yang digunakan untuk Management of
Information and Communications Technology Security. Standar ini berisi
arahan umum untuk menginisiasi dan mengimplementasikan proses
manajemen keamanan teknologi inforkan masi. Standar ini hanya
menyediakan instruksi untuk mengelola keamanan teknologi informasi,
bukan sebagai solusi keamanannya.
b. ISO 27001
ISO 27001 (Information Technology - Security Techniques - Information
Security Management Systems Requirement Spesification) merupakan standar
internasional pertama yang bisa di sertifikasi untuk manajemen keamanan
informasi. Standar ini berisi rekomendasi umum untuk menjalankan dan
meningkatkan dokumentasi manajemen keamana sistem informasi dengan
mempertimbangkan berbagai risiko.
c. ISO 27002
Sebelumnya ISO 27002 dikenal dengan nama ISO 17799:2005 (Information
Technology - Code of Practice for Information Security Management)
memiliki tujuan untuk menentukan kerangka kerja manajemen keamanan
informasi. Standar ini fokus terhadap langkah-langkah yang diperlukan untuk
membangun fungsionalitas sistem manajemen keamanan dan
mengimplementasikannya ke dalam organisasi. rekomendasi dari standar ini
29
khususnya untuk tingkat manajemen dan tidak banyak memiliki informasi
teknis yang spesifik.
d. ISO 27005
ISO 27005 (Information Security Risk Management) merupakan standar yang
berisi rekomendasi umum untuk manajemen risiko keamanan informasi.
Standar ini digunakan untuk mendukung implementasi ISO 27001.
e. ISO 27006
ISO 27006 (Information Technology - Security Techniques - Requirements
for The Accreditation of Bodies Providing Certification of Information
Security Management Systems) berisi penjelasan dari persyaratan yang
dibutuhkan untuk mengakreditasi sertifikasi ISMS dan detail prosesnya
secara spesifik.
2.4.2 National Institute of Standards and Technology (NIST) 800-
30
NIST 800-30 pertama kali dipublikasikan pada tahun 2002 oleh National
Institute of Standards and Technology. Standar ini merupakan publikasi khusus
mengenai Risk Guide for Information Technology System yang menyediakan 30
dasar untuk pengembangan program manajemen risiko yang efektif. Dasar-dasar
ini dapat digunakan untuk menilai dan memitigasi risiko yang teridentifikasi di
dalam suatu sistem teknologi informasi karena mengandung definisi-definisi dan
arahan praktis yang dibutuhkan. NIST 800-30 bertujuan untuk membantu
organisasi dalam mengelola risiko teknologi informasi menjadi lebih baik.
Kerangka kerja ini menyediakan informasi dengan menyeleksi kontrol keamanan
informasi yang efektif secara biaya sehingga dapat digunakan untuk memitigasi
30
risiko untuk memberikan perlindungan bagi informasi penting, sistem informasi,
dan pembawa informasi tersebut.
Dalam NIST 800-30, terdapat 3 aktivitas proses manajemen risiko seperti
gambar berikut:
Gambar 2.3 Proses Manajemen Risiko NIST 800-30
Sumber: Stoneburner, 2002
Dari gambar di atas dapat dilihat tahapan yang dilakukan adalah sebagai
berikut: (Stoneburner, 2002):
a. Penilaian Risiko
Proses ini merupakan proses pertama dalam proses manajemen risiko
menggunakan NIST 800-30. Organisasi menentukan ancaman dan risiko potensial
terkait dengan sistem teknologi informasi menggunakan penilaian risiko. pada
proses ini dilakukan identifikasi, evaluasi dan efek risiko, serta rekomendasi untuk
pengukuran pengurangan risiko.
Terdapat 9 langkah dalam penilaian risiko, yaitu:
31
System Characterization, dalam menilai risiko, perlu ditentukan ruang
lingkup dari sistem yang akan dinilai. pad tahap ini dilakukan juga
identifikasi berbagai batasan dari sistem serta sumberdaya dan informasi
yang berkaitan dengan sistem.
Threat Identification, mengidentifikasi sumber ancaman dan hal-hal lain yang
menjadi penyebab terjadinya ancaman. Penyebab terjadinya ancaman bisa
diakibatkan adanya masalah internal ataupun ekternal.
Vulnerability Identification, tahap ini dilakukan identifikasi sumber
kerentanan serta hal yang menjadi penyebab terjadinya ancaman. Kerentanan
bisa terjadi di dalam perancangan, implementasi, prosedur keamanan sistem,
atau kontrol internal yang dapat disalahgunakan.
Control Analysis, setiap kontrol yang telah atau akan diimplementasikan
perlu untuk dilakukan analisis untuk mengurangi kemungkinan terjadinya
ancaman.
Likehood Determination, menentukan tingkatan dari probabilitas suatu
kelemanan dapat disalahgunakan oleh sumber ancaman. tingkatan ini dibagi
menjadi 3 yaitu High, Medium, dan Low.
Impact Analysis, dampak dari kelemahan yang disalahgunakan dapat
dianalisis dengan mengacu pada tingkat kepentingan sistem dan data, misi
sistem, dan tingkat sensitivitas sistem dan data. Hasil dari tahap ini dapat
dinyatakan dalam 3 tahap tingkatan yaitu High, Medium, dan Low.
Risk Determination, pada tahap ini dilakukan penilain tingkat risiko pada
sistem teknologi informasi. Skala dari risiko dan matrik dari level risiko
32
digunakan untuk melakukan penilaian. Hasil dari tahap ini dapat dinyatakan
dalam 3 tahap tingkatan yaitu High, Medium, dan Low.
Control Recommendation, dua langkah terakhir adalah dengan menetukan
rekomendasi dari kontrol resiko yang relevan dengan aktivitas organisasi di
mana dapat digunakan untuk memitigasi atau menghilangkan risiko yang
teridentifikasi. Hal ini bertujuan untuk menurunkan tingkat risiko sistem
informasi dan datanya ke tingkat yang lebih baik atau dapat diterima.
Results Documentation, langkah terakhir merupakan dokumentasikan hasil
dari keseluruhan tahap.
b. Mitigasi Risiko
Proses selanjutnya setelah penilaian risiko adalah mitigasi risiko. Proses ini terdiri
dari membuat prioritas, mengimplementasikan, dan menjaga pengukuran
pengurangan risiko yang sesuai dengan hasil penilaian risiko. Terdapat 7 tahapan
yang dilakukan dalam proses mitigasi risiko, yaitu sebagai berikut:
Prioritize Action, langkah awal ini dilakukan untuk menentukan prioritas dari
kegiatan yang akan diimplementasikan berdasarkan level risiko yang didapat
dari penilaian risiko. Hasil dari tahapan ini adalah urutan prioritas kegiatan
dari yang tertinggi hingga terendah.
Evaluate Recommended Control Options, pada tahap ini dilakukan analisis
terhadap efektivitas dari rekomendasi kontrol dengan tujuan untuk memilih
kontrol yang sesuai dan berhubungan agar dapat mengurangi risiko.
Conduct Cost-Benefit Analysis, Pada tahap ini dilakukan analisis cost-benefit
dari rekomendasi kontrol yang digunakan untuk membantu pihak manajemen
33
dalam membuat keputusan kontrol apa saja yang akan digunakan dengan
melihat kontrol yang memiliki biaya lebih efektif.
Select Control, setelah dilakukan analisis biaya, langkah selanjutnya yaitu
memilih kontrol-kontrol yang akan dipakai dengan menggabungkan aspek
operasional, kontrol manajemen, dan teknis untuk memastikan keamanan
sistem teknologi informasi dan keamanan perusahaan.
Develop a Safeguard Implementation Plan, Dalam tahap ini dilakukan
pengembangan suatu action plan yang terdiri dari informasi mengenai risiko,
rekomendasi kontrol, prioritas kegiatan, kontrol yang dipilih, sumber daya
yang dperlukan, daftar tanggung jawab personil dan tim, tanggal mulai dan
selesainya implementasi, dan kebutuhan pemeliharaan.
Implement Selected Controls, pada tahap akhir ini implementasi kontrol yang
dipilih telah dilakukan.
c. Evaluating Risiko
Setelah dilakukan dua proses sebelumnya, proses evaluasi dilakukan secara
berkelanjutan dan menjadi kunci untuk menerapkan program manajemen risiko
yang baik.
2.4.3 Control Objective for Information and Related Technology
(COBIT)
COBIT diterbitkan oleh Information Domains Audit and Control
Association (ISACA) IT Government Institute. Kerangka kerja ini digunakan
untuk mengontrol risiko penggunaan teknologi informasi yang digunakan sebagai
pendukung proses bisnis. COBIT merupakan gabungan dokumen dan kerangka
34
kerja yang dikategorisasikan dan diterima sebagai metode yang baik untuk tata
kelola teknologi informasi. Manajemen risiko dibahas khusus pada proses PO9
dalam COBIT. COBIT memiliki kerangka kerja manajemen risiko teknologi
informasi sebagai berikut: (IT Governance Institute, 2005)
a. Penetapan objektif, COBIT menyediakan kriteria informasi yang digunakan
sebagai dasar untuk mendefinisikan obyek teknologi informasi. Terdapat 7
kriteria informasi yaitu effectiveness, confidentiality, efficiency, integrity,
compliances, realibility, dan availability.
b. Identifikasi risiko, proses ini dilakukan untuk mengetahui adanya risiko yang
bisa bersumber dari proses, manusia, teknologi, baik dari dalam maupun dari
luar organisasi, dan bersumber dari bencana, kesempatan, dan ketidakpastian.
c. Penilaian risiko, proses ini digunakan untuk menilai frekuensi terjadinya
risiko dan seberapa besar dampaknya. Dampak dari risiko bisa berbentuk
finansial, kegiatan bisnis terhenti, terjadi penundaan pengambilan keputusan,
menurunnya reputasi yang disebabkan kesalahan sistem, dan kegagalan aset.
d. Respon risiko, proses ini dilakukan untuk menerapkan kontrok objektif yang
sesuai dalam implementasi manajemen risiko. COBIT memiliki beberapa
proses yang sesuai dengan manajemen risiko, yaitu:
a. PO1 (Define a Strategic IT Plan) dan PO9 (Assess and Manage Risk)
b. A16 (Manages Change)
c. DS5 (Ensure System and Security)
d. ME1 (Monitor and Evaluate IT Performance)
e. Monitor risiko, setiap tahap-tahap perlu dipantai agar risiko dan respon
terjamin untuk tetap berjalan.
35
2.4.4 Operationally Critical Threat, Asset, and Vulnerability
Evaluation (OCTAVE)
Kerangka kerja OCTAVE untuk manajemen risiko keamanan informasi
dapat dilihat seperti gambar berikut: (Alberts, 2002)
Gambar 2.4 Kerangka Kerja OCTAVE
Sumber: Alberts, 2002
Aktivitas pada gambar di atas dapat dijelaskan sebagai berikut:
a. Identifikasi, proses ini merupakan perubahan dari ketidakpastian mengenai
penilaian keamanan aset perusahaan terhadap risiko. Aktivitasnya mencakup dari
identifikasi profil risiko (aset kritis, ancaman, kebutuhan keamanan untuk aset
kritis, kebutuhan keamanan, deskripsi mengenai dampak risiko pada perusahaan,
dan komponen infrastruktur utama yang berkaitan dengan aset kritis) dan
identifikasi informasi perusahaan seperti prosedur dan kebijakan keamanan
informasi.
36
b. Analisa, proses ini untuk memprediksikan bagaimana risiko-risiko secara
menyeluruh dan menggunakan prediksi tersebut untuk membuat skala prioritas.
Dalam proses ini juga dilakukan evaluasi risiko (nilai-nilai yang digunakan untuk
pengukur risiko, dampak dan peluang) serta skala prioritas risiko (menerima atau
mengurangi risiko).
c. Perencanaan, proses ini dilakukan untuk menentukan langkah-langkah yang perlu
diambil untuk meningkatkan perlindungan keamanan aset kritis. Langkah yang
dilakukan adalan dengan mengembangkan strategi perlindung, rencana aksi,
rencana mitigasi, kriteria sukses, jadwal, biaya, ukuran-ukuran untuk mengawasi
rencana aksi, dan penetuan tugas setiap personil yang akan menerapkan rencana
aksi.
d. Implementasi, proses ini dilakukan untuk menerapkan aksi yang sudah
direncanakan untuk meningkatkan keamanan sistem sesuai dengan rencana dan
kriteria sukses yang telah diuraikan pada perencanaan risiko.
e. Monitor, langkah ini dilakukan untuk mengawasi rencana aksi yang sedang
berlangsung agar dapat menentukan statusnya dan dilakukan juga peninjauan
ulang data perusahaan sebagai tanda jika ada risiko baru atau perubahan.
f. Kontrol, proses ini dirancang agar personil melakukan adaptasi rencana aksi dan
menentukan kemungkinan yang terjadi apakaha dapat menyebabkan timbul risiko
baru jika dilakukan perubahan kondisi organisasi.
2.5 International Organization for Standarization (ISO) 27001:2009
ISO merupakan badan standar internasional yang mengembangkan dan
mempublikasikan sebuah sistem manajemen untuk menilai mutu organisasi.
37
ISO memiliki kantor pusat di Genewa, Swiss dengan beranggotakan 162 orang
yang mewakili masing-masing negara. Badan Standarisasi Nasional (BSN)
mempublikasikan Standar Nasional Indonesia (SNI) ISO/IEC 27001:2009 yang
diadopsi dari ISO/IEC 27001:2005 dalam rangka mendukung sistem keamanan
informasi bagi lembaga penyelenggara pelayanan publik. Dalam menerapkan
sistem manajemen keamanan informasi (SMKI), ISO 27001 mendefinisikan 11
klausul, 39 objektif kontrol, dan 133 kontrol (Kemenpora, 2012). ISO 27001
dikelompokkan ke dalam kebutuhan pengendalian keamanan yang
digambarkan sebagai berikut:
Gambar 2.5 Kelompok Kebutuhan Pengendalian Keamanan
Sumber: Kemenpora, 2012
Dari beberapa standar dan kerangka kerja keamanan informasi yang
dijelaskan di atas, penulis memilih menggunakan ISO 27001 khususnya SNI
ISO 27001:2009 sebagai standar dan kerangka kerja keamanan informasi pada
38
penelitian ini. ISO 27001 berisi rekomendasi umum untuk menjalankan dan
meningkatkan dokumentasi manajemen keamana sistem informasi dengan
mempertimbangkan berbagai risiko. Standar ISO 27001 dapat disertifikasikan
untuk manajemen keamanan sistem informasi yang bisa digunakan oleh
organisasi atau perusahaan. ISO 27001 memiliki kontrol objek yang dapat
disesuaikan dengan keadaan dan kebutuhan setiap organisasi atau perusahaan
sehingga tidak semua kontrol objek harus diterapkan.
2.5.1. Proses Perancangan Manajemen Keamanan Informasi
Standar ISO 27001:2009 memiliki tujuan sebagai acuan untuk
pembangunan, pengoperasian, pengimplementasian, peninjauan, pengawasan,
pemeliharaan dan perbaikan sistem manajemen keamanan informasi. ISO
27001 menggunakan siklus Plan-Do-Check-Act (PDCA) untuk
menstrukturisasi setiap proses yang digambarkan di bawah ini:
39
Gambar 2.6 Siklus PDCA pada ISO 27001
Sumber: A.T. Kearney Analysis, 2013
Dari gambar di atas dapat dijelakan siklus PDAC pada ISO 27001
sebagai berikut:
1. Plan
Pada tahap ini dilakukan penetapan tujuan, aturan, proses, dan prosedur
yang sesuai untuk mengelola risiko dan meningkatkan keamanan
informasi. Hal ini bertujuan agar dapat memberikan hasil sesuai dengan
tujuan dan kebijakan organisasi.
2. Do
Selanjutnya dilakukan penerapan dan jalannya aturan, kontrol, kebijakan,
proses dan prosedur SMKI yang sudah dipilih di tahap sebelumnya.
3. Check
Tahap selanjutnya dilakukan penilaian, pengawasan, dan peninjauan
penerapan dari SMKI dan jika memungkinkan bila dilakukan pengukuran
40
kinerja proses terhadap kebijakan SMKI, dan hasilnya akan dilaporkan
ke pihak manajemen untuk ditinjau lebih lanjut.
4. Act
Pada tahap terakhir dilakukan langkah-langkah perbaikan dan
pencegahan yang diambil berdasarkan hasil dari audit internal SMKI dan
management review atau informasi lainnya yang berhubungan untuk
mencapai perbaikan SMKI secara berkelanjutan.
Dalam merancang SMKI di perusahaan, perlu dilakukan beberapa hal
sebagai berikut:
1. Menentukan ruang lingkup dan batasan dari SMKI yang berhubungan
dengan karakteristik bisnis, organisasi, aset, teknologi, dan lokasi,
termasuk rincian dan justifikasi untuk hal-hal diluar ruang lingkup.
2. Menentukan kebijakan SMKI yang berhubungan dengan bisnis,
organisasi, aser, teknologi, dan lokasi.
3. Menentukan pendekatan penilaian risiko organisasi.
4. Mengindentifikasi risiko aset, ancaman, kerawanan, dan dampak dari
hilangnya kerahasiaan, ketersediaan, dan integritas yang mungkin terjadi
terhadap aset.
5. Menganalisa dan mengevaluasi risiko, dan mengestimasi level risiko
serta menetukan apakah risiko-risiko tersebut bisa diterima atau
membutuhkan perlakuan khusus.
6. Mengidentifikasi dan mengevaluasi pilihan untuk perlakuan terhadap
risiko seperti untuk menghindari risiko, menjalankan kontrol yang sesuai,
41
mengirim risiko bisnis ke pihak lain, menerima risiko, dan menghindari
risiko.
7. Memilih kontrol dan kontrol objektif untukperlakuan terhadap risiko.
8. Mendapatkan persetujuan dari pihak manajemen terhadap perlakuan
risiko.
9. Mendapatkan otoritas manajemen untuk menerapkan dan menjalankan
SMKI.
10. Menyiapkan Statement of Applicability, yang terdiri dari kontrol dan
kontrol objektif yang sedang diterapkan, dan pengecualian terhadap
kontrol dan kontrol objektif serta justifikasi terhadap pengecualian
tersebut.
Setelah menentukan perencanaan SMKI, selanjutnya dilakukan tahapan
untuk menerapkan dan menjalankan SMKI, berikut langkah-langkah yang
perlu dilakukan sebagai berikut:
1. Merumuskan perencanaan tindak lanjut risiko untuk menentukan
tindakan yang sesuai bagi manajemen, tanggung jawab dan prioritas serta
sumber daya untuk mengelola risiko keamanan informasi.
2. Menerapkan perencanaan tindak lanjut risiko untuk mencapai kontrol
objektif dimana dilakukan juga pertimbangan pendanaan dan alokasi
peran dantanggung jawab.
3. Menerapkan kontrol yang sudah dipilih untuk mencapai objektif kontrol.
4. Menentukan cara mengukur efektifitas kontrol yang sudah dipilih dan
menentukan juga apakah dapat digunakan untuk menilai efektivitas
kontrol untuk didapatkan hasil yang bisa dibandingkan.
42
5. Menerapkan program pelatihan dan kesadaran terhadap keamanan
informasi.
6. Mengelola operasional SMKI.
7. Mengelola sumber daya SMKI.
8. Menerapkan langkah-langkah dan kontrol lainnya yang bisa menemukan
dan merespon jika terjadi kejadian yang berhubungan dengan keamanan
sistem.
Tahap selanjutnya dilakukan pengawasan dan peninjauan SMKI yang
tengah berjalan. Berikut langkah-langkah yang perlu dilakukan sebagai
berikut:
1. Menjalankan langkah-langkah pengawasan dan peninjauan serta kontrol
lainnya.
2. Melakukan tinjauan secara berkala terhadap efektivitas SMKI dengan
melihat hasil dari audit keamanan, hasil dari efektivitas pengukuran,
insiden, saran, dan masukan dari berbagai pihak yang berkaitan.
3. Mengukur efektivitas kontrol untuk memastikan kebutuhan keamanan
telah terpenuhi.
4. Meninjau penilaian risiko pada jangka waktu tertentu dan sisa risiko serta
level risiko yang sudah diidentifikasi dengan mempertimbangkan
teknologi, ancaman, perubahan di organisasi, tujuan dan proses bisnis,
efektivitas dari kontrol yang sedang berjalan, dan perubahan eksternal
seperti perubahan pada peraturan hukum atau regulasi,perubahan iklim
sosisal, dan perubahan kontrak kewajiban.
43
5. Menjalankan audit internal SMKI sesuai dengan jangka waktu yang telah
ditetapkan.
6. Meninjau pihak manajemen terhadap SMKI untuk memastikan ruang
lingkup terpenuhi dan proses perbaikan SMKI dapat dikenali.
7. Melakukan perbaharuan rencana dengan mempertimbangkan hal-hal
yang ditemui dalam kegiatan pengawasan dan peninjauam SMKI.
8. Mendokumentasikan semua kegiatan dan kejadian yang bisa berdampak
pada efektivitas dan kinerja SMKI.
Tahap terakhir dari siklus PDCA adalah menjaga dan meningkatkan
SMKI. Langkah-langkah yang perlu dilakukan oleh organisasi secara berkala
adalah sebagai berikut:
1. Menerapkan perbaikan yang teridentifikasi di SMKI.
2. Mengambil tindakan perbaikan dan pencegahan. Kemudian menerapkan
pelajaran yang didapat dari pengalaman di dalam maupun luar organisasi
yang terkait dengan keamanan.
3. Mengkomunikasikan tindakan dan perbaikan kepada semua pihak yang
terkait.
4. Memastikan perbaikan tersebut sudah memenuhi sasaran yang
diharapkan.
2.5.2. Kontrol dan Kontrol Objektif SNI ISO 27001:2009
SNI ISO 27001:2009 memiliki 11 domain, 39 kontrol objektif dan 133
kontrol yang bisa dijadikan acuan untuk implementasi manajemen risiko
keamanan sistem informasi yang didapat dari hasil penilaian risiko.
44
Penerapan kontrol-kontrol ini digunakan untuk menurunkan tingkat risiko
keamanan informasi ke tingkat yang bisa diterima.
Dari semua kontrol yang terdapat di SNI ISO 27001:2009 tidak semuanya
harus diterapkan oleh organisasi atau perusahaan. Setiap organisasi memiliki
karakteristik yang berbeda-beda, sehingga tidak semua kontrol SNI ISO
27001:2009 bisa diterapkan di organisasi tersebut. Kontrol yang dipakai harus
berhubungan atau sesuai dengan kebutuhan organisasi tersebut. Semua
kontrol yang tidak sesuai di masukan ke dalam Statement of Applicability,
yang berisi kontrol yang mau diterapkan dan yang tidak diterapkan. Semua
kontrol yang tidak diterapkan tidak perlu dimasukkan ke dalam ruang lingkup
pada saat audit. SNI ISO 27001:2009 memiliki domain dan kontrol objektif
yang dapat dilihat pada tabel berikut:
Tabel 2.1 Domain dan Kontrol Objektif SNI ISO 27001:2009
Sumber: SNI ISO 27001:2009
Ref.
Annex A
Domain & Kontrol Objektif
A.5 Kebijakan keamanan
A5.1 Kebijakan keamanan informasi
A.6 Organisasi keamanan informasi
A6.1 Organisasi internal
A6.2 Pihak eksternal
A.7 Pengelolaan aset
A7.1 Tanggung jawab terhadap aset
A7.2 Klasifikasi informasi
45
Ref.
Annex A
Domain & Kontrol Objektif
A.8 Keamanan sumberdaya manusia
A8.1 Belum dipekerjakan
A8.2 Selama bekerja
A8.3 Pengakhiran atau perubahan pekerjaan
A.9 Keamanan fisik dan lingkungan
A9.1 Area yang aman
A9.2 Keamanan peralatan
A.10 Manajemen komunikasi dan informasi
A10.1 Prosedur operasional dan tanggung jawab
A10.2 Manajemen pelayanan jasa pihak ketiga
A10.3 Perencanaan dan keberterimaan sistem
A10.4 Perlindungan terhadap malicious dan mobile code
A10.5 Back-up
A10.6 Anajemen keamanan jaringan
A10.7 Penanganan media
A10.8 Pertukaran informasi
A10.9 Layanan electronic commerce
A10.10 Pemantauan
A.11 Pengendalian akses
A11.1 Persyaratan bisnis untuk pengendalian akses
A11.2 Manajemen akses pengguna
46
Ref.
Annex A
Domain & Kontrol Objektif
A11.3 Tanggung jawab pengguna
A11.4 Pengendalian akses jaringan
A11.5 Pengendalian akses sistem informasi
A11.6 Pengendalian akses aplikasi dan informasi
A11.7 Mobile computing dan kerja jarak jauh (teleworking)
A.12 Akuisisi, pengembangan dan pemeliharaan sistem informasi
A12.1 Persyaratan keamanan dari sistem informasi
A12.2 Pengelolaan yang benar dalam aplikasi
A12.3 Pengendalian dengan cara kriptografi
A12.4 Keamanan system files
A12.5 Keamanan dalam proses pengembangan dan pendukung
A12.6 Manajemen kerawanan teknis
A13 Manajemen insiden keamanan informasi
A13.1 Pelaporan kejadian dan kelemahan keamanan informasi
A13.2 Manajemen insiden keamanan informasi dan perbaikan
A.14
Manajemen keberlanjutan bisnis (Business continuity
management)
A14.1
Aspek keamanan informasi dari manajemen keberlanjutan
bisnis
A.15 Kesesuaian
A15.1 Sesuaian dengan persyaratan hukum
47
Ref.
Annex A
Domain & Kontrol Objektif
A15.2
Pemenuhan terhadap kebijakan keamanan dan standar, dan
pemenuhan teknis
A15.3 Pertimbangan audit sistem informasi
11 klausul kontrol keamanannya dapat dijelaskan sebagai berikut:
1. Kebijakan keamanan: komitmen Manajemen dan dukungan untuk kebijakan
keamanan informasi ditujukan dalam domain ini.
2. Organisasi keamanan informasi: koordinasi dan pengelolaan usaha
informasi organisasi keamanan secara keseluruhan adalah rinci dalam domain
ini. Tanggung jawab keamanan informasi didefinisikan dalam domain ini.
3. Pengelolaan aset: semua aset kritis dan sensitif didefinisikan dalam domain.
4. Keamanan sumberdaya manusia: domain ini membahas kesadaran
pengguna dan pelatihan. Pengguna kesadaran dan pelatihan dapat mengurangi
risiko pencurian, penipuan, dan kesalahan.
5. Keamanan fisik dan lingkungan: domain ini membatasi akses ke fasilitas ke
petugas yang berwenang. Selain itu, alamat domain membatasi jumlah
kerusakan yang terjadi pada bangunan fisik dan informasi organisasi.
6. Manajemen komunikasi dan operasi: domain ini membahas risiko
kegagalan dan konsekuensi yang dihasilkan. Hal ini dicapai dengan
memastikan penggunaan yang tepat dan aman dari fasilitas pengolahan
informasi.
48
7. Pengendalian akses: domain ini memastikan akses ke sistem masing-masing
dan informasi dibatasi untuk petugas yang berwenang. Deteksi kegiatan yang
tidak sah juga dibahas dalam domain ini.
8. Akuisisi, pengembangan dan pemeliharaan sistem informasi: domain ini
membahas kerugian dan penyalahgunaan informasi dalam aplikasi yang
digunakan dalam perusahaan.
9. Manajemen insiden keamanan informasi: peristiwa dan kelemahan
keamanan harus dilaporkan. Domain ini membahas definisi tanggung jawab
dan prosedur pengelolaan insiden keamanan dan perbaikan, serta
mengumpulkan bukti-bukti untuk insiden keamanan.
10. Manajemen keberlanjutan bisnis: domain ini membahas kemampuan
organisasi untuk secara cepat merespon setiap gangguan sistem bisnis penting.
Gangguan sistem ini dapat disebabkan oleh kegagalan hardware, insiden, dan
bencana alami.
11. Kesesuaian: domain ini membahas kepatuhan hukum oleh bisnis. Selain itu,
domain ini memastikan bahwa tujuan yang ditetapkan oleh manajemen tingkat
atas sedang diikuti dan bertemu.
2.6 Indeks Keamanan Informasi
Dalam mengidentifikasi maturity level atau tingkat kesiapan dari
implementasi keamanan informasi dengan standar SNI ISO 27001:2009,
metode yang digunakan adalah Indeks keamanan informasi (Indeks KAMI).
Indeks KAMI merupakan salah satu alat untuk mengevaluasi dan menganalisis
tingkat kesiapan atau kematangan SMKI. Alat evaluasi ini disusun oleh Tim
49
Direktorat Keamanan Informasi Kementrian Komunikasi dan Informatika.
Indeks ini digunakan untuk memberikan gambaran kondisi kematangan dari
kerangka kerja keamanan informasi. Indeks ini mengevaluasi semua area yang
menjadi target penerapan keamanan informasi dengan ruang lingkup
pembahasan yang memenuhi aspek keamanan pada SNI ISO 27001:2009.
Evaluasi menggunakan Indeks KAMI mencakup hal-hal sebagai berikut:
1. Peran atau tingkat kepentingan teknologi informasi dan komunikasi
2. Tata kelola keamanan informasi
3. Pengelolaan risiko keamanan informasi
4. Kerangka kerja keamanan informasi
5. Pengelolaan aset informasi
6. Teknologi dan keamanan informasi
Hasil evaluasi indeks KAMI menunjukkan gambaran dari tingkat
kematangan, tingkat kelengkapan SNI ISO 27001:2009 dan peta area tata kelola
keamanan sistem informasi di instansi pemerintah. Dalam menghitung indeks
KAMI digunakan metode kuesioner yang berisi table checklist pengukuran yang
terdiri dari beberapa pertanyaan pada masing-masing bagian indeks KAMI untuk
mendapatkan gambaran dari tingkat keamanan informasi pada suatu organisasi
atau perusahaan. Dalam menghitung indeks KAMI dimulai dari mengukur peran
TIK pada institusi untuk menilai kesiapan keamanan informasi di suatu organisasi
atau perusahaan yang dimulai dari tata kelola hingga teknologi. Pertanyaan pada
bagian kesiapan keamanan informasi dikelompokkan menjadi dua bagian, yaitu:
1. Pertanyaan dikategorikan berdasarkan tingkat kesiapan penerapan
pengamanan sesuai dengan kelengkapan kontrol yang terdapat di SNI ISO
50
27001:2009. Dalam pengelompokan ini responden diminta untuk
memberikan tanggapannya mulai dari area yang terkait dalam bentuk
kerangka kerja dasar keamanan informasi, efektifitas dan konsistensi
penerapannya dan kemampuan untuk selalu meningkatkan kinerja
keamanan informasi. Tingkat terakhir sesuai dengan kesiapan minimum
yang dipersyaratkan oleh standar SNI ISO 27001:2009.
Tabel 2.2 Ukuran Kerja Keamanan Informasi
Sumber: Indeks KAMI
Status Pengamanan
Kategori
Pengamanan
1 2 3
Tidak dilakukan 0 0 0
Dalam perencanaan 1 2 3
Dalam penerapan atau diterapkan
sebagian
2 4 6
Diterapkan secara menyeluruh 3 6 9
Adapun matriks peran TIK dan hubungannya dengan status kesiapan di
dalam suatu organisasi atau perusahaan dijelaskan pada tabel 2.4 di bawah
ini.
Tabel 2.3 Matriks Peran TIK dan Status Kesiapan
Sumber: Indeks KAMI
51
2. Pengelompokan kedua dilakukan berdasarkan tingkat kematangan
penerapan pengamanan dengan kategori yang mengacu pada tingkatan
kematangan yang digunakan pada kerangka kerja COBIT. Tingkat
kematangan ini akan digunakan sebagai alat untuk memberikan informasi
pemetaan dan pengukuran tingkat mengenai kesiapan keamanan di suatu
organisasi atau perusahaan. Pada penilaian menggunakan Indeks KAMI,
tingkat kematangan dijelaskan sebagai berikut:
1. Tingkat I : Kondisi awal
2. Tingkat I+: Penerapan kerangka kerja dasar
3. Tingkat II : Terdefinisi dan konsisten
4. Tingkat II+ : Terkelola dan terukur
5. Tingkat III : Optimal
Gambar 2.7 Bar Chart Tingkat Kematangan dan Tingkat
Kelengkapan Penerapan Standar ISO 27001
Sumber: Indeks KAMI
2.7 Pengukuran Tingkat Kematangan (Maturity Level)
Pengukuran tingkat kematangan atau maturity level pada COBIT Menurut
(Tambotoh & Latuperissa, 2014) adalah pengukuran yang dilakukan pada
tingkat kematangan menggunakan aturan COBIT untuk mengetahui bagaimana
pengelolaan dan proses-proses teknologi informasi di organisasi tersebut
sehingga dapat diketahui pada tingkat pengelolaannya. Pengukuran ini
ditujukan untuk tingkat manajemen dan manager di perusahaan yang ingin
52
dievaluasi tingkat kematangannya menggunakan COBIT. Model kematangan
atau maturity Model menggunakan COBIT adalah alat yang digunakan untuk
mengukur seberapa baik proses pengelolaan teknologi informasi yang
berhubungan pada kontrol internal teknologi informasi dan berkaitan dengan
tujuan bisnis suatu organisasi atau perusahaan. Model kematangan pada proses
teknologi informasi menggunakan COBIT dibuat berdasarkan metode evaluasi
suatu organisasi yang dibagi menjadi 6 tingkat, yaitu mulai dari 0 (non-
existent) hingga 5 (optimised). Tingkatannya sebagai berikut:
a. 0 (Non-Existent)
Tingkat ini merupakan tingkatan paling kecil dimana sama sekali tidak
terdapat proses yang terkait sama sekali.
b. 1 (Intial/Ad hoc)
Pada tingkat ini pihak manajemen mulai sadar akan pentingnya proses
yang terkait, akan tetapi implementasi yang terjadi masih bersifat reaktif,
sesuai dengan kebutuhan mendadak yang ada dan tidak terorganisir.
c. 2 (Repeatable but Intuitive)
Pada tingkat ini pihak manajemen telah memiliki pola untuk mengelola
proses terkait berdasarkan pengalaman yang berulang dan pernah
dilakukan sebelumnya namun, pola tersebut belum terstandarisasi.
Kurangnya prosedur yang tidak dikomunikasikan dan tidak terstandarisasi
serta keterbatasan staf ahli dapat menyebabkan terjadinya penyimpangan.
d. 3 (Defined Process)
Pada tingkat ini pihak manajemen sudah berhasil menciptakan standar
baku pengelolaan proses terkait walaupun belum dilakukan secara
53
terintegrasi. Walaupun telah diharuskan dalam pelaksanaannya, namun
belum ada pengawasan terhadap pelaksanaannya.
e. 4 (Managed and Measurable)
Pada tingkat ini pihak manajemen mengawasi dan mengukur nilai
kepatuhan terhadap prosedur dan mengambil tindakan dimana proses
tampaknya tidak berjalan dengan efektif serta kegiatan dan standar yang
ada telah terintegrasi dan diterapkan secara formal.
f. 5 (Optimised)
tingkat ini merupakan tingkat paling tinggi di mana pihak manajemen
telah berkomitmen terhadap proses yang ada agar menjadi sebuah baku
yang terstandar atau best practice yang dapat selalu dikembangkan.
Berdasarkan hasil pemodelan perbaikan dan pematangan yang
berkelanjutan, proses yang dioptimalkan telah disempurnakan ketingkat
best practice. Teknologi informasi digunakan secara terpadu untuk
mengotomatisasi alur kerja dan menyediakan alat untuk meningkatkan
kualitas dan efektivitas agar perusahaan dapat dengan cepat beradaptasi.
2.8 Penelitian Sebelumnya
Dalam upaya penelitian mengenai manajemen risiko keamanan sistem
informasi menggunakan SNI ISO 27001:2009, dilakukan studi pustaka sebagai
salah satu penerapan metode penelitian yang dilakukan. Penelitian sebelumnya
yang menjadi bahan studi pustaka penulis dapat dilihat sebagai berikut:
54
Tabel 2.4 Tabel Penelitian sebelumnya
Sumber: Penelitian Terdahulu
No. Nama Metode Judul
penelitian
Hasil Penelitian
1. Arief Budi
Winarto
(2012)
Cobit 4.1 Evaluasi
Kinerja
Manajemen
Risiko
Keamanan
Informasi
Charging
System: Studi
Kasus PT XYZ
Dalam penelitian ini
dilakukan evaluasi kinerja
manajemen risiko terhadap
Charging System. Kemudian
evaluasi juga dilakukan
terhadap kinerja tata kelola
teknologi informasi yang
berhubungan dengan
keamanan informasi yang
mengacu pada Cobit4.1.
Hasil dari penelitian ini
adalah nilai analisis
kesenjangan domain ISO
dan rekomendasi strategi
manajemen risiko keamanan
informasi pada Charging
System perusahaan tempat
penelitian dilakukan yaitu
berupa 14 rancangan kerja
dan 5 kebijakan dan
55
No. Nama Metode Judul
penelitian
Hasil Penelitian
prosedur-prosedur yang
berhubungan dengan
peningkatan kinerja kontrol
objektif dalam upaya
pengamanan aset infomasi
Charging System.
2. Iqbal
Soenardi
dan M.
Ichsan
(2013)
ISO 27001 Analisis
Kematangan
Sistem
Manajemen
Keamanan
Informasi
Badan
Pendidikan dan
Pelatihan
Keuangan
Diukur
Menggunakan
Indeks
Keamanan
Informasi
Penelitian dilakukan untuk
menganalisis tingat
kematangan sistem
manajemen keamanan
informasi menggunakan
indeks KAMI di Badan
Pendidikan dan Pelatihan
Keuangan (BPPK).
Pengukuran tingkat
kematangan ini disusun
berdasarkan ISO 27001.
Dari penelitian ini
didapatkan hasil bahwa
SMKI di BPPK masih
rendah yang disebabkan
oleh kurangnya pemahaman
56
No. Nama Metode Judul
penelitian
Hasil Penelitian
mengenai SMKI, belum
terdapat kebijakan mengenai
SMKI, dan
pengembangannya belum
dijadikan sebuah prioritas.
Saran dari penelitian ini agar
dilakukan awareness
mengenai SMKI kepada
seluruh karyawan,
menyempurnakan SOP dan
menyusun dan
mengembangkan ICT
blueprint BPPK.
3. Agus
Pramudiono
(2013)
OCTAVE
ALLEGRO
Evaluasi
Manajemen
Risiko
Pengembangan
Software
Aplikasi
Berbasis
OCTAVE
ALLEGRO di
Tujuan dari penelitian ini
adalah mendapatkan hasil
penilaian terhadap risiko-
risiko yang muncul di
pengembangan software
aplikasi. Adapun hasil dari
penelitian ini menghasilkan
19 aset kritis, dengan 10 aset
memiliki angka risiko besar
57
No. Nama Metode Judul
penelitian
Hasil Penelitian
PT. Sigma Cipta
Caraka
terhadap pengembangan
software di PT. Sigma Cipta
Caraka. Adapun saran dari
penelitian ini yakni
membuat SLA untuk setiap
proses, audit secara berkala,
dan membuat database
risiko dari seluruh proyek.
4. Vinici
Vasquera
Silitonga
(2012)
NIST 800-
300
Perancangan
Manajemen
Risiko pada PT.
XYZ dengan
menggunakan
Metode NIST
800-30
Penelitian dilakukan
terhadap sistem SAP
perusahaan serta lingkungan
pendukung layanan sistem
tersebut. Perusahaan ini
sudah menerapkan sistem
SAP namun belum memiliki
keamanan sistem informasi
yang berisiko terhadap
bisnis perusahaan dan
berpotensi menimbulkan
kerugian. Peneliti
menggunakan metode NIST
800-30 untuk penilaian
58
No. Nama Metode Judul
penelitian
Hasil Penelitian
risiko dan mitigasi,
sedangkan fase
implementasi dan evaluasi
risiko tidak termasuk dalam
cakupan penelitian.
Penelitian dilakukan dengan
8 tahapan untuk penilaian
risiko, sedangkan mitigasi
risiko dilakukan dengan 5
tahap. Hasil dari penelitian
ini adalah draft kebijakan
keamanan sistem informasi
untuk sistem SAP, yaitu
berupa 10 kontrol kebijakan
dan standar keamanan
sistem informasi yang bisa
menjadi acuan bagi PT.
XYZ untuk mengelola 14
risiko yang ditemukan
dalam penelitian.
5. Ega
Lestaria
ISO
27001:2005
Evaluasi
Manajemen
Penelitian dilakukan
terhadap sistem
59
No. Nama Metode Judul
penelitian
Hasil Penelitian
Sukma
(2013)
Risiko
Keamanan
Informasi
Sistem
Provisioning
Gateway
Telkom Flexi
Provisioning Gateway
Telkom Flexi menggunakan
ISO 27001:2005. Tujuan
dari penelitian ini untuk
mengevaluasi risiko
keamanan informasi dan
membuat rekomendasi
kerangka kerja yang sesuai
dengan SMKI yang ada.
Pada penulisan dihasilkan
13 kontrol objektif ISO
27001:2005yang
direkomendasikan untuk
perbaikan terhadap
manajemen risiko keamanan
sistem provisioning gateway
Telkom Flexi. Saran yang
didapatkan yaitu dapat
dilakukan analisis manfaat
dan biaya dengan
melakukan kuantitatif
terhadap dampak dari
60
No. Nama Metode Judul
penelitian
Hasil Penelitian
diimplementasikan atau
tidak kontrol yang
disarankan, sehingga kontrol
yg dipilih merupakan
kontrol yang paling efektif.
6. Ferdyansah
(2014)
OCTAVE Mitigasi Risiko
Sistem
Informasi
dengan
Menggunakan
Metode
OCTAVE Guna
Mendukung
Manajemen
Risiko pada
Bank BSM
Tujuan penelitian ini untuk
mengetahui ancaman dan
risiko yang terdapat di Bank
Syarian Mandiri (BSM).
Dengan mengetahui
kerentanan yang terdapat di
sistem, peneliti merumuskan
strategi perlindungan dan
pengelolaan terhadap risiko
dan ancaman pada BSM.
Hasil dari penelitian ini
bahwa server merupakan
aset paling kritis di BSM,
selanjutnya database dan
media penyimpanan serta
data dan informasi
perusahaan. Kemudian
61
No. Nama Metode Judul
penelitian
Hasil Penelitian
tingkat dampaknya juga
dimulai dari server,
database, dan data informasi
perusahaan. Selain itu
penelitian ini juga
menghasilkan rumusan
strategi mitigasi risiko
sistem informasi dengan
menerapkan Disaster
Recovery Planning (DRP).
62